Helseforsikring bærbarhet og Accountability Act (HIPAA) gir føderal beskyttelse for personvernet av personlig helserelatert informasjon. HIPAA program faller under US Department of Health and Human Services. Loven tillater for utgivelse av informasjon under noen omstendigheter som til en persons forsikringsselskap og til annet helsepersonell. HIPAA har en spesiell sikkerhetsregel som fastsetter standarder for ivaretakelse av medisinsk informasjon som er lagret elektronisk.

Elektronisk Personal Health Information

Elektronisk personlig helseinformasjon (e-PHI) er beskyttet av "Security Rule". E-PHI informasjon ikke kan gis til personer som ikke er autorisert til å se den, eller avsløre noen opplysninger fra postene og samtidig lage postene tilgjengelig av personer autorisert til å gjennomgå postene. Sikkerhetsrådet regel beskytter også mot å endre eller ødelegge data ved uautoriserte måter.

Hvordan denne regelen er implementert ikke er regulert. Små klinikker kan ha en annen måte å holde poster i motsetning til et sykehus som har avdelinger over hele landet.

Fysisk Begrense tilgang

Sikkerhetstiltak er nødvendig for å være på plass som begrenser tilgangen til postene av uvedkommende. Dette kalles "Facility Tilgang og kontroll."

Den "dekket enhet", som er det stedet som har postene som et legekontor, må bruke retningslinjer og prosedyrer for "riktig bruk av og tilgang til arbeidsstasjoner og elektroniske medier", ifølge HIPAA. Dette gjelder også å sende poster, fjerne filer, ødelegge filer og til og med gjenbruk av elektroniske medier som en lese / skrive CD.

Electronic Security

Politikk må opprettes og brukes for maskinvare og programvare for å lage oversikt over hvem som har tilgang til informasjonen. En prosedyre må være på plass for å gjennomgå hvem som har tilgang til postene. Systemene må være på plass for å beskytte poster blir endret eller ødelagt. For eksempel kan et backup-system anvendes for å beskytte elektroniske data. Beskyttelse må også gis i løpet av å sende data elektronisk. Dette er vanligvis en informasjonsteknologi sikkerhetssystem.

Forretnings Ansvar

Den dekket enhet må ta eventuelle brudd slik som om en uautorisert person gjør få tilgang til private registre. "Rimelige tiltak" må tas for å løse situasjonen, ifølge HIPAA. Det er ansett som en krenkelse dersom dekket enheten ikke har sikringstiltak som adgangskontroll på plass.

Informasjonsforvaltning

Retningslinjer og prosedyrer må være på plass for å opprettholde postene. Foreløpig er HIPAA regel å holde politikk og prosedyre poster samt eventuelle skriftlige nødvendige tiltak for seks år fra dato for opprettelse eller "sist effektiv dato." Den dekket person skal også foreta vurderinger av sine poster og implementere nye retningslinjer som trengs. Sikkerhetsrådet regel ikke satt oppbevaring regler for medisinske poster.