พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความลับทางการแพทย์ ปี 1996

ชื่อเรื่องสั้นอื่นๆ	พระราชบัญญัติ Kassebaum–Kennedy, พระราชบัญญัติ Kennedy–Kassebaum
ชื่อเรื่องยาว	พระราชบัญญัติแก้ไขประมวลกฎหมายภาษีสรรพากร พ.ศ. 2529 เพื่อปรับปรุงความสะดวกในการโอนย้ายและความต่อเนื่องของความคุ้มครองประกันสุขภาพในตลาดกลุ่มและตลาดรายบุคคล เพื่อต่อต้านการสิ้นเปลือง การฉ้อโกง และการทุจริตในการประกันสุขภาพและการให้บริการด้านการดูแลสุขภาพ เพื่อส่งเสริมการใช้บัญชีออมทรัพย์ทางการแพทย์ เพื่อปรับปรุงการเข้าถึงบริการและการคุ้มครองการดูแลระยะยาว เพื่อลดความซับซ้อนของการบริหารจัดการประกันสุขภาพ และเพื่อวัตถุประสงค์อื่น ๆ
คำย่อ(ภาษาพูด)	HIPAA (ออกเสียงว่า/ ˈ h ɪ p ə / ฮิป -อะ )
ตรากฎหมายโดย	รัฐสภาสหรัฐอเมริกาชุดที่ 104
การอ้างอิง
กฎหมายมหาชน	สิ่งพิมพ์ L.  104–191 (ข้อความ) (PDF)
กฎหมายฉบับเต็ม	110  สถิติ พ.ศ.  2479
ประวัติการออกกฎหมาย
ร่างกฎหมายนี้ ถูกเสนอเข้าสู่สภาผู้แทนราษฎรในชื่อHR 3103โดยบิล อาร์เชอร์ ( พรรครีพับลิกัน - รัฐเท็กซัส ) เมื่อวันที่ 18 มีนาคม 1996 การพิจารณาของคณะกรรมการโดยคณะกรรมการวิธีการและงบประมาณของสภาผู้แทนราษฎร ผ่านการลงมติในสภาเมื่อวันที่ 28 มีนาคม พ.ศ. 2539 ( 267–151 ) ผ่านการลงมติในวุฒิสภา เมื่อวันที่ 23 เมษายน 1996 ( 100–0 เสียงแทนที่ร่างกฎหมาย S. 1028 ) รายงานโดยคณะกรรมการร่วมประชุมเมื่อวันที่ 31 กรกฎาคม 1996; เห็นชอบโดยสภาผู้แทนราษฎรเมื่อวันที่ 1 สิงหาคม 1996 ( 421–2 ) และโดยวุฒิสภาเมื่อวันที่ 2 สิงหาคม 1996 ( 98–0 ) ลงนามบังคับใช้โดยประธานาธิบดีบิล คลินตันเมื่อวันที่ 21 สิงหาคม 1996

พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ ( HIPAA)หรือพระราชบัญญัติเคนเนดี - คาสเซบอม^{[ 1 ] [ 2 ]} เป็น พระราชบัญญัติของรัฐสภาสหรัฐอเมริกาที่ตราขึ้นโดยรัฐสภาสหรัฐอเมริกาชุดที่ 104และลงนามบังคับใช้โดยประธานาธิบดีบิล คลินตันเมื่อวันที่ 21 สิงหาคม พ.ศ. 2539 ^{[ 3 ]} พระราชบัญญัติ นี้มีจุดมุ่งหมายเพื่อเปลี่ยนแปลงการถ่ายโอนข้อมูลด้านการดูแลสุขภาพ และกำหนดแนวทางใน การปกป้อง ข้อมูลส่วนบุคคลที่ระบุตัวตนได้ ซึ่ง เก็บรักษาไว้โดยอุตสาหกรรมการดูแลสุขภาพและการประกันสุขภาพจากการฉ้อโกงและการโจรกรรม^{[ 4 ]}และกล่าวถึงข้อจำกัดบางประการเกี่ยวกับความคุ้มครองการประกันสุขภาพโดยทั่วไปแล้ว พระราชบัญญัตินี้ห้ามผู้ให้บริการด้านการดูแลสุขภาพและธุรกิจที่เรียกว่าหน่วยงานที่อยู่ภายใต้การคุ้มครอง เปิดเผยข้อมูลที่ได้รับการคุ้มครองแก่บุคคลอื่นใดนอกเหนือจากผู้ป่วยและตัวแทนที่ได้รับอนุญาตของผู้ป่วยโดยไม่ได้รับความยินยอมจากพวกเขา กฎหมายนี้ไม่ได้จำกัดผู้ป่วยจากการเข้าถึงข้อมูลของตนเอง ยกเว้นในบางกรณีที่จำกัด^{[ 5 ]}ยิ่งไปกว่านั้น กฎหมายนี้ไม่ได้ห้ามผู้ป่วยจากการแบ่งปันข้อมูลสุขภาพของตนเองโดยสมัครใจตามที่ต้องการ และไม่ได้กำหนดให้ต้องรักษาความลับในกรณีที่ผู้ป่วยเปิดเผยข้อมูลทางการแพทย์แก่สมาชิกในครอบครัว เพื่อน หรือบุคคลอื่นที่ไม่ใช่พนักงานของหน่วยงานที่ได้รับความคุ้มครอง

พระราชบัญญัตินี้ประกอบด้วย 5 หัวข้อ:

1. มาตรา 1 คุ้มครอง ความคุ้มครอง ประกันสุขภาพสำหรับคนงานและครอบครัวของพวกเขาหากพวกเขาเปลี่ยนงานหรือตกงาน^{[ 6 ]}
2. หัวข้อที่ 2 ซึ่งรู้จักกันในชื่อบทบัญญัติการลดความซับซ้อนทางการบริหาร (AS) กำหนดให้มีการจัดตั้งมาตรฐานระดับชาติสำหรับ ธุรกรรมการ ดูแลสุขภาพทางอิเล็กทรอนิกส์และตัวระบุระดับชาติสำหรับผู้ให้บริการ แผนประกันสุขภาพ และนายจ้าง^{[ 7 ]}
3. มาตรา III กำหนดแนวทางสำหรับบัญชีค่าใช้จ่ายทางการแพทย์ก่อนหักภาษี
4. มาตรา 4 กำหนดแนวทางสำหรับแผนประกันสุขภาพกลุ่ม
5. หมวดที่ 5 กำกับดูแล กรมธรรม์ประกันชีวิตที่บริษัทเป็นเจ้าของ

กฎหมายฉบับนี้แบ่งออกเป็นห้าส่วน หรือเรียกว่าหัวข้อ

มาตรา 1 ของ HIPAA ควบคุมความพร้อมใช้งานและขอบเขตของแผนประกันสุขภาพกลุ่มและนโยบายประกันสุขภาพส่วนบุคคลบางประเภท มาตรา 1 ได้แก้ไขพระราชบัญญัติประกันรายได้เพื่อการเกษียณอายุของพนักงาน พระราชบัญญัติบริการสาธารณสุขและประมวลกฎหมายภาษีสรรพากรมาตรา 1 ยังกล่าวถึงประเด็นเรื่อง "การยึดติดงาน" ซึ่งพนักงานยังคงทำงานต่อไปเพื่อหลีกเลี่ยงการสูญเสียความคุ้มครองด้านสุขภาพ^{[ 8 ]}เพื่อต่อสู้กับปัญหาการยึดติดงาน มาตรานี้จึงคุ้มครองความคุ้มครองประกันสุขภาพสำหรับคนงานและครอบครัวของพวกเขาหากพวกเขาสูญเสียหรือเปลี่ยนงาน^{[ 9 ]}

มาตรา 1 กำหนดให้แผนประกันสุขภาพกลุ่มต้องครอบคลุมและจำกัดข้อจำกัดที่แผนประกันสุขภาพกลุ่มสามารถกำหนดไว้สำหรับสิทธิประโยชน์เกี่ยวกับโรคประจำตัวได้ แผนประกันสุขภาพกลุ่มอาจปฏิเสธการให้สิทธิประโยชน์ที่เกี่ยวข้องกับโรคประจำตัวได้เป็นเวลา 12 เดือนหลังจากการลงทะเบียนในแผน หรือ 18 เดือนในกรณีที่ลงทะเบียนล่าช้า^{[ 10 ]}มาตรา 1 อนุญาตให้บุคคลลดระยะเวลาการยกเว้นลงตามจำนวนเวลาที่พวกเขามี "ความคุ้มครองที่น่าเชื่อถือ" ก่อนลงทะเบียนในแผนและหลังจาก "ช่วงเวลาที่ขาดความคุ้มครองอย่างมีนัยสำคัญ" ^{[ 11 ]} "ความคุ้มครองที่น่าเชื่อถือ" รวมถึงแผนประกันสุขภาพกลุ่มและรายบุคคลเกือบทั้งหมดMedicareและMedicaid [ ^{12 ] "}ช่วงเวลาที่ขาดความคุ้มครองอย่างมีนัยสำคัญ" หมายถึงช่วงเวลา 63 วันใดๆ ที่ไม่มีความคุ้มครองที่น่าเชื่อถือ^{[ 13 ]}พร้อมกับข้อยกเว้น อนุญาตให้นายจ้างเชื่อมโยงเบี้ยประกันภัยหรือการร่วมจ่ายกับการใช้ยาสูบหรือดัชนีมวลกาย (BMI)

หัวข้อที่ 1 กำหนดให้ผู้ให้บริการประกันภัยออกกรมธรรม์โดยไม่มีข้อยกเว้นให้กับบุคคลที่ออกจากแผนประกันสุขภาพกลุ่ม โดยมีเงื่อนไขว่าบุคคลเหล่านั้นต้องรักษาความคุ้มครองที่ต่อเนื่องและน่าเชื่อถือ (ดูข้างต้น) เกิน 18 เดือน^{[ 14 ]}และต่ออายุกรมธรรม์รายบุคคลตราบเท่าที่ยังมีการเสนอขายหรือจัดหาทางเลือกอื่นแทนแผนที่ถูกยกเลิกตราบเท่าที่บริษัทประกันภัยยังคงอยู่ในตลาดโดยไม่มีข้อยกเว้นโดยไม่คำนึงถึงสภาพสุขภาพ

แผนประกันสุขภาพบางแผนได้รับการยกเว้นจากข้อกำหนดของหมวดที่ 1 เช่น แผนประกันสุขภาพระยะยาวและแผนที่มีขอบเขตจำกัด เช่น แผนประกันทันตกรรมหรือสายตาที่เสนอแยกต่างหากจากแผนประกันสุขภาพทั่วไป อย่างไรก็ตาม หากสิทธิประโยชน์ดังกล่าวเป็นส่วนหนึ่งของแผนประกันสุขภาพทั่วไป HIPAA ก็ยังคงมีผลบังคับใช้กับสิทธิประโยชน์เหล่านั้น ตัวอย่างเช่น หากแผนใหม่เสนอสิทธิประโยชน์ด้านทันตกรรม ความคุ้มครองต่อเนื่องที่นับได้ภายใต้แผนประกันสุขภาพเดิมจะต้องนับรวมในช่วงเวลาที่ได้รับการยกเว้นสำหรับสิทธิประโยชน์ด้านทันตกรรมด้วย

ภายใต้หัวข้อที่ 1 แผนประกันสุขภาพสามารถใช้วิธีการคำนวณความคุ้มครองต่อเนื่องที่เชื่อถือได้อีกวิธีหนึ่งได้ โดยสามารถพิจารณาความคุ้มครองด้านสุขภาพได้ 5 ประเภทแยกกัน รวมถึงความคุ้มครองด้านทันตกรรมและสายตา ความคุ้มครองใดๆ ที่ไม่อยู่ใน 5 ประเภทนั้นจะต้องใช้การคำนวณแบบทั่วไป (เช่น ผู้รับผลประโยชน์อาจถูกนับด้วยความคุ้มครองทั่วไป 18 เดือน แต่ได้รับความคุ้มครองด้านทันตกรรมเพียง 6 เดือน เนื่องจากผู้รับผลประโยชน์ไม่มีแผนประกันสุขภาพทั่วไปที่ครอบคลุมด้านทันตกรรมจนกระทั่ง 6 เดือนก่อนวันที่ยื่นใบสมัคร) เนื่องจากแผนความคุ้มครองแบบจำกัดได้รับการยกเว้นจากข้อกำหนดของ HIPAA จึงมีกรณีพิเศษเกิดขึ้นที่ผู้สมัครแผนประกันสุขภาพกลุ่มทั่วไปไม่สามารถขอใบรับรองความคุ้มครองต่อเนื่องที่เชื่อถือได้สำหรับแผนความคุ้มครองแบบจำกัดอิสระ เช่น ทันตกรรม เพื่อนำไปใช้กับช่วงเวลาการยกเว้นของแผนใหม่ที่รวมความคุ้มครองเหล่านั้นไว้ด้วย

ระยะเวลาการยกเว้นที่ซ่อนอยู่ถือเป็นโมฆะภายใต้หัวข้อที่ 1 ตัวอย่างเช่น: 'อุบัติเหตุต้องเกิดขึ้นในขณะที่ผู้รับผลประโยชน์ได้รับความคุ้มครองภายใต้สัญญาประกันสุขภาพฉบับเดียวกันนี้ ข้อกำหนดดังกล่าวจะต้องไม่ถูกนำมาใช้โดยแผนประกันสุขภาพ นอกจากนี้ จะต้องเขียนใหม่เพื่อให้สอดคล้องกับ HIPAA ^{[ 15 ]}

มาตรา 2 ของ HIPAA กำหนดนโยบายและขั้นตอนในการรักษาความเป็นส่วนตัวและความปลอดภัยของข้อมูลสุขภาพที่ระบุตัวบุคคลได้ ระบุความผิดต่างๆ ที่เกี่ยวข้องกับการดูแลสุขภาพ และกำหนดบทลงโทษทางแพ่งและทางอาญาสำหรับการละเมิด นอกจากนี้ยังสร้างโปรแกรมต่างๆ เพื่อควบคุมการฉ้อโกงและการละเมิดภายในระบบการดูแลสุขภาพ^{[ 16 ] [ 17 ] [ 18 ] [ 19 ]}บทบัญญัติที่สำคัญที่สุดของมาตรา 2 คือกฎการลดความซับซ้อนทางการบริหาร มาตรา 2 กำหนดให้กระทรวงสาธารณสุขและบริการมนุษย์ (HHS) เพิ่มประสิทธิภาพของระบบการดูแลสุขภาพโดยการสร้างมาตรฐานสำหรับการใช้และการเผยแพร่ข้อมูลการดูแลสุขภาพ^{[ 19 ]}

กฎเหล่านี้ใช้กับ "หน่วยงานที่อยู่ภายใต้การคุ้มครอง" ตามที่กำหนดไว้ใน HIPAA และ HHS หน่วยงานที่อยู่ภายใต้การคุ้มครอง ได้แก่ แผนประกันสุขภาพ ศูนย์ประมวลผลข้อมูลด้านการดูแลสุขภาพ (เช่น บริการเรียกเก็บเงินและระบบข้อมูลสุขภาพชุมชน) และผู้ให้บริการด้านการดูแลสุขภาพที่ส่งข้อมูลการดูแลสุขภาพในลักษณะที่อยู่ภายใต้การควบคุมของ HIPAA ^{[ 20 ]}

ตามข้อกำหนดของหัวข้อที่ 2 HHS ได้ออกกฎ 5 ข้อเกี่ยวกับการลดความซับซ้อนทางการบริหาร ได้แก่ กฎความเป็นส่วนตัว กฎธุรกรรมและชุดรหัส กฎความปลอดภัย กฎตัวระบุเฉพาะ และกฎการบังคับใช้^{[ 21 ]}

กฎความเป็นส่วนตัวของ HIPAA ประกอบด้วยข้อบังคับระดับชาติสำหรับการใช้และการเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ในการรักษาพยาบาล การชำระเงิน และการดำเนินงานโดย "หน่วยงานที่อยู่ภายใต้การคุ้มครอง" (โดยทั่วไปคือศูนย์กลางการแลกเปลี่ยนข้อมูลด้านการดูแลสุขภาพ แผนประกันสุขภาพที่นายจ้างให้การสนับสนุน บริษัทประกันสุขภาพ และผู้ให้บริการทางการแพทย์ที่เกี่ยวข้องกับธุรกรรมบางอย่าง) ^{[ 22 ]}

กฎความเป็นส่วนตัวมีผลบังคับใช้เมื่อวันที่ 14 เมษายน พ.ศ. 2546 โดยมีการขยายเวลาออกไปอีกหนึ่งปีสำหรับ "แผนขนาดเล็ก" บางแผน ตามระเบียบ HHS ได้ขยายกฎความเป็นส่วนตัวของ HIPAA ไปยังผู้รับเหมาอิสระของหน่วยงานที่อยู่ภายใต้การคุ้มครองซึ่งเข้าข่ายคำจำกัดความของ "ผู้ร่วมธุรกิจ" ^{[ 23 ]} PHI คือข้อมูลใดๆ ที่หน่วยงานที่อยู่ภายใต้การคุ้มครองถือครองไว้เกี่ยวกับสถานะสุขภาพ การให้บริการด้านการดูแลสุขภาพ หรือการชำระเงินด้านการดูแลสุขภาพที่สามารถเชื่อมโยงกับบุคคลใดบุคคลหนึ่งได้^{[ 20 ]}ซึ่งรวมถึงส่วนใดส่วนหนึ่งของบันทึกทางการแพทย์หรือประวัติการชำระเงินของบุคคลนั้น หน่วยงานที่อยู่ภายใต้การคุ้มครองต้องเปิดเผย PHI ให้แก่บุคคลนั้นภายใน 30 วันเมื่อได้รับการร้องขอ^{[ 24 ]}พวกเขายังต้องเปิดเผย PHI เมื่อกฎหมายกำหนดให้ต้องทำเช่นนั้น เช่น การรายงานการล่วงละเมิดเด็ก ที่ต้องสงสัย ไปยังหน่วยงานสวัสดิการเด็กของรัฐ^{[ 25 ]}

หน่วยงานที่อยู่ภายใต้การคุ้มครองอาจเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครองแก่เจ้าหน้าที่บังคับใช้กฎหมายเพื่อวัตถุประสงค์ในการบังคับใช้กฎหมายตามที่กฎหมายกำหนด (รวมถึงคำสั่งศาล หมายจับที่ศาลออก และหมายเรียก) และคำขอทางปกครอง หรือเพื่อระบุหรือค้นหาผู้ต้องสงสัย ผู้หลบหนี พยานสำคัญ หรือบุคคลที่หายไป^{[ 26 ]}

หน่วยงานที่อยู่ภายใต้การคุ้มครองอาจเปิดเผยข้อมูล PHI ให้แก่บุคคลบางกลุ่มเพื่ออำนวยความสะดวกในการรักษา การชำระเงิน หรือการดำเนินงานด้านการดูแลสุขภาพโดยไม่ต้องได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ป่วย^{[ 27 ]}การเปิดเผยข้อมูล PHI อื่นๆ จำเป็นต้องได้รับอนุญาตเป็นลายลักษณ์อักษรจากบุคคลนั้นก่อนจึงจะเปิดเผยได้^{[ 28 ]}ไม่ว่าในกรณีใด เมื่อหน่วยงานที่อยู่ภายใต้การคุ้มครองเปิดเผยข้อมูล PHI หน่วยงานนั้นจะต้องพยายามอย่างสมเหตุสมผลที่จะเปิดเผยเฉพาะข้อมูลที่จำเป็นขั้นต่ำที่สุดเพื่อให้บรรลุวัตถุประสงค์^{[ 29 ]}

กฎความเป็นส่วนตัวให้สิทธิ์แก่บุคคลในการร้องขอให้หน่วยงานที่อยู่ภายใต้การคุ้มครองแก้ไข PHI ที่ไม่ถูกต้อง^{[ 30 ]}นอกจากนี้ยังกำหนดให้หน่วยงานที่อยู่ภายใต้การคุ้มครองต้องดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้มั่นใจในการรักษาความลับของการสื่อสารกับบุคคล^{[ 31 ]}ตัวอย่างเช่น บุคคลสามารถขอให้โทรไปที่หมายเลขโทรศัพท์ที่ทำงานแทนหมายเลขโทรศัพท์บ้านหรือโทรศัพท์มือถือได้

กฎความเป็นส่วนตัวกำหนดให้หน่วยงานที่อยู่ภายใต้ขอบเขตต้องแจ้งให้บุคคลทราบถึงการใช้ PHI ของพวกเขา^{[ 32 ]}หน่วยงานที่อยู่ภายใต้ขอบเขตต้องติดตามการเปิดเผย PHI และจัดทำเอกสารนโยบายและขั้นตอนความเป็นส่วนตัว^{[ 33 ]}พวกเขาต้องแต่งตั้งเจ้าหน้าที่ด้านความเป็นส่วนตัวและบุคคลติดต่อ^{[ 34 ]}ที่รับผิดชอบในการรับเรื่องร้องเรียนและฝึกอบรมพนักงานทุกคนเกี่ยวกับขั้นตอนที่เกี่ยวข้องกับ PHI ^{[ 35 ]}

บุคคลที่เชื่อว่ากฎความเป็นส่วนตัวไม่ได้รับการปฏิบัติตามสามารถยื่นเรื่องร้องเรียนต่อสำนักงานสิทธิพลเมือง (OCR) ของกระทรวงสาธารณสุขและบริการมนุษย์ได้^{[ 36 ] [ 37 ]}ในปี 2549 วอลล์สตรีทเจอร์นัลรายงานว่า OCR มีงานค้างจำนวนมากและเพิกเฉยต่อข้อร้องเรียนส่วนใหญ่ “ข้อร้องเรียนเกี่ยวกับการละเมิดความเป็นส่วนตัวได้สะสมอยู่ที่กระทรวงสาธารณสุขและบริการมนุษย์ ระหว่างเดือนเมษายน พ.ศ. 2546 ถึงพ.ย. 2549 หน่วยงานได้รับข้อร้องเรียน 23,886 เรื่องที่เกี่ยวข้องกับกฎความเป็นส่วนตัวทางการแพทย์ แต่ยังไม่ได้ดำเนินการบังคับใช้ใดๆ กับโรงพยาบาล แพทย์ บริษัทประกัน หรือบุคคลอื่นใดสำหรับการละเมิดกฎ โฆษกของหน่วยงานกล่าวว่าได้ปิดข้อร้องเรียนไปแล้วสามในสี่ โดยทั่วไปเนื่องจากไม่พบการละเมิดหรือหลังจากที่ได้ให้คำแนะนำอย่างไม่เป็นทางการแก่ฝ่ายที่เกี่ยวข้อง” ^{[ 38 ]}อย่างไรก็ตาม ในเดือนกรกฎาคม พ.ศ. 2554 มหาวิทยาลัยแคลิฟอร์เนีย ลอสแอนเจลิสตกลงที่จะจ่ายเงิน 865,500 ดอลลาร์สหรัฐ ในการประนีประนอมเกี่ยวกับการละเมิด HIPAA ที่อาจเกิดขึ้น การสอบสวนของสำนักงานสิทธิพลเมืองของ HHS แสดงให้เห็นว่าตั้งแต่ปี พ.ศ. 2548 ถึง พ.ศ. 2551 พนักงานที่ไม่ได้รับอนุญาตได้ดูข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ของผู้ป่วย UCLAHS จำนวนมากซ้ำแล้วซ้ำเล่าโดยไม่มีเหตุผลอันชอบธรรม^{[ 39 ]}

เป็นความเข้าใจผิดที่ว่ากฎความเป็นส่วนตัวสร้างสิทธิ์ให้บุคคลใด ๆ ปฏิเสธการเปิดเผยข้อมูลสุขภาพใด ๆ (เช่น โรคเรื้อรังหรือบันทึกการฉีดวัคซีน) หากนายจ้างหรือธุรกิจร้องขอ ข้อกำหนดของกฎความเป็นส่วนตัวของ HIPAA เพียงแต่กำหนดข้อจำกัดในการเปิดเผยข้อมูลโดยหน่วยงานที่อยู่ภายใต้การคุ้มครองและพันธมิตรทางธุรกิจโดยไม่ได้รับความยินยอมจากบุคคลที่ร้องขอข้อมูลเท่านั้น ไม่ได้กำหนดข้อจำกัดใด ๆ ในการขอข้อมูลสุขภาพโดยตรงจากเจ้าของข้อมูล^{[ 40 ] [ 41 ] [ 42 ]}

ในเดือนมกราคม พ.ศ. 2556 HIPAA ได้รับการปรับปรุงผ่านกฎ Omnibus ฉบับสุดท้าย^{[ 43 ]}การปรับปรุงดังกล่าวรวมถึงการเปลี่ยนแปลงในส่วนของกฎความปลอดภัยและการแจ้งเตือนการละเมิดของพระราชบัญญัติ HITECH การเปลี่ยนแปลงที่สำคัญที่สุดเกี่ยวข้องกับการขยายข้อกำหนดให้ครอบคลุมถึงผู้ร่วมธุรกิจ ซึ่งเดิมทีมีเพียงหน่วยงานที่อยู่ภายใต้การกำกับดูแลเท่านั้นที่ต้องปฏิบัติตามส่วนต่างๆ ของกฎหมายนี้

นอกจากนี้ นิยามของ "ความเสียหายร้ายแรง" ต่อบุคคลในการวิเคราะห์การละเมิดข้อมูลได้รับการปรับปรุงเพื่อให้หน่วยงานที่อยู่ภายใต้ขอบเขตการคุ้มครองได้รับการตรวจสอบอย่างเข้มงวดมากขึ้น โดยมีเจตนาที่จะเปิดเผยการละเมิดข้อมูลที่ไม่ได้รับการรายงาน ก่อนหน้านี้ องค์กรจำเป็นต้องมีหลักฐานว่าเกิดความเสียหายขึ้น แต่ปัจจุบันองค์กรต้องพิสูจน์ว่าไม่ได้เกิดความเสียหายขึ้น

การคุ้มครอง PHI ได้รับการเปลี่ยนแปลงจากไม่จำกัดระยะเวลาเป็น 50 ปีหลังการเสียชีวิต นอกจากนี้ยังมีการอนุมัติบทลงโทษที่รุนแรงยิ่งขึ้นสำหรับการละเมิดข้อกำหนดความเป็นส่วนตัวของ PHI ^{[ 44 ]}

กฎความเป็นส่วนตัวของ HIPAA อาจได้รับการยกเว้นในระหว่างภัยพิบัติ มีการออกการยกเว้นแบบจำกัดในกรณีต่างๆ เช่นพายุเฮอริเคนฮาร์วีย์ในปี 2017 ^{[ 45 ]}

โปรดดูหัวข้อความเป็นส่วนตัวในพระราชบัญญัติเทคโนโลยีสารสนเทศด้านสุขภาพเพื่อเศรษฐกิจและการดูแลสุขภาพทางคลินิก ( พระราชบัญญัติ HITECH )

กฎความเป็นส่วนตัวกำหนดให้ผู้ให้บริการทางการแพทย์ต้องให้บุคคลเข้าถึงข้อมูล PHI ของตน^{[ 46 ]}หลังจากที่บุคคลร้องขอข้อมูลเป็นลายลักษณ์อักษร (โดยทั่วไปจะใช้แบบฟอร์มของผู้ให้บริการเพื่อจุดประสงค์นี้) ผู้ให้บริการมีเวลาสูงสุด 30 วันในการจัดส่งสำเนาข้อมูลให้แก่บุคคลนั้น บุคคลอาจร้องขอข้อมูลในรูปแบบอิเล็กทรอนิกส์หรือเอกสาร และผู้ให้บริการมีหน้าที่ต้องพยายามปฏิบัติตามรูปแบบที่ร้องขอ สำหรับผู้ให้บริการที่ใช้ระบบบันทึกสุขภาพอิเล็กทรอนิกส์ ( EHR ) ที่ได้รับการรับรองโดยใช้เกณฑ์ CEHRT (Certified Electronic Health Record Technology) บุคคลจะต้องได้รับอนุญาตให้รับ PHI ในรูปแบบอิเล็กทรอนิกส์ ผู้ให้บริการควรจัดส่งข้อมูลอย่างรวดเร็ว โดยเฉพาะอย่างยิ่งในกรณีของการร้องขอข้อมูลบันทึกอิเล็กทรอนิกส์

บุคคลมีสิทธิอย่างกว้างขวางในการเข้าถึงข้อมูลที่เกี่ยวข้องกับสุขภาพของตน รวมถึงเวชระเบียน บันทึก รูปภาพ ผลการตรวจทางห้องปฏิบัติการ และข้อมูลประกันภัยและการเรียกเก็บเงิน^{[ 47 ]}ยกเว้นโดยชัดแจ้งคือบันทึกการบำบัดทางจิตส่วนตัวของผู้ให้บริการและข้อมูลที่ผู้ให้บริการรวบรวมไว้เพื่อป้องกันการฟ้องร้อง^{[ 48 ]}

ผู้ให้บริการสามารถเรียกเก็บเงินจำนวนที่เหมาะสมที่เกี่ยวข้องกับต้นทุนในการจัดทำสำเนา อย่างไรก็ตาม ไม่อนุญาตให้เรียกเก็บเงินเมื่อจัดส่งข้อมูลทางอิเล็กทรอนิกส์จากEHR ที่ได้รับ การรับรองโดยใช้คุณสมบัติ "ดู ดาวน์โหลด และโอน" ที่จำเป็นสำหรับการรับรอง เมื่อส่งมอบให้กับบุคคลในรูปแบบอิเล็กทรอนิกส์ บุคคลนั้นอาจอนุญาตให้ส่งมอบโดยใช้อีเมลที่เข้ารหัสหรือไม่เข้ารหัส การส่งมอบโดยใช้สื่อ (ไดรฟ์ USB, ซีดี ฯลฯ ซึ่งอาจมีค่าใช้จ่าย) การส่งข้อความโดยตรง (เทคโนโลยีอีเมลที่ปลอดภัยซึ่งใช้กันทั่วไปในอุตสาหกรรมการดูแลสุขภาพ) หรือวิธีการอื่น ๆ เมื่อใช้อีเมลที่ไม่เข้ารหัส บุคคลนั้นต้องเข้าใจและยอมรับความเสี่ยงต่อความเป็นส่วนตัวเมื่อใช้เทคโนโลยีนี้ (ข้อมูลอาจถูกดักฟังและตรวจสอบโดยผู้อื่น) ไม่ว่าจะเป็นเทคโนโลยีการส่งมอบแบบใด ผู้ให้บริการจะต้องรักษาความปลอดภัยของ PHI อย่างเต็มที่ในขณะที่อยู่ในระบบของตน และสามารถปฏิเสธวิธีการส่งมอบได้หากวิธีการนั้นก่อให้เกิดความเสี่ยงเพิ่มเติมต่อ PHI ในขณะที่อยู่ในระบบของตน^{[ 49 ]}

บุคคลอาจร้องขอ (เป็นลายลักษณ์อักษร) ให้ส่งข้อมูลสุขภาพส่วนบุคคลของตนไปยังบุคคลที่สามที่กำหนด เช่น ผู้ให้บริการดูแลครอบครัว หรือบริการที่ใช้ในการรวบรวมหรือจัดการบันทึก เช่น แอปพลิเคชันบันทึกสุขภาพส่วนบุคคล ตัวอย่างเช่น ผู้ป่วยสามารถร้องขอเป็นลายลักษณ์อักษรให้แพทย์สูติ-นรีเวชส่งบันทึกการตรวจครรภ์ครั้งล่าสุดไปยังแอปพลิเคชันดูแลตนเองระหว่างตั้งครรภ์ที่อยู่ในโทรศัพท์มือถือของเธอได้

ตามการตีความ HIPAA โรงพยาบาลจะไม่เปิดเผยข้อมูลทางโทรศัพท์แก่ญาติของผู้ป่วยที่เข้ารับการรักษา ซึ่งในบางกรณีทำให้การค้นหาผู้สูญหายเป็นไปได้ยาก หลังจากเหตุการณ์เครื่องบิน Asiana Airlines เที่ยวบิน 214ตกที่ซานฟรานซิสโก โรงพยาบาลบางแห่งไม่เต็มใจที่จะเปิดเผยตัวตนของผู้โดยสารที่พวกเขากำลังรักษา ทำให้ Asiana และญาติๆ ยากที่จะค้นหาพวกเขาได้^{[ 50 ]}ในกรณีหนึ่ง ชายคนหนึ่งในรัฐวอชิงตันไม่สามารถรับข้อมูลเกี่ยวกับแม่ที่ได้รับบาดเจ็บของเขาได้^{[ 51 ]}

Janlori Goldman ผู้อำนวยการกลุ่มสนับสนุนHealth Privacy Projectกล่าวว่าโรงพยาบาลบางแห่ง "ระมัดระวังมากเกินไป" และตีความกฎหมายผิด ดังที่The New York Times รายงาน โรงพยาบาล Suburban ใน Bethesda รัฐแมริแลนด์ ตีความข้อบังคับของรัฐบาลกลางที่กำหนดให้โรงพยาบาลอนุญาตให้ผู้ป่วยเลือกที่จะไม่ให้ชื่ออยู่ในสมุดรายชื่อของโรงพยาบาลว่าหมายความว่าผู้ป่วยต้องการที่จะไม่ให้ชื่ออยู่ในสมุดรายชื่อเว้นแต่จะระบุเป็นอย่างอื่น ผลก็คือ หากผู้ป่วยหมดสติหรือไม่สามารถเลือกที่จะให้ชื่ออยู่ในสมุดรายชื่อได้ ญาติและเพื่อนอาจไม่สามารถหาพวกเขาเจอได้ Goldman กล่าว^{[ 52 ]}

HIPAA มีจุดประสงค์เพื่อทำให้การดูแลสุขภาพในสหรัฐอเมริกามีประสิทธิภาพมากขึ้นโดยการกำหนดมาตรฐานธุรกรรมการดูแลสุขภาพ ด้วยเหตุนี้ HIPAA จึงได้เพิ่มส่วน C ใหม่ชื่อ "การลดความซับซ้อนด้านการบริหาร" ลงในหัวข้อ XI ของพระราชบัญญัติประกันสังคม โดยกำหนดให้แผนประกันสุขภาพทั้งหมดต้องดำเนินธุรกรรมการดูแลสุขภาพในรูปแบบมาตรฐาน^{[ 53 ]}

บทบัญญัติ HIPAA/EDI ( การแลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์ ) มีกำหนดจะมีผลบังคับใช้ตั้งแต่วันที่ 16 ตุลาคม พ.ศ. 2546 โดยมีการขยายเวลาออกไปอีกหนึ่งปีสำหรับ "แผนขนาดเล็ก" บางแผน อย่างไรก็ตาม เนื่องจากความสับสนและความยากลำบากในการนำกฎไปใช้ในวงกว้างศูนย์บริการ Medicare และ Medicaid (CMS) จึงได้ขยายเวลาออกไปอีกหนึ่งปีให้กับทุกฝ่าย^{[ 54 ]}ในวันที่ 1 มกราคม พ.ศ. 2555 เวอร์ชันใหม่กว่าASC X12 005010 และ NCPDP D.0 ได้มีผลบังคับใช้แทนที่ข้อกำหนด ASC X12 004010 และ NCPDP 5.1 ก่อนหน้านี้^{[ 55 ]}เวอร์ชัน ASC X12 005010 มีกลไกที่อนุญาตให้ใช้ICD-10-CMรวมถึงการปรับปรุงอื่นๆ ด้วย

แผนประกันสุขภาพที่อยู่ภายใต้ HIPAA จำเป็นต้องใช้ธุรกรรมอิเล็กทรอนิกส์มาตรฐานของ HIPAA (ดู 42 USC § 1320d-2 และ 45 CFR Part 162) ข้อมูลเกี่ยวกับเรื่องนี้สามารถพบได้ในกฎขั้นสุดท้ายสำหรับมาตรฐานธุรกรรมอิเล็กทรอนิกส์ของ HIPAA (74 Fed. Reg. 3296 ซึ่งตีพิมพ์ใน Federal Register เมื่อวันที่ 16 มกราคม 2009) และบนเว็บไซต์ของ CMS ^{[ 56 ]}

ชุดธุรกรรมการเรียกร้องค่ารักษาพยาบาล EDI (837) ใช้สำหรับส่งข้อมูลการเรียกเก็บเงินค่ารักษาพยาบาล ข้อมูลการพบแพทย์ หรือทั้งสองอย่าง ยกเว้นการเรียกร้องค่ารักษาพยาบาลจากร้านขายยา (ดู ธุรกรรมการเรียกร้องค่ารักษาพยาบาลจากร้านขายยา EDI) สามารถส่งจากผู้ให้บริการด้านการดูแลสุขภาพไปยังผู้จ่ายเงินได้โดยตรงหรือผ่านตัวกลางการเรียกเก็บเงินและศูนย์กลางการหักบัญชีการเรียกร้องค่าสินไหมทดแทน นอกจากนี้ยังสามารถใช้เพื่อส่งข้อมูลการเรียกร้องค่ารักษาพยาบาลและข้อมูลการชำระเงินระหว่างผู้จ่ายเงินที่มีความรับผิดชอบในการชำระเงินที่แตกต่างกัน ซึ่งจำเป็นต้องมีการประสานงานผลประโยชน์ หรือระหว่างผู้จ่ายเงินและหน่วยงานกำกับดูแลเพื่อตรวจสอบการให้บริการ การเรียกเก็บเงิน และ/หรือการชำระเงินค่าบริการด้านการดูแลสุขภาพภายในกลุ่มอุตสาหกรรมการดูแลสุขภาพ/ประกันภัยเฉพาะกลุ่ม

ตัวอย่างเช่น หน่วยงานด้านสุขภาพจิตของรัฐอาจกำหนดให้ผู้ให้บริการและแผนประกันสุขภาพทั้งหมดที่ทำการเรียกร้องค่ารักษาพยาบาลทางอิเล็กทรอนิกส์ต้องใช้มาตรฐานวิชาชีพ 837 สำหรับการเรียกร้องค่ารักษาพยาบาลในการส่งคำขอ เนื่องจากมีการใช้งานทางธุรกิจที่หลากหลายสำหรับการเรียกร้องค่ารักษาพยาบาล จึงอาจมีการปรับเปลี่ยนเล็กน้อยเพื่อให้ครอบคลุมสถาบัน ผู้เชี่ยวชาญ นักกายภาพบำบัด ทันตแพทย์ ฯลฯ ที่เฉพาะเจาะจง

ระบบสื่อสารโทรคมนาคม EDI Retail Pharmacy Claim Transaction ( NCPDP )ใช้ในการส่งข้อมูลการเรียกร้องค่าบริการร้านขายยาปลีกไปยังผู้จ่ายเงินโดยผู้เชี่ยวชาญด้านการดูแลสุขภาพที่จ่ายยาโดยตรงหรือผ่านตัวกลางในการเรียกเก็บเงินและศูนย์กลางการประมวลผลการเรียกร้องค่าบริการ นอกจากนี้ยังสามารถใช้ในการส่งข้อมูลการเรียกร้องค่าบริการร้านขายยาปลีกและข้อมูลการชำระเงินระหว่างผู้จ่ายเงินที่มีความรับผิดชอบในการชำระเงินที่แตกต่างกันซึ่งจำเป็นต้องมีการประสานงานด้านผลประโยชน์ หรือระหว่างผู้จ่ายเงินและหน่วยงานกำกับดูแลเพื่อตรวจสอบการให้บริการ การเรียกเก็บเงิน และ/หรือการชำระเงินสำหรับบริการร้านขายยาปลีกภายในกลุ่มอุตสาหกรรมการดูแลสุขภาพ/ประกันภัยด้านร้านขายยา

ชุดธุรกรรมการชำระเงิน/ให้คำแนะนำการเรียกร้องค่ารักษาพยาบาล EDI ( 835) สามารถใช้ในการชำระเงิน ส่งใบแจ้งรายละเอียดผลประโยชน์ (EOB) ส่งใบแจ้งการโอน เงิน EOP หรือชำระเงินและส่งเฉพาะใบแจ้งการโอนเงิน EOP จากบริษัทประกันสุขภาพไปยังผู้ให้บริการด้านการดูแลสุขภาพโดยตรงหรือผ่านสถาบันการเงินก็ได้

ชุดการลงทะเบียนและบำรุงรักษาผลประโยชน์ EDI (834) สามารถใช้โดยนายจ้าง สหภาพแรงงาน หน่วยงานรัฐบาล สมาคม หรือหน่วยงานประกันภัย เพื่อลงทะเบียนสมาชิกกับผู้จ่ายเงิน ผู้จ่ายเงินคือองค์กรด้านการดูแลสุขภาพที่จ่ายค่าสินไหมทดแทน บริหารจัดการประกันภัย หรือเสนอผลประโยชน์หรือผลิตภัณฑ์ ตัวอย่างของผู้จ่ายเงิน ได้แก่ บริษัทประกันภัย ผู้เชี่ยวชาญด้านการดูแลสุขภาพ (HMO) องค์กรผู้ให้บริการที่ต้องการ (PPO) หน่วยงานรัฐบาล (Medicaid, Medicare เป็นต้น) หรือองค์กรใด ๆ ที่อาจทำสัญญากับกลุ่มดังกล่าว

การหักเงินเดือนผ่านระบบ EDIและอีกกลุ่มหนึ่งคือการชำระเบี้ยประกันภัยสำหรับผลิตภัณฑ์ประกันภัย (820) เป็นชุดธุรกรรมสำหรับการชำระเบี้ยประกันภัยสำหรับผลิตภัณฑ์ประกันภัย สามารถใช้เพื่อสั่งให้สถาบันการเงินทำการชำระเงินให้กับผู้รับเงินได้

การสอบถามสิทธิ์/สิทธิประโยชน์ด้านการดูแลสุขภาพ EDI (270) ใช้เพื่อสอบถามเกี่ยวกับสิทธิประโยชน์และสิทธิ์ในการดูแลสุขภาพที่เกี่ยวข้องกับผู้สมัครสมาชิกหรือผู้ที่อยู่ในอุปการะ

การตอบกลับสิทธิ์/สิทธิประโยชน์ด้านการดูแลสุขภาพของ EDI (271) ใช้เพื่อตอบคำถามเกี่ยวกับสิทธิประโยชน์และสิทธิ์ในการดูแลสุขภาพที่เกี่ยวข้องกับผู้สมัครสมาชิกหรือผู้พึ่งพา

ชุดธุรกรรม EDI Health Care Claim Status Request (276) สามารถใช้เพื่อขอสถานะการเรียกร้องค่ารักษาพยาบาลโดยผู้ให้บริการ ผู้รับผลิตภัณฑ์หรือบริการด้านการดูแลสุขภาพ หรือตัวแทนที่ได้รับอนุญาต

ชุด ธุรกรรมการแจ้งสถานะการเรียกร้องค่ารักษาพยาบาล EDI (277) เป็นชุดธุรกรรมที่ผู้จ่ายเงินค่ารักษาพยาบาลหรือตัวแทนที่ได้รับอนุญาตสามารถใช้เพื่อแจ้งให้ผู้ให้บริการ ผู้รับ หรือตัวแทนที่ได้รับอนุญาตทราบเกี่ยวกับสถานะของการเรียกร้องค่ารักษาพยาบาลหรือการเข้ารับบริการ หรือเพื่อขอข้อมูลเพิ่มเติมจากผู้ให้บริการเกี่ยวกับการเรียกร้องค่ารักษาพยาบาลหรือการเข้ารับบริการ ชุดธุรกรรมนี้ไม่ได้มีวัตถุประสงค์เพื่อทดแทนชุดธุรกรรมการชำระเงิน/ให้คำแนะนำการเรียกร้องค่ารักษาพยาบาล (835) และไม่ได้ใช้สำหรับการบันทึกการชำระเงินในบัญชี การแจ้งเตือนจะอยู่ในระดับสรุปหรือระดับรายละเอียดของรายการบริการ การแจ้งเตือนอาจเป็นการร้องขอหรือไม่ได้รับการร้องขอก็ได้

ข้อมูลการตรวจสอบบริการดูแลสุขภาพ EDI (278) เป็นชุดธุรกรรมที่สามารถใช้ในการส่งข้อมูลบริการดูแลสุขภาพ เช่น ข้อมูลผู้สมัครสมาชิก ผู้ป่วย ข้อมูลประชากร การวินิจฉัย หรือข้อมูลการรักษา เพื่อวัตถุประสงค์ในการขอตรวจสอบ รับรอง แจ้งเตือน หรือรายงานผลการตรวจสอบบริการดูแลสุขภาพ

ชุดธุรกรรมการรับทราบเชิงฟังก์ชัน EDI (997) คือชุดธุรกรรมที่สามารถใช้กำหนดโครงสร้างการควบคุมสำหรับชุดการรับทราบเพื่อระบุผลลัพธ์ของการวิเคราะห์ทางไวยากรณ์ของเอกสารที่เข้ารหัสทางอิเล็กทรอนิกส์ แม้ว่าจะไม่ได้ระบุชื่อไว้โดยเฉพาะในกฎหมาย HIPAA หรือกฎขั้นสุดท้าย แต่ก็มีความจำเป็นสำหรับการประมวลผลชุดธุรกรรม X12 เอกสารที่เข้ารหัสคือชุดธุรกรรม ซึ่งจัดเรียงตามกลุ่มฟังก์ชัน ใช้ในการกำหนดธุรกรรมสำหรับการแลกเปลี่ยนข้อมูลทางธุรกิจ มาตรฐานนี้ไม่ได้ครอบคลุมความหมายเชิงความหมายของข้อมูลที่เข้ารหัสในชุดธุรกรรม

1. ชุดธุรกรรม (997) จะถูกแทนที่ด้วยชุดธุรกรรม (999) "รายงานการรับทราบ"
2. ขนาดของฟิลด์ {องค์ประกอบเซ็กเมนต์} จำนวนมากจะถูกขยาย ทำให้ผู้ให้บริการด้านไอทีทุกรายจำเป็นต้องขยายฟิลด์ องค์ประกอบ ไฟล์ GUI สื่อกระดาษ และฐานข้อมูลที่เกี่ยวข้องด้วย
3. บางส่วนถูกลบออกจากชุดธุรกรรมที่มีอยู่แล้ว
4. มีการเพิ่มเซ็กเมนต์จำนวนมากเข้าไปในชุดธุรกรรมที่มีอยู่เดิม ทำให้สามารถติดตามและรายงานค่าใช้จ่ายและการพบปะผู้ป่วยได้ดียิ่งขึ้น
5. ความสามารถในการใช้ทั้ง "การจำแนกโรคระหว่างประเทศ" เวอร์ชัน 9 (ICD-9) และ 10 (ICD-10-CM) ได้ถูกเพิ่มเข้ามาแล้ว^{[ 57 ] [ 58 ]}

กฎขั้นสุดท้ายเกี่ยวกับมาตรฐานความปลอดภัยได้รับการประกาศใช้เมื่อวันที่ 20 กุมภาพันธ์ พ.ศ. 2546 กฎความปลอดภัยนี้เสริมกฎความเป็นส่วนตัว ในขณะที่กฎความเป็นส่วนตัวเกี่ยวข้องกับข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ทั้งหมด รวมถึงเอกสารและอิเล็กทรอนิกส์ กฎความปลอดภัยจะเกี่ยวข้องกับข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (EPHI) โดยเฉพาะ โดยระบุประเภทของมาตรการป้องกันความปลอดภัย 3 ประเภทที่จำเป็นสำหรับการปฏิบัติตาม ได้แก่ ด้านการบริหาร ด้านกายภาพ และด้านเทคนิค^{[ 59 ]}สำหรับแต่ละประเภท กฎจะระบุมาตรฐานความปลอดภัยต่างๆ และสำหรับแต่ละมาตรฐาน จะระบุทั้งข้อกำหนดการใช้งานที่จำเป็นและที่สามารถนำไปใช้ได้ ข้อกำหนดที่จำเป็นจะต้องได้รับการนำไปใช้และบริหารจัดการตามที่กฎกำหนด ข้อกำหนดที่สามารถนำไปใช้ได้นั้นมีความยืดหยุ่นมากกว่า หน่วยงานที่อยู่ภายใต้การคุ้มครองแต่ละแห่งสามารถประเมินสถานการณ์ของตนเองและกำหนดวิธีที่ดีที่สุดในการนำข้อกำหนดที่สามารถนำไปใช้ได้ไปใช้ ผู้สนับสนุนความเป็นส่วนตัวบางรายโต้แย้งว่า "ความยืดหยุ่น" นี้อาจให้อิสระมากเกินไปแก่หน่วยงานที่อยู่ภายใต้การคุ้มครอง^{[ 60 ]}มีการพัฒนาเครื่องมือซอฟต์แวร์เพื่อช่วยหน่วยงานที่อยู่ภายใต้การคุ้มครองในการวิเคราะห์ความเสี่ยงและการติดตามการแก้ไข

มาตรฐานและข้อกำหนดของกฎความปลอดภัยมีดังต่อไปนี้:

มาตรการคุ้มครองทางด้านการบริหาร – นโยบายและขั้นตอนที่ออกแบบมาเพื่อแสดงให้เห็นอย่างชัดเจนว่าองค์กรจะปฏิบัติตามกฎหมายอย่างไร

• หน่วยงานที่อยู่ภายใต้ข้อกำหนดของ HIPAA (หน่วยงานที่ต้องปฏิบัติตามข้อกำหนดของ HIPAA) ต้องจัดทำขั้นตอนการรักษาความเป็นส่วนตัวเป็นลายลักษณ์อักษร และแต่งตั้งเจ้าหน้าที่คุ้มครองความเป็นส่วนตัวเพื่อรับผิดชอบในการพัฒนาและดำเนินการตามนโยบายและขั้นตอนที่กำหนดทั้งหมด
• นโยบายและขั้นตอนต่างๆ ต้องอ้างอิงถึงการกำกับดูแลของผู้บริหารและการสนับสนุนจากองค์กรเพื่อให้เป็นไปตามมาตรการควบคุมความปลอดภัยที่ได้บันทึกไว้
• ขั้นตอนการปฏิบัติงานควรระบุอย่างชัดเจนถึงพนักงานหรือกลุ่มพนักงานที่มีสิทธิ์เข้าถึงข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (EPHI) การเข้าถึง EPHI จะต้องจำกัดเฉพาะพนักงานที่จำเป็นต้องใช้ข้อมูลดังกล่าวในการปฏิบัติงานของตนเท่านั้น
• ขั้นตอนต่างๆ ต้องครอบคลุมถึงการอนุญาตการเข้าถึง การสร้าง การแก้ไข และการยกเลิกสิทธิ์การเข้าถึง
• หน่วยงานต้องแสดงให้เห็นว่าได้จัดให้มีโปรแกรมฝึกอบรมต่อเนื่องที่เหมาะสมเกี่ยวกับการจัดการข้อมูลสุขภาพส่วนบุคคล (PHI) แก่พนักงานที่ปฏิบัติหน้าที่ด้านการบริหารจัดการแผนประกันสุขภาพ
• หน่วยงานที่อยู่ภายใต้ข้อกำหนดของ HIPAA ที่ว่าจ้างบุคคลภายนอกให้ดำเนินการบางส่วนของกระบวนการทางธุรกิจ ต้องตรวจสอบให้แน่ใจว่าผู้ให้บริการภายนอกเหล่านั้นมีกรอบการทำงานที่เหมาะสมในการปฏิบัติตามข้อกำหนดของ HIPAA ด้วย โดยทั่วไปแล้ว บริษัทต่างๆ จะได้รับความมั่นใจนี้ผ่านข้อสัญญาที่ระบุว่าผู้ให้บริการภายนอกจะปฏิบัติตามข้อกำหนดด้านการคุ้มครองข้อมูลเช่นเดียวกับที่ใช้กับหน่วยงานที่อยู่ภายใต้ข้อกำหนดของ HIPAA ต้องระมัดระวังในการตรวจสอบว่าผู้ให้บริการภายนอกนั้นว่าจ้างผู้ให้บริการภายนอกรายอื่นในการจัดการข้อมูลเพิ่มเติมหรือไม่ และต้องตรวจสอบว่ามีสัญญาและการควบคุมที่เหมาะสมหรือไม่
• ควรมีแผนฉุกเฉินเพื่อรับมือกับเหตุฉุกเฉิน หน่วยงานที่อยู่ภายใต้ข้อกำหนดมีหน้าที่รับผิดชอบในการสำรองข้อมูลและมีขั้นตอนการกู้คืนข้อมูลเมื่อเกิดภัยพิบัติ แผนดังกล่าวควรบันทึกถึงลำดับความสำคัญของข้อมูลและการวิเคราะห์ความล้มเหลว กิจกรรมการทดสอบ และขั้นตอนการควบคุมการเปลี่ยนแปลง
• การตรวจสอบภายในมีบทบาทสำคัญในการปฏิบัติตามข้อกำหนด HIPAA โดยการทบทวนการดำเนินงานเพื่อระบุการละเมิดความปลอดภัยที่อาจเกิดขึ้น นโยบายและขั้นตอนควรบันทึกขอบเขต ความถี่ และขั้นตอนการตรวจสอบไว้อย่างชัดเจน การตรวจสอบควรดำเนินการทั้งแบบเป็นประจำและตามเหตุการณ์ที่เกิดขึ้น
• ขั้นตอนการปฏิบัติงานควรระบุคำแนะนำสำหรับการจัดการและการตอบสนองต่อการละเมิดความปลอดภัยที่ตรวจพบระหว่างการตรวจสอบหรือในระหว่างการดำเนินงานตามปกติ

มาตรการป้องกันทางกายภาพ – การควบคุมการเข้าถึงทางกายภาพเพื่อป้องกันการเข้าถึงข้อมูลที่ได้รับการคุ้มครองโดยไม่เหมาะสม

• ต้องมีการควบคุมการติดตั้งและการถอดฮาร์ดแวร์และซอฟต์แวร์ออกจากเครือข่าย เมื่ออุปกรณ์หมดอายุการใช้งาน จะต้องกำจัดทิ้งอย่างถูกต้องเพื่อให้แน่ใจว่าข้อมูลสุขภาพส่วนบุคคล (PHI) จะไม่ถูกละเมิด
• การเข้าถึงอุปกรณ์ที่มีข้อมูลด้านสุขภาพควรได้รับการควบคุมและตรวจสอบอย่างระมัดระวัง
• การเข้าถึงฮาร์ดแวร์และซอฟต์แวร์จะต้องจำกัดเฉพาะบุคคลที่ได้รับอนุญาตอย่างถูกต้องเท่านั้น
• มาตรการควบคุมการเข้าถึงที่จำเป็น ได้แก่ แผนรักษาความปลอดภัยของสถานที่ บันทึกการบำรุงรักษา และการลงทะเบียนและการนำทางผู้เยี่ยมชม
• จำเป็นต้องมีนโยบายเพื่อกำหนดการใช้งานเวิร์กสเตชันอย่างเหมาะสม ควรย้ายเวิร์กสเตชันออกจากบริเวณที่มีผู้คนสัญจรพลุกพล่าน และไม่ควรวางจอภาพไว้ในที่ที่สาธารณชนมองเห็นได้โดยตรง
• หากหน่วยงานที่อยู่ภายใต้การกำกับดูแลใช้ผู้รับเหมาหรือตัวแทน พวกเขาจะต้องได้รับการฝึกอบรมอย่างครบถ้วนเกี่ยวกับความรับผิดชอบในการเข้าถึงสถานที่จริง

มาตรการป้องกันทางเทคนิค – การควบคุมการเข้าถึงระบบคอมพิวเตอร์และช่วยให้หน่วยงานที่อยู่ภายใต้การกำกับดูแลสามารถปกป้องการสื่อสารที่มีข้อมูลสุขภาพส่วนบุคคล (PHI) ที่ส่งผ่านทางอิเล็กทรอนิกส์ผ่านเครือข่ายเปิดจากการถูกดักฟังโดยบุคคลอื่นนอกเหนือจากผู้รับที่ตั้งใจไว้

• ระบบสารสนเทศที่จัดเก็บข้อมูลส่วนบุคคลด้านสุขภาพ (PHI) ต้องได้รับการปกป้องจากการบุกรุก เมื่อข้อมูลไหลเวียนผ่านเครือข่ายแบบเปิด จะต้องใช้การเข้ารหัสในรูปแบบใดรูปแบบหนึ่ง หากใช้ระบบ/เครือข่ายแบบปิด การควบคุมการเข้าถึงที่มีอยู่ถือว่าเพียงพอแล้ว และการเข้ารหัสเป็นทางเลือกเสริม
• หน่วยงานที่อยู่ภายใต้การกำกับดูแลแต่ละแห่งมีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่าข้อมูลภายในระบบของตนไม่ได้ถูกเปลี่ยนแปลงหรือลบโดยไม่ได้รับอนุญาต
• การตรวจสอบความถูกต้องของข้อมูล รวมถึง การตรวจสอบผลรวม (checksums)การตรวจสอบความถูกต้องซ้ำสองครั้ง (double-keying) การตรวจสอบความถูกต้องของข้อความ และลายเซ็นดิจิทัลอาจถูกนำมาใช้เพื่อรับรองความสมบูรณ์ของข้อมูล
• หน่วยงานที่อยู่ภายใต้ข้อกำหนดจะต้องตรวจสอบความถูกต้องของหน่วยงานที่ตนติดต่อด้วย การตรวจสอบความถูกต้องประกอบด้วยการยืนยันว่าหน่วยงานนั้นเป็นบุคคลที่อ้างว่าเป็นจริง ตัวอย่างของการตรวจสอบความถูกต้อง ได้แก่ ระบบ รหัสผ่าน การจับมือสองหรือสามทาง การโทรกลับทางโทรศัพท์ และระบบโทเค็น
• หน่วยงานที่อยู่ภายใต้ขอบเขตของ HIPAA ต้องจัดทำเอกสารเกี่ยวกับแนวปฏิบัติด้าน HIPAA ให้รัฐบาลตรวจสอบเพื่อพิจารณาว่ามีการปฏิบัติตามหรือไม่
• นอกเหนือจากนโยบายและขั้นตอนการปฏิบัติงาน รวมถึงบันทึกการเข้าถึงแล้ว เอกสารด้านเทคโนโลยีสารสนเทศควรมีบันทึกเป็นลายลักษณ์อักษรเกี่ยวกับค่าการตั้งค่าทั้งหมดของส่วนประกอบเครือข่ายด้วย เนื่องจากส่วนประกอบเหล่านี้มีความซับซ้อน สามารถกำหนดค่าได้ และเปลี่ยนแปลงอยู่เสมอ
• จำเป็นต้องมีเอกสารวิเคราะห์ความเสี่ยงและโปรแกรมบริหารความเสี่ยง หน่วยงานที่อยู่ภายใต้ขอบเขตของกฎหมายต้องพิจารณาความเสี่ยงในการดำเนินงานอย่างรอบคอบขณะที่ดำเนินการพัฒนาระบบเพื่อให้เป็นไปตามกฎหมาย ข้อกำหนดเรื่องการวิเคราะห์ความเสี่ยงและการบริหารความเสี่ยงหมายความว่าข้อกำหนดด้านความปลอดภัยของกฎหมายเป็นมาตรฐานขั้นต่ำ และกำหนดให้หน่วยงานที่อยู่ภายใต้ขอบเขตของกฎหมายมีหน้าที่ต้องใช้มาตรการป้องกันที่สมเหตุสมผลทั้งหมดที่จำเป็นเพื่อป้องกันไม่ให้ข้อมูลสุขภาพส่วนบุคคลถูกนำไปใช้เพื่อวัตถุประสงค์ที่ไม่เกี่ยวข้องกับสุขภาพ

HIPAA ได้เปลี่ยนตัวระบุต่างๆ ที่ใช้โดยแผนประกันสุขภาพ Medicare Medicaid และโปรแกรมของรัฐบาลอื่นๆ ด้วย NPI ^{[ 61 ]} NPI มีเอกลักษณ์เฉพาะตัวและเป็นระดับชาติ ไม่นำกลับมาใช้ใหม่ และยกเว้นสถาบันต่างๆ ผู้ให้บริการมักจะมีเพียงหมายเลขเดียวเท่านั้น อย่างไรก็ตาม NPI ไม่ได้แทนที่หมายเลข DEA หมายเลขใบอนุญาตของรัฐ หรือหมายเลขประจำตัวผู้เสียภาษีของผู้ให้บริการ NPI มี 10 หลัก (อาจเป็นตัวอักษรและตัวเลข) โดยหลักสุดท้ายเป็นตัวตรวจสอบความถูกต้อง NPI ไม่สามารถมีข้อมูลอัจฉริยะใดๆ ฝังอยู่ได้ กล่าวอีกนัยหนึ่ง NPI เป็นเพียงตัวเลขที่ไม่มีความหมายเพิ่มเติมใดๆ สถาบันอาจได้รับ NPI หลายหมายเลขสำหรับ "ส่วนย่อย" ต่างๆ เช่น ศูนย์มะเร็งหรือสถานฟื้นฟูสมรรถภาพแบบอิสระ

เมื่อวันที่ 16 กุมภาพันธ์ พ.ศ. 2549 HHS ได้ออกกฎขั้นสุดท้ายเกี่ยวกับการบังคับใช้ HIPAA ซึ่งมีผลบังคับใช้เมื่อวันที่ 16 มีนาคม พ.ศ. 2549 กฎการบังคับใช้กำหนดบทลงโทษทางแพ่งเป็นเงินสำหรับการละเมิดกฎ HIPAA และกำหนดขั้นตอนสำหรับการสอบสวนและการพิจารณาคดีสำหรับการละเมิด HIPAA เป็นเวลาหลายปีที่มีการดำเนินคดีน้อยมากสำหรับการละเมิด^{[ 62 ]}

สถานการณ์อาจเปลี่ยนแปลงไปหลังจากมีการปรับเงิน 50,000 ดอลลาร์สหรัฐฯ ให้กับ Hospice of North Idaho (HONI) ซึ่งเป็นหน่วยงานแรกที่ถูกปรับเนื่องจากการละเมิดกฎความปลอดภัย HIPAA ที่อาจเกิดขึ้นซึ่งส่งผลกระทบต่อผู้คนน้อยกว่า 500 คน ราเชล ซีเกอร์ โฆษกหญิงของ HHS กล่าวว่า "HONI ไม่ได้ทำการวิเคราะห์ความเสี่ยงที่ถูกต้องและละเอียดถี่ถ้วนเกี่ยวกับการรักษาความลับของ ePHI [ข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์] ซึ่งเป็นส่วนหนึ่งของกระบวนการจัดการความปลอดภัยตั้งแต่ปี 2005 จนถึงวันที่ 17 มกราคม 2012" การสอบสวนนี้เริ่มต้นขึ้นจากการขโมยแล็ปท็อปที่ไม่ได้เข้ารหัสซึ่งมีบันทึกผู้ป่วย 441 รายการจากรถของพนักงาน^{[ 63 ]}

Wikisourceภาษาอังกฤษมีข้อความต้นฉบับที่เกี่ยวข้องกับบทความนี้:

พระราชบัญญัติการฟื้นฟูและการลงทุนของอเมริกาปี 2009/หมวด A/หัวข้อ XIII/หมวด D

ณ เดือนมีนาคม 2556 กระทรวงสาธารณสุขและบริการมนุษย์แห่งสหรัฐอเมริกา (HHS) ได้ตรวจสอบกรณีต่างๆ กว่า 19,306 กรณี ซึ่งได้รับการแก้ไขโดยการกำหนดให้มีการเปลี่ยนแปลงแนวปฏิบัติด้านความเป็นส่วนตัวหรือโดยการดำเนินการแก้ไข หาก HHS พบว่าไม่ปฏิบัติตาม หน่วยงานต่างๆ จะต้องใช้มาตรการแก้ไข มีการตรวจสอบข้อร้องเรียนเกี่ยวกับธุรกิจหลายประเภท เช่น เครือข่ายร้านขายยาขนาดใหญ่ ศูนย์ดูแลสุขภาพขนาดใหญ่ กลุ่มบริษัทประกันภัย เครือข่ายโรงพยาบาล และผู้ให้บริการรายย่อยอื่นๆ มี 9,146 กรณีที่การตรวจสอบของ HHS พบว่ามีการปฏิบัติตาม HIPAA อย่างถูกต้อง และมี 44,118 กรณีที่ HHS ไม่พบว่ามีเหตุให้ต้องบังคับใช้กฎหมาย ตัวอย่างเช่น การละเมิดที่เริ่มต้นก่อนที่ HIPAA จะมีผลบังคับใช้ กรณีที่ผู้ร้องเรียนถอนฟ้อง หรือกิจกรรมที่ไม่ได้ละเมิดกฎอย่างแท้จริง

มาตรา 3 กำหนดมาตรฐานจำนวนเงินที่สามารถออมได้ต่อคนในบัญชีออมทรัพย์ทางการแพทย์ก่อนหักภาษีตั้งแต่ปี 1997 บัญชีออมทรัพย์ทางการแพทย์ (MSA) ก็เริ่มมีให้บริการแก่พนักงานที่ได้รับความคุ้มครองภายใต้แผนประกันสุขภาพแบบหักค่าใช้จ่ายสูงที่นายจ้างให้การสนับสนุน ซึ่งได้แก่ นายจ้างรายย่อยและผู้ประกอบอาชีพอิสระ

หมวดที่ 4 ระบุเงื่อนไขสำหรับแผนประกันสุขภาพกลุ่มเกี่ยวกับการคุ้มครองผู้ที่มีโรคประจำตัว และแก้ไขข้อกำหนดเกี่ยวกับการต่ออายุความคุ้มครอง นอกจากนี้ยังชี้แจงข้อกำหนดเกี่ยวกับการต่ออายุความคุ้มครองและรวมถึงการชี้แจง เกี่ยว กับ COBRA ด้วย

หัวข้อ V ประกอบด้วยบทบัญญัติที่เกี่ยวข้องกับประกันชีวิตที่บริษัทเป็นเจ้าของสำหรับนายจ้างที่ให้เบี้ยประกันชีวิตที่บริษัทเป็นเจ้าของ โดยห้ามหักภาษีดอกเบี้ยเงินกู้ประกันชีวิต เงินบริจาคของบริษัท หรือสัญญาที่เกี่ยวข้องกับบริษัท นอกจากนี้ยังยกเลิกกฎสถาบันการเงินเกี่ยวกับกฎการจัดสรรดอกเบี้ย สุดท้ายนี้ ได้มีการแก้ไขบทบัญญัติของกฎหมายที่เกี่ยวข้องกับบุคคลที่สละสัญชาติหรือถิ่นพำนักถาวรของสหรัฐอเมริกา โดยขยายภาษีการสละสัญชาติที่จะประเมินกับผู้ที่ถือว่าสละสถานะในสหรัฐอเมริกาด้วยเหตุผลทางภาษี และทำให้ชื่อของอดีตพลเมืองเป็นส่วนหนึ่งของบันทึกสาธารณะผ่านการสร้างสิ่งพิมพ์รายไตรมาสของบุคคลที่เลือกที่จะสละสัญชาติ^{[ 64 ]}

การบังคับใช้กฎความเป็นส่วนตัวและความปลอดภัยทำให้เกิดการเปลี่ยนแปลงครั้งใหญ่ในการดำเนินงานของแพทย์และศูนย์การแพทย์ ข้อกฎหมายที่ซับซ้อนและบทลงโทษที่อาจรุนแรงที่เกี่ยวข้องกับ HIPAA รวมถึงเอกสารที่เพิ่มขึ้นและต้นทุนในการดำเนินการ เป็นสาเหตุให้เกิดความกังวลในหมู่แพทย์และศูนย์การแพทย์ บทความในวารสารAnnals of Internal Medicine เดือนสิงหาคม 2549 ได้ให้รายละเอียดเกี่ยวกับความกังวลดังกล่าวเกี่ยวกับการดำเนินการและผลกระทบของ HIPAA ^{[ 65 ]}

ข้อจำกัดของ HIPAA ที่มีต่อนักวิจัยส่งผลกระทบต่อความสามารถในการทำวิจัยแบบย้อนหลังโดยอาศัยข้อมูลจากเวชระเบียน รวมถึงความสามารถในการประเมินผู้ป่วยล่วงหน้าโดยการติดต่อเพื่อติดตามผล การศึกษาจากมหาวิทยาลัยมิชิแกนแสดงให้เห็นว่าการนำกฎความเป็นส่วนตัวของ HIPAA มาใช้ส่งผลให้สัดส่วนของแบบสอบถามติดตามผลที่ผู้ป่วยที่เข้าร่วมการศึกษาซึ่งติดตามผลหลังจากเกิดภาวะหัวใจวายกรอก เสร็จสมบูรณ์ลดลงจาก 96% เหลือ 34% ^{[ 66 ]}การศึกษาอีกฉบับหนึ่งซึ่งให้รายละเอียดเกี่ยวกับผลกระทบของ HIPAA ต่อการสรรหาผู้เข้าร่วมการศึกษาเกี่ยวกับการป้องกันมะเร็ง แสดงให้เห็นว่าการเปลี่ยนแปลงที่กำหนดโดย HIPAA นำไปสู่การลดลง 73% ของจำนวนผู้ป่วยที่เข้าร่วมการศึกษา เวลาที่ใช้ในการสรรหาผู้ป่วยเพิ่มขึ้นเป็นสามเท่า และต้นทุนการสรรหาโดยเฉลี่ยเพิ่มขึ้นเป็นสามเท่า^{[ 67 ]}

ภายใต้ HIPAA แบบฟอร์ม การยินยอมโดยแจ้งให้ทราบสำหรับการศึกษาวิจัยจะต้องระบุวิธีการรักษาข้อมูลสุขภาพที่ได้รับการคุ้มครองให้เป็นความลับ ซึ่งอาจเพิ่มอุปสรรคในการเข้าร่วม^{[ 65 ]}

ข้อมูลเหล่านี้ชี้ให้เห็นว่ากฎความเป็นส่วนตัวของ HIPAA อาจส่งผลเสียต่อต้นทุนและคุณภาพของการวิจัยทางการแพทย์ดร. คิม อีเกิล ศาสตราจารย์ด้านอายุรศาสตร์ที่มหาวิทยาลัยมิชิแกน กล่าวไว้ใน บทความ Annalsว่า "ความเป็นส่วนตัวเป็นสิ่งสำคัญ แต่การวิจัยก็สำคัญเช่นกันสำหรับการปรับปรุงการดูแล เราหวังว่าเราจะสามารถหาทางออกและทำได้อย่างถูกต้อง" ^{[ 65 ]}

ความซับซ้อนของ HIPAA ประกอบกับบทลงโทษที่อาจรุนแรงสำหรับผู้ฝ่าฝืน อาจทำให้แพทย์และศูนย์การแพทย์ปกปิดข้อมูลจากผู้ที่อาจมีสิทธิ์ได้รับข้อมูลนั้น การตรวจสอบการดำเนินการตามกฎความเป็นส่วนตัวของ HIPAA โดยสำนักงานตรวจสอบบัญชีของรัฐบาลสหรัฐฯพบว่าผู้ให้บริการด้านการดูแลสุขภาพ "ไม่แน่ใจเกี่ยวกับความรับผิดชอบทางกฎหมายด้านความเป็นส่วนตัวของตน และมักตอบสนองด้วยแนวทางที่ระมัดระวังมากเกินไปในการเปิดเผยข้อมูล ... มากกว่าที่จำเป็นเพื่อให้แน่ใจว่าสอดคล้องกับกฎความเป็นส่วนตัว" ^{[ 65 ]}รายงานเกี่ยวกับความไม่แน่นอนนี้ยังคงมีอยู่^{[ 68 ]}

การกำหนดมาตรฐานการจัดการและการแบ่งปันข้อมูลสุขภาพภายใต้ HIPAA ส่งผลให้ข้อผิดพลาดทางการแพทย์ลดลง การเข้าถึงข้อมูลผู้ป่วยที่ถูกต้องและทันท่วงทีทำให้ผู้ให้บริการด้านการดูแลสุขภาพสามารถตัดสินใจได้อย่างชาญฉลาด ลดความเสี่ยงของข้อผิดพลาดที่เกี่ยวข้องกับข้อมูลที่ไม่ครบถ้วนหรือไม่ถูกต้อง การกำหนดมาตรฐานนี้สนับสนุนแนวทางการปฏิบัติทางคลินิกที่ปลอดภัยยิ่งขึ้นและผลลัพธ์ที่ดีขึ้นสำหรับผู้ป่วย^{[ 69 ]}นอกจากนี้ HIPAA ยังให้สิทธิ์แก่ผู้ป่วยในการเข้าถึงข้อมูลสุขภาพของตนเอง ขอแก้ไขบันทึก และรับบัญชีการเปิดเผยข้อมูล^{[ 70 ]}สิ่งนี้ช่วยให้ผู้ป่วยมีส่วนร่วมในการตัดสินใจด้านการดูแลสุขภาพของตนเองมากขึ้น และรับประกันความโปร่งใสในการจัดการข้อมูลของพวกเขา

ในช่วงเวลาก่อนการประกาศใช้กฎหมายคุ้มครองความเป็นส่วนตัวและความปลอดภัยของข้อมูลทางการแพทย์ (HIPAA) ศูนย์การแพทย์และสถานพยาบาลต่าง ๆ มีหน้าที่ต้องปฏิบัติตามข้อกำหนดใหม่เหล่านี้ สถานพยาบาลและศูนย์การแพทย์หลายแห่งจึงหันไปขอความช่วยเหลือจากที่ปรึกษาเอกชนเพื่อให้ปฏิบัติตามข้อกำหนดได้

การศึกษาและการฝึกอบรมผู้ให้บริการด้านการดูแลสุขภาพเป็นข้อกำหนดสำหรับการดำเนินการที่ถูกต้องของทั้งกฎความเป็นส่วนตัวและกฎความปลอดภัยของ HIPAA ^{[ 71 ] [ 72 ]}

ผู้ให้บริการด้านการดูแลสุขภาพต้องได้รับการฝึกอบรมเบื้องต้นเกี่ยวกับนโยบายและขั้นตอนของ HIPAA รวมถึงกฎความเป็นส่วนตัวและกฎความปลอดภัย การฝึกอบรมนี้ครอบคลุมถึงวิธีการจัดการข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) สิทธิของผู้ป่วย และมาตรฐานขั้นต่ำที่จำเป็น ผู้ให้บริการจะได้เรียนรู้เกี่ยวกับประเภทของข้อมูลที่ได้รับการคุ้มครองภายใต้ HIPAA เช่น บันทึกทางการแพทย์ ข้อมูลการเรียกเก็บเงิน และข้อมูลสุขภาพอื่น ๆ^{[ 73 ]}พวกเขายังได้รับการสอนเกี่ยวกับสิทธิของผู้ป่วยภายใต้ HIPAA เช่น สิทธิในการเข้าถึงบันทึกสุขภาพของตนเองและขอแก้ไข^{[ 74 ]}ขอแนะนำให้มีการฝึกอบรมทบทวนเป็นประจำเพื่อให้ผู้ให้บริการด้านการดูแลสุขภาพทันสมัยอยู่เสมอเกี่ยวกับการเปลี่ยนแปลงใด ๆ ในข้อบังคับ HIPAA และแนวปฏิบัติที่ดีที่สุด ซึ่งรวมถึงการอัปเดตเกี่ยวกับนโยบาย ขั้นตอน และการเปลี่ยนแปลงที่สำคัญใด ๆ ต่อแนวปฏิบัติที่มีอยู่

แม้ว่าคำย่อHIPAAจะตรงกับชื่อของกฎหมายสาธารณะปี 1996 ฉบับที่ 104-191 ซึ่งก็คือ กฎหมายว่าด้วยการพกพาและการรักษาความลับข้อมูลสุขภาพ ( Health Insurance Portability and Accountability Act ) แต่บางครั้ง HIPAA ก็ถูกเรียกผิดเป็นHIPPAโดยกล่าวกันว่าหมายถึง "กฎหมายว่าด้วยความเป็นส่วนตัวและการพกพาข้อมูลสุขภาพ" (Health Information Privacy and Portability Act) ^{[ 76 ] [ 77 ]} "กฎหมายว่าด้วยการคุ้มครองความเป็นส่วนตัวของข้อมูลสุขภาพ" (Health Information Privacy Protection Act) ^{[ 75 ]}หรือ "กฎหมายว่าด้วยความเป็นส่วนตัวและการคุ้มครองข้อมูลประกันสุขภาพ" (Health Insurance Privacy and Protection Act) ^{[ 78 ]} การสะกด HIPPA ผิดนี้พบเห็นได้ในกลุ่ม มิจฉาชีพที่ เกี่ยวข้องกับCOVID-19 ^{[ 79 ]}

ตามรายงานของสำนักงานสิทธิพลเมืองของกระทรวงสาธารณสุขและบริการมนุษย์แห่งสหรัฐอเมริกา ระหว่างเดือนเมษายน พ.ศ. 2546 ถึงมกราคม พ.ศ. 2556 ได้รับเรื่องร้องเรียนเกี่ยวกับการละเมิด HIPAA จำนวน 91,000 เรื่อง ซึ่ง 22,000 เรื่องนำไปสู่การดำเนินการบังคับใช้กฎหมายในรูปแบบต่างๆ (ตั้งแต่การประนีประนอมไปจนถึงการปรับ) และ 521 เรื่องนำไปสู่การส่งต่อให้กระทรวงยุติธรรมของสหรัฐอเมริกาในฐานะการดำเนินคดีอาญา^{[ 80 ]}ตัวอย่างของการละเมิดข้อมูลที่ได้รับการคุ้มครองอย่างมีนัยสำคัญและการละเมิด HIPAA อื่นๆ ได้แก่:

• การสูญเสียข้อมูลครั้งใหญ่ที่สุดที่ส่งผลกระทบต่อผู้คน 4.9 ล้านคนโดย Tricare Management of Virginia ในปี 2011 ^{[ 81 ]}
• ค่าปรับสูงสุด 5.5 ล้านดอลลาร์สหรัฐฯ ซึ่งเรียกเก็บจาก Memorial Healthcare Systems ในปี 2017 เนื่องจากการเข้าถึงข้อมูลที่เป็นความลับของผู้ป่วย 115,143 ราย และค่าปรับ 4.3 ล้านดอลลาร์สหรัฐฯ ซึ่งเรียกเก็บจาก Cignet Health of Maryland ในปี 2010 เนื่องจากเพิกเฉยต่อคำขอของผู้ป่วยในการขอสำเนาบันทึกของตนเอง และเพิกเฉยต่อการสอบถามของเจ้าหน้าที่รัฐบาลกลางซ้ำแล้วซ้ำเล่า^{[ 82 ]}
• การฟ้องร้องทางอาญาครั้งแรกเกิดขึ้นในปี 2011 โดยกล่าวหาแพทย์ในรัฐเวอร์จิเนียรายหนึ่งว่าเปิดเผยข้อมูลแก่นายจ้างของผู้ป่วย "โดยอ้างอย่างเป็นเท็จว่าผู้ป่วยเป็นภัยคุกคามร้ายแรงและใกล้จะเกิดขึ้นต่อความปลอดภัยของสาธารณชน ทั้งที่ความจริงแล้วเขารู้ว่าผู้ป่วยไม่ได้เป็นภัยคุกคามเช่นนั้น"

ตามที่ Koczkodaj และคณะ, 2018 ^{[ 83 ]}ระบุ จำนวนผู้ที่ได้รับผลกระทบทั้งหมดตั้งแต่เดือนตุลาคม พ.ศ. 2552 คือ 173,398,820 คน

ตารางต่อไปนี้สรุปความแตกต่างระหว่างโทษทางแพ่งและโทษทางอาญา:

ในปี 1994 ประธานาธิบดีคลินตันได้แสดงเป้าหมายที่จะปรับปรุงระบบการดูแลสุขภาพ อย่างไรก็ตาม การปฏิรูปของเขาไม่ประสบความสำเร็จ ส่วนใหญ่เป็นเพราะขาดการสนับสนุน^{[ 84 ]} Congressional Quarterly Almanac ปี 1996 อธิบายว่าวุฒิสมาชิกสองคน ได้แก่แนนซี คาสเซบอม (พรรครีพับลิกัน รัฐแคนซัส) และเท็ด เคนเนดี (พรรคเดโมแครต รัฐแมสซาชูเซตส์) ได้ร่วมกันร่างกฎหมายที่เรียกว่า พระราชบัญญัติปฏิรูปประกันสุขภาพปี 1995 หรือที่รู้จักกันทั่วไปในชื่อกฎหมายคาสเซบอม-เคนเนดี^{[ 85 ]}กฎหมายฉบับนี้ถูกระงับไว้แม้ว่าจะผ่านวุฒิสภาแล้วก็ตาม ในสุนทรพจน์แถลงนโยบายประจำปี 1996 คลินตันได้ผลักดันประเด็นนี้ และส่งผลให้เกิดความร่วมมือระหว่างพรรคการเมือง^{[ 84 ]}หลังจากมีการถกเถียงและเจรจากันอย่างมาก ก็มีการเปลี่ยนแปลงโมเมนตัมเมื่อมีการประนีประนอมระหว่างเคนเนดีและประธานคณะกรรมการวิธีการและงบประมาณบิล อาร์เชอร์ซึ่งได้รับการยอมรับหลังจากมีการแก้ไขกฎหมายคาสเซบอม-เคนเนดีฉบับเดิม^{[ 86 ]}หลังจากนั้นไม่นาน ร่างกฎหมายดังกล่าวก็ได้รับการลงนามบังคับใช้โดยประธานาธิบดีคลินตัน และได้รับการตั้งชื่อว่า พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความลับทางการแพทย์ พ.ศ. 2539 (HIPAA)

• Pub. L.  104–191 (ข้อความ) (PDF) , 110  Stat.  1936
• HR 3103 ; H. Rept. 104–469, part 1; H. Rept. 104-736
• S. 1028 ; S. 1698 ; S. Rept. 104-156
• มาตรฐานความปลอดภัยของ HHS , 45 CFR 160 , 45 CFR 162และ45 CFR 164
• มาตรฐานของกระทรวงสาธารณสุขและบริการมนุษย์ (HHS) ว่าด้วยความเป็นส่วนตัวของข้อมูลสุขภาพที่ระบุตัวบุคคลได้45 CFR 160และ45 CFR 164

เมื่อวันที่ 25 มิถุนายน 2567 กระทรวงสาธารณสุขและบริการมนุษย์ได้ออกกฎใหม่เพื่อ "สนับสนุนความเป็นส่วนตัวในการดูแลสุขภาพด้านการเจริญพันธุ์" กฎดังกล่าวแก้ไขมาตรฐานความเป็นส่วนตัวของข้อมูลสุขภาพที่ระบุตัวบุคคลได้ภายใต้ HIPAA และ HITECH Act

แง่มุมหนึ่งของการเปลี่ยนแปลงใหม่นี้ห้ามเจ้าหน้าที่สาธารณสุขเปิดเผยบันทึกที่เกี่ยวข้องกับสุขภาพอนามัยเจริญพันธุ์ เช่น ภาวะเจริญพันธุ์ การใช้ยาคุมกำเนิด และการแท้งบุตร ให้แก่หน่วยงานบังคับใช้กฎหมาย เว้นแต่เพื่อการสืบสวนคดีอาญา^{[ 88 ]}

• สำนักงานการดำเนินการตาม HIPAA ของรัฐแคลิฟอร์เนียเก็บถาวรเมื่อวันที่ 1 พฤศจิกายน 2012 ที่Wayback Machine (CalOHI)
• "HIPAA"ศูนย์บริการ Medicare และ Medicaid (CMS)
• รายงานของ Congressional Research Service (CRS) เกี่ยวกับ HIPAAและห้องสมุดมหาวิทยาลัยนอร์ทเท็กซัส
• เอกสารฉบับเต็มของพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความลับทางการแพทย์ (Health Insurance Portability and Accountability Act) (PDF/TXT)สำนักงานพิมพ์ของรัฐบาลสหรัฐอเมริกา
• หน้าเว็บไซต์ของสำนักงานสิทธิพลเมืองเกี่ยวกับ HIPAA