HIPAA

La Health Insurance Portability and Accountability Act de 1996 (HIPAA), implementada mediante las Privacy, Security y Breach Notification Rules, establece estándares nacionales en EE. UU. para proteger la Información de Salud Protegida (PHI). Se aplica a entidades cubiertas —planes de salud, proveedores que realizan transacciones electrónicas y cámaras de compensación sanitarias— y a sus business associates que tratan PHI en su nombre. La Security Rule exige salvaguardas administrativas, físicas y técnicas (controles de acceso, registros de auditoría, seguridad de transmisión, análisis de riesgos, etc.). La Office for Civil Rights (OCR) del HHS hace cumplir HIPAA y puede imponer sanciones civiles y, en infracciones intencionadas, penales.