Ustawa HIPAA dotycząca przenośności i ubezpieczenia zdrowotnego zawierała standardowe procedury ochrony dokumentacji medycznej. Reguła Prywatności HIPAA dotyczy sposobu, w jaki informacje mogą być wykorzystywane, a kroki, które obejmuje, muszą podejmować podmioty, aby zapewnić poufność. W ramach kwestii prywatności akt określa dopuszczalne jednorazowe metody uzyskiwania danych osobowych.
Okres przechowywania
HIPAA nie określa, jak długo dane pacjenta muszą być przechowywane. Prawo każdego stanu reguluje okres przechowywania dokumentacji medycznej. Jednak reguła prywatności HIPAA obowiązuje przez cały okres przechowywania do czasu właściwego zniszczenia zapisów.
Zniszczenie dokumentacji papierowej
Zapisy papierowe obejmują akta medyczne, butelki na receptę z imieniem i nazwiskiem pacjenta oraz identyfikatory lub bransoletki. Jeśli pojemnik na śmieci, pojemnik na odpady lub pojemnik na recykling może być dostępny publicznie lub przez nieupoważniony personel, wszystkie informacje chronione zostaną rozdrobnione lub w inny sposób uczynione nieczytelnymi i nieczytelnymi przed umieszczeniem ich w pojemniku. Używanie zewnętrznego sprzedawcy do niszczenia zapisów jest dopuszczalne, jeśli zapisy są zabezpieczone, dopóki sprzedawca ich nie odbierze. Jeśli jest to uzasadnione rodzajem i rozmiarem dostawcy usług medycznych, do usunięcia można użyć zablokowanego pojemnika na śmieci, do którego dostęp mają wyłącznie osoby posiadające odpowiednie uprawnienia.
Zniszczenie danych elektronicznych
Zasada prywatności HIPAA nakazuje, aby dane zapisane na nośnikach elektronicznych mogły zostać zastąpione informacjami, które nie są wrażliwe lub wystawione na działanie pola magnetycznego o mocy wystarczającej do zakłócenia zarejestrowanych danych. Dostawca może również fizycznie zniszczyć dyski lub taśmy poprzez ich stapianie, rozdrabnianie, spalanie lub rozpylanie. Dopiero po ukazaniu się nośnika nieczytelnego mogą one zostać umieszczone w dostępnym śmietniku lub koszu na śmieci. Taśmy, dyski i komputery mogą być ponownie użyte, jeśli wszystkie chronione informacje zostaną najpierw usunięte z nośników, sprzętu lub oprogramowania przechowującego dane.
Zniszczenie danych przez personel terenowy
Jeżeli dokumentacja medyczna lub informacje są przekazywane pracownikom zewnętrznym, aby mogli korzystać z nich podczas wykonywania swoich obowiązków, nadal obowiązują zasady prawidłowej utylizacji. Pracownicy mogą niszczyć informacje w terenie lub zwracać je do miejsca pracy pracodawcy w celu zniszczenia.
