Tradicionalno, etička zdravstvena zaštita uvijek je uključivala potrebu za čuvanjem medicinskih podataka pacijenata povjerljivim. Međutim, Zakon o prenosivosti i odgovornosti za zdravstveno osiguranje [Health Insurance Portability and Accountability Act (HIPAA—vidi www.hhs.gov/ocr/privacy/)] kodificirao je odgovornost pružatelja zdravstvene zaštite, zdravstvenih planova, zdravstvenih osiguravatelja i njihovih poslovnih suradnika koji elektroničkim putem prenose zdravstvene i srodne podatke (npr. zdravstvena evidencija, upis, naplata, provjera kvalifikacije). Kolektivno, ovo su obuhvaćena tijela pod HIPAA-om. Ključne odredbe HIPAA-e utjelovljene su u tri pravila: pravila o privatnosti, sigurnosti i obavijesti o kršenju, te su svi namjenjeni zaštiti privatnosti i sigurnosti zaštićenih zdravstvenih podataka (PHI).
Pravilo o privatnosti postavlja standarde za zaštitu PHI-ja i daje pacijentima važna prava u pogledu njihovih zdravstvenih podataka. Pravilo sigurnosti uspostavlja mjere zaštite koje subjekti i njihovi poslovni suradnici moraju provoditi kako bi zaštitili privatnost, integritet i sigurnost elektroničkih PHI-ja. Pravilo obavijesti o kršenju zahtjeva da uključeni subjekti obavijeste pogođene pojedince, saveznu vladu, a u nekim slučajevima i medije o kršenju nezaštićenog PHI-ja. Sjedinjene države Ured za zdravstvo i ljudske usluge, Ured za građanska prava, provodi ova tri pravila i daje smjernice o poštivanju pravila.
U nastavku su razrađeni ključni aspekti Pravila o privatnosti.
Pristup medicinskoj dokumentaciji
Obično bi pacijenti ili njihovi ovlašteni predstavnici trebali moći vidjeti i dobiti kopije svoje medicinske dokumentacije i zatražiti ispravke ako utvrde pogreške. Za potrebe Pravila o privatnosti, ovlašteni "osobni predstavnik" pacijenta je skrbnik s ovlastima za zdravstvene odluke, punomoćnik imenovan u punomoći za zdravstvenu skrb, ili član obitelji ili prijatelj ovlašten da služi kao nadomjesnik za zdravstvene odluke prema državnom zakonu. Pacijenti također imaju pravo dati drugoj osobi pristup svim ili dijelu njihovih medicinskih spisa putem potpisanog, pismenog odobrenja.
Obavijest o pravilima privatnosti
Pružatelji zdravstvene zaštite moraju dati obavijest o njihovoj mogućoj upotrebi osobnih medicinskih podataka i o pravima pacijenata prema propisima HIPAA.
Ograničenja u korištenju osobnih medicinskih podataka
HIPAA ograničava način na koji zdravstveni radnici mogu koristiti pojedinačne (zaštićene) zdravstvene podatke. Ovaj zakon ne ograničava liječnike, medicinske sestre i drugo medicinsko osoblje da dijele informacije potrebne za liječenje svojih pacijenata. Međutim, praktičari mogu koristiti ili dijeliti samo minimalnu količinu zaštićenih podataka potrebnih za određenu svrhu. U većini slučajeva osobni zdravstveni podaci ne smiju se koristiti u svrhe koje nisu povezane sa zdravstvenom skrbi. Na primjer, pacijent mora potpisati određeno odobrenje prije nego što pružatelj zdravstvene skrbi može izdati medicinske podatke životnom osiguravatelju, banci, marketinškoj tvrtki ili drugom poslovnom subjektu za potrebe koje nisu povezane s trenutnim potrebama pacijenta u zdravstvu.
Marketing
Marketing je komunikacija namijenjena poticanju ljudi na kupnju određenog proizvoda ili usluge. HIPAA zahtijeva da se dobije posebno odobrenje pacijenta prije objavljivanja informacija za vezanih za marketing. Pružatelji zdravstvene skrbi moraju otkriti sve uplate koje će biti primljene kao rezultat marketinga. Međutim, pružatelji zdravstvene zaštite mogu slobodno komunicirati s pacijentima o mogućnostima liječenja, proizvodima i drugim zdravstvenim uslugama, uključujući programe za upravljanje bolestima.
Povjerljiva komunikacija
Liječnici trebaju poduzeti razumne korake kako bi osigurali da su njihove komunikacije s pacijentom povjerljive i u skladu s pacijentovim željama. Na primjer, razgovori liječnika i pacijenta uglavnom bi trebali biti privatni ili bi pacijent volio radije da ga liječnik pozove u svoju ambulantu, prije nego u kuću. Ipak, osim ako pacijent ne uloži prigovor, liječnici mogu dijeliti medicinske podatke s članovima neposredne obitelji pacijenta ili s nekim tko je blizak osobni prijatelj ako se podaci odnose na povezanost tog člana obitelji ili prijatelja s pacijentovom skrbi ili plaćanjem njege. Očekuje se da liječnici se koriste profesionalnim rasuđivanjem.
Pacijentovog ovlaštenog osobnog zastupnika treba tretirati jednako kao i pacijenta. Dakle, zastupnik ima isti pristup informacijama i može koristiti ista prava u pogledu povjerljivosti podataka. Ipak, liječnici mogu ograničiti informacije ili pristup ako postoje opravdane zabrinutosti zbog nasilja u porodici, zlostavljanja ili zanemarivanja od strane zastupnika.
Neke komunikacije ne mogu ostati povjerljive. Ponekad se od zdravstvenih djelatnika zakonski zahtijeva da otkriju određene informacije, obično zato što određeno stanje može predstavljati opasnost za druge ljude. Na primjer, određene zarazne bolesti (npr. HIV, sifilis, TBC) moraju se prijaviti državnim ili lokalnim javnim zdravstvenim zavodima. Znakovi zlostavljanja djece, a u mnogim slučajevima i odraslih kao i starijih moraju se prijaviti nadležnim službama za zaštitu. Uvjeti koji mogu ozbiljno narušiti sposobnost pacijenta za vožnju, poput demencije ili nedavnih moždanih napadaja moraju se prijaviti Odjelu za motorna vozila u nekim državama.
Pritužbe
Pacijenti mogu uložiti pritužbe na poštivanje ove prakse privatnosti. Žalbe se mogu uputiti izravno liječniku zdravstvene zaštite ili Uredu za građanska prava pri Ministarstvu zdravlja SAD-a. Pacijenti nemaju pravo na privatnu tužbu prema HIPAA-i. Postoje kaznene i civilne sankcije za nepropisno odavanje osobnih zdravstvenih podataka. Najbolji tečaj za zdravstvene djelatnike jest da budu dobro informirani o HIPAA-i, da djeluju u dobroj vjeri i rade razumne pokušaje u pridržavanju.