המכונה "מידע בריאות מוגן" או "PHI", מידע הבריאות בדרך כלל לא ניתן להשתמש או לחשוף אלא אם כן האדם הנושא של PHI נתן בכתב מראש אישור או רשות.
דוגמאות:
אישור בכתב מראש למעסיק: הפרט* מבקש לשלוח העתק של ה- PHI או רישומי הבריאות של הפרט למעסיקו של הפרט. על הפרט לספק אישור בכתב מראש לפני שליחת הרשומות.
אישור בכתב קודם - ראיון: הפרט היה רוצה שצד שלישי, לא נותן טיפול, יראיין את נותן הטיפול של הפרט. על הפרט לספק אישור בכתב מראש המאפשר לרופא המטפל לדון בטיפול PHI של האדם עם הצד השלישי.
הפרת PHI
HIPAA מחייב PHI של אדם מוגן באופן סביר. למידע נוסף על סילוק שיאים. אובדן PHI בעותק קשיח או PHI אלקטרוני לא מוצפן יכול לגרום ל- הפרת PHI שיחייב לשלוח מכתב הודעה על הפרה לאדם המושפע.
דוגמאות:
שמירה על רשומות בריאות: מסמכי רישום רפואי שנותרו ללא השגחה בקפיטריה מהווים הפרה של PHI.
מחשב נייד מוצפן: מחשב נייד המכיל PHI לא מוצפן נגנב ממכונית. אובדן המחשב הנייד מהווה הפרה של ה- PHI.
סקרנות כוח אדם - הפרת נתונים: איש כוח אדם ** ניגש ל- PHI למידע על עמיתים לעבודה, חברים או בני משפחה מתוך סקרנות (כלומר, ללא מטרה רפואית או עסקית). גישה בלתי מורשית זו מהווה הפרה של PHI.
זכויות הפרט
לאדם יש מספר זכויות בסיסיות הקשורות למידע הבריאות המוגן שלו.
* תחת HIPAA, "בנפרד"פירושו האדם הנושא של מידע הבריאות המוגן.
** תחת HIPAA, "חבר כוח אדם"פירושו עובדים, מתנדבים, חניכים ואנשים אחרים שהתנהגותם, בביצוע עבודות בישות מכוסה, נמצאת בשליטה ישירה של גוף זה, בין אם הם משולמים על ידי הישות המכוסה ובין אם לאו. אדם פועל תחת סמכות של גורם מכוסה או מקורב עסקי אם הוא פועל מטעמו. הדבר עשוי לכלול חבר כוח אדם בגוף מכוסה, עובד של מקורב עסקי או אפילו מקורב עסקי של ישות מכוסה.