sjukförsäkringslagen Bärbarhet och Accountability Act (HIPAA) infördes av regeringen 1996. Detta regelverk täcker många olika områden av sjukförsäkring, inklusive täckning för arbetstagare som har förlorat eller bytt jobb, definition av standarder för elektroniska patientjournaler och integritet patientens data. Tekniska krav är detaljerade för lagring, överföring, skapande och förstörelse av patientdata. Enheter som omfattas av dessa förordningar omfattar vårdpersonal, institutioner och hälsa försäkringsbolag.
Fysisk tillgång
Fysisk åtkomst till servern innehåller ett system stockar med patienternas hälsa information måste begränsas till det minsta antalet personer som behöver tillgång till utföra sina arbetsuppgifter. Fysisk tillträdet måste begränsas av lämpliga enheter som låsta dörrar eller rack server. Godtagbara metoder för att kontrollera tillträdet inkluderar fysiska nycklar, fingeravtrycksavläsningar, näthinnan skanning och fysiska märken. Loggar som innehåller tillgång till information om vem, när och varför servrarna var fysiskt tittat uppmuntras för användning i förbigående HIPAA revisioner. Besökare får tillgång till ett område med HIPAA information måste tilldelas en eskort för den tid för besöket.
Lagring av information som krävs
Loggfiler bör behålla bara de nödvändiga uppgifter som krävs för teknisk personal att utföra sina arbetsuppgifter . Om personuppgifter som rör hälsa lagras, data maskering (att dölja en del av data göra det obrukbart) bör användas, om möjligt, för att förhindra förlust av personuppgifter. Förlust av loggfiler som innehåller personuppgifter som rör hälsa ska rapporteras till avdelningen för hälso-och Human Services. Förstörelse av loggfiler skall överensstämma med säker radering krav som finns i HIPAA föreskrifter. Tillräcklig tillgång kontroller måste finnas för att garantera personlig hälsoinformation ändras inte oavsiktligt.
Data i rörelse
Överföring av data, till exempel serverloggar utanför det interna nätverket till den enhet som äger servern, skall uppgifterna som ska krypteras. Gemensamma kryptering normer, såsom Secure Socket Layer (SSL), uppfyller förordningens krav. Överföra en server loggar från en intern enhet till en annan kräver inte de data som ska krypteras för.
Kärnämneskontroll
Årlig utbildning krävs för personer som har tillgång, antingen fysiskt eller via dator, till servern loggar. Dessa kurser skall det anges vad som är personuppgifter som rör hälsa och hur man korrekt hanterar denna form av data. Policy och förfaranden måste skapas för att dokumentera en korrekt hantering av filer som innehåller information som omfattas av HIPAA. Skyddsåtgärder, såsom digitala signaturer eller belopp check, måste användas för att validera filer med HIPAA information att behålla sina ursprungliga integritet.