Dans certaines circonstances, HIPAA autorise le partage de certaines de vos informations de santé protégées sans votre permission. Vos RPS peuvent être partagés sans votre autorisation dans une situation d’urgence – y compris un traitement médical d’urgence, mais aussi en cas de bioterrorisme ou toute menace pour la santé publique. Les exceptions à la HIPAA incluent également des cas tels que la surveillance de la santé publique (telle que la collecte d’informations pour les rapports locaux sur la grippe), les enquêtes (telles qu’un centre médical d’urgence signalant une blessure par balle) et la recherche – même dans certaines situations de soins de santé telles que les interventions [source: CDC]. Ces informations sont collectées dans ce qu’on appelle un « ensemble de données limité » (LDS); les ensembles de données limités comprennent des informations limitées mais personnelles vous concernant : votre âge (en années, mois, jours ou heures), les dates pertinentes (y compris votre date de naissance et votre date de décès, ainsi que les dates d’admission et de sortie, le cas échéant) et votre données géographiques (code postal ou ville et état de résidence).

La liste des informations non autorisées dans un ensemble de données limité est bien plus longue. En vertu des règles de confidentialité de la HIPAA, les 16 informations identifiables suivantes ne peuvent pas être incluses dans un LDS : noms, numéros de sécurité sociale, adresses physiques (adresses postales) et numéros de téléphone (y compris les numéros de fax), adresses e-mail, URL et Les numéros d’adresse IP, les identifiants de véhicule (y compris les numéros de série et les plaques d’immatriculation), ainsi que les photos de face (ou toute image comparable) et les identifiants biométriques (comme vos empreintes digitales). De plus, aucun numéro de compte, numéro de dossier médical, numéro de bénéficiaire du régime de santé, numéro de licence de certificat ni aucun identifiant d’appareil (y compris les numéros de série) ne peut être inclus dans un ensemble de données limité [source: Johns Hopkins Medicine].

Malgré ces règles HIPAA en place concernant nos dossiers médicaux, 83 % des Américains ont toujours des problèmes de confidentialité et de sécurité en ce qui concerne leurs dossiers médicaux, et près de 70 % ne veulent pas que leurs informations de santé soient numérisées, point final [source: Xerox]. Alors, que se passe-t-il lorsque ces craintes sont validées – que se passe-t-il lorsqu’il y a une violation ?

Si ou quand une violation de PHI se produit, ce qui est souvent le résultat d’un vol d’ordinateur, selon la règle de notification de violation, le patient (ou les patients) concerné(s) doit être notifié, et l’incident signalé au secrétaire du département américain de la Santé et Services à la personne (HHS). De même, si une personne souhaite signaler une violation de la vie privée, elle peut signaler la violation à l’entité couverte (ou à l’associé commercial) responsable ou au HHS – ou aux deux. Selon les circonstances, les violations de la loi HIPAA peuvent entraîner des sanctions civiles telles que des amendes (appelées sanctions pécuniaires civiles) ou des sanctions pénales comprenant non seulement des amendes, mais aussi des peines d’emprisonnement.