La loi HIPAA (Health Insurance Portability and Accountability Act) a été adoptée aux États-Unis en 1996. Elle encadre le traitement des données de santé (PHI) des patients par les organismes et les entreprises du secteur afin de garantir leur confidentialité et leur sécurité.

En vertu de la loi HIPAA, toute « entité concernée » est tenue de respecter certaines exigences en matière de sécurité et de protection des données. Sont concernés non seulement les professionnels de santé et les organismes d’assurance, mais aussi tous leurs partenaires ayant accès aux données de santé. Ainsi, les prestataires de services de communication de données, les prestataires de services de transcription médicale, les entreprises de logiciels et les sociétés d’assurance doivent notamment respecter la loi HIPAA s’ils traitent des PHI.