La Portabilidad y Responsabilidad Act (HIPAA) de 1996 es aplicada por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los EE.UU.. Almacenamiento de registros en una oficina en casa, al igual que en una gran empresa, sigue las normas específicas bajo la regla de seguridad para garantizar que la información es confidencial y puede ser clasificado por medidas de seguridad administrativas, físicas o técnicas. Salvaguardas Administrativos

Regla de Seguridad del OCR define garantías administrativas "acciones administrativas

, y las políticas y procedimientos para la gestión de la selección, el desarrollo, la implementación y el mantenimiento de las medidas de seguridad para proteger electrónica (o escrito) la información de salud protegida (PHI). " Las políticas y procedimientos son necesarios para prevenir y corregir las infracciones en el uso no autorizado del PHI. También se requiere una persona designada para desarrollar y supervisar las políticas de seguridad. Otra salvaguardia administrativa es asegurar que sólo las personas adecuadas tengan acceso a la PHI. Una persona sin la necesidad de utilizar la información de salud de otra persona, como un cónyuge o hijo, no tiene acceso.
Medidas de seguridad físicas

Regla de Seguridad del OCR define física salvaguardias como "medidas físicas, políticas y procedimientos para proteger a los sistemas electrónicos de información de una entidad cubierta y edificios y equipo afines, de los peligros naturales y ambientales, y la intrusión no autorizada". Las políticas y procedimientos son necesarios para restringir el acceso a las instalaciones donde se almacena PHI. Cerraduras, archivadores con llave, y el acceso electrónico protegido por contraseña a los archivos son ejemplos de acceso físico restringido. Estaciones de trabajo, tales como ordenadores portátiles y computadoras de escritorio, están obligados a tener funciones específicas. El uso no autorizado de una estación de trabajo puede conducir al compromiso de la IPS a través de un ataque de virus o incumplimiento de material confidencial. Otra salvaguardia física requiere de políticas para determinar cómo PHI en un dispositivo electrónico es destruido o removido del Ministerio del Interior.
Cautelas técnicas

La Regla de Seguridad de OCR define salvaguardas técnicas como "la tecnología y la política y procedimientos para el uso que proteger la información protegida de la salud electrónica y control de acceso a la misma." Garantías técnicas se logran mediante el control de quién tiene acceso a la información mediante el establecimiento de requisitos de acceso en estaciones de trabajo. También se requiere software para controlar quién ve PHI en una estación de trabajo.