Sinds federale privacywetten van kracht zijn geworden in 1996 en 2003, heeft New Jersey de nationale normen voor de bescherming van individuele gezondheidsinformatie gevolgd en soms zelfs overtroffen. Statuten, rechterlijke uitspraken en beslissingen van uitvoerende agentschappen in de loop van de tijd hebben geleidelijk de brede mandaten van de Health Insurance Portability and Accountability Act (HIPAA) geïnterpreteerd die van toepassing zijn op de "covered entities" van de staat, gedefinieerd in de wet als elke publieke of private entiteit die gezondheidsinformatie elektronisch bijhoudt en distribueert. Deze interpretaties hebben de juridische basis verschaft voor de gedekte entiteiten van New Jersey om te voldoen aan HIPAA en de privacywetten van de staat.
Kennisgevingen van privacypraktijken
New Jersey vereist gedekte entiteiten om schriftelijke kennisgevingen voor te bereiden waarin zij bevestigen dat zij zich inzetten voor de bescherming van patiënteninformatie en hun procedures uitleggen. Vaak worden de berichten in kantoren gepost in het zicht van patiënten en op internet. Kennisgevingen door lokale gezondheidsdiensten geven aan welke informatie moet worden verstrekt door de patiënt en welke niet. Het plaatsen van websites door grote verzekeraars verzekert consumenten dat de informatie die zij verzamelen alleen afkomstig is van vertrouwde bronnen en dat patiënten beperkingen kunnen opleggen aan het gebruik ervan.
Wetgeving
Hoewel de HIPAA-regelgeving niet bestaat in één ingrijpende wet, heeft New Jersey deze voorschriften in afzonderlijke statuten behandeld. Die statuten groeperen privacywetten volgens het type faciliteit, aanbieder, informatie en overheidsprogramma. Bijvoorbeeld, faciliteit-specifieke codes beperken de onthulling van informatie door een acute zorginstelling en vereisen ambulante zorgcentra om manieren te vinden om te voorkomen dat medische gegevens verloren gaan. Providerspecifieke codes stellen artsen in staat om onder speciale omstandigheden vertrouwelijke informatie vrij te geven, zelfs zonder toestemming van de patiënt.
Handhaving
Toen de federale wet in werking trad, waarschuwde New Jersey de zorgverleners dat het de privacywetgeving van HIPAA strikt zou handhaven. Staatsgerechten en uitvoerende agentschappen hebben soms strengere normen vastgesteld dan de nationale regering suggereert. New Jersey dwingt bijvoorbeeld striktere limieten af op het recht van een grand jury om toegang te krijgen tot de bescheiden van een verdachte zonder zijn toestemming. Ook rechters van beroep hebben het recht van een ziekenhuis uitgebreid om derden aan te klagen die illegale middelen gebruiken om patiëntgegevens te beveiligen.
Bevoegdheden
De gedekte entiteiten van New Jersey maken gebruik van autorisatieformulieren waarmee ze toegang hebben tot gezondheidsinformatie van patiënten. Door het ondertekenen van de formulieren geeft een individu toestemming aan een zorgverzekeraar, overheidsinstantie, advocaat of zorgverlener om vertrouwelijke gegevens te gebruiken en vrijgeven onder beperkte voorwaarden. De formulieren specificeren vaak welke documenten beschermde gezondheidsinformatie (PHI) vormen. Sommigen staan de ondertekenaar toe om de autorisatie in te trekken. Elke gedekte entiteit die vertrouwelijke gezondheidsinformatie gebruikt en openbaar maakt zonder een uitgevoerde autorisatie, kan worden beschouwd als in strijd met de privacywetgeving van HIPAA en New Jersey.
Toezicht
Naast overheidsinstanties die HIPAA afdwingen, geven onderbedekte entiteiten privacymedewerkers aan met toezichthoudende autoriteit in hun respectievelijke activiteiten. Over het algemeen ontwikkelen deze personen privacypraktijken, reageren ze op klachten over vermoedelijke schendingen en ondernemen ze corrigerende maatregelen wanneer dat nodig is. Kennisgevingen van privacypraktijken bevatten vaak contactgegevens van de privacyfunctionaris van de faciliteit.