Thông thường, bệnh nhân hoặc đại diện được ủy quyền của họ có thể xem và lấy bản sao hồ sơ y tế của họ và yêu cầu sửa chữa nếu họ nhận ra lỗi. Đối với mục đích của luật riêng tư, đại diện cá nhân được ủy quyền của bệnh nhân (ví dụ như người đại diện được uỷ quyền cho chăm sóc sức khoẻ, người thay thế sức khoẻ được ủy quyền của tiểu bang hoặc người nào đó được uỷ quyền bằng văn bản theo HIPAA để có quyền truy cập thông tin bí mật) nên được điều trị giống như bệnh nhân.

Các nhà cung cấp dịch vụ chăm sóc sức khoẻ phải cung cấp thông báo về việc họ có thể sử dụng các thông tin y tế cá nhân và về các quyền của bệnh nhân theo các quy định của HIPAA.

HIPAA giới hạn cách các chuyên gia chăm sóc sức khỏe có thể sử dụng PHI. Hành động này không hạn chế các bác sĩ, y tá, và những người hành nghề khác chia sẻ thông tin cần thiết để điều trị bệnh nhân của họ. Tiết lộ cho các trao đổi thông tin y tế và các cơ quan y tế công cộng vì mục đích sức khỏe cộng đồng trong các sự kiện như đại dịch COVID-19 cũng được phép tiết lộ theo hướng dẫn của Văn phòng Dân quyền thuộc Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ. Tuy nhiên, những người hành nghề chỉ có thể sử dụng hoặc chia sẻ lượng thông tin được bảo vệ tối thiểu cần thiết cho một mục đích cụ thể. Trong hầu hết các tình huống, thông tin sức khoẻ cá nhân không được sử dụng cho các mục đích không liên quan đến chăm sóc sức khoẻ. Ví dụ, bệnh nhân phải ký một ủy quyền cụ thể trước khi nhà cung cấp dịch vụ chăm sóc sức khoẻ có thể tiết lộ thông tin y tế cho công ty bảo hiểm nhân thọ, ngân hàng, công ty tiếp thị hoặc doanh nghiệp bên ngoài khác cho các mục đích không liên quan đến nhu cầu chăm sóc sức khoẻ hiện tại của bệnh nhân.

Tiếp thị là truyền thông được thiết kế để khuyến khích mọi người mua một sản phẩm hoặc dịch vụ cụ thể. HIPAA yêu cầu phải có giấy phép cụ thể của bệnh nhân trước khi tiết lộ thông tin cho mục đích tiếp thị. Các nhà cung cấp chăm sóc sức khoẻ phải tiết lộ bất kỳ khoản thanh toán nào sẽ nhận được do tiếp thị. Tuy nhiên, các nhà cung cấp dịch vụ y tế có thể tự do liên lạc với bệnh nhân về các lựa chọn điều trị, sản phẩm và các dịch vụ liên quan đến sức khoẻ khác, bao gồm các chương trình quản lý bệnh.

Các bác sỹ nên có những bước hợp lý để đảm bảo rằng các thông tin liên lạc của họ với bệnh nhân là bí mật và phù hợp với sở thích của bệnh nhân. Ví dụ, các cuộc thảo luận y tế về bác sĩ-bệnh nhân nói chung phải ở dạng riêng tư hoặc bệnh nhân có thể thích bác sĩ gọi vào văn phòng chứ không phải ở nhà. Tuy nhiên, trừ khi bệnh nhân phản đối, các bác sỹ có thể chia sẻ thông tin y tế với các thành viên trong gia đình của bệnh nhân hoặc người được biết đến là bạn thân của bạn nếu thông tin liên quan đến sự tham gia của người đó với việc chăm sóc bệnh nhân hoặc thanh toán cho việc chăm sóc và thông tin được giới hạn ở những gì cần thiết cho sự tham gia của người đó. Các bác sỹ được trông chờ sẽ thực hiện quyết định chuyên nghiệp.

Đại diện cá nhân được ủy quyền của bệnh nhân phải được đối xử giống như bệnh nhân trong việc tiếp cận thông tin và tham gia vào quá trình ra quyết định. Như vậy, người đại diện có quyền truy cập thông tin như nhau và được thực hiện các quyền như nhau về bảo mật thông tin. Tuy nhiên, các bác sỹ có thể hạn chế thông tin hoặc tiếp cận nếu có sự lo ngại hợp lý về bạo lực gia đình, lạm dụng, hoặc bỏ bê bởi người đại diện.

Một số thông tin liên lạc không thể giữ bí mật. Người hành nghề chăm sóc sức khoẻ đôi khi được pháp luật yêu cầu tiết lộ một số thông tin nhất định, thường là vì tình trạng có thể gây nguy hiểm cho người khác. Ví dụ, một số bệnh truyền nhiễm (ví dụ COVID-19, HIV, giang mai, lao) phải được báo cáo cho các cơ quan y tế công cộng của bang hoặc địa phương. Các dấu hiệu của trẻ em, và ở nhiều tiểu bang, người lớn hoặc người cao tuổi bị ngược đãi hoặc bỏ rơi, thường phải được báo cáo cho các dịch vụ bảo vệ. Các điều kiện có thể làm suy yếu nghiêm trọng khả năng lái xe của bệnh nhân, chẳng hạn như chứng sa sút trí tuệ hoặc các cơn co giật gần đây, phải được báo cáo cho Sở Ô tô ở một số tiểu bang.

Bệnh nhân có thể nộp đơn khiếu nại về việc tuân thủ các quy định về bảo mật này. Khiếu nại có thể được gửi trực tiếp đến chuyên gia chăm sóc sức khỏe, Văn phòng Dân quyền trong Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ hoặc viên chức tuân thủ quyền riêng tư được tổ chức chỉ định tuân thủ HIPAA. Bệnh nhân không có quyền nộp đơn kiện riêng theo HIPAA. Có hình phạt dân sự và hình sự đối với việc tiết lộ không đúng thông tin sức khoẻ cá nhân. Một tiến trình học đúng đắn nhất cho các bác sỹ chăm sóc sức khoẻ là phải được thông báo rõ về HIPAA, hành động có thiện chí và thực hiện những nỗ lực hợp lý để tuân thủ.