In Bezug darauf bedeutet HIPAA-Compliance die Einhaltung des Titels II. Es wird auch als ‚Administrative Vereinfachung‘ bezeichnet und beinhaltet die Einhaltung der oben genannten HIPAA–Compliance-Anforderungen:

• National Provider Identifier Standard: Erfordert, dass jede einzelne Gesundheitseinrichtung, wie Arbeitgeber, Einzelpersonen, Gesundheitsdienstleister und Gesundheitspläne, einen eindeutigen 10-stelligen Anbieterkennungscode haben muss – ihren NPI (National Provider Identifier).
• Transaktionen und Code setzt Standards: Erfordert Organisationen einen Standardmechanismus für EDI (Electronic Data Interchange) zu folgen, bei der Verarbeitung oder Einreichung von Versicherungsansprüchen.HIPAA-Datenschutzregel: Legt nationale Standards fest, die die Gesundheitsinformationen von Patienten schützen und sicherstellen, dass alle individuell identifizierbaren Informationen sicher sind.HIPAA-Sicherheitsregel: Setzt Standards für die Datensicherheit von Patienten.
• HIPAA-Durchsetzungsregel: Legt die Richtlinien für die Untersuchung von Verstößen gegen HIPAA fest.

Im Jahr 2013 hat HHS die HIPAA Omnbius-Regel eingeführt, um einige Änderungen an der früheren Version gemäß bestimmten Richtlinien vorzunehmen, die 2009 durch den HITECH Act festgelegt wurden. Dies betrifft hauptsächlich die Verantwortung der Geschäftspartner der abgedeckten Unternehmen. Diese Regel ändert auch die Strafen für Verstöße gegen die HIPAA-Compliance und erhöht sie auf maximal 1,5 Millionen US-Dollar pro Vorfall.

HIPAA-Verstöße können für eine Gesundheitsorganisation sehr kostspielig sein. Zunächst erfordert die im Omnibus festgelegte Benachrichtigungsregel für Verstöße, dass die betroffenen Unternehmen sowie ihre Geschäftspartner die Patienten darüber informieren, dass sie eine Datenverletzung verfolgen. Zusätzlich zu diesen Kosten können den Organisationen Geldstrafen auferlegt werden, nachdem die Audits vom Office of Civil Rights (OCR) durchgeführt wurden. Anbieter können sogar strafrechtlich wegen Verstoßes gegen solche Regeln angeklagt werden.

Organisationen sind in der Lage, das Risiko regulatorischer Maßnahmen zu senken, indem sie an Schulungsprogrammen zur HIPAA-Compliance teilnehmen. Die OCR bietet insgesamt sechs Programme an, die darauf abzielen, Mitarbeiter über die Sicherheits- und Datenschutzregeln aufzuklären. Viele andere Ausbildungsgruppen und Beratungsunternehmen bieten ebenfalls Programme an. Anbieter können sogar ihre eigenen Programme erstellen, die andere Bereiche wie die aktuellen HIPAA-Richtlinien, den HITECH Act und Managementprozesse von Mobilgeräten und andere bestimmte anwendbare Richtlinien umfassen.

Es gibt kein offizielles Zertifizierungsprogramm für die HIPAA-Konformität, aber viele Schulungsunternehmen bieten Anmeldeinformationen an, die das Verständnis der Richtlinien und Vorschriften anzeigen, die das Gesetz festlegt.