A HIPAA-törvény öt szabályból áll. Az egyes szabályok eltérő követelményeket határoznak meg a HIPAA-törvénynek való megfelelésre vonatkozóan:
1. Adatvédelmi szabály: Hogyan, mikor és milyen körülmények között használható fel és adható ki egészségügyi adat
2. Biztonsági szabály: Az egészségügyi adat integritásának védelmét szolgáló technikai, fizikai és adminisztratív előírások
3. Omnibusz szabály: A HITECH rendelkezéseinek integrálása a HIPAA-törvénybe az egészségügyi adatok védelmének megerősítése érdekében
4. Az adatvédelmi incidensek bejelentésére vonatkozó szabály: Az egészségügyi adatokat érintő adatvédelmi incidensekkel kapcsolatban az érdekelt felek és a nyilvánosság értesítésére vonatkozó feltételek
5. Végrehajtási szabály: Az egészségügyi adatokat érintő adatvédelmi incidenst követően alkalmazott vizsgálat és szankciók
Az évek során a HIPAA-törvény követelményeit az egészségügyben és más iparágakban bekövetkezett technológiai fejlődésnek megfelelően integrálták és kibővítették.