De HIPAA-privacyregel vereist dat gedekte entiteiten beschermde gezondheidsinformatie (PHI) gedurende ten minste zes jaar bewaren vanaf de datum waarop de PHI is aangemaakt of ontvangen, tenzij een langere bewaartermijn vereist is door een andere wet- of regelgeving of tenzij een kortere bewaartermijn is toegestaan door toepasselijke federale, staats- of lokale wet- of regelgeving.