แม้ว่าพระราชบัญญัติ Health Insurance Portability and Accountability Act จะบัญญัติขึ้นในปี 1996 แต่ก็ไม่ได้หมายถึงการรักษาความเป็นส่วนตัวของบันทึกสุขภาพทางอิเล็กทรอนิกส์เสมอไป เดิมที HIPAA ถูกสร้างขึ้นเพื่อความเป็นส่วนตัวของบันทึกสุขภาพ ก่อนหน้า HIPAA จะไม่มีมาตรฐานความปลอดภัยที่ใช้เพื่อปกป้องความเป็นส่วนตัวของผู้ป่วย เมื่อเวลาผ่านไป เทคโนโลยีก็เช่นกัน และในทศวรรษที่ผ่านมา ความก้าวหน้าล่าสุดของเทคโนโลยีในอุตสาหกรรมการดูแลสุขภาพทำให้เกิดความต้องการวิธีการจัดการเวชระเบียนที่ปลอดภัยมากขึ้น
ด้วยบันทึกสุขภาพอิเล็กทรอนิกส์ที่พร้อมใช้งานมากขึ้นในราคาที่คุ้มค่า สถานพยาบาลได้เปลี่ยนมาใช้เอกสารประเภทนี้ นอกจากนี้ ด้วยกฎระเบียบของรัฐบาลที่กำหนดให้บันทึกสุขภาพทางอิเล็กทรอนิกส์ มาตรฐานความปลอดภัยสำหรับการคุ้มครองข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์หรือที่เรียกว่า “กฎความปลอดภัย” จึงถูกสร้างขึ้นและบังคับใช้ กฎระเบียบชุดใหม่นี้จัดทำขึ้นเพื่อรับรองความเป็นส่วนตัวของข้อมูลทางการแพทย์ของผู้ป่วยในขณะที่จัดเก็บหรือส่งในรูปแบบอิเล็กทรอนิกส์
การตรวจสอบสิทธิ์แบบสองปัจจัย ซึ่งเป็นกระบวนการที่ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยแยกกันเพื่อระบุผู้ใช้ เดิมทีไม่ใช่ส่วนที่จำเป็นของกระบวนการรักษาความปลอดภัยที่ระบุไว้ในกฎความปลอดภัย HIPAA ตลอดหลายปีที่ผ่านมา รูปแบบการยืนยันตัวตนนี้ได้กลายเป็นส่วนที่จำเป็นสำหรับ HIPAA
กล่าวถึงในเดือนตุลาคม 2546 ใน PDF ที่เผยแพร่โดย National Institute of Standards and Technology ซึ่งกล่าวถึงการรับรองความถูกต้องด้วยหลายปัจจัย เอกสารชื่อ “คำแนะนำในการเลือกผลิตภัณฑ์รักษาความปลอดภัยเทคโนโลยีสารสนเทศ” ระบุว่าการรับรองความถูกต้องคืออะไร แต่ไม่จำเป็นต้องดำเนินการรักษาความปลอดภัยประเภทนี้ เห็นได้ชัดว่าเวชระเบียนอิเล็กทรอนิกส์เป็นของใหม่และไม่ได้ใช้งานในทุกสถานที่ ไม่จำเป็นต้องสร้างหรือบังคับใช้การรับรองความถูกต้องเฉพาะเจาะจง
จากนั้นในเดือนเมษายน พ.ศ. 2549 NIST ได้เผยแพร่เอกสารใหม่ชื่อ “Electronic Authentication Guideline” ซึ่งระบุระดับความปลอดภัย 4 ระดับ ซึ่งบางระดับจำเป็นต้องมีกระบวนการตรวจสอบความถูกต้องที่รัดกุม มีการกล่าวถึงการใช้การตรวจสอบสิทธิ์แบบสองปัจจัยในระดับที่ 3 ซึ่งระบุถึงความจำเป็นในการใช้โทเค็น โทเค็นนี้สามารถเป็นได้ทั้งซอฟต์/ฮาร์ดโทเค็นหรือรหัสผ่านแบบใช้ครั้งเดียว ด้วยโรงพยาบาลจำนวนมากขึ้นที่ยอมรับ EHRs ความต้องการแนวทางความปลอดภัยที่รัดกุมจึงเกิดขึ้น
แม้ว่าตอนนี้จะมีข้อบังคับที่ระบุข้อกำหนดสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย แต่ก็ยังไม่ชัดเจนและไม่ได้ระบุถึงความจำเป็นในการควบคุมความปลอดภัยด้านไอทีที่เฉพาะเจาะจง หลังจากการตรวจสอบโดยสำนักงานผู้ตรวจการทั่วไปพบความจำเป็นในการควบคุมความปลอดภัยด้านไอทีเหล่านี้ เอกสาร NIST เก่าก็ได้รับการแก้ไข “แนวปฏิบัติการรับรองความถูกต้องทางอิเล็กทรอนิกส์” ที่ร่างขึ้นในเดือนมิถุนายน 2554 เป็นการแก้ไขสิ่งพิมพ์ซึ่งระบุความต้องการการรับรองความถูกต้องด้วยสองปัจจัยที่เฉพาะเจาะจงมากขึ้น รวมถึงประเภทโทเค็นที่ยอมรับได้
เราสามารถเห็นความต้องการความปลอดภัยที่เพิ่มขึ้นในอุตสาหกรรมการรักษาพยาบาล แม้ว่าความจำเป็นในการควบคุมการปฏิบัติตามข้อกำหนดจะไม่จำเป็นเสมอไป อย่างไรก็ตาม ด้วยการเปลี่ยนแปลงทุกอย่างและคำสั่งของรัฐบาลที่กำหนดให้แนวทางการปฏิบัติตามข้อบังคับได้รับการปรับปรุงให้ดีขึ้น ดูเหมือนจะไม่จบลงเช่นกัน ในฉบับร่างล่าสุดโดย NIST ที่สร้างขึ้นเมื่อเดือนพฤษภาคม 2554 หัวข้อ “คำแนะนำการประมวลผลแบบคลาวด์” ซึ่งพูดถึงการรับรองความถูกต้องแบบหลายปัจจัยอย่างหลวมๆ เพื่อเข้าถึงระบบคลาวด์ สิ่งนี้แสดงให้เห็นเมื่อเทคโนโลยีก้าวไปข้างหน้าและมีวิธีการจัดเก็บ/เข้าถึงข้อมูลมากขึ้น ทำให้ต้องมีกฎระเบียบเกิดขึ้น โดยเฉพาะอย่างยิ่งเมื่อสถานพยาบาลยอมรับและใช้เทคโนโลยีใหม่นี้มากขึ้นเรื่อยๆ