Det er ingen spesifikke HIPAA-krav eller tidsbegrensninger for hvor lenge helseorganisasjoner må oppbevare pasientjournaler. Hver organisasjon er ansvarlig for å dokumentere sine egne retningslinjer og prosedyrer for oppbevaring av medisinske journaler. For medisinsk personvern og kontinuitet i behandlingen, er det imidlertid generelt tilrådelig å oppbevare medisinske journaler i en rimelig tid etter pasientens siste besøk eller interaksjon.
