Health Information Technology for Economic and Clinical Health (HITECH) Act, vedtaget som en del af American Recovery and Reinvestment Act of 2009, blev underskrevet i lov den 17. februar 2009 for at fremme vedtagelse og meningsfuld brug af sundhedsinformationsteknologi. Undertitel D i HITECH-loven vedrører privatlivets fred og sikkerhedsproblemer forbundet med elektronisk transmission af sundhedsoplysninger, delvist gennem flere bestemmelser, der styrker den civile og strafferetlige håndhævelse af HIPAA-reglerne.
Afsnit 13410 (d) i HITECH-loven, som trådte i kraft den 18. februar 2009, reviderede § 1176 (a) i lov om social sikring (loven) ved at etablere:
- Fire kategorier af overtrædelser, der afspejler stigende skyld i skyld;
- Fire tilsvarende niveauer for sanktionsbeløb, der væsentligt øger minimumsstraffebeløbet for hver overtrædelse; og
- Et maksimumsstraffebeløb på $ 1,5 millioner for alle overtrædelser af en identisk bestemmelse.
Det ændrede også afsnit 1176 (b) i loven med:
- At slå den forrige søjle for pålæggelse af sanktioner, hvis den dækkede enhed ikke vidste det og med udøvelse af rimelig omhu ikke ville have kendt overtrædelsen (sådanne overtrædelser kan nu straffes under det laveste niveau af sanktioner) ; og
- Forbud mod pålæggelse af sanktioner for enhver overtrædelse, der er rettet inden for en 30-dages periode, så længe overtrædelsen ikke skyldtes forsætlig forsømmelse.
Denne midlertidige slutregel overholder HIPAAs håndhævelsesbestemmelser til disse lovbestemte revisioner, der i øjeblikket er effektive i henhold til afsnit 13410 (d) i HITECH-loven. Denne midlertidige slutregel foretager ikke ændringer med hensyn til de håndhævelsesbestemmelser i HITECH-loven, der endnu ikke er effektive i henhold til de gældende lovbestemmelser.