Das Gesetz über Gesundheitsinformationstechnologie für wirtschaftliche und klinische Gesundheit (HITECH), das im Rahmen des American Recovery and Reinvestment Act von 2009 erlassen wurde, wurde gesetzlich unterzeichnet am 17. Februar 2009, um die Einführung und sinnvolle Nutzung von Gesundheitsinformationstechnologie zu fördern. Untertitel D des HITECH-Gesetzes befasst sich mit den Datenschutz- und Sicherheitsbedenken im Zusammenhang mit der elektronischen Übermittlung von Gesundheitsinformationen, teilweise durch mehrere Bestimmungen, die die zivil- und strafrechtliche Durchsetzung der HIPAA-Regeln stärken.
Section 13410 (d) des HITECH Act, der am 18. Februar 2009 in Kraft trat, überarbeitete Section 1176 (a) des Social Security Act (das Gesetz), indem er Folgendes festlegte:
- Vier Kategorien von Verstößen, die ein zunehmendes Verschulden widerspiegeln;
- Vier entsprechende Stufen von Strafbeträgen, die den Mindeststrafenbetrag für jeden Verstoß erheblich erhöhen; und
- Ein Höchstbetrag von 1,5 Mio. USD für alle Verstöße gegen eine identische Bestimmung.
Außerdem wurde Abschnitt 1176 (b) des Gesetzes geändert durch:
- Die vorherige Sperre für die Verhängung von Strafen zu streichen, wenn das versicherte Unternehmen den Verstoß nicht gewusst hätte und mit angemessener Sorgfalt nichts von dem Verstoß gewusst hätte (solche Verstöße werden jetzt unter der niedrigsten Strafe bestraft). ;; und
- Verbot der Verhängung von Strafen für Verstöße, die innerhalb eines Zeitraums von 30 Tagen korrigiert werden, sofern der Verstoß nicht auf vorsätzlicher Vernachlässigung beruht.
Diese vorläufige endgültige Regelung entspricht den Durchsetzungsbestimmungen der HIPAA diesen gesetzlichen Änderungen, die derzeit gemäß Abschnitt 13410 (d) des HITECH-Gesetzes wirksam sind. Diese vorläufige Schlussregel enthält keine Änderungen in Bezug auf die Durchsetzungsbestimmungen des HITECH-Gesetzes, die nach den geltenden gesetzlichen Bestimmungen noch nicht wirksam sind.