La loi HITECH (Health Information Technology for Economic and Clinical Health), promulguée dans le cadre de lAmerican Recovery and Reinvestment Act de 2009, a été promulguée. le 17 février 2009, pour promouvoir ladoption et lutilisation significative des technologies de linformation sur la santé. Le sous-titre D de la loi HITECH aborde les problèmes de confidentialité et de sécurité associés à la transmission électronique dinformations sur la santé, en partie grâce à plusieurs dispositions qui renforcent lapplication civile et pénale des règles HIPAA.
Larticle 13410 (d) de la loi HITECH, qui est entré en vigueur le 18 février 2009, a révisé larticle 1176 (a) de la loi sur la sécurité sociale (la loi) en établissant:
- Quatre catégories de violations qui reflètent des niveaux croissants de culpabilité;
- Quatre niveaux correspondants de montants de pénalité qui augmentent considérablement le montant de la sanction minimale pour chaque infraction; et
- Une pénalité maximale de 1,5 million de dollars pour toutes les infractions à une disposition identique.
Il a également modifié larticle 1176 (b) de la loi de:
- Rompre la barre précédente concernant limposition de sanctions si lentité couverte ne savait pas et, avec lexercice dune diligence raisonnable, naurait pas eu connaissance de la violation (ces violations sont désormais passibles du niveau de sanctions le plus bas) ; et
- Interdiction dimposer des sanctions pour toute violation corrigée dans un délai de 30 jours, tant que la violation nest pas due à une négligence volontaire.
Cette règle finale provisoire conforme les règlements dapplication de la HIPAA à ces révisions statutaires qui sont actuellement en vigueur en vertu de larticle 13410 (d) de la loi HITECH. Cette règle finale provisoire ne modifie pas les dispositions dapplication de la loi HITECH qui ne sont pas encore en vigueur en vertu des dispositions légales applicables.