A 2009-es amerikai helyreállítási és újrabefektetési törvény részeként elfogadott egészségügyi információs technológiáról a gazdasági és klinikai egészségügyről (HITECH) szóló törvényt aláírták 2009. február 17-én az egészségügyi információs technológia elfogadásának és értelmes használatának elősegítése érdekében. A HITECH törvény D. alcíme részben az egészségügyi információk elektronikus továbbításával kapcsolatos magánélet és biztonsági aggályokkal foglalkozik, több olyan rendelkezés révén, amelyek megerősítik a HIPAA szabályok polgári és büntetőjogi végrehajtását.
A HITECH törvény 13410. cikkének d) pontja, amely 2009. február 18-án lépett hatályba, a szociális biztonsági törvény (törvény) 1176. szakaszának a) pontját módosította a következők megállapításával:
- A jogsértések négy kategóriája, amelyek a bűnösség növekvő szintjét tükrözik;
- négy megfelelő szintű büntetési összeg, amely jelentősen megnöveli az egyes jogsértések minimális büntetési összegét; és
- az azonos rendelkezés minden megsértése esetén a maximális büntetési összeg 1,5 millió USD.
Ezenkívül módosította a törvény 1176 (b) szakaszát:
- A szankciók kiszabásának korábbi korlátozása, ha az érintett jogalany nem tudott és ésszerű körültekintéssel nem tudott volna a jogsértésről (az ilyen jogsértéseket most a legalacsonyabb büntetési szint alatt büntetik) ; és
- a 30 napos időtartamon belül kijavított jogsértés esetén a büntetések kiszabásának tilalma, feltéve, hogy a jogsértést nem szándékos elhanyagolás okozta.
Ez az ideiglenes végső szabály megfelel a HIPAA végrehajtási szabályainak ezeknek a törvényi felülvizsgálatoknak, amelyek jelenleg hatályosak a HITECH törvény 13410 (d) szakasza alapján. Ez az ideiglenes zárószabály nem módosítja a HITECH törvény azon végrehajtási rendelkezéseit, amelyek az alkalmazandó törvényi rendelkezések alapján még nem érvényesek.