Health Information Technology for Economic and Clinical Health (HITECH) Act, vedtatt som en del av American Recovery and Reinvestment Act of 2009, ble undertegnet i lov 17. februar 2009 for å fremme adopsjon og meningsfull bruk av helseinformasjonsteknologi. Undertittel D i HITECH-loven adresserer personvern- og sikkerhetsproblemene knyttet til elektronisk overføring av helseinformasjon, delvis gjennom flere bestemmelser som styrker den sivile og strafferettslige håndhevelsen av HIPAA-reglene.
Seksjon 13410 (d) i HITECH-loven, som trådte i kraft 18. februar 2009, reviderte § 1176 (a) i sosialforsikringsloven (loven) ved å etablere:
- Fire kategorier av brudd som reflekterer økende nivåer av skyld;
- Fire tilsvarende nivåer av straffebeløp som betydelig øker minimumsstraffbeløpet for hvert brudd; og
- Maksimumsstraff på $ 1,5 millioner for alle brudd på en identisk bestemmelse.
Det endret også lovens paragraf 1176 (b) ved å:
- Å slå den forrige baren for ileggelse av straffer hvis den omfattede enheten ikke visste det og med utøvelse av rimelig omhu ikke ville ha kjent til overtredelsen (slike overtredelser er nå straffbare under det laveste nivået av straffer) ; og
- Å gi et forbud mot å ilegge sanksjoner for ethvert brudd som er rettet innen en 30-dagers periode, så lenge overtredelsen ikke skyldtes forsettlig forsømmelse.
Denne midlertidige sluttregelen samsvarer med HIPAAs håndhevelsesbestemmelser til disse lovbestemte revisjonene som for tiden er effektive i henhold til paragraf 13410 (d) i HITECH Act. Denne midlertidige sluttregelen gjør ikke endringer med hensyn til de håndhevelsesbestemmelsene i HITECH-loven som ennå ikke er effektive i henhold til gjeldende lovbestemmelser.