Ustawa o technologii informacyjnej zdrowia dla zdrowia ekonomicznego i klinicznego (HITECH), uchwalona jako część amerykańskiej ustawy o odbudowie i reinwestycji z 2009 roku, została podpisana w prawie 17 lutego 2009 r. w celu promowania przyjęcia i sensownego wykorzystania technologii informatycznych dotyczących zdrowia. Podtytuł D ustawy HITECH odnosi się do kwestii prywatności i bezpieczeństwa związanych z elektronicznym przesyłaniem informacji zdrowotnych, częściowo poprzez kilka przepisów wzmacniających egzekwowanie przepisów HIPAA w sprawach cywilnych i karnych.
Sekcja 13410 (d) ustawy HITECH, która weszła w życie 18 lutego 2009 r., zrewidowała art. 1176 (a) ustawy o zabezpieczeniu społecznym (Ustawa), ustanawiając:
- Cztery kategorie naruszeń, które odzwierciedlają rosnący poziom winy;
- Cztery odpowiednie poziomy kar, które znacznie zwiększają minimalną wysokość kary za każde naruszenie; oraz
- Maksymalna kwota kary w wysokości 1,5 miliona USD za wszystkie naruszenia tego samego postanowienia.
Wprowadził także zmiany w sekcji 1176 (b) Ustawy poprzez:
- Uderzenie poprzedniego zakazu nakładania kar, jeśli podmiot objęty ubezpieczeniem nie wiedziałby i przy zachowaniu należytej staranności nie wiedziałby o naruszeniu (takie naruszenia są obecnie karane w ramach najniższej kategorii kar) ; oraz
- Zakaz nakładania kar za wszelkie naruszenia, które zostaną naprawione w ciągu 30 dni, o ile naruszenie nie było spowodowane umyślnym zaniedbaniem.
Ta tymczasowa ostateczna zasada jest zgodna z przepisami wykonawczymi HIPAA do tych ustawowych zmian, które są obecnie obowiązujące na mocy sekcji 13410 (d) ustawy HITECH. Niniejsza tymczasowa reguła ostateczna nie wprowadza zmian w zakresie tych przepisów wykonawczych ustawy HITECH, które nie weszły jeszcze w życie na podstawie obowiązujących przepisów ustawowych.