A Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH), promulgada como parte da Lei Americana de Recuperação e Reinvestimento de 2009, foi transformada em lei em 17 de fevereiro de 2009, para promover a adoção e o uso significativo da tecnologia da informação em saúde. O subtítulo D da Lei HITECH trata das questões de privacidade e segurança associadas à transmissão eletrônica de informações de saúde, em parte, por meio de várias disposições que fortalecem a aplicação civil e criminal das regras da HIPAA.
A seção 13410 (d) da Lei HITECH, que entrou em vigor em 18 de fevereiro de 2009, revisou a seção 1176 (a) da Lei da Previdência Social (a Lei) estabelecendo:
- Quatro categorias de violações que refletem níveis crescentes de culpabilidade;
- Quatro níveis correspondentes de valores de penalidade que aumentam significativamente o valor mínimo de penalidade para cada violação; e
- Uma penalidade máxima de $ 1,5 milhão para todas as violações de uma disposição idêntica.
Também alterou a seção 1176 (b) da Lei por:
- Riscar a barra anterior sobre a imposição de penalidades se a entidade coberta não soubesse e com o exercício de diligência razoável não teria sabido da violação (tais violações agora são puníveis sob o nível mais baixo de penalidades) ; e
- Proibir a imposição de penalidades por qualquer violação que seja corrigida no prazo de 30 dias, desde que a violação não seja decorrente de negligência deliberada.
Esta regra final provisória está em conformidade com os regulamentos de aplicação da HIPAA a essas revisões legais que estão atualmente em vigor de acordo com a seção 13410 (d) da Lei HITECH. Esta regra final provisória não faz alterações com relação às disposições de execução da Lei HITECH que ainda não estão em vigor de acordo com as disposições legais aplicáveis.