Health Information Technology for Economic and Clinical Health (HITECH) Act, antagen som en del av American Recovery and Reinvestment Act of 2009, undertecknades i lag den 17 februari 2009 för att främja antagande och meningsfull användning av hälsoinformationsteknik. Underrubrik D i HITECH-lagen behandlar de integritets- och säkerhetsproblem som är förknippade med elektronisk överföring av hälsoinformation, delvis genom flera bestämmelser som stärker den civila och straffrättsliga tillämpningen av HIPAA-reglerna.
Avsnitt 13410 d i HITECH-lagen, som trädde i kraft den 18 februari 2009, reviderade avsnitt 1176 (a) i lagen om social trygghet (lagen) genom att fastställa:
- Fyra kategorier av överträdelser som återspeglar ökande skuldnivåer;
- Fyra motsvarande nivåer av straffbelopp som avsevärt höjer minimibeloppet för varje brott och
- Ett maximalt straffbelopp på 1,5 miljoner dollar för alla överträdelser av en identisk bestämmelse.
Det ändrade också avsnitt 1176 (b) i lagen genom att:
- Att slå det föregående fältet om påföljder om den täckta enheten inte visste och med en rimlig omsorg inte skulle ha känt till överträdelsen (sådana överträdelser är nu straffbara under det lägsta straffnivån) ; och
- Ett förbud mot införande av påföljder för alla överträdelser som korrigeras inom en 30-dagarsperiod, så länge överträdelsen inte berodde på avsiktlig försummelse.
Denna mellanliggande slutregel överensstämmer med HIPAA: s tillämpningsföreskrifter till dessa lagstadgade revisioner som för närvarande är effektiva enligt avsnitt 13410 (d) i HITECH-lagen. Denna slutliga slutregel gör inga ändringar med avseende på de verkställighetsbestämmelser i HITECH-lagen som ännu inte är effektiva enligt tillämpliga lagbestämmelser.