พระราชบัญญัติเทคโนโลยีสารสนเทศด้านสุขภาพเพื่อเศรษฐกิจและสุขภาพทางคลินิกหรือเรียกย่อว่าพระราชบัญญัติ HITECHได้รับการประกาศใช้ภายใต้หัวข้อที่ 13 ของพระราชบัญญัติการฟื้นฟูและการลงทุนของอเมริกาปี 2009 ( Pub. L.  111–5 (ข้อความ) (PDF) ) ภายใต้พระราชบัญญัติ HITECH กระทรวงสาธารณสุขและบริการมนุษย์แห่งสหรัฐอเมริกา (US HHS) ได้ตัดสินใจที่จะใช้เงิน 25.9 พันล้านดอลลาร์เพื่อส่งเสริมและขยายการนำเทคโนโลยีสารสนเทศด้านสุขภาพ มา ใช้^{[ 1 ]}วอชิงตันโพสต์รายงานว่ามีการรวม "เงินมากถึง 36.5 พันล้านดอลลาร์ในการใช้จ่ายเพื่อสร้าง เครือข่าย บันทึกสุขภาพอิเล็กทรอนิกส์ทั่วประเทศ " ^{[ 2 ]}ในขณะที่ประกาศใช้ พระราชบัญญัตินี้ถือเป็น "กฎหมายด้านการดูแลสุขภาพที่สำคัญที่สุดที่ผ่านการอนุมัติในช่วง 20 ถึง 30 ปีที่ผ่านมา" ^{[ 3 ]}และเป็น "รากฐานสำหรับการปฏิรูปการดูแลสุขภาพ" ^{[ 3 ] [ 4 ]}

Farzad Mostashariอดีตผู้ประสานงานระดับชาติด้านเทคโนโลยีสารสนเทศด้านสุขภาพได้อธิบายว่า “คุณต้องการข้อมูลเพื่อให้สามารถจัดการสุขภาพของประชากรได้ คุณสามารถให้บริการแต่ละบุคคลได้อย่างดี คุณสามารถให้บริการลูกค้าได้อย่างยอดเยี่ยมหากคุณรอให้มีคนเดินเข้ามาแล้วจึงไปดึงแผนภูมิของพวกเขา สิ่งที่คุณทำไม่ได้กับแผนภูมิกระดาษคือการถามคำถามว่า 'ใครบ้างที่ไม่ได้เดินเข้ามา?'” ^{[ 5 ]}

ในช่วงหลายปีที่ผ่านมานับตั้งแต่มีการออกกฎหมายระบบบันทึกสุขภาพอิเล็กทรอนิกส์ในสหรัฐอเมริกาเริ่มแพร่หลายมากขึ้น แต่ยังไม่ชัดเจนว่ากฎหมายดังกล่าวมีส่วนทำให้เกิดการเปลี่ยนแปลงนี้มากน้อยเพียงใด^{[ 6 ]}แรงจูงใจในการใช้งานอย่างมีประสิทธิภาพตามกฎหมายนั้นใช้ได้กับโรงพยาบาลบางประเภทเท่านั้น อย่างไรก็ตาม การศึกษาในปี 2017 ชี้ให้เห็นว่าโรงพยาบาลเหล่านี้ได้นำระบบบันทึกสุขภาพอิเล็กทรอนิกส์มาใช้อย่างจริงจังมากขึ้น^{[ 6 ]}

พระราชบัญญัติ HITECH กำหนดให้การนำ EHR ที่ทำงานร่วมกันได้อย่างมีประสิทธิภาพมาใช้ ใน ระบบการดูแลสุขภาพของสหรัฐอเมริกาเป็นเป้าหมายสำคัญระดับชาติ และกระตุ้นให้เกิดการนำ EHR มาใช้^{[ 7 ] [ 8 ]} "เป้าหมายไม่ใช่เพียงแค่การนำมาใช้ แต่เป็นการ 'ใช้งาน EHR อย่างมีประสิทธิภาพ' นั่นคือ การที่ผู้ให้บริการใช้ EHR เพื่อให้บรรลุการปรับปรุงการดูแลอย่างมีนัยสำคัญ" ^{[ 9 ]}

มาตรา IV ของพระราชบัญญัตินี้ให้คำมั่นสัญญาว่าจะจ่ายเงินจูงใจสูงสุดสำหรับMedicaidให้แก่ผู้ที่นำ "EHR ที่ได้รับการรับรอง" มาใช้ โดยจ่ายเงิน 63,750 ดอลลาร์สหรัฐฯ ในระยะเวลา 6 ปี เริ่มตั้งแต่ปี 2011 ผู้เชี่ยวชาญที่เข้าเกณฑ์จะต้องเริ่มรับเงินภายในปี 2016 จึงจะมีสิทธิ์เข้าร่วมโครงการ สำหรับ Medicare การจ่ายเงินสูงสุดคือ 44,000 ดอลลาร์สหรัฐฯ ในระยะเวลา 5 ปี แพทย์ที่ไม่นำ EHR มาใช้ภายในปี 2015 จะถูกปรับลดเงินจาก Medicare ลง 1% และเพิ่มขึ้นเป็น 3% ในระยะเวลา 3 ปี พระราชบัญญัติ HITECH (ARRA) กำหนดให้แพทย์ต้องแสดงให้เห็นถึง "การใช้งานที่มีความหมาย" ของระบบ EHR เพื่อรับเงินกระตุ้น EHR ณ เดือนมิถุนายน 2010 ยังไม่มีข้อกำหนดเกี่ยวกับการปรับลดเงินสำหรับ Medicaid ^{[ 10 ]}

การแลกเปลี่ยนข้อมูลสุขภาพ (HIE) ได้กลายเป็นความสามารถหลักสำหรับโรงพยาบาลและแพทย์ในการบรรลุ "การใช้งานที่มีความหมาย" และรับเงินทุนกระตุ้นเศรษฐกิจ ตั้งแต่ปี 2015 เป็นต้นไป โรงพยาบาลและแพทย์จะต้องเสียค่าปรับทางการเงินภายใต้ Medicare หากไม่ใช้บันทึกสุขภาพอิเล็กทรอนิกส์^{[ 11 ]}

องค์ประกอบหลักของการใช้งานอย่างมีประสิทธิภาพ ได้แก่:

• การใช้งานระบบบันทึกข้อมูลสุขภาพอิเล็กทรอนิกส์ (EHR ) ที่ได้รับการรับรองอย่างมีประสิทธิภาพ เช่นการสั่งยาทางอิเล็กทรอนิกส์
• การใช้เทคโนโลยี EHR ที่ได้รับการรับรองสำหรับการแลกเปลี่ยนข้อมูลสุขภาพทางอิเล็กทรอนิกส์เพื่อปรับปรุงคุณภาพการดูแลสุขภาพ
• การใช้เทคโนโลยี EHR ที่ได้รับการรับรองเพื่อส่งข้อมูลคุณภาพทางคลินิกและมาตรการอื่นๆ

กล่าวอีกนัยหนึ่ง ผู้ให้บริการจำเป็นต้องแสดงให้เห็นถึงการใช้เทคโนโลยี EHR ที่ได้รับการรับรองในรูปแบบที่สามารถวัดผลได้อย่างมีนัยสำคัญทั้งในด้านคุณภาพและปริมาณ^{[ 12 ]}

การใช้งานระบบบันทึกข้อมูลสุขภาพอิเล็กทรอนิกส์ (EHR) อย่างมีประสิทธิภาพตามที่รัฐบาลสหรัฐฯ กำหนดไว้ สามารถแบ่งออกได้ดังนี้:

• ปรับปรุงการประสานงานด้านการดูแล
• ลดความเหลื่อมล้ำด้านการดูแลสุขภาพ
• สร้างความสัมพันธ์ที่ดีกับผู้ป่วยและครอบครัวของพวกเขา
• ปรับปรุงสุขภาพของประชากรและสาธารณชน
• รับรองความเป็นส่วนตัวและความปลอดภัยที่เพียงพอ

โครงการเทคโนโลยีสารสนเทศด้านสุขภาพของ รัฐบาลโอบามามีจุดประสงค์เพื่อใช้เงินลงทุนของรัฐบาลกลางในการกระตุ้นตลาดเวชระเบียนอิเล็กทรอนิกส์ผ่านการใช้:

• แรงจูงใจ: สำหรับผู้ให้บริการที่ใช้เทคโนโลยีสารสนเทศ
• มาตรฐานที่เข้มงวดและเปิดกว้าง: เพื่อให้มั่นใจว่าผู้ใช้และผู้ขายระบบบันทึกข้อมูลสุขภาพอิเล็กทรอนิกส์ (EHR) ทำงานไปสู่เป้าหมายเดียวกัน
• การรับรองซอฟต์แวร์: เพื่อให้มั่นใจว่าระบบบันทึกข้อมูลสุขภาพอิเล็กทรอนิกส์ (EHR) เป็นไปตามมาตรฐานคุณภาพ ความปลอดภัย และประสิทธิภาพขั้นพื้นฐาน

คำจำกัดความโดยละเอียดของ "การใช้งานที่มีความหมาย" ได้ถูกนำมาใช้ใน 3 ขั้นตอน รายละเอียดของแต่ละขั้นตอนได้รับการถกเถียงกันอย่างดุเดือดโดยกลุ่มต่างๆ ขั้นตอนที่ 1 ได้รับการสรุปในเดือนกรกฎาคม พ.ศ. 2553 ^{[ 13 ]} ขั้นตอนที่ 2 ในเดือนสิงหาคม พ.ศ. 2555 ^{[ 14 ]} และขั้นตอนที่ 3 ในเดือนตุลาคม พ.ศ. 2558 ^{[ 15 ]}

ขั้นตอนแรกในการบรรลุการใช้งานที่มีความหมายคือการมี EHR ที่ได้รับการรับรองและสามารถแสดงให้เห็นว่ามีการใช้งานเพื่อให้เป็นไปตามข้อกำหนด^{[ 16 ]}ขั้นตอนที่ 1 ประกอบด้วยวัตถุประสงค์/มาตรการ 25 ข้อสำหรับผู้ให้บริการที่มีคุณสมบัติ (EPs) และวัตถุประสงค์/มาตรการ 24 ข้อสำหรับโรงพยาบาลที่มีคุณสมบัติ วัตถุประสงค์/มาตรการเหล่านี้ถูกแบ่งออกเป็นชุดหลักและชุดเมนู EPs และโรงพยาบาลที่มีคุณสมบัติจะต้องบรรลุวัตถุประสงค์/มาตรการทั้งหมดในชุดหลัก (15 ข้อสำหรับ EPs และ 14 ข้อสำหรับโรงพยาบาลที่มีคุณสมบัติ) EPs จะต้องบรรลุ 5 ข้อจาก 10 ข้อในชุดเมนูในระหว่างขั้นตอนที่ 1 ซึ่งหนึ่งในนั้นจะต้องเป็นวัตถุประสงค์ด้านสาธารณสุข^{[ 17 ]}

รายการข้อกำหนดหลักทั้งหมด และรายการข้อกำหนดเมนูทั้งหมด:

ข้อกำหนดหลัก:

1. ใช้ระบบสั่งยาผ่านคอมพิวเตอร์
2. ดำเนินการตรวจสอบการแพ้ยาและปฏิกิริยาระหว่างยา
3. สร้างและส่งใบสั่งยาที่ถูกต้องตามกฎหมายทางอิเล็กทรอนิกส์
4. ข้อมูลประชากรที่บันทึกไว้
5. จัดทำรายการปัญหาที่เป็นปัจจุบันและที่ยังอยู่ระหว่างการวินิจฉัยให้เป็นปัจจุบันอยู่เสมอ
6. จัดทำรายการยาที่ผู้ป่วยใช้เป็นประจำ
7. หมั่นตรวจสอบรายชื่อยาที่ผู้ป่วยแพ้อยู่เสมอ
8. บันทึกและจัดทำแผนภูมิการเปลี่ยนแปลงของสัญญาณชีพ
9. บันทึกข้อมูลการสูบบุหรี่สำหรับผู้ป่วยที่มีอายุ 13 ปีขึ้นไป
10. นำกฎการสนับสนุนการตัดสินใจทางคลินิกมาใช้หนึ่งข้อ
11. รายงานมาตรการคุณภาพการดูแลผู้ป่วยนอกต่อCMSหรือหน่วยงานของรัฐ
12. จัดส่งสำเนาข้อมูลสุขภาพอิเล็กทรอนิกส์ให้ผู้ป่วยตามคำขอ
13. จัดทำสรุปข้อมูลทางการแพทย์ให้ผู้ป่วยทราบทุกครั้งที่มาพบแพทย์
14. ความสามารถในการแลกเปลี่ยนข้อมูลทางคลินิกที่สำคัญทางอิเล็กทรอนิกส์ระหว่างผู้ให้บริการและหน่วยงานที่ได้รับอนุญาตจากผู้ป่วย
15. ปกป้องข้อมูลสุขภาพอิเล็กทรอนิกส์ (ความเป็นส่วนตัวและความปลอดภัย)

ข้อกำหนดของเมนู:

1. ดำเนินการตรวจสอบรายการยาในบัญชียา
2. นำผลการตรวจทางห้องปฏิบัติการทางคลินิกมาผนวกเข้ากับระบบบันทึกข้อมูลสุขภาพอิเล็กทรอนิกส์ (EHR) ที่ได้รับการรับรอง ในรูปแบบข้อมูลที่มีโครงสร้าง
3. จัดทำรายชื่อผู้ป่วยตามโรคเฉพาะ เพื่อใช้ในการปรับปรุงคุณภาพ ลดความเหลื่อมล้ำ การวิจัย และการเผยแพร่ความรู้
4. ส่งข้อความเตือนไปยังผู้ป่วยตามความต้องการของผู้ป่วยเกี่ยวกับการดูแลเชิงป้องกัน/ติดตามผล
5. จัดให้ผู้ป่วยสามารถเข้าถึงข้อมูลสุขภาพของตนเองได้ทันท่วงทีผ่านทางอิเล็กทรอนิกส์ (รวมถึงผลการตรวจทางห้องปฏิบัติการ รายการปัญหา รายการยา และอาการแพ้)
6. ใช้ระบบบันทึกข้อมูลสุขภาพอิเล็กทรอนิกส์ (EHR) ที่ได้รับการรับรองเพื่อระบุแหล่งข้อมูลด้านการศึกษาเฉพาะบุคคลสำหรับผู้ป่วยแต่ละราย และจัดหาแหล่งข้อมูลเหล่านั้นให้แก่ผู้ป่วยหากเหมาะสม
7. ดำเนินการตรวจสอบความถูกต้องของยาที่ผู้ป่วยใช้ตามความเหมาะสม
8. จัดทำบันทึกสรุปการดูแลรักษาสำหรับช่วงเปลี่ยนผ่านการดูแลหรือการส่งต่อผู้ป่วย
9. ความสามารถในการส่งข้อมูลอิเล็กทรอนิกส์ไปยังทะเบียนข้อมูลการฉีดวัคซีนและการส่งข้อมูลจริง
10. ความสามารถในการจัดหาข้อมูลการเฝ้าระวังโรคทางอิเล็กทรอนิกส์แก่หน่วยงานสาธารณสุข และข้อมูลการแพร่กระจายที่แท้จริง

เพื่อรับเงินสนับสนุนจากรัฐบาลกลาง CMS กำหนดให้ผู้เข้าร่วมโครงการ Medicare EHR Incentive Program ต้อง "รับรอง" ว่าในช่วงระยะเวลารายงาน 90 วัน พวกเขาได้ใช้ EHR ที่ได้รับการรับรองและตรงตามเกณฑ์ Stage 1 สำหรับวัตถุประสงค์การใช้งานที่มีความหมายและมาตรการคุณภาพทางคลินิก สำหรับโครงการ Medicaid EHR Incentive Program ผู้ให้บริการจะปฏิบัติตามกระบวนการที่คล้ายกันโดยใช้ระบบการรับรองของรัฐ^{[ 18 ]}

ในปี 2017 รัฐบาลได้ฟ้องร้องผู้จำหน่าย EHR เป็นครั้งแรกในข้อหาให้ข้อมูลเท็จแก่ลูกค้าและรัฐบาลว่าระบบ EHR ของตนตรงตามข้อกำหนดสำหรับการใช้งานที่มีความหมาย eClinicalWorks ตกลงที่จะจ่ายเงิน 155 ล้านดอลลาร์เพื่อยุติข้อกล่าวหาของรัฐบาลและคดีฟ้องร้องแบบ "qui tam" ที่ยื่นโดยผู้แจ้งเบาะแสซึ่งได้นำระบบของ eClinicalWorks ไปใช้ที่เรือนจำ Rikers Island Correctional Facility ในนครนิวยอร์ก^{[ 19 ]}รัฐบาลยังกล่าวหาว่า eClinicalWorks จ่ายสินบนเพื่อแลกกับการส่งต่อผู้ป่วย^{[ 19 ]}รัฐบาลยังได้บรรลุข้อตกลงประนีประนอมแยกต่างหากกับพนักงานของ eClinicalWorks สามคน โดยจ่ายเงินให้รัฐบาลรวมทั้งสิ้น 80,000 ดอลลาร์เพื่อยุติข้อกล่าวหาทางแพ่ง^{[ 20 ]}

สำนักงานผู้ประสานงานแห่งชาติด้านเทคโนโลยีสารสนเทศสุขภาพ (ONC) จัดตั้งขึ้นภายในกระทรวงสาธารณสุขและบริการมนุษย์ ผู้ประสานงานแห่งชาติได้รับการแต่งตั้งโดยรัฐมนตรี และรายงานโดยตรงต่อรัฐมนตรี

ผู้ประสานงานระดับชาติมีหน้าที่รับผิดชอบในการพัฒนาเครือข่ายข้อมูลสุขภาพทั่ว^{ประเทศ} [ ^{21 ]}

คณะกรรมการนโยบาย HIT แนะนำกรอบนโยบายสำหรับการพัฒนาและการนำโครงสร้าง พื้นฐาน เทคโนโลยีสารสนเทศด้านสุขภาพ ทั่วประเทศมาใช้ ซึ่งอนุญาตให้มีการแลกเปลี่ยนและใช้ข้อมูลสุขภาพทางอิเล็กทรอนิกส์^{[ 22 ]}

คณะกรรมการมาตรฐาน HIT เสนอแนะมาตรฐาน ข้อกำหนดการดำเนินการ และเกณฑ์การรับรองแก่ผู้ประสานงานระดับชาติ นอกจากนี้ คณะกรรมการมาตรฐานยังประสานงาน ทดสอบนำร่อง และรับรองความสอดคล้องกับพระราชบัญญัติประกันสังคมด้วย

หมวด B ของพระราชบัญญัติ HITECH ได้กำหนดกรอบสำหรับการทดสอบและการรับรองเทคโนโลยีสารสนเทศด้านสุขภาพที่ใช้ในระบบการดูแลสุขภาพของสหรัฐอเมริกา บทบัญญัติดังกล่าวมีจุดประสงค์เพื่อสนับสนุนการนำระบบบันทึกสุขภาพอิเล็กทรอนิกส์ (EHR) ที่สามารถทำงานร่วมกันได้มาใช้ โดยการรับรองว่าระบบที่ได้รับการรับรองนั้นตรงตามข้อกำหนดด้านการทำงาน ความปลอดภัย และความสามารถในการทำงานร่วมกันที่เป็นมาตรฐาน^{[ 23 ]}

ภายใต้พระราชบัญญัติ HITECH ONC ได้พัฒนาโปรแกรมการรับรองเทคโนโลยีสารสนเทศด้านสุขภาพของ ONC ซึ่งกำหนดเกณฑ์การรับรองสำหรับเทคโนโลยี EHR ที่ใช้ในโปรแกรมจูงใจของรัฐบาลกลาง^{[ 24 ]}โดยทั่วไปแล้วผู้ให้บริการด้านการดูแลสุขภาพที่เข้าร่วมในโปรแกรมจูงใจ EHR ของ Medicare และ Medicaid จะต้องใช้เทคโนโลยี EHR ที่ได้รับการรับรองเพื่อที่จะมีสิทธิ์ได้รับเงินจูงใจที่เกี่ยวข้องกับการใช้งานที่มีความหมาย^{[ 25 ]}

กรอบการรับรองประกอบด้วยการทดสอบความสามารถต่างๆ เช่น การสั่งยาทางอิเล็กทรอนิกส์ การรายงานมาตรการคุณภาพทางคลินิก การควบคุมความเป็นส่วนตัวและความปลอดภัย และการแลกเปลี่ยนข้อมูลสุขภาพโดยใช้รูปแบบและโปรโตคอลมาตรฐาน^{[ 26 ]}ห้องปฏิบัติการทดสอบที่ได้รับการรับรอง (ATLs) และหน่วยงานรับรองที่ได้รับอนุญาต (ACBs) ได้รับการอนุมัติจาก ONC ให้ดำเนินการทดสอบและกิจกรรมการรับรอง^{[ 27 ]}

เมื่อเวลาผ่านไป ข้อกำหนดการรับรองได้ขยายออกไปเพื่อรวมมาตรฐานการทำงานร่วมกัน เช่น มาตรฐาน Fast Healthcare Interoperability Resources (FHIR) และอินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (API) ซึ่งมีจุดประสงค์เพื่อสนับสนุนการเข้าถึงของผู้ป่วยและการแลกเปลี่ยนข้อมูล^{[ 28 ]}

นักวิจารณ์โครงการรับรองโต้แย้งว่าระบบ EHR ที่ได้รับการรับรองบางระบบยังคงใช้งานยากและไม่สามารถบรรลุความสามารถในการทำงานร่วมกันได้อย่างสม่ำเสมอแม้ว่าจะตรงตามข้อกำหนดการรับรองอย่างเป็นทางการก็ตาม^{[ 29 ]}คนอื่นๆ โต้แย้งว่ากระบวนการทดสอบและการรับรองช่วยสร้างมาตรฐานพื้นฐานระดับชาติสำหรับฟังก์ชันการทำงานของ EHR และเร่งการแปลงบันทึกสุขภาพให้เป็นดิจิทัลในสหรัฐอเมริกา^{[ 30 ]}

พระราชบัญญัติ HITECH กำหนดให้หน่วยงานที่อยู่ภายใต้พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ (HIPAA) ต้องรายงานการละเมิดข้อมูลที่ส่งผลกระทบต่อบุคคล 500 คนขึ้นไปต่อกระทรวงสาธารณสุขและบริการมนุษย์แห่งสหรัฐอเมริกา (US HHS) สื่อมวลชน และบุคคลที่ได้รับผลกระทบจากการละเมิดข้อมูล^{[ 31 ]}บทบัญญัติย่อยนี้ขยายบทบัญญัติความเป็นส่วนตัวและความปลอดภัยของ HIPAA ฉบับสมบูรณ์ไปยังผู้ร่วมธุรกิจของหน่วยงานที่อยู่ภายใต้การคุ้มครอง^{[ 32 ]}ซึ่งรวมถึงการขยายบทลงโทษทางแพ่งและทางอาญาที่ปรับปรุงแล้วไปยังผู้ร่วมธุรกิจที่เกี่ยวข้อง การเปลี่ยนแปลงเหล่านี้จะต้องรวมอยู่ในข้อตกลงผู้ร่วมธุรกิจ (BAA) ระหว่างหน่วยงานที่อยู่ภายใต้การคุ้มครองด้วย เมื่อวันที่ 30 พฤศจิกายน 2552 ข้อบังคับที่เกี่ยวข้องกับการปรับปรุงการบังคับใช้ HIPAA มีผลบังคับใช้^{[ 33 ]}พระราชบัญญัติ HITECH ยังได้กำหนดโครงสร้างค่าปรับทางแพ่งสี่ระดับสำหรับการละเมิด HIPAA โดยพิจารณาจากระดับความผิด ตั้งแต่ 100 ดอลลาร์ต่อการละเมิดสำหรับการละเมิดที่หน่วยงานที่อยู่ภายใต้การคุ้มครองไม่ทราบและไม่สามารถทราบการละเมิดได้อย่างสมเหตุสมผล ไปจนถึงขั้นต่ำ 50,000 ดอลลาร์ต่อการละเมิดสำหรับการละเมิดที่เกิดจากการละเลยโดยเจตนาที่ไม่ได้รับการแก้ไขภายใน 30 วัน โดยมีวงเงินสูงสุดต่อปีที่ 1,500,000 ดอลลาร์สำหรับการละเมิดทั้งหมดของข้อกำหนดเดียวกัน^{[ 34 ]}ในปี 2019 HHS ได้ใช้ดุลยพินิจในการบังคับใช้เพื่อกำหนดวงเงินค่าปรับต่อปีแยกต่างหากสำหรับแต่ละระดับ ลดค่าปรับสูงสุดต่อปีสำหรับระดับความผิดต่ำสุดเหลือ 25,000 ดอลลาร์ และสำหรับการละเมิดที่มีเหตุอันควรเหลือ 100,000 ดอลลาร์^{[ 35 ] [ 36 ]}

การเปลี่ยนแปลงที่สำคัญอีกประการหนึ่งที่เกิดจากหัวข้อย่อย D ของพระราชบัญญัติ HITECH คือข้อกำหนดการแจ้งเตือนการละเมิดข้อมูลใหม่ ซึ่งกำหนดข้อกำหนดการแจ้งเตือนใหม่สำหรับหน่วยงานที่อยู่ภายใต้การคุ้มครอง ผู้ร่วมธุรกิจ ผู้ขายบันทึกสุขภาพส่วนบุคคล (PHR) และหน่วยงานที่เกี่ยวข้อง หากเกิดการละเมิดข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ที่ไม่ปลอดภัย เมื่อวันที่ 27 เมษายน 2552 กระทรวงสาธารณสุขและบริการมนุษย์ (HHS) ได้ออกแนวทางเกี่ยวกับวิธีการรักษาความปลอดภัยข้อมูลสุขภาพที่ได้รับการคุ้มครองอย่างเหมาะสม^{[ 37 ]}ทั้ง HHS และคณะกรรมการการค้าแห่งสหรัฐอเมริกา (FTC)มีหน้าที่ภายใต้พระราชบัญญัติ HITECH ที่จะออกกฎระเบียบที่เกี่ยวข้องกับข้อกำหนดการแจ้งเตือนการละเมิดข้อมูลใหม่ กฎของ HHS ได้รับการตีพิมพ์ใน Federal Register เมื่อวันที่ 24 สิงหาคม 2552 ^{[ 38 ]}และกฎของ FTC ได้รับการตีพิมพ์เมื่อวันที่ 25 สิงหาคม 2552 ^{[ 39 ]}

การเปลี่ยนแปลงที่สำคัญสุดท้ายในหัวข้อ D ของพระราชบัญญัติ HITECH คือการนำกฎใหม่มาใช้สำหรับการบัญชีการเปิดเผยข้อมูลสุขภาพของผู้ป่วย โดยขยายข้อกำหนดการบัญชีการเปิดเผยข้อมูลในปัจจุบันไปถึงข้อมูลที่ใช้ในการรักษา การชำระเงิน และการดำเนินงานด้านการดูแลสุขภาพ เมื่อองค์กรใช้ระบบบันทึกสุขภาพอิเล็กทรอนิกส์ (EHR) ข้อกำหนดใหม่นี้ยังจำกัดกรอบเวลาสำหรับการบัญชีไว้ที่สามปี แทนที่จะเป็นหกปีอย่างที่เป็นอยู่ในปัจจุบัน การเปลี่ยนแปลงเหล่านี้มีผลบังคับใช้ในวันที่ 1 มกราคม 2554 สำหรับองค์กรที่นำ EHR มาใช้ระหว่างวันที่ 1 มกราคม 2552 ถึง 1 มกราคม 2554 และวันที่ 1 มกราคม 2556 สำหรับองค์กรที่นำ EHR มาใช้ก่อนวันที่ 1 มกราคม 2552

หัวข้อย่อย D ยังรวมถึง "คำสั่งของบุคคลที่สาม" ซึ่งระบุว่าบุคคลมีสิทธิที่จะได้รับสำเนาข้อมูลสุขภาพของตนในรูปแบบอิเล็กทรอนิกส์ และหากบุคคลนั้นเลือกที่จะสั่งให้หน่วยงานที่อยู่ภายใต้การคุ้มครองส่งสำเนาดังกล่าวไปยังหน่วยงานหรือบุคคลที่บุคคลนั้นกำหนดโดยตรง แม้ว่า HHS จะตีความข้อจำกัดตามกฎหมายเกี่ยวกับการจัดส่งเวชระเบียนให้กับบุคคลว่าใช้กับเวชระเบียนที่จัดส่งภายใต้คำสั่งของบุคคลที่สาม แต่คำตัดสินในปี 2020 ของศาลแขวงสหรัฐอเมริกาประจำเขตโคลัมเบียได้ยกเลิกระเบียบดังกล่าวโดยให้เหตุผลว่าไม่ได้ผ่านกระบวนการแจ้งให้ทราบและรับฟังความคิดเห็น^{[ 40 ]}

เมื่อวันที่ 25 มกราคม 2556 HHS ได้เผยแพร่กฎ HIPAA Omnibus Rule ซึ่งสรุปบทบัญญัติที่เหลืออยู่ของ HITECH Act และแทนที่กฎชั่วคราวและกฎที่เสนอไว้ก่อนหน้านี้ 4 ข้อ^{[ 41 ]}กฎ Omnibus Rule ทำให้ผู้ร่วมธุรกิจต้องรับผิดชอบโดยตรงต่อการปฏิบัติตามกฎความปลอดภัยของ HIPAA แทนที่มาตรฐานการแจ้งเตือนการละเมิดชั่วคราว "ความเสี่ยงต่ออันตราย" ด้วยการประเมินที่เป็นกลางมากขึ้น และห้ามการขายข้อมูลสุขภาพที่ได้รับการคุ้มครองโดยไม่ได้รับอนุญาตจากผู้ป่วย^{[ 42 ]}

เมื่อวันที่ 14 กรกฎาคม 2553 HHS ได้ออกกฎที่ระบุหมวดหมู่ต่างๆ ซึ่งรวมถึงหน่วยงาน 701,325 แห่งและผู้ร่วมธุรกิจ 1.5 ล้านรายที่จะสามารถเข้าถึงข้อมูลผู้ป่วยได้โดยไม่ต้องได้รับความยินยอมจากผู้ป่วย หลังจากที่ผู้ป่วยได้ให้ความยินยอมทั่วไปต่อการเปิดเผยข้อมูล HIPAA ของแพทย์แล้ว ^{[ 43 ] [ 44 ]}

ในเดือนมกราคม พ.ศ. 2567 HHS ได้สรุปการแก้ไข42 CFR ส่วนที่ 2ซึ่งควบคุมการรักษาความลับของ บันทึกการรักษาความผิดปกติจาก การใช้สารเสพติด (SUD) เพื่อให้การคุ้มครองเหล่านี้สอดคล้องกับกรอบการแจ้งเตือนการละเมิดของพระราชบัญญัติ HITECH กฎสุดท้ายซึ่งดำเนินการตามมาตรา 3221 ของพระราชบัญญัติ CARESขยายข้อกำหนดการแจ้งเตือนการละเมิดของ HITECH ไปยังบันทึกส่วนที่ 2 ซึ่งหมายความว่าการเปิดเผยข้อมูลการรักษา SUD โดยไม่ได้รับอนุญาตจะทำให้เกิดภาระผูกพันในการแจ้งเตือนเช่นเดียวกับที่ใช้กับข้อมูลสุขภาพที่ได้รับการคุ้มครองอื่น ๆ ภายใต้ HIPAA และ HITECH ^{[ 45 ]}กฎนี้ยังปรับโครงสร้างการลงโทษทางแพ่งและทางอาญาของส่วนที่ 2 ให้สอดคล้องกับกรอบการบังคับใช้แบบหลายระดับที่กำหนดโดยพระราชบัญญัติ HITECH และอนุญาตให้หน่วยงานที่อยู่ภายใต้ HIPAA และผู้ร่วมธุรกิจสามารถเปิดเผยบันทึกส่วนที่ 2 อีกครั้งโดยสอดคล้องกับกฎของ HIPAA การปฏิบัติตามข้อกำหนดนี้ต้องเสร็จสิ้นภายในวันที่ 16 กุมภาพันธ์ พ.ศ. 2569 ^{[ 46 ]}

• กฎทั่วไป
• กฎทั่วไป

• Gold, Marsha; McLaughlin, Catherine (2016). "การประเมินการดำเนินงาน HITECH และบทเรียน: 5 ปีต่อมา" The Milbank Quarterly . 94 (3): 654– 687. doi : 10.1111/1468-0009.12214 . ISSN  0887-378X . PMC  5020152 . PMID  27620687 .

• หัวข้อ XXX—พระราชบัญญัติเทคโนโลยีสารสนเทศด้านสุขภาพและคุณภาพการบริการสาธารณสุขฉบับแก้ไขเพิ่มเติม ( PDF / รายละเอียด ) ในชุดรวบรวมกฎหมายของ GPO
• พระราชบัญญัติ HITECHตามที่ประกาศใช้ ( รายละเอียด ) ในประมวลกฎหมายสหรัฐอเมริกา
• รายงานการประเมินต้นทุนของสำนักงานงบประมาณรัฐสภาวันที่ 16 มกราคม 2552
• การรั่วไหลของข้อมูลที่ส่งผลกระทบต่อบุคคล 500 คนขึ้นไป
• วิธีการใช้ศัพท์เฉพาะของอินเทอร์เฟซ ทำให้ข้อมูลสุขภาพที่เป็นมาตรฐานเป็นไปได้วารสาร AHIMA 83, ฉบับที่ 7 (กรกฎาคม 2555): 30–35