TL;DR

Sie entwickeln Software, die mit Daten aus dem amerikanischen Gesundheitswesen in Berührung kommt? compliance HIPAA ist nicht verhandelbar.

Sicherheitsregel = ePHI verschlüsseln, Zugang sperren, alles protokollieren.

Datenschutzregel = Kontrolle, wer was sieht.

Regel zur Meldung von Sicherheitsverstößen = schnelle Bekanntgabe.

Und dank HITECH sind Sie (als Anbieter) direkt haftbar. Sorgen Sie dafür, dass diese BAAs unterzeichnet werden und Ihre Sicherheitsvorkehrungen streng sind.

HIPAA / HITECH Scorecard Zusammenfassung:

• Entwickelnde Aufwand: Hoch (Erfordert die Einführung strenger technischer Sicherheitsvorkehrungen - Zugangskontrollen, Audit-Protokollierung, Verschlüsselung; sorgfältiger Umgang mit PHI; sichere Kodierung gegen Datenrisiken im Gesundheitswesen; Unterstützung der BAA-Anforderungen).
• Tooling-Kosten: Mäßig bis hoch (Verschlüsselungstools, robuste Protokollierung/SIEM, starkes IAM/MFA, Schwachstellen-Scanner, möglicherweise spezielle Plattformen compliance HIPAA).
• Auswirkungen auf den Markt: Kritisch (obligatorisch für US-Gesundheitssoftware/-dienste, die PHI verarbeiten;compliance blockiert den Marktzugang und zieht schwere Strafen nach sich).
• Flexibel: Mäßig (Die Regeln legen fest , was geschützt werden muss, erlauben aber Flexibilität bei der Umsetzung von Schutzmaßnahmen auf der Grundlage von Risikoanalyse, Größe und Komplexität - "anpassbare" vs. "erforderliche" Spezifikationen).
• Intensität der Prüfung: Hoch (Prüfungen durch das HHS Office for Civil Rights (OCR) können durch Verstöße oder Beschwerden ausgelöst werden; erfordert den Nachweis von implementierten Schutzmaßnahmen und dokumentierten Richtlinien/Verfahren).

Was sind HIPAA / HITECH?

HIPAA (Health Insurance Portability and Accountability Act of 1996) ist ein US-Bundesgesetz, das in erster Linie dazu dient:

1. Schutz des Krankenversicherungsschutzes für Arbeitnehmer und ihre Familien, wenn sie den Arbeitsplatz wechseln oder verlieren (Übertragbarkeit).
2. Festlegung nationaler Standards für elektronische Gesundheitstransaktionen und Codesätze (Verwaltungsvereinfachung).
3. Schutz der Privatsphäre und der Sicherheit von individuell identifizierbaren Gesundheitsinformationen, die als geschützte Gesundheitsinformationen (PHI) bekannt sind.

Für Entwickler und Technologieunternehmen sind die wichtigsten Teile die Bestimmungen zur Verwaltungsvereinfachung, die durch mehrere Vorschriften umgesetzt werden:

• HIPAA-Datenschutzrichtlinie: Legt nationale Standards dafür fest, wann PHI verwendet und weitergegeben werden dürfen. Außerdem gewährt sie Einzelpersonen Rechte in Bezug auf ihre Gesundheitsinformationen (z. B. Zugang, Änderung). Gilt für "versicherte Einrichtungen" (Gesundheitspläne, Clearingstellen für das Gesundheitswesen, die meisten Gesundheitsdienstleister) und ihre "Geschäftspartner".
• HIPAA-Sicherheitsvorschrift: Legt nationale Standards für den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit elektronischer PHI (ePHI) fest, die eine betroffene Einrichtung oder ein Geschäftspartner erstellt, erhält, aufbewahrt oder überträgt. Sie schreibt spezifische administrative, physische und technische Schutzmaßnahmen vor.
• HIPAA-Benachrichtigungsvorschrift: Verlangt von betroffenen Einrichtungen und Geschäftspartnern, dass sie nach einem Verstoß gegen ungesicherte PHI benachrichtigt werden.

Zu den PHI gehören alle identifizierbaren Gesundheitsinformationen wie Namen, Daten, Diagnosen, Behandlungen, Krankenaktennummern, Bilder, Sozialversicherungsnummern usw., die mit dem Gesundheitszustand, der Bereitstellung von Pflege oder der Bezahlung der Pflege in Verbindung stehen. (Siehe Abschnitt 2.7.2 für die GDPR-Definition von personenbezogenen Daten, die sich überschneidet, aber einen anderen Anwendungsbereich hat).

Mit dem HITECH-Gesetz (Health Information Technology for Economic and Clinical Health) von 2009 wurde der HIPAA erheblich geändert:

• Verschärfung der Strafen: Erhöhte Bußgelder für HIPAA-Verstöße, Einführung eines abgestuften Strafrahmens auf der Grundlage des Verschuldens.
• Anwendung der Regeln auf Business Associates: Geschäftspartner (z. B. Softwareanbieter, Cloud-Provider, die PHI für eine betroffene Einrichtung verarbeiten) werden direkt für die Einhaltung der HIPAA-Sicherheitsregel und bestimmter Datenschutzbestimmungen haftbar gemacht.
• Förderung der Einführung von Gesundheits-IT: Förderung der Verwendung elektronischer Patientenakten (EHR).
• Verbesserung der Benachrichtigung bei Verstößen: Verschärfung der Anforderungen für die Benachrichtigung von Einzelpersonen und des HHS bei Verstößen gegen PHI.

Zusammen bilden HIPAA und HITECH die Rechtsgrundlage für den Schutz der Privatsphäre und der Sicherheit von Gesundheitsdaten in den Vereinigten Staaten.

Warum sind sie wichtig?

Compliance von HIPAA/HITECH ist für jeden, der in den USA mit PHI arbeitet, unverzichtbar:

• Das ist das Gesetz: Das Amt für Bürgerrechte (Office for Civil Rights, OCR) des US-Gesundheitsministeriums (Department of Health and Human Services, HHS) verhängt bei Verstößen erhebliche zivil- und möglicherweise auch strafrechtliche Strafen.
• Erforderlich für Unternehmen im Gesundheitswesen: Abgedeckte Einrichtungen (Krankenhäuser, Kliniken, Versicherer) verlangen von ihren Technologieanbietern (Business Associates), die mit PHI umgehen, die Einhaltung des HIPAA und die Unterzeichnung eines Business Associate Agreement (BAA). Keine compliance, kein BAA, kein Geschäft.
• Schützt die Privatsphäre der Patienten: Wahrt die grundlegenden Rechte der Patienten in Bezug auf ihre sensiblen Gesundheitsdaten.
• Gewährleistung der Datensicherheit: Verlangt spezifische Schutzmaßnahmen, um ePHI vor Verstößen zu schützen, die im Gesundheitswesen sehr häufig vorkommen und großen Schaden anrichten.
• Vermeidet massive Geldstrafen: Je nach Grad der Fahrlässigkeit können die Strafen von 100 Dollar pro Verstoß bis zu 1,5 Millionen Dollar pro Jahr und Verstoßkategorie reichen. Bei vorsätzlicher Vernachlässigung werden die höchsten Bußgelder verhängt.
• Verhindert Rufschädigung: Verstöße gegen den HIPAA untergraben das Vertrauen der Patienten und schaden dem Ruf sowohl der betroffenen Einrichtungen als auch der Geschäftspartner erheblich.
• Ermöglicht den Austausch von Gesundheitsdaten: Bietet die für den elektronischen Austausch von Gesundheitsdaten erforderliche Grundlage für Sicherheit und Datenschutz.

Für Entwickler, die Software oder Dienstleistungen entwickeln, die PHI berühren, ist die compliance HIPAA/HITECH eine grundlegende Voraussetzung für den Markteintritt und die Tätigkeit im US-Gesundheitssektor.

Was und wie umsetzen (technisch und politisch)

Die Umsetzung von HIPAA/HITECH beinhaltet die Erfüllung der Anforderungen der Datenschutz-, Sicherheits- und Benachrichtigungsregeln für Datenschutzverletzungen. Die Sicherheitsvorschrift ist für Entwickler technisch am relevantesten, da sie spezifische technische Schutzmaßnahmen vor schreibt (sowohl "erforderliche" als auch "adressierbare" Spezifikationen):

1. Zugangskontrolle (erforderlich und adressierbar):
   
   • Eindeutige Benutzeridentifikation (erforderlich): Weisen Sie eindeutige IDs zu, um Benutzeraktionen zu verfolgen.
   • Zugriffsverfahren für Notfälle (erforderlich): Sicherstellung des Zugriffs auf PHI in Notfällen.
   • Automatische Abmeldung (adressierbar): Implementierung von Sitzungs-Timeouts auf Workstations, die auf ePHI zugreifen.
   • Verschlüsselung und Entschlüsselung (adressierbar): Verschlüsselung von ePHI, wo dies sinnvoll und angemessen ist (wird in der Praxis oft für Daten im Ruhezustand/bei der Übertragung als erforderlich angesehen). Nachweise: RBAC-Konfiguration, Dokumente für den Zugang im Notfall, Einstellungen für die automatische Abmeldung, Details zur Implementierung der Verschlüsselung.
2. Audit-Kontrollen (erforderlich):
   
   • Implementierung von Hardware-, Software- oder Verfahrensmechanismen zur Aufzeichnung und Überprüfung von Aktivitäten in Systemen, die ePHI enthalten. In den Protokollen muss festgehalten werden, wer wann auf was zugegriffen hat. Nachweise: Konfiguration der Audit-Protokolle, Verfahren zur Überprüfung der Protokolle.
3. Integritätskontrollen (erforderlich und adressierbar):
   
   • Mechanismus zur Authentifizierung von ePHI (adressierbar): Implementierung von Maßnahmen (z. B. Prüfsummen, digitale Signaturen), um sicherzustellen, dass ePHI nicht unrechtmäßig verändert oder zerstört wurde. Beweise: Methoden zur Überprüfung der Integrität.
4. Authentifizierung der Person oder Einrichtung (erforderlich):
   
   • Einführung von Verfahren, mit denen überprüft werden kann, ob eine Person oder Einrichtung, die Zugang zu ePHI wünscht, auch diejenige ist, die sie vorgibt zu sein (z. B. Passwörter, PINs, biometrische Daten, MFA). Beweise: Authentifizierungsrichtlinien, MFA-Implementierung.
5. Übertragungssicherheit (erforderlich & adressierbar):
   
   • Integritätskontrollen (adressierbar): Schutz der übermittelten ePHI vor unzulässigen Änderungen ohne Entdeckung.
   • Verschlüsselung (adressierbar): Verschlüsselung von ePHI bei der Übertragung über elektronische Netze, wo dies sinnvoll und angemessen ist (z. B. Verwendung von TLS für Daten bei der Übertragung). Nachweise: Netzwerksicherheitskonfiguration, TLS-Implementierung, Datenübertragungsrichtlinien.

Neben den technischen Schutzvorkehrungen erfordert die Umsetzung:

• Risikoanalyse: Durchführung genauer und gründlicher Bewertungen potenzieller Risiken und Schwachstellen für ePHI.
• Administrative Sicherheitsvorkehrungen: Richtlinien, Verfahren, Mitarbeiterschulung, Ernennung von Sicherheitspersonal, Notfallplanung, Business Associate Agreements (BAAs).
• Physische Schutzmaßnahmen: Zugangskontrollen im Gebäude, Sicherheit der Arbeitsplätze, Geräte- und Medienkontrollen.
• Compliance Datenschutzrichtlinien: Umsetzung von Richtlinien für die Verwendung/Weitergabe von PHI, Bekanntmachung von Datenschutzpraktiken, Bearbeitung von Anfragen zu Patientenrechten (Zugang, Änderung).
• Benachrichtigung über Datenschutzverletzungen: Verfahren zur Erkennung von Sicherheitsverletzungen, zur Risikobewertung und zur Benachrichtigung von Einzelpersonen und HHS/OCR innerhalb der vorgeschriebenen Fristen (in der Regel 60 Tage).

Die Implementierung erfordert sichere Kodierung, robuste Infrastruktursicherheit (insbesondere bei der Nutzung von Clouds - erfordert BAA mit CSP), umfassende Protokollierung, strenge Zugangskontrollen, Verschlüsselung und umfassende Dokumentation.

Häufig zu vermeidende Fehler

Fehler bei compliance HIPAA/HITECH sind häufig und kostspielig:

1. Unvollständige Risikoanalyse: Das Versäumnis, eine gründliche, organisationsweite Risikoanalyse durchzuführen, um festzustellen, wo ePHI vorhanden ist und welchen Bedrohungen es ausgesetzt ist.
2. Ignorieren von "adressierbaren" Sicherheitsvorkehrungen: Fehlinterpretation von "adressierbar" als "optional". Wenn eine adressierbare Spezifikation nicht implementiert wird, muss die Entscheidung mit einer Begründung dokumentiert und eine gleichwertige Alternativmaßnahme implementiert werden, wenn dies sinnvoll ist. Verschlüsselung wird heute fast immer als sinnvoll erachtet.
3. Fehlende Audit-Protokollierung/Überprüfung: Keine ausreichende Protokollierung oder regelmäßige Überprüfung von Audit-Protokollen, um unzulässige Zugriffe oder Verstöße zu erkennen.
4. Unsachgemäße PHI-Entsorgung: Wegwerfen von Papierunterlagen oder elektronischen Medien, die PHI enthalten, ohne sie zu schreddern, zu löschen oder physisch zu vernichten.
5. Schwache Zugangskontrollen: Verwendung gemeinsamer Logins, fehlende Umsetzung des Prinzips der geringsten Rechte oder nicht sofortiger Entzug des Zugriffs bei Beendigung/Rollenwechsel.
6. Unverschlüsselte PHI: Übermittlung oder Speicherung von ePHI ohne angemessene Verschlüsselung, insbesondere auf mobilen Geräten oder Laptops.
7. Keine (oder unzureichende) Vereinbarungen mit Geschäftspartnern (Business Associate Agreements, BAAs): Gemeinsame Nutzung von PHI mit Anbietern (Cloud-Anbieter, Software-Tools) ohne unterzeichnete BAA, in der deren Verantwortlichkeiten dargelegt sind.
8. Unzureichende Mitarbeiterschulung: Mangel an regelmäßigen, dokumentierten Schulungen zu den HIPAA-Richtlinien und zum Sicherheitsbewusstsein, was zu menschlichen Fehlern führt (z. B. Phishing).
9. Verspätete Benachrichtigung über Datenschutzverletzungen: Das Versäumnis, Verstöße innerhalb des von der Breach Notification Rule vorgeschriebenen Zeitrahmens von 60 Tagen zu melden.
10. Nicht aktualisierte Richtlinien/Verfahren: Versäumnis, Sicherheitsrichtlinien, Risikoanalysen und Notfallpläne regelmäßig zu überprüfen und zu aktualisieren.

Was Wirtschaftsprüfer/Regulierungsbehörden fragen könntenEntwickelnde Focus)

Die Ermittler des HHS OCR, die ein HIPAA-Audit durchführen (oft ausgelöst durch Verstöße oder Beschwerden), werden die technischen Sicherheitsvorkehrungen, die sich auf die Entwicklung auswirken, genau unter die Lupe nehmen:

• (Zugangskontrolle) "Wie stellen Sie sicher, dass nur autorisierte Entwickler Zugang zu Systemen mit ePHI haben? Zeigen Sie mir Ihre rollenbasierten Zugangskontrollen und Ihr Überprüfungsverfahren."
• (Zugriffskontrolle) "Wie wird der Zugriff von Entwicklern protokolliert, wenn sie mit ePHI aus der Produktion interagieren (falls erlaubt)?"
• (Audit Controls) "Stellen Sie Audit-Protokolle zur Verfügung, die den Zugriff auf ePHI innerhalb der Anwendung belegen. Wie werden diese Protokolle geschützt und überprüft?"
• (Integrität) "Welche Mechanismen gewährleisten die Integrität von ePHI innerhalb der Anwendungsdatenbank?"
• (Authentifizierung) "Wie werden die Benutzer (Patienten, Anbieter, Entwickler) bei der Anwendung authentifiziert? Wird MFA verwendet?"
• (Übertragungssicherheit) "Zeigen Sie, wie ePHI während der Übertragung zwischen der Anwendung, den APIs und den Benutzern verschlüsselt wird (z. B. TLS-Konfiguration)."
• (Verschlüsselung) "Zeigen Sie, wie die von der Anwendung gespeicherten ePHI (Datenbanken, Backups) im Ruhezustand verschlüsselt werden."
• (Sichere Entwicklung) "Welche sicheren Codierungspraktiken und Tests (SAST/DAST) werden eingesetzt, um Schwachstellen zu verhindern, die ePHI offenlegen könnten?"
• (Minimum Necessary) "Wie schränkt das Anwendungsdesign den Zugriff auf/ die Anzeige von PHI auf der Grundlage der Benutzerrolle und des Kontexts ein?"

Sie verlangen dokumentierte Richtlinien, Verfahren, Risikoanalysen, Schulungsunterlagen, BAAs und technische Nachweise (Protokolle, Konfigurationen, Scan-Berichte), die belegen, dass die Sicherheitsvorkehrungen implementiert und wirksam sind.

Quick Wins für Entwicklungsteams

Entwicklerteams, die Anwendungen für das Gesundheitswesen entwickeln, können sich auf diese HIPAA-konformen Quick Wins konzentrieren:

1. Identifizieren und minimieren Sie PHI: Stellen Sie genau fest, wo PHI in Ihrer Anwendung fließt. Erfassen und speichern Sie nur das absolut notwendige Minimum an PHI.
2. Verschlüsseln Sie alles: Implementieren Sie eine starke Verschlüsselung für ePHI sowohl bei der Übertragung (TLS 1.2+) als auch im Ruhezustand (Datenbankverschlüsselung, Dateisystemverschlüsselung). Entwickeln Sie nicht Ihre eigene Verschlüsselung.
3. Erzwingen Sie starke Authentifizierung und Zugangskontrolle: Verwenden Sie eindeutige IDs, strenge Passwortrichtlinien und MFA. Implementieren Sie eine strenge rollenbasierte Zugriffskontrolle (RBAC), die auf dem Prinzip der geringsten Privilegien basiert.
4. Implementierung einer detaillierten Audit-Protokollierung: Protokollieren Sie alle Ereignisse im Zusammenhang mit Zugriff, Erstellung, Änderung und Löschung von ePHI. Stellen Sie sicher, dass die Protokolle fälschungssicher sind und zentral gespeichert werden.
5. Sichere Coding-Praktiken: Schulung von Entwicklern zu den OWASP Top 10 und den spezifischen Risiken von Gesundheitsdaten. Verwenden Sie SAST/SCA-Tools, um Schwachstellen zu finden.
6. Verwenden Sie HIPAA-zugelassene Cloud (mit BAA): Verwenden Sie bei der Nutzung von Cloud-Plattformen (AWS, Azure, GCP) nur Dienste, die als HIPAA-fähig eingestuft sind, und unterzeichnen Sie eine Geschäftspartnervereinbarung (BAA) mit dem Anbieter. Konfigurieren Sie die Dienste sicher.
7. Planen Sie die Datenvernichtung: Entwerfen Sie Systeme mit der Möglichkeit, bestimmte Patientendaten bei Bedarf sicher zu löschen.

Ignorieren Sie dies und... (Folgen der Compliance)

Ein Verstoß gegen die HIPAA/HITECH-Vorschriften kann schwerwiegende Folgen haben:

• Zivilrechtliche Geldsanktionen (CMP): HHS OCR verhängt Geldbußen auf der Grundlage einer abgestuften Struktur, die das Verschulden widerspiegelt:
  
  • Unwissend: $100 - $50k pro Verstoß (jährlich maximal $25k für identische Verstöße).
  • Angemessener Grund: $1k - $50k pro Verstoß (jährlich maximal $100k).
  • Vorsätzliche Vernachlässigung (korrigiert): $10k - $50k pro Verstoß (jährlich maximal $250k).
  • Vorsätzliche Vernachlässigung (nicht korrigiert): $50k+ pro Verstoß (jährlich maximal $1,5 Millionen+). Hinweis: Die jährlichen Höchstbeträge werden an die Inflation angepasst.
• Strafrechtliche Sanktionen: Das Justizministerium (Department of Justice, DOJ) bearbeitet Strafverfahren wegen wissentlicher Erlangung oder unzulässiger Weitergabe von PHI. Die Strafen umfassen:
  
  • Wissentlich: Bis zu 50.000 $ Geldstrafe, bis zu 1 Jahr Freiheitsentzug.
  • Vortäuschung falscher Tatsachen: Bis zu 100.000 $ Geldstrafe, bis zu 5 Jahre Haft.
  • Absicht des Verkaufs/der Weitergabe/des Gebrauchs zur Erzielung von Gewinn/Schaden: Bis zu 250.000 $ Geldstrafe, bis zu 10 Jahre Haft.
• Pläne für Abhilfemaßnahmen (CAPs): OCR verlangt von Unternehmen häufig neben Geldbußen auch die Umsetzung detaillierter, überwachter Korrekturmaßnahmenpläne.
• Schädigung des Rufs: Verstöße und hohe Geldstrafen schaden dem Vertrauen der Patienten und der öffentlichen Wahrnehmung.
• Rechtsstreitigkeiten: Personen, die durch eine Datenschutzverletzung geschädigt wurden, können Zivilklagen einreichen.
• Verlust von Geschäften: Abgedeckte Einrichtungen werden die Beziehungen zu nicht konformen Geschäftspartnern beenden.

FAQ

Wer muss den HIPAA einhalten?

Abgedeckte Einrichtungen (Gesundheitspläne, Clearingstellen für das Gesundheitswesen, Leistungserbringer im Gesundheitswesen, die bestimmte elektronische Transaktionen durchführen) und ihre Geschäftspartner (Personen oder Einrichtungen, die Funktionen ausüben oder Dienstleistungen für eine abgedeckte Einrichtung erbringen, die den Zugang zu PHI beinhalten, z. B. Softwareanbieter, Cloud-Anbieter, Abrechnungsdienste, Rechtsanwälte).

Was ist der Unterschied zwischen PHI und ePHI?

PHI (geschützte Gesundheitsinformationen) sind individuell identifizierbare Gesundheitsinformationen in jeder Form (mündlich, auf Papier, elektronisch). ePHI sind PHI, die in elektronischer Form erstellt, empfangen, aufbewahrt oder übertragen werden. Die HIPAA-Sicherheitsregel gilt speziell für ePHI.

Was ist eine Vereinbarung für Geschäftspartner (BAA)?

Ein BAA ist ein schriftlicher Vertrag, der gemäß HIPAA zwischen einer betroffenen Einrichtung und einem Geschäftspartner (oder zwischen zwei Geschäftspartnern) geschlossen werden muss. Darin werden die Verantwortlichkeiten des Geschäftspartners für den Schutz von PHI gemäß den HIPAA-Vorschriften festgelegt, einschließlich der Umsetzung von Schutzmaßnahmen und der Meldung von Verstößen. Die Weitergabe von PHI an einen Anbieter ohne BAA stellt einen Verstoß gegen den HIPAA dar.

Was ist der Unterschied zwischen "erforderlichen" und "adressierbaren" Spezifikationen in der Sicherheitsvorschrift?

• Erforderlich: Muss wie angegeben umgesetzt werden.
• Adressierbar: Muss bewertet werden. Wenn sie als vernünftig und angemessen erachtet wird, muss sie umgesetzt werden. Ist dies nicht der Fall, müssen die Gründe dafür dokumentiert und eine gleichwertige Alternativmaßnahme eingeführt werden, sofern dies sinnvoll ist. Adressierbar bedeutet nicht optional.

Wie lange haben wir Zeit, einen HIPAA-Verstoß zu melden?

Datenschutzverletzungen, die mehr als 500 Personen betreffen, müssen dem HHS OCR ohne unangemessene Verzögerung und spätestens 60 Tage nach ihrer Entdeckung gemeldet werden. Betroffene Personen müssen ebenfalls innerhalb von 60 Tagen benachrichtigt werden. Sicherheitsverletzungen, die weniger als 500 Personen betreffen, müssen protokolliert und jährlich an HHS OCR gemeldet werden (innerhalb von 60 Tagen nach Ende des Kalenderjahres). Die Gesetze der einzelnen Bundesstaaten können strengere Meldefristen vorsehen.

Gibt es eine HIPAA-Zertifizierung?

Nein, HHS OCR bietet keine offizielle HIPAA-Zertifizierung für Software, Organisationen oder Einzelpersonen an oder unterstützt diese. Unternehmen können sich auf die " compliance" berufen oder Bescheinigungen/Berichte von Dritten erhalten (z. B. SOC 2 + HIPAA), aber es gibt kein von der Regierung ausgestelltes HIPAA-Zertifikat.

Wie ändert HITECH den HIPAA?

HITECH verschärfte den HIPAA in erster Linie, indem es die Strafen erhöhte, Geschäftspartner direkt für die compliance haftbar machte, die Einführung von EHR förderte und die Regeln für die Meldung von Verstößen verbesserte. Im Wesentlichen wurde die Durchsetzung des HIPAA verschärft.