Einhaltung der Gesetze des Bundesstaates. Der Geschäftspartner muss die Datenschutz- und Sicherheitsgesetze des Bundesstaates einhalten. Wenn die Datenschutz- oder Sicherheitsregeln des HIPAA und die Gesetze des Bundesstaates, in dem sich die abgedeckte Einheit befindet, hinsichtlich des Schutzniveaus für geschützte Gesundheitsinformationen in Konflikt stehen, muss der Geschäftspartner die strengeren Schutzanforderungen einhalten.