إزالة التعريف من HIPAA بدون دكتوراه في Regex...

إزالة التعريف من HIPAA بدون دكتوراه في Regex: إنشاء نمط MRN بمساعدة الذكاء الاصطناعي

تنسيق رقم السجل الطبي لمستشفاكم غير موجود في أي أداة PII قياسية. إليكم كيفية إضافته في 5 دقائق دون كتابة سطر واحد من regex.

تواجه فرق تكنولوجيا المعلومات في الرعاية الصحية التي تنفذ إزالة التعريف من HIPAA تحديًا محددًا لا يوجد في قطاعات أخرى: المعرف الذي تحتاجه أكثر للكشف — رقم السجل الطبي — يتم تعريفه من قبل مؤسستهم الخاصة، وليس من قبل أي معيار وطني.

النتيجة: تتطلب كل عملية تنفيذ لإزالة التعريف من HIPAA في نظام الرعاية الصحية تكوينًا مخصصًا. بدون تكوين مخصص، تمر MRNs عبر مجموعات البيانات "المزالة التعريف" دون اكتشاف.

فوضى MRN متعددة المرافق

تحتوي الشبكات الصحية التي تم بناؤها على مدار سنوات من الاستحواذ على مرافق تحتوي على أنظمة EHR قديمة — كل منها بتنسيق MRN خاص بها تم تأسيسه منذ عقود:

• مستشفى Memorial (Epic منذ 2015): MRN:XXXXXXX (رقم مكون من 7 أرقام مع بادئة)
• مستشفى St. Mary's (نظام Cerner القديم): PT-YYYYY (5 أرقام مع بادئة للمريض)
• مستشفى الجامعة (Meditech 6.0): UHN-XXXXXXXXXX (10 أحرف أبجدية رقمية)
• العيادة التابعة (EMR مستقل): Cd{5} (C متبوعًا بـ 5 أرقام)

يتطلب ملاذ HIPAA الآمن إزالة جميع فئات المعرفات الـ 18، بما في ذلك "أرقام السجلات الطبية" (الفئة 8). أداة إزالة التعريف التي لا تعرف هذه التنسيقات تفوتها تمامًا. تحتوي مجموعة البيانات "المزالة التعريف" على جميع MRNs لجميع تنسيقات المرافق الأربعة.

توثق مجتمع ServiceNow الصحي هذه النقطة المؤلمة بشكل خاص: تجد فرق تكنولوجيا المعلومات في الرعاية الصحية التي تحاول تحديد PHI من ملاحظات العمل HR أن تكوينات Presidio القياسية تكشف عن SSNs وأرقام الهواتف بينما تفوت تمامًا MRNs الخاصة بالمرافق.

حاجز Regex

يتطلب بناء معرّفات مخصصة في Microsoft Presidio (الأساس مفتوح المصدر للعديد من أدوات HIPAA) ما يلي:

• فهم فئة PatternRecognizer
• كتابة أنماط regex بصيغة Python
• تكوين ملفات YAML لتسجيل المعرفات
• فهم درجات الثقة وكلمات السياق
• الاختبار باستخدام نصوص Python
• تصحيح المعرفات الفاشلة

بالنسبة لمتخصصي تكنولوجيا المعلومات في الرعاية الصحية الذين ليس لديهم خلفية في Python، فإن هذا يخلق حاجزًا تقنيًا كبيرًا. لا يمكن لموظف الامتثال الذي يعرف بالضبط ما هو تنسيق MRN:XXXXXXX تكوين معرّف Presidio دون إما تعلم Python أو الانتظار للحصول على تذكرة هندسية.

النتيجة النموذجية: تظل فجوة الامتثال مفتوحة بينما تجلس تذكرة الهندسة في قائمة انتظار لمدة 6-8 أسابيع.

توليد الأنماط بمساعدة الذكاء الاصطناعي

البديل: وصف النمط بلغة بسيطة، والحصول على regex يعمل.

العملية:

1. افتح منشئ الكيان المخصص
2. قدم أمثلة: "هذه تبدو مثل أرقام MRN من نظامنا: MRN:1234567، MRN:9876543، MRN:0001234"
3. يولد الذكاء الاصطناعي النمط: MRN:d{7}
4. اختبر ضد 10 ملخصات خروج عينة
5. هل تم الكشف عن جميع MRNs؟ احفظ وطبق.

بالنسبة للشبكة متعددة المرافق التي تحتوي على أربعة تنسيقات MRN:

• مستشفى Memorial: وصف التنسيق → MRN:d{7}
• مستشفى St. Mary's: وصف التنسيق → PT-d{5}
• مستشفى الجامعة: وصف التنسيق → UHN-[A-Z0-9]{10}
• العيادة التابعة: وصف التنسيق → Cd{5}

أنشئ أربعة كيانات مخصصة، واجمعها في إعداد "كشف MRN الشبكي"، وطبقها على جميع معالجة الوثائق. الوقت الإجمالي: بعد ظهر واحد من عمل موظف الامتثال.

التحقق من صحة شهادة الملاذ الآمن

يتطلب أسلوب الملاذ الآمن في HIPAA أن "لا يكون لدى الكيان المغطى معرفة فعلية بأن المعلومات يمكن استخدامها بمفردها أو بالاشتراك مع معلومات أخرى لتحديد فرد ما."

بالنسبة للكشف القائم على الكيانات المخصصة، يوضح التحقق من الصحة الاكتمال:

الخطوة 1: استخراج العينة اسحب 100 ملخص خروج من كل نوع من المرافق. اخلط بين السكان المرضى، والأقسام، والفترات الزمنية.

الخطوة 2: المعالجة الآلية قم بتشغيل جميع 400 وثيقة من خلال الكشف عن الكيانات المخصصة.

الخطوة 3: عينة التحقق البشري راجع يدويًا 20 وثيقة تمت معالجتها (عينة 5%). ابحث عن:

• أي سلاسل تبدو مثل MRNs ولكن لم يتم اكتشافها (سلبيات كاذبة)
• أي سلاسل غير MRN تم الإشارة إليها بشكل غير صحيح (إيجابيات كاذبة)

الخطوة 4: تحسين النمط إذا تم العثور على سلبيات كاذبة: قم بتحسين النمط أو إضافة مطابقة السياق. إذا كانت الإيجابيات الكاذبة عديدة: أضف قيود حدود الكلمات أو تحقق من السياق.

الخطوة 5: الوثائق سجل: تعريف الكيان المخصص، حجم عينة التحقق، نتائج التحقق، وتاريخ التحقق. تدعم هذه الوثائق شهادة الملاذ الآمن.

ما بعد MRNs: تغطية كاملة للملاذ الآمن في HIPAA

بعد معالجة فجوة كشف MRN، راجع جميع فئات الملاذ الآمن الـ 18 للاكتمال:

بالنسبة لمعالجة النصوص السريرية، تتطلب الفئات 8 و9 و10 و18 بشكل شائع إضافة كيان مخصص.

سياق الوثائق السريرية

تعد ملخصات الخروج، والملاحظات السريرية، وتقارير العمليات هي الوثائق الرئيسية التي تتطلب إزالة التعريف من HIPAA لمشاركة الأبحاث. تحتوي هذه الوثائق على:

• MRNs في الرؤوس والتذييلات
• أرقام الحسابات في أقسام الفواتير
• تواريخ في كل مكان (القبول، الإجراءات، المختبرات، الأدوية)
• أسماء الأطباء وأرقام DEA
• معلومات الأطباء المحالين
• معرفات أعضاء التأمين

يوفر الكشف عن الكيانات المخصصة للتنسيقات الخاصة بالمؤسسة (MRNs، أرقام الحسابات) مع الكشف القياسي للتنسيقات العالمية (التواريخ، الأسماء، أرقام الهواتف) التغطية الكاملة التي تتطلبها HIPAA Safe Harbor.

الخاتمة

إزالة التعريف من HIPAA بدون تكوين كيان مخصص ليست إزالة تعريف HIPAA Safe Harbor. كل تنسيق MRN لمؤسسة الرعاية الصحية فريد. تفوت أدوات PII القياسية عليهم. لا يمكن لفرق الامتثال الانتظار حتى تغلق قوائم الانتظار الهندسية هذه الفجوة.

تقلل توليد الأنماط بمساعدة الذكاء الاصطناعي فجوة الامتثال من 6-8 أسابيع من الوقت الهندسي إلى بعد ظهر واحد من عمل موظف الامتثال. وصف التنسيق، والتحقق من العينات، ونشره في الإنتاج.

المصادر:

• HIPAA Safe Harbor: 45 CFR §164.514(b) — 18 فئة معرف
• مجتمع ServiceNow: تحديد PHI/PII من ملاحظات العمل HR
• HHS: إرشادات حول إزالة التعريف من PHI