18 HIPAA идентификатора, пропускани от вашия инструмент
Актуализирано за 2026 г.
HIPAA изброява 18 категории PHI идентификатори. Повечето инструменти за анонимизация разпознават може би шест. Останалите дванадесет преминават незабелязано — и всеки от тях представлява пропуск в съответствието.
Правилото Safe Harbor
Правилото за поверителност на HIPAA (45 CFR § 164.514) определя деидентификацията по Safe Harbor. Всички 18 категории идентификатори трябва да бъдат премахнати. Премахнете всеки един и данните са деидентифицирани по закон. Затова Safe Harbor е популярно: то е или успех, или провал — не преценка.
Осемнадесетте категории са:
- Имена
- Географски данни под ниво щат — улица, град, окръг, пощенски код
- Дати с изключение на година — раждане, хоспитализация, изписване, смърт
- Телефонни номера
- Факс номера
- Имейл адреси
- Номера за социално осигуряване
- Идентификатори на медицинско досие (MRN)
- Кодове на бенефициери на здравни планове
- Идентификатори на сметки
- Кодове на сертификати и лицензи
- Идентификатори на превозни средства и серийни кодове
- Идентификатори на устройства и серийни кодове
- Уеб URL адреси
- IP адреси
- Биометрични идентификатори — пръстови отпечатъци, гласови отпечатъци
- Пълни снимки на лице и подобни изображения
- Всеки друг уникален идентификационен код или стойност
Повечето инструменти обработват добре категории 1, 4, 6 и 7. Редовно пропускат 8, 9, 10, 11, 13 и 18.
Пропастта при MRN
Идентификаторите на медицинско досие са в категория 8. Форматите на MRN се определят от всяка болница. Няма национален стандарт в САЩ.
Болница А използва 7-цифрено цяло число. Болница Б използва "PT-YYYYNNNN". Болница В използва 8-знаков буквено-цифров низ. Болница Г пише "MRN: " преди 9-цифрен код.
Геничен инструмент няма да маркира "PT-2024-8847" като PHI. Документът преминава проверките за деидентификация. Но не е деидентифициран. Никакво предупреждение не се задейства. Екипът смята, че работата е свършена. Тя не е.
Това е най-лошият вид пропуск: безмълвен.
Три начина за отстраняване
Кодирайте в Presidio. Това изисква познания по Python и непрекъсната поддръжка. Работи, но изисква усилия.
Добавете ръчен преглед. Човек проверява всеки документ за MRN. Не е мащабируемо.
Използвайте AI-подпомагано създаване на потребителски обекти. Без код. Екипът предоставя примерни стойности. AI изгражда шаблона.
Ето как работи. Екип предоставя пет примерни стойности на MRN: SVHS-0012345, SVHS-0987654, SVHS-1122334, SVHS-4455667, SVHS-8899001. AI връща SVHS-\d{7} и го проверява спрямо примерите. Екипът го запазва в своя HIPAA пресет. Всички бъдещи сесии разпознават формата. Същият подход работи за кодовете на бенефициери и серийните кодове на устройствата.
Вижте как работят пресетите в ръководството за разпознаване на MRN по HIPAA. Научете за AI работния процес за шаблони.
Скрито допускане
Много екипи тестват с примерен документ, съдържащ име и телефонен номер. Инструментът преминава. Те приемат пълно покритие. Но примерите рядко включват специфични за институцията идентификатори. MRN и кодовете на бенефициери изглеждат като произволни низове за генеричен инструмент. Преминават без маркиране.
Един истински одит по Safe Harbor съпоставя всички 18 категории с метод за разпознаване. За категория 8 проверете с реални MRN примери от вашата болница. Не приемайте, че инструментът познава вашия формат.
Прегледайте пълната рамка в нашия преглед на съответствието с HIPAA.
Заключение
Safe Harbor изисква всички 18 категории идентификатори да бъдат премахнати. Генеричните инструменти обхващат значително по-малко. Пропастите — MRN, кодове на бенефициери, серийни кодове на устройства — нямат стандартен формат, затова генеричните инструменти ги пропускат. AI-подпомаганите потребителски обекти затварят пропастта без код или ръчен преглед.
Източници
- HHS: HIPAA Safe Harbor, 45 CFR § 164.514 — hhs.gov.
- Shaip: PHI типове идентификатори при деидентификация в здравеопазването — shaip.com.
- HHS OCR: Насоки за деидентификация, актуализирани 2024 г. — hhs.gov.