anonym.legal
Назад към блогаЗдравеопазване

HIPAA Деидентификация на Safe Harbor...

HIPAA Safe Harbor изисква премахване на номерата на медицинските досиета, но MRN форматите не са стандартизирани.

April 20, 20267 мин. четене
HIPAA Safe Harbormedical record numbersMRN detectionhealthcare compliancecustom PII patterns

HIPAA Деидентификация на Safe Harbor: Откриване на специфични за болници MRN формати без инженерство

HIPAA Деидентификацията на Safe Harbor изисква премахване на „номера на медицински досиета“ като една от неговите 18 категории идентификатори. Това изглежда лесно, докато не се сблъскате с действителното оперативно предизвикателство: номерата на медицинските записи не са стандартизирани.

Epic генерира MRN в един формат. Cerner използва различен формат. Meditech използва друг. Болничните мрежи присвояват свои собствени кодове на съоръжения. Регионалните организации за здравна информация създават още повече формати. Резултатът: стандартен инструмент за PII, сканиращ клиничен документ за „номера на медицински досиета“, няма начин да знае какъв формат използва вашата институция — и ще ги пропусне изцяло.

Това не е хипотетична празнина. ИТ екипите на здравеопазването, извършващи HIPAA оценки за деидентификация, редовно откриват, че MRN в „деидентифицираните“ набори от данни все още присъстват, тъй като инструментът за анонимизиране е конфигуриран само за стандартни категории PII.

Проблемът със стандартизацията на MRN

Американското здравеопазване няма национален стандарт за формат на номера на медицинското досие. Всяка институция (или доставчик на ЕЗД) определя свои собствени:

Наблюдавани общи модели:

  • Епичен стил: 8-12 цифрено число (напр. 123456789)
  • Cerner style: Префикс на болничен код + цифра (напр. MGH-987654)
  • Регионални мрежи: Код на обекта + година + последователност (напр. HOSP-2023-456789)
  • Veterans Affairs: 9-цифрен със специфични модели на контролни цифри
  • Педиатрични системи: Префикс тип пациент + цифра (напр. PED-12345678)

Нито един от тях не съвпада с универсален шаблон на регулярен израз „номер на медицински картон“, защото такъв универсален шаблон не съществува.

Какви стандартни инструменти за лична идентификация откриват: Стандартните реализации на инструментите за деидентификация на HIPAA се фокусират върху идентификаторите със стандартизирани формати: SSN (XXX-XX-XXXX), телефонни номера (XXX-XXX-XXXX), имейл адреси, дати. MRN, номера на сметки и номера на сертификати/лицензи — HIPAA категории 8, 10 и 11 — са специфични за институцията и изискват персонализирана конфигурация.

Рискът от съответствие

Регионална болнична мрежа се готви да сподели деидентифицирани данни за пациенти с университетски изследователски партньор. Техният EHR генерира MRN във формат: HOSP-YYYY-XXXXXX (болничен код, 4-цифрена година, 6-цифрен пореден номер).

Те управляват набора от данни чрез своя стандартен инструмент за деидентификация HIPAA. Инструментът премахва:

  • Имена на пациенти ✓
  • Дати (извън година) ✓
  • Телефонни номера ✓
  • Имейл адреси ✓
  • Географски данни, по-малки от държавата ✓
  • SSNs ✓

Инструментът не премахва MRN номера — защото HOSP-2023-456789 не отговаря на нито един вграден MRN модел.

Изследователят получава набора от данни, обединява вътрешните си записи (които включват MRN от препоръки в същата болница) и може да идентифицира повторно значителен процент от „деидентифицираните“ пациенти. В болничната мрежа има пробив HIPAA.

Този сценарий не е хипотетичен — това е документиран режим на повреда в работни процеси за деидентификация.

Създаване на потребителски обект: Решението

Решението е да дефинирате MRN формата като потребителски обект в инструмента за анонимизиране. Отговорникът по съответствието (не инженер) може:

  1. Идентифицирайте MRN формата на институцията: „Идентификатор на болница, започващ със HOSP, след това тире, след това 4-цифрена година, след това тире, след това 6-цифрено число“

  2. Използвайте асистент за модел на AI, за да генерирате подходящия регулярен израз: HOSP-d{4}-d{6}

  3. Валидирайте спрямо примерен документ: качете 20 резюмета за освобождаване от отговорност, проверете дали моделът улавя всички MRN

  4. Запазете като персонализиран обект: „MRN на болница“ — вече е наличен във всички режими на обработка

  5. Включете в HIPAA предварителна настройка за деидентификация: Стандартната предварителна настройка плюс персонализираният MRN обект покрива всички 18 категории Safe Harbor за тази институция

График: 3 дни време за служител по съответствието срещу 3 месеца опашка за инженерни билети за разработване на персонализиран код.

Пример: Внедряване на регионална болнична мрежа

**Организация: ** Областна болнична мрежа от 15 заведения MRN формат: HOSP-YYYY-XXXXXX (появява се в хиляди PDF файлове с обобщена информация за освобождаването от отговорност) Предизвикателство за съответствие: Подготовка на набор от изследователски данни за университетски партньор (изпълнено споразумение за използване на данни HIPAA, изисква деидентификация) Предишен подход: Външен HIPAA доставчик на деидентификация ($120 000/година) Открит пропуск: Инструментът на доставчика не откри специфичен за институцията MRN формат

Нов работен процес:

  1. Служителят по съответствието определя MRN модел (20 минути)
  2. AI подпомага валидирането на регулярен израз (5 минути)
  3. Тествайте срещу 50 проби от освобождаване от отговорност (30 минути)
  4. Потвърдете всички открити MRN, без фалшиви положителни резултати (10 минути)
  5. Добавете към HIPAA предварителна настройка за деидентификация заедно със стандартните обекти
  6. Обработете пакетно пълен набор от изследователски данни от 50 000 записа

Общо време за отстраняване на празнината в съответствие: 1 следобед.

Организации с множество съоръжения: различни MRN формати за всяко съоръжение

Болничните мрежи, придобити чрез сливане, често имат множество EHR системи — и множество MRN формати от наследени инсталации.

Обработка на множество MRN формати:

Създайте отделни потребителски обекти за всеки формат:

  • "MRN Format A (Epic)" — 8-цифрен номер
  • "MRN Format B (legacy Cerner)" — префикс + 7-цифрен номер
  • „MRN формат C (придобито партньорство)“ — код на държавата + година + последователност

Предварителна настройка, която включва и трите персонализирани обекта плюс стандартни HIPAA идентификатори, покрива пълните изисквания за деидентификация на мрежата. Когато се прилага към партида, съдържаща документи от което и да е съоръжение, всички MRN формати се улавят.

Отвъд MRN: Други специфични за институцията идентификатори

Същият персонализиран подход към обекта се прилага за други категории HIPAA Safe Harbor, които организациите прилагат с нестандартни формати:

Номера на бенефициенти на здравни планове (Категория 9): Идентификационните номера на застрахователния член са специфични за превозвача. Aetna, Blue Cross, United Healthcare използват различни формати. Болничната система, обработваща записи за фактуриране, се нуждае от персонализирани модели за всеки платец, с който работи.

Номера на сметки (Категория 10): Номерата на болничните сметки за фактуриране (не клиничните MRN) са специфични за институцията.

Номера на сертификати/лицензи (Категория 11): Номерата на DEA на лекаря имат стандартен формат. Номерата на държавните медицински лицензи не — всеки щатски лицензионен съвет използва различен формат.

Идентификатори на устройства (Категория 14): Серийните номера на медицинското устройство са специфични за производителя.

За всяка от тези категории създаването на потребителски обект позволява на екипите за съответствие да запълнят пропуските в откриването без инженерни ресурси.

Валидиране: Проверка на съответствието на Safe Harbor

Методът Safe Harbor на HIPAA изисква покритият субект „да не разполага с реални познания, че информацията може да се използва самостоятелно или в комбинация с друга информация за идентифициране на физическо лице, което е обект на информацията“.

За служител по съответствието, който прилага персонализирано откриване на обекти, валидирането е демонстрацията, че са обхванати всички 18 категории:

  1. Обработете извадка от 50-100 документа от набора от данни за изследване
  2. Прегледайте ръчно обработения изход — изглежда ли нещо като потенциален идентификатор?
  3. Пуснете изхода през втори проход за откриване (за всякакви модели, които може да са пропуснати)
  4. Документирайте процеса на валидиране

Персонализираната конфигурация на обекта, резултатите от вземането на проби за валидиране и метаданните за обработка заедно съставляват документалния запис за деидентификация на Safe Harbor.

Заключение

HIPAA Деидентификацията на Safe Harbor не се осъществява от стандартни инструменти за PII, конфигурирани за общи модели. Номерата на медицинските записи — една от 18-те задължителни категории — са специфични за институцията и изискват персонализирано откриване за съответствие.

Създаването на потребителски обект затваря тази празнина за часове, а не за месеци. Служителите по съответствието могат да дефинират специфични за институцията модели, да валидират спрямо примерни документи и да произвеждат наистина съвместими с Safe Harbor резултати без инженерни ресурси.

Разликата в съответствието между „изпълнихме HIPAA инструмент за деидентификация“ и „всъщност премахнахме всичките 18 идентификатора на Safe Harbor“ често е само един неконфигуриран потребителски обект.

Източници:

Свързани статии

Здравеопазване

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

Здравеопазване

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Здравеопазване

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Готови ли сте да защитите данните си?

Започнете анонимизация на PII с 285+ типа субекти на 48 езика.

Започнете безплатен пробен периодВижте функции