anonym.legal

By · Last updated 2026-04-28

Tornar al BlogSanitat

18 identificadors HIPAA que la vostra eina passa per alt

La HIPAA enumera 18 identificadors de PHI. La majoria d'eines d'anonimitzacio en detecten potser 6. Els Numeros de Registre Medic varien per institucio sense cap format nacional estandar als EUA.

April 28, 20269 min llegit
HIPAA 18 identifiersPHI complete detectionMRN detectionNPI DEA numbersHIPAA Safe Harbor compliance

18 identificadors HIPAA que la vostra eina passa per alt

Actualitzat per al 2026.

La HIPAA enumera 18 categories d'identificadors de PHI. La majoria d'eines d'anonimitzacio en detecten potser sis. Els altres dotze s'escapen, i cadascun es una bretxa de compliment.

La norma Safe Harbor

La Norma de Privacitat de la HIPAA (45 CFR, seccio 164.514) defineix la desidentificacio Safe Harbor. Les 18 categories d'identificadors han de desapareixer. Elimineu-los tots i les dades queden legalment desidentificades. Per aixo Safe Harbor es popular: es tot o res, no un judici de valor.

Les 18 categories son:

  1. Noms
  2. Dades geografiques inferiors a l'estat: adreces, ciutats, comtats, codis postals
  3. Dates excepte l'any: naixement, ingrés, alta, defuncio
  4. Numeros de telefon
  5. Numeros de fax
  6. Adreces de correu electronic
  7. Numeros de la seguretat social
  8. Identificadors de registre medic (MRN)
  9. Codis de beneficiaris de plans de salut
  10. Identificadors de compte
  11. Codis de certificats i llicencies
  12. Identificadors de vehicles i codis de serie
  13. Identificadors de dispositius i codis de serie
  14. URL web
  15. Adreces IP
  16. Identificadors biometrics: empremtes digitals, empremtes de veu
  17. Fotografies de cara completa i imatges similars
  18. Qualsevol altre codi o valor identificador unic

La majoria d'eines gestionen be les categories 1, 4, 6 i 7. Passen per alt habitualment les categories 8, 9, 10, 11, 13 i 18.

La bretxa dels MRN

Els identificadors de registre medic estan a la categoria 8. Els formats de MRN els estableix cada hospital. No hi ha cap estandard nacional als EUA.

L'hospital A usa un enter de 7 digits. L'hospital B usa "PT-AAAANNNN". L'hospital C usa una cadena alfanumerica de 8 caracters. L'hospital D escriu "MRN: " davant d'un codi de 9 digits.

Una eina generica no marcara "PT-2024-8847" com a PHI. El document supera les comprovacions de desidentificacio. Pero no esta desidentificat. Cap alerta salta. L'equip creu que la feina esta feta. No ho esta.

Aquesta es la pitjor mena de bretxa: una de silenciosa.

Tres maneres de solucionar-ho

Programar-ho a Presidio. Requereix coneixements de Python i manteniment continuat. Funciona, pero costa temps.

Afegir revisio manual. Una persona comprova cada document per trobar MRN. No escala.

Usar la creacio d'entitats personalitzades assistida per IA. No cal codi. L'equip proporciona valors de mostra. La IA construeix el patro.

Així funciona. Un equip proporciona cinc valors de MRN de mostra: SVHS-0012345, SVHS-0987654, SVHS-1122334, SVHS-4455667, SVHS-8899001. La IA retorna SVHS-\d{7} i ho comprova contra les mostres. L'equip ho desa al seu preso HIPAA. Totes les sessions futures detecten el format. El mateix enfocament funciona per als codis de beneficiaris i els codis de serie de dispositius.

Vegeu com funcionen els presets a la guia de deteccio de MRN HIPAA. Apreneu sobre el flux de treball de patrons amb IA.

La suposicio oculta

Molts equips fan proves amb un document de mostra que conte un nom i un numero de telefon. L'eina el supera. Assumeixen una cobertura total. Pero les mostres rarament inclouen identificadors especifics d'una institucio. Els MRN i els codis de beneficiaris semblen cadenes aleatories per a una eina generica. Superen el filtre sense cap marca.

Una auditoria Safe Harbor real mapa les 18 categories a un metode de deteccio. Per a la categoria 8, verifiqueu amb mostres de MRN reals del vostre propi hospital. No assumiu que l'eina coneix el vostre format.

Reviseu el marc complet a la nostra visio general de conformitat HIPAA.

Conclusio

Safe Harbor requereix que desaparaguin les 18 categories d'identificadors. Les eines generiques en cobreixen molt menys. Les bretxes, com ara els MRN, els codis de beneficiaris i els codis de serie de dispositius, no tenen cap format estandard, i per aixo les eines generiques els passen per alt. Les entitats personalitzades assistides per IA tanquen la bretxa sense codi ni revisio manual.

Fonts

  • HHS: HIPAA Safe Harbor, 45 CFR, seccio 164.514 - hhs.gov.
  • Shaip: tipus d'identificadors de PHI en la desidentificacio sanitaria - shaip.com.
  • HHS OCR: orientacio sobre desidentificacio actualitzada el 2024 - hhs.gov.

Articles Relacionats

Sanitat

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

Sanitat

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Sanitat

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.