Das MRN-Format-Problem
Die USA haben rund 6.100 Krankenhäuser. Jedes betreibt sein eigenes EHR-System. Jedes nutzt sein eigenes Format für Patientennummern (Medical Record Number). Es gibt keinen nationalen Standard. Die Joint Commission verlangt nur, dass Systeme Patienten eindeutig identifizieren können — nicht wie.
Die Formate variieren stark. Manche sind 7-stellige Zahlen. Andere sind 8-stellige Zahlen. Manche nutzen Präfix-Codes wie HOSP-, MRN- oder PT-. Andere fügen Institutionscodes wie SVHS- oder CHOP- hinzu. Manche betten das Aufnahmejahr in die Nummer ein.
HIPAA Safe Harbor listet Patientennummern als Identifikatortyp 8 von 18 auf. (45 CFR §164.514(b)(2)) Alle 18 müssen entfernt werden. Die Regel schränkt kein Format ein. Wenn Ihr Krankenhaus ein eigenes Format verwendet, muss es erkannt werden. Ein Tool, das es übersieht, erfüllt Safe Harbor nicht — auch wenn es alle anderen 17 Typen entfernt.
Warum der Code-Ansatz scheitert
Der übliche Weg, ein benutzerdefiniertes Nummernformat zu einer Anonymisierungspipeline hinzuzufügen, ist die Erweiterung von Microsoft Presidio. Das bedeutet Python-Code schreiben.
Ein Entwickler erstellt eine Klasse, die EntityRecognizer erweitert. Er schreibt das Regex, bindet es in Presidios Registry ein, testet es und pflegt es. Für Compliance-Teams — die selten programmieren — ist das eine harte Blockade. Jede Formatänderung braucht einen Entwickler.
Healthcare-Entwicklerteams sind ausgelastet. Sie betreuen EHR-Integration und klinische Systeme. Compliance-Tools haben selten Priorität.
Der No-Code-Workflow
Der geführte Musteransatz entfernt den Coding-Schritt.
Ein Compliance-Beauftragter öffnet den Custom Entity Creator in der Web-App. Er fügt fünf Beispielnummern aus seinem System ein — zum Beispiel:
SVHS-0012345
SVHS-0987654
SVHS-1122334
SVHS-4455667
SVHS-8899001
Er klickt Muster generieren. Die KI liest die Struktur und gibt zurück:
- Muster:
SVHS-\d{7} - Konfidenz: hoch
- Vorgeschlagener Name:
HOSPITAL-MRN - Vorgeschlagener Ersatz:
[MRN]
Der Beauftragte fügt fünf weitere Beispiele ein. Das Muster besteht. Er speichert es im HIPAA-Preset.
Von da an erkennt jede Sitzung — Web-App, Office-Add-in, Desktop-App und API — dieses Format im Standard-PHI-Durchlauf. Kein Code nötig.
DSGVO-Hinweis für Forschungsdaten
Art. 89 DSGVO fordert Pseudonymisierung für Forschungsdatensätze. Benutzerdefinierte Entitäten stellen sicher, dass institutionsspezifische Identifikatoren erfasst werden — und schließen die Lücke, die generische Tools für proprietäre Formate offen lassen.
Was Sie erhalten
Dieser Workflow dauert einen Nachmittag. Benutzerdefinierter Code braucht Wochen.
Der Compliance-Beauftragte definiert das Muster, testet es und setzt es ein. Kein Ticket. Kein Warten. Das Preset enthält die benutzerdefinierte Entität neben den standardmäßigen 17 Safe-Harbor-Identifikatoren.
Beim nächsten Stapellauf klinischer Notizen sind alle 18 Identifikatortypen abgedeckt. Safe Harbor ist erfüllt.
Siehe HIPAA Safe Harbor De-Identifikation für die Gesundheitsforschung. Zu krankenhausspezifischen Erkennungsmustern: krankenhausspezifische MRN-Formate ohne Programmierung.