anonym.legal

By · Last updated 2026-06-05

بازگشت به وبلاگبهداشت و درمان

HHS 2025: یادداشت‌های بالینی هوش مصنوعی نیاز به پیشگیری از PHI دارند

سیستم‌های رونویسی هوش مصنوعی می‌توانند به طور تصادفی PHI بیمار الف را در پرونده بیمار ب قرار دهند. در اینجا دلیل اهمیت تشخیص PHI بلادرنگ قبل از ثبت در EHR است.

June 5, 20269 دقیقه مطالعه
HIPAA complianceclinical documentationPHI detectionEHR privacyHHS 2025

مشکل حریم خصوصی یادداشت‌های بالینی هوش مصنوعی

به‌روزرسانی برای ۲۰۲۶

بیمارستان‌ها و کلینیک‌ها از هوش مصنوعی برای نوشتن یادداشت‌های بالینی استفاده می‌کنند. هوش مصنوعی صدا را رونویسی می‌کند و متن را پیش‌نویس می‌کند. اما این یک شکاف HIPAA ایجاد می‌کند که بررسی دستی نمی‌تواند آن را ببندد.

یادداشت‌های تولیدشده با هوش مصنوعی اطلاعات بیمار را به سه روش در معرض خطر قرار می‌دهند:

  1. آلودگی متقاطع: هوش مصنوعی ممکن است اطلاعات یک بیمار را وارد پرونده بیمار دیگری کند. مطالعات هوش مصنوعی پزشکی این خطر را نشان داده‌اند.
  2. خونریزی زمینه‌ای: اطلاعات بیمار در فیلد اشتباه قرار می‌گیرد — یک یادداشت صورتحساب، یک فیلد تحقیقاتی یا یک فرم ارجاع. هوش مصنوعی فیلدها را بر اساس زمینه پر می‌کند، نه بر اساس هدف فیلد.
  3. استفاده از داده فروشنده: بسیاری از فروشندگان هوش مصنوعی یادداشت‌ها را برای بررسی مدل ارسال می‌کنند مگر اینکه انصراف دهید. این اطلاعات بیمار را به سرورهای شخص ثالث می‌فرستد. آن سرورها ممکن است یک BAA امضاشده نداشته باشند.

HHS در سال ۲۰۲۵ یک قانون پیشنهادی منتشر کرد. می‌گوید نهادهایی که از ابزارهای هوش مصنوعی استفاده می‌کنند باید آن ابزارها را در تحلیل ریسک خود قرار دهند. این یک قانون رسمی برای کار بالینی با کمک هوش مصنوعی ایجاد می‌کند.

قانون تحلیل ریسک هوش مصنوعی HHS 2025

HHS قوانین جدیدی برای نهادهای تحت پوشش که از هوش مصنوعی استفاده می‌کنند پیشنهاد داد. هر سیستم هوش مصنوعی که با پرونده‌های بیمار تماس دارد باید در تحلیل ریسک نهاد ظاهر شود.

قانون سه بخش دارد:

اقدامات حفاظتی فنی: هر ابزار هوش مصنوعی را بررسی کنید. بپرسید:

  • آیا پرونده‌های بیمار را خارج از سیستم‌های شما می‌فرستد؟
  • آیا پرونده‌های بیمار را بعد از استفاده روی سرورهایش ذخیره می‌کند؟
  • آیا اطلاعات بیمار را در پرونده اشتباه می‌نویسد؟

آموزش کارکنان: آموزش باید خطرات خاص هوش مصنوعی را پوشش دهد. این شامل موارد اختلاط پرونده می‌شود.

کنترل‌های فیزیکی: ایستگاه‌های کاری اجرای ابزارهای هوش مصنوعی باید بخشی از کنترل‌های دسترسی فیزیکی باشند.

ابزارهای بالینی هوش مصنوعی شامل خدمات صوت به متن، ابزارهای پیش‌نویس یادداشت هوش مصنوعی و ابزارهای کدگذاری می‌شوند.

چرا تشخیص پیش از ذخیره کار می‌کند

بهترین کنترل فنی تشخیص PHI قبل از ذخیره یادداشت در EHR است.

بدون تشخیص پیش از ذخیره:

  • هوش مصنوعی پیش‌نویس را می‌نویسد
  • کارکنان آن را به صورت دستی بررسی می‌کنند، تحت فشار زمانی
  • یادداشت در EHR ذخیره می‌شود
  • خطاهای PHI اکنون در پرونده دائمی هستند
  • اصلاح آن‌ها به ورودی‌های حسابرسی و بررسی نقض نیاز دارد

با تشخیص پیش از ذخیره:

  • هوش مصنوعی پیش‌نویس را می‌نویسد
  • اسکن PHI قبل از ذخیره یادداشت اجرا می‌شود
  • آیتم‌های علامت‌گذاری‌شده برای بررسی به کارکنان می‌رود
  • کارکنان خطاها را قبل از ذخیره برطرف می‌کنند
  • رکورد EHR از ابتدا تمیز است

تشخیص پیش از ذخیره قانون امنیت HIPAA ۱۶۴.۳۱۲(ب) را برآورده می‌کند. آن قانون سیستم‌هایی را الزامی می‌کند که فعالیت را ثبت و بررسی کنند. اسکن پیش از ذخیره یک رکورد حسابرسی برای هر یادداشت بررسی‌شده ایجاد می‌کند.

۱۸ دسته PHI در یادداشت‌های هوش مصنوعی

HIPAA Safe Harbor حذف ۱۸ دسته PHI (45 CFR 164.514(b)) را الزامی می‌کند. یادداشت‌های هوش مصنوعی می‌توانند هر ۱۸ مورد را به روش‌هایی که انتظار ندارید ظاهر کنند:

  • نام‌ها — بیمار یک عضو خانواده را در تاریخچه علائم نام می‌برد
  • مکان — آدرس منزل در تاریخچه اجتماعی
  • تاریخ‌ها — تاریخ تولد، تاریخ پذیرش، تاریخ عمل
  • شماره تلفن و فکس — اطلاعات تماس در یادداشت‌های ارجاع
  • آدرس‌های ایمیل — اطلاعات تماس ارائه‌شده توسط بیمار
  • SSN — زمینه بیمه
  • شماره پرونده پزشکی — در خلاصه‌های هوش مصنوعی ارجاع داده‌شده
  • شماره طرح بهداشتی — زمینه بیمه
  • شماره حساب — زمینه صورتحساب
  • شماره پروانه — اطلاعات پروانه ارائه‌دهنده در ارجاعات
  • شناسه وسیله نقلیه — زمینه تصادف در یادداشت‌های تروما
  • شناسه دستگاه — یادداشت‌های ایمپلنت
  • URL — لینک‌های ارسال‌شده توسط بیمار به پرونده‌های پزشکی
  • آدرس IP — لاگ‌های جلسه از راه دور
  • شناسه‌های بیومتریک — داده اثر انگشت یا صدا
  • عکس‌ها — رسانه‌های پیوندشده در سیستم‌های هوش مصنوعی
  • هر شناسه منحصربه‌فرد دیگر — شناسه‌های تسهیلات سفارشی

مدل‌های هوش مصنوعی می‌توانند هر یک از این‌ها را از زمینه ایجاد کنند. تشخیص باید همه ۱۸ مورد را پوشش دهد — نه فقط SSN و تاریخ.

چطور تشخیص پیش از ذخیره اضافه کنیم

یک بررسی PHI پیش از ذخیره پنج مرحله دارد:

  1. هوش مصنوعی پیش‌نویس یادداشت را می‌نویسد
  2. متن یادداشت قبل از دیدن کارکنان به یک API تشخیص می‌رود
  3. آیتم‌های علامت‌گذاری‌شده در نمای پیش‌نویس نشان داده می‌شوند
  4. کارکنان پرچم‌ها را در طول بررسی عادی یادداشت بررسی می‌کنند
  5. کارکنان یادداشت را ذخیره می‌کنند — بدون آیتم‌های پرچم‌گذاری‌شده، یا با دلیل ثبت‌شده

آنچه سیستم نیاز دارد:

  • سرعت: زیر ۲۰۰ میلی‌ثانیه تا جریان کاری را کند نکند
  • پوشش: همه ۱۸ دسته HIPAA به علاوه الگوهای محلی مانند فرمت MRN شما
  • امتیازدهی: آیتم‌های بالای ۸۵٪ به طور خودکار پرچم‌گذاری می‌شوند؛ ۵۰–۸۵٪ نیاز به بررسی کارکنان دارند؛ زیر ۵۰٪ برای مرجع نشان داده می‌شوند
  • لاگ حسابرسی: هر آیتم پرچم‌گذاری‌شده، امتیازش و تصمیم بازبین را ثبت کنید

لاگ حسابرسی اثبات مستقیمی برای تحلیل ریسک HHS می‌دهد. نشان می‌دهد کنترل‌هایی برای PHI تولیدشده با هوش مصنوعی دارید.

مورد استفاده: تشخیص پیش از ذخیره در یک مرکز پزشکی

یک مرکز پزشکی دانشگاهی از یک سیستم هوش مصنوعی محیطی برای یادداشت‌های پزشک استفاده کرد. یک حسابرسی ۹۰ روزه دو مورد اختلاط پیدا کرد. یک یادداشت تاریخ تولد بیمار دیگری داشت. یک دومی نام و SSN یک عضو خانواده از تاریخچه اجتماعی داشت.

بعد از افزودن تشخیص PHI پیش از ذخیره:

  • همه پیش‌نویس‌های هوش مصنوعی قبل از بررسی پزشک اسکن شدند
  • میانگین زمان اسکن: ۴۷ میلی‌ثانیه — در جریان کاری احساس نشد
  • در ۹۰ روز: ۱٬۲۴۷ آیتم در ۸٬۴۰۰ یادداشت پرچم‌گذاری شد
  • کارکنان ۹۴٪ آیتم‌های پرچم‌گذاری‌شده را بررسی و حل کردند
  • صفر حادثه اختلاط پرونده بعد از راه‌اندازی

سیستم یک گزارش ماهانه تولید می‌کند. نرخ‌های تشخیص، نرخ‌های بررسی و انواع موجودیت را نشان می‌دهد. این گزارش به عنوان اثبات کنترل‌های حسابرسی تحت قانون امنیت HIPAA ۱۶۴.۳۱۲(ب) عمل می‌کند.

تیم‌هایی که این جریان کاری را می‌سازند می‌توانند از API تشخیص PHI anonym.legal استفاده کنند. همه ۱۸ دسته HIPAA را با تأخیر زیر ۲۰۰ میلی‌ثانیه پوشش می‌دهد. برای مراحل راه‌اندازی راهنمای یکپارچه‌سازی تشخیص PHI را ببینید. برای زمینه کامل، صفحه موارد استفاده بهداشت را بازدید کنید.

منابع

مقالات مرتبط

بهداشت و درمان

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

بهداشت و درمان

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

بهداشت و درمان

HIPAA MRN Detection Without a Regex PhD

Every hospital's MRN format is different. Memorial uses MRN:XXXXXXX, St. Mary's uses PT-YYYYY, University Hospital uses UHN-XXXXXXXXXX.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.