anonym.legal

By · Last updated 2026-05-30

بازگشت به وبلاگبهداشت و درمان

HIPAA: تشخیص MRN خاص بیمارستان

HIPAA Safe Harbor نیاز به حذف شماره‌های پرونده پزشکی دارد — اما فرمت‌های MRN استاندارد نیستند. Epic، Cerner و Meditech همه فرمت‌های متفاوتی استفاده می‌کنند.

May 30, 20267 دقیقه مطالعه
HIPAA Safe Harbormedical record numbersMRN detectionhealthcare compliancecustom PII patterns

به‌روزرسانی برای ۲۰۲۶

شناسایی‌زدایی Safe Harbor HIPAA: تشخیص فرمت‌های MRN خاص بیمارستان بدون مهندسی

Safe Harbor HIPAA نیاز به حذف شماره‌های پرونده پزشکی دارد. این یکی از ۱۸ نوع شناسه الزامی است. ساده به نظر می‌رسد. مشکل این است که فرمت‌های MRN استاندارد نیستند.

Epic از یک فرمت استفاده می‌کند. Cerner از یک فرمت دیگر. Meditech از فرمت دیگری. هر بیمارستان کدهای خود را اضافه می‌کند. گروه‌های بهداشتی منطقه‌ای فرمت‌های بیشتری ایجاد می‌کنند. یک ابزار PII استاندارد نمی‌تواند فرمت شما را بداند. MRNهای شما را از دست می‌دهد.

این یک ریسک جزئی نیست. تیم‌های IT بهداشتی اغلب MRNهایی را در مجموعه داده‌هایی که قرار بود شناسایی‌زدایی شوند پیدا می‌کنند. ابزار فقط برای انواع رایج PII راه‌اندازی شده بود.

مشکل فرمت MRN

آمریکا هیچ استاندارد ملی برای شماره‌های پرونده پزشکی ندارد. هر بیمارستان یا فروشنده EHR فرمت خود را تعریف می‌کند.

الگوهای رایج مشاهده‌شده:

  • سبک Epic: ۸ تا ۱۲ رقم عددی (مثل ۱۲۳۴۵۶۷۸۹)
  • سبک Cerner: پیشوند کد بیمارستان + عددی (مثل MGH-987654)
  • شبکه‌های منطقه‌ای: کد مرکز + سال + توالی (مثل HOSP-2023-456789)
  • امور کهنه‌سربازان: ۹ رقم با یک رقم بررسی
  • سیستم‌های اطفال: پیشوند نوع بیمار + عددی (مثل PED-12345678)

هیچ قانون واحدی با همه اینها مطابقت ندارد. الگوی جهانی MRN وجود ندارد.

آنچه ابزارهای PII استاندارد می‌گیرند: بیشتر ابزارهای HIPAA روی شناسه‌های با فرمت ثابت تمرکز دارند. SSNها از XXX-XX-XXXX پیروی می‌کنند. شماره تلفن‌ها از XXX-XXX-XXXX. آدرس‌های ایمیل شکل واضحی دارند. اینها پیدا کردن آسان هستند.

MRNها، شماره‌های حساب و شماره‌های مجوز از انواع HIPAA ۸، ۱۰ و ۱۱ هستند. اینها بر اساس بیمارستان متفاوت هستند. نیاز به راه‌اندازی سفارشی دارند. یک ابزار عمومی آنها را نمی‌گیرد.

شکاف انطباق

یک بیمارستان منطقه‌ای می‌خواهد داده‌های بیمار را با یک شریک تحقیقاتی دانشگاهی به اشتراک بگذارد. EHR آنها از این فرمت MRN استفاده می‌کند: HOSP-YYYY-XXXXXX.

آنها داده‌ها را از طریق ابزار HIPAA خود اجرا می‌کنند. ابزار نام‌ها، تاریخ‌ها، شماره تلفن‌ها و SSNها را حذف می‌کند. MRNها را حذف نمی‌کند. HOSP-2023-456789 با هیچ قانون داخلی مطابقت ندارد.

محقق مجموعه داده را دریافت می‌کند. آنها آن را با سوابق خودشان ادغام می‌کنند. آن سوابق شامل MRNهای ارجاعات گذشته از همان بیمارستان هستند. بسیاری از بیماران اکنون می‌توانند دوباره شناسایی شوند. بیمارستان یک نقض HIPAA دارد.

این یک حالت شکست واقعی است. برای اطلاعات بیشتر درباره اینکه Safe Harbor کجا خراب می‌شود، راهنمای شناسایی‌زدایی HIPAA Safe Harbor برای تحقیقات بهداشتی را ببینید.

راه‌حل: ایجاد موجودیت سفارشی

راه‌حل تعریف فرمت MRN شما به عنوان یک موجودیت سفارشی است. یک افسر انطباق می‌تواند این کار را انجام دهد. به مهندسی نیازی نیست.

مراحل:

  1. فرمت را بنویسید: «با HOSP شروع می‌شود، سپس یک خط تیره، یک سال ۴ رقمی، یک خط تیره، و یک عدد ۶ رقمی»

  2. از یک ابزار هوش مصنوعی برای ساخت regex استفاده کنید: HOSP-\d{4}-\d{6}

  3. آن را روی ۲۰ خلاصه ترخیص آزمایش کنید. تأیید کنید که تمام MRNها را می‌گیرد.

  4. آن را به عنوان موجودیت سفارشی «Hospital MRN» ذخیره کنید

  5. آن را به پیش‌تنظیم HIPAA خود در کنار ۱۷ نوع شناسه استاندارد اضافه کنید

این فرایند حدود ۳ روز برای یک افسر انطباق طول می‌کشد. ساختن کد سفارشی می‌تواند ۳ ماه طول بکشد.

مثال: شبکه بیمارستانی ۱۵ مرکزی

سازمان: شبکه بیمارستانی منطقه‌ای ۱۵ مرکزی

فرمت MRN: HOSP-YYYY-XXXXXX (در هزاران PDF خلاصه ترخیص)

هدف: به اشتراک‌گذاری مجموعه داده تحقیقاتی با یک شریک دانشگاهی تحت توافقنامه استفاده از داده HIPAA

رویکرد قدیمی: فروشنده شناسایی‌زدایی خارجی با ۱۲۰٬۰۰۰ دلار در سال

شکاف پیداشده: ابزار فروشنده فرمت MRN خاص مؤسسه را تشخیص نداد

جریان کاری جدید:

  1. افسر انطباق الگوی MRN را تعریف می‌کند — ۲۰ دقیقه
  2. هوش مصنوعی regex را اعتبارسنجی می‌کند — ۵ دقیقه
  3. آزمایش روی ۵۰ نمونه خلاصه — ۳۰ دقیقه
  4. تأیید که MRNی باقی نمانده، بدون مثبت کاذب — ۱۰ دقیقه
  5. موجودیت سفارشی را به پیش‌تنظیم HIPAA اضافه کنید
  6. مجموعه داده کامل ۵۰٬۰۰۰ رکوردی را در دسته اجرا کنید

زمان کل برای پر کردن شکاف: یک بعدازظهر.

شبکه‌های چند مرکزی: فرمت‌های متعدد MRN

شبکه‌های بیمارستانی ساخته‌شده از طریق ادغام اغلب چندین سیستم EHR را اجرا می‌کنند. هر سیستم قدیمی ممکن است از فرمت MRN متفاوتی استفاده کند.

نحوه مدیریت:

یک موجودیت سفارشی جداگانه برای هر فرمت ایجاد کنید:

  • «فرمت MRN A (Epic)» — ۸ رقم عددی
  • «فرمت MRN B (Cerner قدیمی)» — پیشوند + ۷ رقم عددی
  • «فرمت MRN C (شعبه خریداری‌شده)» — کد ایالت + سال + توالی

یک پیش‌تنظیم شامل هر سه موجودیت سفارشی به علاوه انواع شناسه استاندارد HIPAA است. هر سند از هر مرکز MRNهایش را حذف خواهد کرد.

برای راهنمای گام‌به‌گام این راه‌اندازی چند فرمتی، تشخیص MRN سفارشی در خطوط لوله HIPAA بدون کد را ببینید.

فراتر از MRNها: سایر شناسه‌های غیراستاندارد

همین رویکرد برای سایر انواع شناسه Safe Harbor HIPAA نیز کار می‌کند.

شماره اعضای برنامه بهداشتی (دسته ۹): هر شرکت بیمه فرمت خود را استفاده می‌کند. Aetna، Blue Cross و United Healthcare همه متفاوت به نظر می‌رسند.

شماره‌های حساب (دسته ۱۰): شماره‌های حساب صورت‌حساب بیمارستانی بر اساس بیمارستان متفاوت هستند.

شماره‌های مجوز (دسته ۱۱): شماره‌های DEA فرمت فدرال استاندارد دارند. شماره‌های مجوز پزشکی ایالتی ندارند.

شناسه‌های دستگاه (دسته ۱۴): شماره‌های سریال دستگاه‌های پزشکی توسط هر سازنده تعیین می‌شوند.

برای هر کدام از اینها، یک موجودیت سفارشی شکاف را پر می‌کند. بدون نیاز به مهندسان.

اعتبارسنجی: اثبات انطباق Safe Harbor

HIPAA Safe Harbor می‌گوید نهاد پوشش‌دهنده نباید «دانش واقعی» داشته باشد که داده‌ها می‌توانند کسی را شناسایی کنند. (45 CFR §164.514(b)(1))

اعتبارسنجی موجودیت سفارشی ثابت می‌کند که همه ۱۸ نوع شناسه پوشش داده شده‌اند.

مراحل اعتبارسنجی:

  1. ۵۰ تا ۱۰۰ سند نمونه از مجموعه داده تحقیقاتی را پردازش کنید
  2. خروجی را بررسی کنید — آیا چیزی شبیه شناسه به نظر می‌رسد؟
  3. یک بار تشخیص دوم اجرا کنید تا موارد از دست رفته را بگیرید
  4. آنچه انجام دادید را مستند کنید

راه‌اندازی موجودیت سفارشی، بررسی نمونه و لاگ‌های پردازش سابقه Safe Harbor شما را تشکیل می‌دهند.

نتیجه‌گیری

ابزارهای PII استاندارد با تنظیمات پیش‌فرض شناسایی‌زدایی HIPAA Safe Harbor را کامل نمی‌کنند. شماره‌های پرونده پزشکی خاص بیمارستان هستند. به تشخیص سفارشی نیاز دارند.

ایجاد موجودیت سفارشی این شکاف را در چند ساعت پر می‌کند. افسران انطباق می‌توانند الگو را تعریف کنند، آن را آزمایش کنند، و داده‌ها را پردازش کنند. هیچ کار مهندسی لازم نیست.

شکاف بین «یک ابزار HIPAA اجرا کردیم» و «همه ۱۸ شناسه Safe Harbor را حذف کردیم» اغلب فقط یک موجودیت سفارشی گم‌شده است.

منابع

مقالات مرتبط

بهداشت و درمان

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

بهداشت و درمان

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

بهداشت و درمان

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.