HIPAA:n de-identifiointi ilman Regex-PhD:tä: AI-avusteinen MRN-mallin luonti
Sairaalasi potilastietojen numero (MRN) -muotoa ei ole olemassa missään standardissa PII-työkalussa. Tässä on, miten voit lisätä sen 5 minuutissa ilman, että kirjoitat riviäkään regexiä.
Terveydenhuollon IT-tiimit, jotka toteuttavat HIPAA:n de-identifiointia, kohtaavat erityisen haasteen, jota ei esiinny muilla aloilla: tunniste, jonka he eniten tarvitsevat tunnistaa — potilastietojen numero — määritellään heidän omassa organisaatiossaan, ei minkään kansallisen standardin mukaan.
Tulos: jokainen HIPAA:n de-identifioinnin toteutus terveydenhuoltojärjestelmässä vaatii mukautettua konfigurointia. Ilman mukautettua konfigurointia MRN:t kulkevat "de-identifioiduissa" tietoaineistoissa huomaamatta.
Monilaitos MRN-kaos
Terveydenhuoltoverkot, jotka on rakennettu vuosien saatossa hankintojen kautta, sisältävät laitoksia, joissa on perinteisiä EHR-järjestelmiä — jokaisella on oma MRN-muotonsa, joka on perustettu vuosikymmeniä sitten:
- Memorial Hospital (Epic vuodesta 2015): MRN:XXXXXXX (7-numeroinen, etuliitteellä)
- St. Mary's (perinteinen Cerner-järjestelmä): PT-YYYYY (5-numeroinen potilas-etuliitteellä)
- Yliopistollinen sairaala (Meditech 6.0): UHN-XXXXXXXXXX (10-merkkinen alfanumeerinen)
- Liittynyt klinikka (itsenäinen EMR): Cd{5} (C, jota seuraa 5 numeroa)
HIPAA Safe Harbor vaatii kaikkien 18 tunnisteluokan poistamista, mukaan lukien "potilastietojen numerot" (luokka 8). De-identifiointityökalu, joka ei tunne näitä muotoja, ohittaa ne kokonaan. "De-identifioitu" tietoaineisto sisältää kaikki MRN:t kaikista neljästä laitoksen muodosta.
ServiceNow'n terveydenhuollon yhteisö dokumentoi erityisesti tämän kipupisteen: terveydenhuollon IT-tiimit, jotka yrittävät tunnistaa PHI:tä HR-työn muistiinpanoista, huomaavat, että standardit Presidio-konfiguraatiot tunnistavat SSN:t ja puhelinnumerot, mutta ohittavat täysin laitokselle spesifiset MRN:t.
Regex-estekynnys
Mukautettujen tunnistimien rakentaminen Microsoft Presidiossa (avoin lähdekoodi monille HIPAA-työkaluille) vaatii:
- PatternRecognizer-luokan ymmärtämistä
- Regex-mallien kirjoittamista Python-syntaksilla
- YAML-tiedostojen konfiguroimista tunnistimen rekisteröintiä varten
- Luottamusarvojen ja kontekstisanojen ymmärtämistä
- Testaamista Python-skripteillä
- Epäonnistuneiden tunnistimien virheenkorjausta
Terveydenhuollon IT-ammattilaisille, joilla ei ole Python-taustaa, tämä luo merkittävän teknisen esteen. Compliance-viranomaisen, joka tietää tarkalleen, mikä muoto MRN:XXXXXXX on, ei voi konfiguroida Presidio-tunnistinta ilman, että hän oppii Pythonin tai odottaa insinöörilippua.
Tyypillinen tulos: compliance-aukko pysyy avoimena, kun insinöörilippu odottaa 6-8 viikon jonossa.
AI-avusteinen mallin generointi
Vaihtoehto: kuvaa malli selkeällä kielellä, saat toimivan regexin.
Prosessi:
- Avaa mukautettu entiteettirakentaja
- Anna esimerkkejä: "Nämä näyttävät olevan MRN-numeroita järjestelmästämme: MRN:1234567, MRN:9876543, MRN:0001234"
- AI luo mallin: MRN:d{7}
- Testaa 10 näytteen purku-yhteenvetoa vastaan
- Kaikki MRN:t tunnistettu? Tallenna ja käytä.
Monilaitosverkossa, jossa on neljä MRN-muotoa:
- Memorial Hospital: kuvaa muoto → MRN:d{7}
- St. Mary's: kuvaa muoto → PT-d{5}
- Yliopistollinen sairaala: kuvaa muoto → UHN-[A-Z0-9]{10}
- Liittynyt klinikka: kuvaa muoto → Cd{5}
Luo neljä mukautettua entiteettiä, ryhmittele "Verkko MRN Tunnistus" -esiasetukseen, käytä kaikessa asiakirjakäsittelyssä. Kokonaistyöaika: yksi iltapäivä compliance-viranomaisen työtä.
Vahvistus Safe Harbor -sertifiointia varten
HIPAA:n Safe Harbor -menetelmä vaatii, että suojattu taho "ei tiedä tosiasiallisesti, että tietoja voitaisiin käyttää yksin tai yhdessä muiden tietojen kanssa yksilön tunnistamiseen."
Mukautettuun entiteettipohjaiseen tunnistukseen liittyvä vahvistus osoittaa täydellisyyden:
Vaihe 1: Näytteen poiminta Ota 100 purku-yhteenvetoa jokaisesta laitostyypistä. Sekoita potilaspopulaatiot, osastot ja aikakaudet.
Vaihe 2: Automaattinen käsittely Suorita kaikki 400 asiakirjaa mukautetun entiteettitunnistuksen läpi.
Vaihe 3: Inhimillinen vahvistusnäyte Tarkista manuaalisesti 20 käsiteltyä asiakirjaa (5 % näyte). Etsi:
- Kaikki merkkijonot, jotka näyttävät MRN:iltä mutta eivät tulleet tunnistetuiksi (valehdellut negatiiviset)
- Kaikki ei-MRN-merkkijonot, jotka on virheellisesti merkitty (valehdellut positiiviset)
Vaihe 4: Mallin hienosäätö Jos vale-negatiivisia löytyy: hienosäädä mallia tai lisää kontekstin vastaavuutta. Jos vale-positiivisia on runsaasti: lisää sanarajojen rajoituksia tai kontekstin vahvistusta.
Vaihe 5: Dokumentaatio Tallenna: mukautetun entiteetin määritelmä, vahvistusnäytteen koko, vahvistustulokset ja vahvistuspäivämäärä. Tämä dokumentaatio tukee Safe Harbor -sertifiointia.
MRN:ien lisäksi: Täydellinen HIPAA Safe Harbor -katto
Kun MRN-tunnistusaukko on käsitelty, tarkista kaikki 18 Safe Harbor -luokkaa täydellisyyden varmistamiseksi:
| Luokka | Standardi Tunnistus | Mukautettu Tarvitaanko? |
|---|---|---|
| 1. Nimet | ✓ NER-malli | Ei |
| 2. Maantieteelliset tiedot | ✓ Sijaintitunnistus | Ei osavaltiolle; Kyllä laitokselle spesifiset koodit |
| 3. Päivät | ✓ Päivämäärätunnistus | Ei |
| 4. Puhelinnumerot | ✓ Puhelintunnistus | Ei |
| 5. Faksinumerot | ✓ Puhelintunnistus | Ei |
| 6. Sähköpostiosoitteet | ✓ Sähköpostitunnistus | Ei |
| 7. SSN:t | ✓ SSN-tunnistus | Ei |
| 8. Potilastietojen numerot | ✗ Ei oletuksessa | Kyllä — laitokselle spesifinen |
| 9. Terveydenhuoltosuunnitelman etuudet | Osittainen | Usein kyllä — kuljetin-spesifinen |
| 10. Tilinumerot | Osittainen | Usein kyllä — laskutustilin muoto |
| 11. Sertifikaatti/luvan numerot | Osittainen | Usein kyllä — DEA + osavaltiokohtainen |
| 12. Ajoneuvon tunnisteet | Osittainen | Harvoin kliinisissä asiakirjoissa |
| 13. Laitteen tunnisteet | Osittainen | Kyllä, jos lääkinnälliset laitteet on dokumentoitu |
| 14. Verkkosivuston URL-osoitteet | ✓ URL-tunnistus | Ei |
| 15. IP-osoitteet | ✓ IP-tunnistus | Ei |
| 16. Biometriset tunnisteet | ✗ Tekstiyhteys | Harvinainen purku-yhteenvetoissa |
| 17. Täydet kasvokuvia | ✗ Vain kuva | Ei tekstinkäsittelyn ulkopuolella |
| 18. Muut ainutlaatuiset tunnisteet | ✗ Ei oletuksessa | Kyllä — laitokselle spesifinen |
Kliinisen tekstinkäsittelyn osalta luokat 8, 9, 10 ja 18 vaativat yleisimmin mukautetun entiteetin lisäämistä.
Kliinisen dokumentaation konteksti
Purku-yhteenvetoja, kliinisiä muistiinpanoja ja operatiivisia raportteja tarvitaan ensisijaisesti HIPAA:n de-identifiointia tutkimusjakamista varten. Nämä asiakirjat sisältävät:
- MRN:t otsikoissa ja alaotsikoissa
- Tilinumerot laskutusosioissa
- Päivät eri kohdissa (vastaanotto, toimenpiteet, laboratoriot, lääkkeet)
- Lääkärin nimet ja DEA-numerot
- Lähettävän lääkärin tiedot
- Vakuutuksen jäsen-ID:t
Mukautettu entiteettitunnistus laitokselle spesifisille muodoille (MRN:t, tilinumerot) yhdistettynä standarditunnistukseen yleisille muodoille (päivät, nimet, puhelinnumerot) tarjoaa täydellisen kattavuuden, jota HIPAA Safe Harbor vaatii.
Johtopäätös
HIPAA:n de-identifiointi ilman mukautettua entiteettikonfigurointia ei ole HIPAA Safe Harbor -de-identifiointia. Jokaisen terveydenhuolto-organisaation MRN-muoto on ainutlaatuinen. Standardit PII-työkalut ohittavat ne. Compliance-tiimit eivät voi odottaa insinöörijonojen sulkeutumista tämän aukon täyttämiseksi.
AI-avusteinen mallin generointi supistaa compliance-aukkoa 6-8 viikon insinööriaikasta yhteen iltapäivään compliance-viranomaisen työtä. Kuvaile muoto, vahvista näytteiden avulla, ota käyttöön tuotannossa.
Lähteet: