anonym.legal

By · Last updated 2026-05-30

Retour au blogSanté

Dé-identification HIPAA Safe Harbor...

Le Safe Harbor HIPAA exige la suppression des numéros de dossier médical — mais les formats MRN ne sont pas standardisés.

May 30, 20267 min de lecture
HIPAA Safe Harbormedical record numbersMRN detectionhealthcare compliancecustom PII patterns

Mis à jour pour 2026

HIPAA Safe Harbor : Détecter les formats MRN spécifiques à chaque hôpital sans développement informatique

HIPAA Safe Harbor exige la suppression des numéros de dossier médical. C'est l'un des 18 types d'identifiants requis. Cela semble simple. Le problème, c'est que les formats MRN ne sont pas standardisés.

Epic utilise un format. Cerner en utilise un autre. Meditech en a un troisième. Chaque hôpital ajoute ses propres codes. Les réseaux de santé régionaux créent encore plus de formats. Un outil PII standard ne peut pas connaître votre format. Il manquera vos MRN.

Ce n'est pas un risque mineur. Les équipes informatiques de santé trouvent souvent des MRN dans des jeux de données qui étaient censés être anonymisés. L'outil n'était configuré que pour les types de données PII courants.

Le problème des formats MRN

Les États-Unis n'ont pas de norme nationale pour les numéros de dossier médical. Chaque hôpital ou éditeur de DPI définit son propre format.

Formats couramment observés :

  • Style Epic : Numérique à 8–12 chiffres (ex. 123456789)
  • Style Cerner : Préfixe code hôpital + numérique (ex. MGH-987654)
  • Réseaux régionaux : Code établissement + année + séquence (ex. HOSP-2023-456789)
  • Veterans Affairs : 9 chiffres avec un chiffre de contrôle
  • Systèmes pédiatriques : Préfixe type patient + numérique (ex. PED-12345678)

Aucune règle unique ne correspond à tous ces formats. Il n'existe pas de modèle MRN universel.

Ce que les outils PII standard détectent : La plupart des outils HIPAA se concentrent sur les identifiants à format fixe. Les SSN suivent XXX-XX-XXXX. Les numéros de téléphone suivent XXX-XXX-XXXX. Les adresses e-mail ont une forme claire. Ces données sont faciles à trouver.

Les MRN, numéros de compte et numéros de licence sont les types HIPAA 8, 10 et 11. Ils varient selon les hôpitaux. Ils nécessitent une configuration personnalisée. Un outil générique ne les détectera pas.

La faille de conformité

Un hôpital régional souhaite partager des données patients avec un partenaire de recherche universitaire. Son DPI utilise ce format MRN : HOSP-YYYY-XXXXXX.

L'hôpital fait passer les données par son outil HIPAA. L'outil supprime les noms, les dates, les numéros de téléphone et les SSN. Il ne supprime pas les MRN. HOSP-2023-456789 ne correspond à aucune règle intégrée.

Le chercheur reçoit le jeu de données. Il le croise avec ses propres dossiers, qui contiennent des MRN issus de références du même hôpital. De nombreux patients peuvent désormais être ré-identifiés. L'hôpital a commis une violation HIPAA.

C'est un vrai mode d'échec. Voir aussi la désidentification HIPAA Safe Harbor pour la recherche en santé pour en savoir plus sur les lacunes de conformité.

La solution : créer une entité personnalisée

La solution consiste à définir votre format MRN comme entité personnalisée dans l'outil d'anonymisation. Un responsable conformité peut le faire. Aucun ingénieur n'est nécessaire.

Étapes :

  1. Décrire le format : « Commence par HOSP, puis un tiret, une année à 4 chiffres, un tiret et un numéro à 6 chiffres »

  2. Utiliser un outil IA pour créer le regex : HOSP-\d{4}-\d{6}

  3. Le tester sur 20 lettres de sortie. Confirmer qu'il détecte tous les MRN.

  4. L'enregistrer comme entité personnalisée « Hospital MRN »

  5. L'ajouter au preset HIPAA aux côtés des 17 types d'ID standard

Ce processus prend environ 3 jours à un responsable conformité. Développer du code sur mesure peut prendre 3 mois.

Exemple : réseau hospitalier de 15 établissements

Organisation : Réseau hospitalier régional de 15 établissements

Format MRN : HOSP-YYYY-XXXXXX (dans des milliers de PDFs de lettres de sortie)

Objectif : Partager un jeu de données de recherche sous un accord d'utilisation de données HIPAA

Ancienne approche : Prestataire externe de désidentification à 120 000 USD par an

Lacune découverte : L'outil prestataire ne détectait pas le format MRN propre à l'établissement

Nouveau workflow :

  1. Le responsable conformité définit le modèle MRN — 20 minutes
  2. L'IA valide le regex — 5 minutes
  3. Test sur 50 exemples de lettres de sortie — 30 minutes
  4. Aucun MRN restant, pas de faux positifs — 10 minutes
  5. Ajouter l'entité personnalisée au preset HIPAA
  6. Traiter le jeu de données complet de 50 000 enregistrements en batch

Temps total pour combler la faille : un après-midi.

Réseaux multi-établissements : plusieurs formats MRN

Les réseaux hospitaliers issus de fusions utilisent souvent plusieurs systèmes DPI. Chaque système hérité peut avoir un format MRN différent.

Comment gérer cela :

Créer une entité personnalisée distincte pour chaque format :

  • « MRN Format A (Epic) » — numérique 8 chiffres
  • « MRN Format B (Cerner hérité) » — préfixe + numérique 7 chiffres
  • « MRN Format C (filiale acquise) » — code État + année + séquence

Un seul preset contient les trois entités personnalisées plus les types d'ID HIPAA standard. Chaque document de chaque établissement aura ses MRN supprimés.

Voir la détection MRN personnalisée dans les pipelines HIPAA sans code pour un guide étape par étape.

Au-delà des MRN : d'autres identifiants non standardisés

La même approche fonctionne pour d'autres types d'ID HIPAA Safe Harbor.

Numéros de membres d'assurance maladie (Catégorie 9) : Chaque assureur utilise son propre format. Aetna, Blue Cross et United Healthcare ont tous des formats différents. Une équipe facturation a besoin d'un modèle personnalisé pour chaque payeur.

Numéros de compte (Catégorie 10) : Les numéros de compte hospitaliers varient selon l'établissement.

Numéros de licence (Catégorie 11) : Les numéros DEA ont un format fédéral standard. Les numéros de licence médicale d'État n'en ont pas. Chaque conseil d'État utilise son propre format.

Identifiants de dispositifs (Catégorie 14) : Les numéros de série des dispositifs médicaux sont définis par chaque fabricant.

Pour chacun de ces cas, une entité personnalisée comble la lacune. Aucun ingénieur n'est nécessaire.

Voir les identifiants PII personnalisés pour l'anonymisation organisationnelle pour en savoir plus sur les types d'ID non standardisés.

Validation : prouver la conformité Safe Harbor

HIPAA Safe Harbor exige que l'entité couverte n'ait aucune « connaissance réelle » que les données pourraient identifier quelqu'un. (45 CFR §164.514(b)(1))

La validation des entités personnalisées prouve que les 18 types d'ID sont couverts.

Étapes de validation :

  1. Traiter 50 à 100 documents échantillons du jeu de données de recherche
  2. Examiner la sortie — quelque chose ressemble-t-il à un identifiant ?
  3. Effectuer un second passage de détection pour repérer les éléments manqués
  4. Documenter le processus

Votre configuration d'entité personnalisée, la revue des échantillons et les journaux de traitement constituent votre dossier Safe Harbor.

Conclusion

Les outils PII standard avec les paramètres par défaut ne terminent pas la désidentification HIPAA Safe Harbor. Les numéros de dossier médical sont propres à chaque hôpital. Ils nécessitent une détection personnalisée.

La création d'une entité personnalisée comble cette lacune en quelques heures. Les responsables conformité peuvent définir le modèle, le tester et traiter les données. Aucun travail d'ingénierie n'est nécessaire.

La différence entre « nous avons utilisé un outil HIPAA » et « nous avons supprimé les 18 identifiants Safe Harbor » tient souvent à une seule entité personnalisée manquante.

Sources

Articles connexes

Santé

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

Santé

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Santé

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.