anonym.legal

By · Last updated 2026-05-30

חזרה לבלוגבריאות

HIPAA: זיהוי MRN ספציפי לבית חולים

HIPAA Safe Harbor מחייב הסרת מספרי רשומות רפואיות — אך פורמטי MRN אינם סטנדרטיים. Epic, Cerner ו-Meditech משתמשים בפורמטים שונים, ורוב הכלים הגנריים מפספסים את המזהים שלכם.

May 30, 20267 דקות קריאה
HIPAA Safe Harbormedical record numbersMRN detectionhealthcare compliancecustom PII patterns

עודכן ל-2026

זיהוי Safe Harbor של HIPAA: זיהוי פורמטי MRN ספציפיים לבית חולים ללא הנדסה

HIPAA Safe Harbor מחייב הסרת מספרי רשומות רפואיות. זהו אחד מ-18 סוגי מזהים נדרשים. זה נשמע פשוט. הבעיה היא שפורמטי MRN אינם סטנדרטיים.

Epic משתמשת בפורמט אחד. Cerner משתמשת בפורמט שונה. Meditech משתמשת בעוד אחד. כל בית חולים מוסיף קודים משלו. קבוצות בריאות אזוריות יוצרות פורמטים נוספים. כלי PII סטנדרטי לא יכול לדעת את הפורמט שלכם. הוא יפספס את ה-MRNs שלכם.

זו אינה סיכון שולי. צוותי IT של בריאות מוצאים לעתים קרובות MRNs עדיין במערכי נתונים שנועדו לזיהוי. הכלי הוגדר רק לסוגי PII נפוצים.

בעיית פורמט MRN

לארה"ב אין תקן לאומי למספרי רשומות רפואיות. כל בית חולים או ספק EHR מגדיר את הפורמט שלו.

דפוסים נפוצים שנצפו:

  • סגנון Epic: 8–12 ספרות נומריות (לדוגמה, 123456789)
  • סגנון Cerner: קידומת קוד בית חולים + נומרית (לדוגמה, MGH-987654)
  • רשתות אזוריות: קוד מתקן + שנה + רצף (לדוגמה, HOSP-2023-456789)
  • ענייני ותיקים: 9 ספרות עם ספרת ביקורת
  • מערכות פדיאטריות: קידומת סוג מטופל + נומרית (לדוגמה, PED-12345678)

אין כלל בודד שמתאים לכולם. אין דפוס MRN אוניברסלי.

מה כלי PII סטנדרטיים תופסים: רוב כלי HIPAA מתמקדים במזהים בפורמט קבוע. SSNs עוקבים אחרי XXX-XX-XXXX. מספרי טלפון עוקבים אחרי XXX-XXX-XXXX. לכתובות אימייל יש צורה ברורה. אלה קל לאתר.

MRNs, מספרי חשבון ומספרי רישיון הם סוגי HIPAA 8, 10 ו-11. אלה משתנים לפי בית חולים. הם דורשים הגדרה מותאמת. כלי גנרי לא יתפוס אותם.

פער הציות

בית חולים אזורי רוצה לשתף נתוני מטופלים עם שותף מחקרי באוניברסיטה. ה-EHR שלהם משתמש בפורמט MRN זה: HOSP-YYYY-XXXXXX.

הם מריצים את הנתונים דרך כלי HIPAA שלהם. הכלי מסיר שמות, תאריכים, מספרי טלפון וSSNs. הוא לא מסיר MRNs. HOSP-2023-456789 לא תואם אף כלל מובנה.

החוקר מקבל את מערך הנתונים. הם מצרפים אותו מול הרשומות שלהם. רשומות אלה כוללות MRNs מהפניות קודמות באותו בית חולים. ניתן לזהות כעת מטופלים רבים מחדש. לבית החולים יש הפרת HIPAA.

זהו מצב כשלון אמיתי. ראו גם זיהוי Safe Harbor של HIPAA למחקר בריאות למידע נוסף על מקומות שבהם Safe Harbor מתפרק.

הפתרון: יצירת ישות מותאמת

הפתרון הוא להגדיר את פורמט ה-MRN שלכם כישות מותאמת. קצין ציות יכול לעשות זאת. אין צורך במהנדס.

שלבים:

  1. כתבו את הפורמט: "מתחיל עם HOSP, ואז מקף, שנה בת 4 ספרות, מקף, ומספר בן 6 ספרות"

  2. השתמשו בכלי AI לבניית הביטוי הרגולרי: HOSP-\d{4}-\d{6}

  3. בדקו אותו על 20 סיכומי שחרור. אשרו שהוא תופס את כל ה-MRNs.

  4. שמרו אותו כישות מותאמת בשם "Hospital MRN"

  5. הוסיפו אותו לפריסט HIPAA שלכם לצד 17 סוגי ה-ID הסטנדרטיים

תהליך זה לוקח לקצין ציות כ-3 ימים. בניית קוד מותאם יכולה לקחת 3 חודשים.

דוגמה: רשת בית חולים עם 15 מתקנים

ארגון: רשת בית חולים אזורית עם 15 מתקנים

פורמט MRN: HOSP-YYYY-XXXXXX (באלפי קובצי PDF של סיכומי שחרור)

מטרה: שיתוף מערך נתוני מחקר עם שותף אוניברסיטאי תחת הסכם שימוש בנתוני HIPAA

גישה ישנה: ספק זיהוי חיצוני ב-120,000 דולר לשנה

פער שנמצא: כלי הספק לא זיהה את פורמט ה-MRN הייחודי למוסד

תהליך עבודה חדש:

  1. קצין ציות מגדיר את דפוס ה-MRN — 20 דקות
  2. AI מאמת את הביטוי הרגולרי — 5 דקות
  3. בדיקה על 50 סיכומי מדגם — 30 דקות
  4. אישור שלא נותרו MRNs, לא פוזיטיבים כוזבים — 10 דקות
  5. הוספת הישות המותאמת לפריסט HIPAA
  6. הפעלת מערך הנתונים המלא עם 50,000 רשומות באצווה

סה"כ זמן לסגירת הפער: אחר צהריים אחד.

רשתות מרובות מתקנים: פורמטי MRN מרובים

רשתות בתי חולים שנבנו דרך מיזוגים מריצות לעתים קרובות מספר מערכות EHR. כל מערכת מדור קודם עשויה להשתמש בפורמט MRN שונה.

כיצד לטפל בכך:

צרו ישות מותאמת נפרדת לכל פורמט:

  • "פורמט MRN A (Epic)" — 8 ספרות נומריות
  • "פורמט MRN B (Cerner מדור קודם)" — קידומת + 7 ספרות נומריות
  • "פורמט MRN C (שותף שנרכש)" — קוד מדינה + שנה + רצף

פריסט אחד מחזיק את כל שלוש הישויות המותאמות בנוסף לסוגי HIPAA ID הסטנדרטיים. כל מסמך מכל מתקן יוסרו ממנו ה-MRNs.

ראו זיהוי MRN מותאם בצינורות HIPAA ללא קוד למדריך שלב-אחר-שלב להגדרה מרובת-פורמטים זו.

מעבר ל-MRNs: מזהים לא-סטנדרטיים אחרים

אותה גישה עובדת לסוגי מזהי HIPAA Safe Harbor אחרים.

מספרי חברי תכניות בריאות (קטגוריה 9): כל מבטח משתמש בפורמט שלו. Aetna, Blue Cross ו-United Healthcare — כולם נראים שונה. צוות חיוב צריך דפוס מותאם לכל מבטח.

מספרי חשבון (קטגוריה 10): מספרי חשבון חיוב של בית חולים שונים לפי בית חולים.

מספרי רישיון (קטגוריה 11): למספרי DEA יש פורמט פדרלי סטנדרטי. למספרי רישיון רפואי ממלכתיים אין. כל מועצת מדינה משתמשת בפורמט שלה.

מזהי מכשירים (קטגוריה 14): מספרים סידוריים של מכשירים רפואיים נקבעים על ידי כל יצרן.

לכל אחד מאלה, ישות מותאמת סוגרת את הפער. לא נדרשים מהנדסים.

ראו מזהי PII מותאמים לאנונימיזציה ארגונית למידע נוסף על סוגי ID לא-סטנדרטיים.

אימות: הוכחת ציות Safe Harbor

HIPAA Safe Harbor אומר שהישות המכוסה חייב שלא יהיה לה "ידע בפועל" שהנתונים יכולים לזהות מישהו. (45 CFR §164.514(b)(1))

אימות ישות מותאמת מוכיח שכל 18 סוגי ה-ID מכוסים.

שלבי אימות:

  1. עבדו 50–100 מסמכי מדגם ממערך נתוני המחקר
  2. סקרו את הפלט — האם נראה משהו כמו מזהה?
  3. הריצו מעבר זיהוי שני כדי לתפוס פריטים שהוחמצו
  4. תעדו מה עשיתם

הגדרת הישות המותאמת שלכם, סקירת המדגם ויומני העיבוד מהווים את רשומת Safe Harbor שלכם.

מסקנה

כלי PII סטנדרטיים עם הגדרות ברירת מחדל לא משלימים את זיהוי Safe Harbor של HIPAA. מספרי רשומות רפואיות הם ספציפיים לבית חולים. הם דורשים זיהוי מותאם.

יצירת ישות מותאמת סוגרת את הפער תוך שעות. קציני ציות יכולים להגדיר את הדפוס, לבדוק אותו ולעבד נתונים. לא נדרשת עבודה הנדסית.

הפער בין "הרצנו כלי HIPAA" ל"הסרנו את כל 18 מזהי Safe Harbor" הוא לעתים קרובות רק ישות מותאמת אחת חסרה.

מקורות

מאמרים קשורים

בריאות

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

בריאות

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

בריאות

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

מוכן להגן על הנתונים שלך?

התחל לאנונימיזציה של PII עם 285+ סוגי ישויות ב-48 שפות.

התחל ניסיון חינםצפה בתכונות

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.