18 HIPAA Identifiers जो आपका टूल चूक जाता है

18 HIPAA Identifiers जो आपका टूल चूक जाता है

2026 के लिए अपडेटेड।

HIPAA 18 PHI identifier श्रेणियाँ सूचीबद्ध करता है। अधिकांश अनामीकरण टूल शायद छह detect करते हैं। अन्य बारह छूट जाते हैं — और प्रत्येक एक अनुपालन अंतर है।

Safe Harbor नियम

HIPAA की Privacy Rule (45 CFR § 164.514) Safe Harbor de-identification को परिभाषित करती है। सभी 18 identifier श्रेणियाँ हटानी होंगी। हर एक हटाएँ और डेटा कानून के अनुसार de-identified हो जाता है। इसीलिए Safe Harbor लोकप्रिय है: यह pass या fail है, कोई judgment call नहीं।

18 श्रेणियाँ हैं:

1. नाम
2. राज्य से छोटा geographic data — सड़क पता, शहर, जिला, ZIP code
3. वर्ष को छोड़कर तिथियाँ — जन्म, प्रवेश, छुट्टी, मृत्यु
4. फ़ोन संख्याएँ
5. Fax संख्याएँ
6. ईमेल पते
7. Social Security codes
8. Medical record identifiers (MRNs)
9. Health plan beneficiary codes
10. Account identifiers
11. Certificate और license codes
12. वाहन identifiers और serial codes
13. Device identifiers और serial codes
14. Web URLs
15. IP पते
16. Biometric identifiers — fingerprints, voiceprints
17. Full-face photos और इसी तरह की images
18. कोई भी अन्य unique identifying code या value

अधिकांश टूल श्रेणियाँ 1, 4, 6 और 7 अच्छी तरह handle करते हैं। वे नियमित रूप से 8, 9, 10, 11, 13 और 18 चूक जाते हैं।

MRN का अंतर

Medical record identifiers श्रेणी 8 पर बैठते हैं। MRN फॉर्मेट प्रत्येक अस्पताल द्वारा निर्धारित किए जाते हैं। कोई US राष्ट्रीय मानक नहीं है।

अस्पताल A एक 7-अंकीय integer का उपयोग करता है। अस्पताल B "PT-YYYYNNNN" का उपयोग करता है। अस्पताल C एक 8-character alphanumeric string का उपयोग करता है। अस्पताल D 9-अंकीय code से पहले "MRN: " लिखता है।

एक generic टूल "PT-2024-8847" को PHI के रूप में flag नहीं करेगा। दस्तावेज़ de-identification जाँच pass कर देता है। लेकिन वह de-identified नहीं है। कोई alert नहीं बजता। टीम को लगता है काम हो गया। हुआ नहीं।

यह सबसे बुरे प्रकार का अंतर है: एक मौन।

ठीक करने के तीन तरीके

Presidio में code करें। इसमें Python skills और निरंतर upkeep की ज़रूरत है। यह काम करता है लेकिन समय लेता है।

Manual review जोड़ें। एक व्यक्ति MRNs के लिए प्रत्येक दस्तावेज़ जाँचता है। यह scale नहीं होता।

AI-assisted custom entity creation का उपयोग करें। कोई code नहीं चाहिए। टीम sample values देती है। AI pattern बनाता है।

यह कैसे काम करता है। एक टीम पाँच sample MRN values देती है: SVHS-0012345, SVHS-0987654, SVHS-1122334, SVHS-4455667, SVHS-8899001। AI SVHS-\d{7} वापस करता है और samples के खिलाफ इसे जाँचता है। टीम इसे अपने HIPAA preset में सहेजती है। सभी भविष्य की sessions फॉर्मेट detect करती हैं। वही approach beneficiary codes और device serial codes के लिए काम करती है।

Presets कैसे काम करते हैं, यह HIPAA MRN detection guide में देखें। AI pattern workflow के बारे में जानें।

छुपी हुई धारणा

कई टीमें एक नाम और फ़ोन संख्या वाले sample document पर परीक्षण करती हैं। टूल pass करता है। वे मान लेती हैं कि पूरा coverage है। लेकिन samples में शायद ही कभी institution-specific identifiers होते हैं। MRNs और beneficiary codes एक generic टूल को random strings की तरह दिखते हैं। वे बिना flag के pass हो जाते हैं।

एक सच्चा Safe Harbor audit सभी 18 श्रेणियों को एक detection method से map करता है। श्रेणी 8 के लिए, अपने खुद के अस्पताल के वास्तविक MRN samples के साथ verify करें। यह मत मानें कि टूल आपका फॉर्मेट जानता है।

हमारी HIPAA अनुपालन समीक्षा में पूरा framework देखें।

निष्कर्ष

Safe Harbor के लिए सभी 18 identifier श्रेणियाँ हटानी होंगी। Generic टूल बहुत कम cover करते हैं। अंतर — MRNs, beneficiary codes, device serials — का कोई standard फॉर्मेट नहीं है, इसलिए generic टूल उन्हें चूक जाते हैं। AI-assisted custom entities बिना code या manual review के अंतर को बंद करती हैं।

स्रोत

• HHS: HIPAA Safe Harbor, 45 CFR § 164.514 — hhs.gov
• Shaip: healthcare de-identification में PHI identifier types — shaip.com
• HHS OCR: 2024 में अपडेटेड De-identification guidance — hhs.gov