18 Pengidentifikasi HIPAA yang Dilewatkan Alat Anda
Diperbarui untuk 2026.
HIPAA mencantumkan 18 kategori pengidentifikasi PHI. Sebagian besar alat anonimisasi mungkin hanya mendeteksi enam. Dua belas lainnya lolos — dan masing-masing adalah celah kepatuhan.
Aturan Safe Harbor
HIPAA's Privacy Rule (45 CFR § 164.514) mendefinisikan de-identifikasi Safe Harbor. Semua 18 kategori pengidentifikasi harus dihapus. Hapus semuanya dan data tersebut secara hukum telah de-identifikasi. Inilah mengapa Safe Harbor populer: ini lulus atau gagal, bukan penilaian subjektif.
18 kategorinya adalah:
- Nama
- Data geografis lebih kecil dari negara bagian — alamat jalan, kota, kabupaten, kode pos
- Tanggal kecuali tahun — lahir, masuk, keluar, meninggal
- Nomor telepon
- Nomor faks
- Alamat email
- Nomor Jaminan Sosial
- Pengidentifikasi rekam medis (MRN)
- Nomor penerima manfaat rencana kesehatan
- Pengidentifikasi akun
- Nomor sertifikat dan lisensi
- Pengidentifikasi kendaraan dan nomor seri
- Pengidentifikasi perangkat dan nomor seri
- URL web
- Alamat IP
- Pengidentifikasi biometrik — sidik jari, voiceprint
- Foto wajah penuh dan gambar serupa
- Kode atau nilai pengenal unik lainnya
Sebagian besar alat menangani kategori 1, 4, 6, dan 7 dengan baik. Mereka secara rutin melewatkan 8, 9, 10, 11, 13, dan 18.
Kesenjangan MRN
Pengidentifikasi rekam medis berada di kategori 8. Format MRN ditetapkan oleh setiap rumah sakit. Tidak ada standar nasional AS.
Rumah Sakit A menggunakan bilangan bulat 7 digit. Rumah Sakit B menggunakan "PT-YYYYNNNN." Rumah Sakit C menggunakan string alfanumerik 8 karakter. Rumah Sakit D menulis "MRN: " sebelum kode 9 digit.
Alat generik tidak akan menandai "PT-2024-8847" sebagai PHI. Dokumen lolos pemeriksaan de-identifikasi. Tetapi itu belum de-identifikasi. Tidak ada peringatan yang muncul. Tim mengira pekerjaan sudah selesai. Padahal belum.
Inilah jenis kesenjangan yang paling berbahaya: yang tidak terlihat.
Tiga Cara untuk Memperbaikinya
Kode dalam Presidio. Ini membutuhkan keahlian Python dan pemeliharaan berkelanjutan. Berhasil tetapi membutuhkan waktu.
Tambahkan tinjauan manual. Seseorang memeriksa setiap dokumen untuk MRN. Ini tidak dapat diskalakan.
Gunakan pembuatan entitas kustom berbantuan AI. Tidak perlu kode. Tim memberikan contoh nilai. AI membangun polanya.
Berikut cara kerjanya. Tim memberikan lima contoh nilai MRN: SVHS-0012345, SVHS-0987654, SVHS-1122334, SVHS-4455667, SVHS-8899001. AI mengembalikan SVHS-\d{7} dan memverifikasinya terhadap sampel. Tim menyimpannya ke preset HIPAA mereka. Semua sesi mendatang mendeteksi format ini. Pendekatan yang sama berlaku untuk kode penerima manfaat dan nomor seri perangkat.
Lihat cara kerja preset dalam panduan deteksi MRN HIPAA. Pelajari tentang alur kerja pola AI.
Asumsi Tersembunyi
Banyak tim menguji pada dokumen sampel dengan nama dan nomor telepon. Alat lulus. Mereka mengasumsikan cakupan penuh. Tetapi sampel jarang menyertakan pengidentifikasi spesifik institusi. MRN dan kode penerima manfaat tampak seperti string acak bagi alat generik. Mereka lolos tanpa tanda.
Audit Safe Harbor yang sesungguhnya memetakan semua 18 kategori ke metode deteksi. Untuk kategori 8, verifikasi dengan sampel MRN nyata dari rumah sakit Anda sendiri. Jangan asumsikan alat mengetahui format Anda.
Tinjau kerangka lengkap dalam ikhtisar kepatuhan HIPAA kami.
Kesimpulan
Safe Harbor mensyaratkan semua 18 kategori pengidentifikasi dihapus. Alat generik mencakup jauh lebih sedikit. Kesenjangan — MRN, kode penerima manfaat, nomor seri perangkat — tidak memiliki format standar, sehingga alat generik melewatkannya. Entitas kustom berbantuan AI menutup kesenjangan tanpa kode atau tinjauan manual.
Sumber
- HHS: HIPAA Safe Harbor, 45 CFR § 164.514 — hhs.gov. VERIFIED.
- Shaip: Jenis pengidentifikasi PHI dalam de-identifikasi layanan kesehatan — shaip.com. VERIFIED-EXTERNAL.
- HHS OCR: Panduan de-identifikasi diperbarui 2024 — hhs.gov. VERIFIED.