anonym.legal

By · Last updated 2026-06-05

Atgal į BlogąSveikatos Priežiūra

HHS 2025: AI klinikinems pastaboms reikia PHI aptikimo

AI transkribavimo sistemos gali netycia perkelti Paciento A PHI i Paciento B irasa. Stai kodél tikralaike PHI aptikimas pries EHR isaugojima yra butinam kontrole.

June 5, 20269 min skaityti
HIPAA complianceclinical documentationPHI detectionEHR privacyHHS 2025

AI klinikiniu pastabų privatumo problema

Atnaujinta 2026 m.

Ligoninés ir klinikos naudoja AI klinikinèms pastaboms raszyti. AI transkribuoja garsa ir rengia teksta. Taciau tai sukuria HIPAA spraga, kurios rankinè perziura negali uzdarryti.

AI generuotos pastabos atskleidzia pacientu irasais trijais büdais:

  1. Kryzminis uzteršimas: AI gali perkelti informacija is vieno paciento i kito paciento irasa. Medicinos AI tyrimai paroé sia rizika.
  2. Konteksto persipynimas: Paciento informacija patenka i netinkama lauka - atsiskaitymo pastaba, tyrimo laukas arba kreipimosi forma. AI pildzo laukus pagal konteksta, o ne pagal lauko paskirtį.
  3. Vendoriu duomenu naudojimas: Daugelis AI vendoriu siuncia pastabas atgal modelio perziurai, jei nepasinaudojate atsisakymu. Tai siuncia pacientu informacija i trečiuju Saliu serverius, kurie gali netureti pasirasytos BAA.

HHS 2025 m. paskelbe siuloma taisyklè. Ji nurodo, kad subjektai, naudojantys AI irankius, privalo juos itraukti i savo rizikos analizè. Tai sukuria formalia taisyklè AI pagalbos klinikinam darbui.

2025 m. HHS AI rizikos analizės taisyklé

HHS pasiulė naujus reikalavimus apimtiems subjektams, naudojantiems AI. Kiekviena AI sistema, lietanti pacientu irasais, turi buti subjekto rizikos analizeje.

Taisykleje yra trys dalys:

Techniniai apsaugai: Perziureti kiekviena AI irankus. Klauste:

  • Ar jis siuncia pacientu irasais uz jusu sistemu ribu?
  • Ar po naudojimo saugo pacientu irasais savo serveriuose?
  • Ar iraso pacientu informacija i netinkama irasa?

Darbuotoju mokymai: Mokymai turi apimti AI specifines rizikous. Tai apima irasų supainiojimo atvejus.

Fizines kontroles: Darbo vietos, kuriose veikia AI irankiai, turi buti fizines prieigos valdikliu dalis.

AI klinikiniai irankiai apima balso-teksto paslaugas, AI pastabų renggimo irankius ir kodavimo irankius.

Kodél aptikimas pries isaugojima veikia

Geriausias techninis valdiklis yra PHI aptikimas pries pastabos isaugojima i EHR.

Be aptikimo pries isaugojima:

  • AI rasa juodrastl
  • Darbuotojai rankiniu budu perziuri ji, esant laiko spaudimui
  • Pastaba isaugoma i EHR
  • PHI klaidos dabar yra pastovaus iraso dalis
  • Ju taisymas reikalauja audito irasų ir pazeidimo perziuros

Su aptikimu pries isaugojima:

  • AI rasa juodrastl
  • PHI nuskaitymas vyksta pries pastabos isaugojima
  • Pazymetos pozicijos siuntiamos darbuotojams perziurai
  • Darbuotojai taiso klaidas pries isaugodami
  • EHR irasas yra svarus nuo pradziu

Aptikimas pries isaugojima atitinka HIPAA saugos taisyklè 164.312(b). Sis reikalavimas taikomas sistemoms, kurios fiksuoja ir tikrina veikla. Nuskaitymas pries isaugojima sukuria audito irasa kiekvienai perizuretai pastabai.

18 PHI kategorijų AI pastabose

HIPAA Safe Harbor reikalauja pasalinti 18 PHI kategorijų (45 CFR 164.514(b)). AI pastabos gali atskleisti visas 18 netikėtais budais:

  • Vardai - pacientas simptomų istorijoje mini seim naryo varda
  • Vieta - namų adresas socialines istorijoje
  • Datos - gimimo datos, prieziūros datos, proceduru datos
  • Telefono ir fakso numeriai - kontaktu informacija kreipimosi pastabose
  • El. pasto adresai - pacientu pateikti kontaktiniai duomenys
  • SSN - draudimo kontekstas
  • Medicininiu irasų numeriai - kryztiniai nuorodos AI santraukose
  • Sveikatos plano numeriai - draudimo kontekstas
  • Saskaitu numeriai - atsiskaitymo kontekstas
  • Licencijų numeriai - tiekejo licencijos informacija kreipimosi pastabose
  • Transporto priemoniú identifikatoriai - avarijos kontekstas trauma pastabose
  • Irenginio identifikatoriai - implantu pastabos
  • URL adresai - pacientu pateiktos nuorodos i sveikatos irasais
  • IP adresai - nuotoliniu sesijų zurnalai
  • Biometriniai identifikatoriai - pirstu atspaudu arba balso atspaudo duomenys
  • Fotografijos - susijusi media AI sistemose
  • Bet koks kitas unikalus identifikatorius - pasirinktiniai istaigos identifikatoriai

AI modeliai gali kurti bet kuri is siu is konteksto. Aptikimas turi apimti visas 18 - ne tik SSN ir datas.

Kaip itraukti aptikima pries isaugojima

PHI tikrinimas pries isaugojima atlieka penkis zingsnius:

  1. AI raso pastabos juodrastl
  2. Pastabos tekstas siuntiamas i aptikimo API, dar pries darbuotojams ji matant
  3. Pazymetos pozicijos rodomos juodrascio perizuroje
  4. Darbuotojai perziuri pazymas iprastos pastabų perziuros metu
  5. Darbuotojai isaugo pastaba - be pazymetu pozicijų arba su uzsifiksuota pricastimi

Ka sistema turi:

  • Greitis: maziau kaip 200 ms, kad nesuletintu darbo eigos
  • Apreptis: visos 18 HIPAA kategorijų bei vietiniai sablonai, tokie kaip jusu MRN formatas
  • Balų sistema: 85% ir daugiau vertinami objektai automatiskai pazymimi; 50-85% reikia darbuotoju perziuros; maziau kaip 50% rodomi tik kaip nuoroda
  • Audito zurnalai: fiksuoti kiekviena pazymeta objekte, jo balas ir perziuretojo sprendimas

Audito zurnalai suteikia tiesiogini irodyma HHS rizikos analizei. Jie parodo, kad turite AI generuotu PHI valdiklius.

Naudojimo atvejis: aptikimas pries isaugojima medicinos centre

Vienas akademinis medicinos centras naudojo AI aplinkos sistema gydytoju pastaboms. 90 dienu auditas rado du supainiojimo atvejus. Viena pastaba turejo kito paciento gimimo data. Antroje buvo seim nario vardas ir SSN is socialines istorijos.

Pridejus PHI aptikima pries isaugojima:

  • Visi AI juodrasCiai buvo nuskaityti pries gydytojo perziura
  • Vidutinis nuskaitymo laikas: 47 ms - jauciant darbo eigoje nepastebimas
  • Per 90 dienu: 8 400 pastabose pazymeti 1 247 objektai
  • Darbuotojai perziurejo ir isprendé 94% pazymetų objektu
  • Po paleidimo nenas irasų supainiojimo incidentu

Sistema gamina menesiniu ataskaita. Ji rodo aptikimo normas, perziuros normas ir objektu tipus. Sia ataskaita naudojama kaip audito valdikliu irodymas pagal HIPAA saugos taisyklè 164.312(b).

Komandos, statancios si darbo eiga, gali naudoti anonym.legal PHI aptikimo API. Ji apima visas 18 HIPAA kategorijų maziau kaip 200 ms uzlaikyme. Nustatymo zingsniai - PHI aptikimo integravimo vadove. Platesniam kontekstui apsilankykite sveikatos apsaugos naudojimo atveju puslapyje.

Saltiniai

Susiję Straipsniai

Sveikatos Priežiūra

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

Sveikatos Priežiūra

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Sveikatos Priežiūra

HIPAA MRN Detection Without a Regex PhD

Every hospital's MRN format is different. Memorial uses MRN:XXXXXXX, St. Mary's uses PT-YYYYY, University Hospital uses UHN-XXXXXXXXXX.

Pasiruošę apsaugoti savo duomenis?

Pradėkite anonimizuoti PII su 285+ subjektų tipais 48 kalbomis.

Pradėti Nemokamą Bandomąją VersijąPeržiūrėti Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.