Kravet om 18 identifikatorer
HIPAAs personvernsregel (45 CFR Section 164.514) spesifiserer Safe Harbor-deidentifikasjonsmetoden: for å deidentifisere beskyttede helseopplysninger må 18 spesifikke identifikatorer fjernes. Safe Harbor-metoden er en av to HIPAA-deidentifikasjonsmetoder; den brukes oftere fordi overholdelse er deterministisk — hvis alle 18 kategorier fjernes, er dataene deidentifisert som et spørsmål om lov.
De 18 kategoriene:
- Navn
- Geografiske data (mindre enn stat — inkludert gateadresse, by, fylke, postnummer)
- Datoer (unntatt år) relatert til individet — fødsel, innleggelse, utskrivning, død
- Telefonnummer
- Faksnumre
- E-postadresser
- Sosial sikkerhetsnummer
- Medisinske journalnumre (MRN)
- Helseplanens begunstigede nummer
- Kontonumre
- Sertifikat/lisensnumre
- Kjøretøyidentifikatorer og serienumre
- Enhetsidentifikatorer og serienumre
- Nett-URL-er
- IP-adresser
- Biometriske identifikatorer (fingeravtrykk, stemmeavtrykk)
- Fullfjes fotografier og sammenlignbare bilder
- Ethvert annet unikt identifiserende nummer eller kode
De fleste PII-detekteringsverktøy oppdager pålitelig kategoriene 1, 4, 6 og 7 — navn, telefonnumre, e-postadresser og SSN. De svikter systematisk på kategoriene 8, 9, 10, 11, 13 og 18.
Gapet i MRN-detektering
Medisinske journalnumre er eksplisitt listet som en PHI-identifikator (kategori 8). MRN-formater er institusjonsspesifikke — det finnes ikke noe standardisert nasjonalt format. Sykehus A bruker et 7-sifret heltall. Sykehus B bruker "PT-YYYYNNNN" hvor YYYY er år og NNNN er et sekvensnummer. Sykehus C bruker en alfanumerisk 8-tegns streng. Sykehus D bruker "MRN: " etterfulgt av et 9-sifret nummer.
Et generisk PII-detekteringsverktøy som ikke kjenner Sykehus Bs MRN-format vil ikke oppdage "PT-2024-8847" som en PHI-identifikator. Dokumentet som inneholder dette MRN vil bli behandlet som deidentifisert etter standard behandling — når det ikke er det.
Dette skaper en overholdelsesfeilmodus som er usynlig for organisasjonen: deidentifikasjonen ser ut til å være fullført fordi verktøyet ikke flagget noen brudd. Den manglende deteksjonen er problemet.
Løsningen med tilpassede enheter
Helseorganisasjoner som trenger MRN-detektering har tre alternativer. For det første, implementere deteksjonen i Presidio direkte — noe som krever ekspertise i Python-programmering og kontinuerlig vedlikehold ettersom MRN-formater utvikler seg. For det andre, opprettholde et manuelt gjennomgangstrinn spesifikt for MRN — noe som skaper et systematisk svakt ledd i deidentifikasjonsprosessen. For det tredje, bruke et system som gir AI-assistert oppretting av tilpassede enheter uten å kreve kode.
AI-mønsterhjelper-tilnærmingen: det kliniske informatikteamet gir 5 eksempler på MRN-verdier (SVHS-0012345, SVHS-0987654, SVHS-1122334, SVHS-4455667, SVHS-8899001) og ber om et deteksjonsmønster. AI genererer en regex — SVHS-d{7} — og validerer den mot de angitte eksemplene. Mønsteret lagres i teamets HIPAA-overholdelsesinnstilling. Alle påfølgende deidentifikasjonsøkter oppdager dette MRN-formatet automatisk.
Den samme tilnærmingen gjelder for andre institusjonsspesifikke identifikatorer: formater for helseplanens begunstigede nummer, formater for utstyrsserienummer og eventuelle proprietære identifiseringskoder som er spesifikke for organisasjonen.
Kilder: