anonym.legal

By · Last updated 2026-04-28

Înapoi la BlogSănătate

18 identificatori HIPAA pe care instrumentul dumneavoastră îi ratează

HIPAA listează 18 identificatori PHI. Cele mai multe instrumente de anonimizare detectează poate 6 dintre ei. Numerele de înregistrare medicală variază pe instituție, fără un format standard în SUA.

April 28, 20269 min citire
HIPAA 18 identifiersPHI complete detectionMRN detectionNPI DEA numbersHIPAA Safe Harbor compliance

18 identificatori HIPAA pe care instrumentul dumneavoastră îi ratează

Actualizat pentru 2026.

HIPAA listează 18 categorii de identificatori PHI. Cele mai multe instrumente de anonimizare detectează poate șase. Celelalte douăsprezece trec neobservate — și fiecare reprezintă un decalaj de conformitate.

Regula Safe Harbor

Regula de confidențialitate HIPAA (45 CFR § 164.514) definește de-identificarea Safe Harbor. Toate cele 18 categorii de identificatori trebuie eliminate. Eliminați-le pe toate și datele sunt de-identificate prin lege. De aceea Safe Harbor este popular: este trece sau pică, nu o decizie subiectivă.

Cele 18 categorii sunt:

  1. Nume
  2. Date geografice mai mici decât statul — adresă stradală, oraș, județ, cod poștal
  3. Date cu excepția anului — naștere, internare, externare, deces
  4. Numere de telefon
  5. Numere de fax
  6. Adrese de e-mail
  7. Coduri de Securitate Socială
  8. Identificatori de înregistrare medicală (MRN)
  9. Coduri de beneficiar al planului de sănătate
  10. Identificatori de cont
  11. Coduri de certificat și licență
  12. Identificatori de vehicule și coduri de serie
  13. Identificatori de dispozitive și coduri de serie
  14. URL-uri web
  15. Adrese IP
  16. Identificatori biometrici — amprente digitale, amprente vocale
  17. Fotografii complete ale feței și imagini similare
  18. Orice alt cod sau valoare de identificare unică

Cele mai multe instrumente gestionează bine categoriile 1, 4, 6 și 7. Ratează în mod regulat categoriile 8, 9, 10, 11, 13 și 18.

Decalajul MRN

Identificatorii de înregistrare medicală se află la categoria 8. Formatele MRN sunt stabilite de fiecare spital. Nu există un standard național în SUA.

Spitalul A folosește un număr întreg de 7 cifre. Spitalul B folosește PT-AAAANNNN. Spitalul C folosește un șir alfanumeric de 8 caractere. Spitalul D scrie MRN înainte de un cod de 9 cifre.

Un instrument generic nu va marca PT-2024-8847 ca PHI. Documentul trece verificările de de-identificare. Dar nu este de-identificat. Nu se declanșează nicio alertă. Echipa crede că treaba e făcută. Nu este.

Acesta este cel mai periculos tip de decalaj: unul silențios.

Trei Modalități de Remediere

Codați-l în Presidio. Necesită cunoștințe Python și întreținere continuă. Funcționează, dar costă timp.

Adăugați revizuire manuală. O persoană verifică fiecare document pentru MRN-uri. Nu se scalează.

Utilizați crearea de entități personalizate asistată de AI. Fără cod necesar. Echipa furnizează valori exemplu. AI construiește tiparele.

Iată cum funcționează. O echipă furnizează cinci valori MRN exemplu: SVHS-0012345, SVHS-0987654, SVHS-1122334, SVHS-4455667, SVHS-8899001. AI returnează `SVHS-\d{7}` și îl verifică față de exemple. Echipa îl salvează în preset-ul lor HIPAA. Toate sesiunile viitoare detectează formatul. Aceeași abordare funcționează pentru codurile de beneficiar și codurile de serie ale dispozitivelor.

Vedeți cum funcționează preset-urile în ghidul de detectare MRN HIPAA. Aflați mai multe despre fluxul de lucru AI pentru tipare.

Presupunerea Ascunsă

Multe echipe testează pe un document exemplu cu un nume și un număr de telefon. Instrumentul trece. Presupun că au acoperire completă. Dar exemplele includ rareori identificatori specifici instituției. MRN-urile și codurile de beneficiar arată ca șiruri aleatorii unui instrument generic. Trec fără niciun marcaj.

Un audit adevărat Safe Harbor mapează toate cele 18 categorii la o metodă de detectare. Pentru categoria 8, verificați cu exemple reale MRN din propriul spital. Nu presupuneți că instrumentul cunoaște formatul dumneavoastră.

Revizuiți cadrul complet în prezentarea noastră generală de conformitate HIPAA.

Concluzie

Safe Harbor cere eliminarea tuturor celor 18 categorii de identificatori. Instrumentele generice acoperă mult mai puține. Decalajele — MRN-uri, coduri de beneficiar, seriale de dispozitive — nu au un format standard, deci instrumentele generice le ratează. Entitățile personalizate asistate de AI închid decalajul fără cod sau revizuire manuală.

Surse

  • HHS: HIPAA Safe Harbor, 45 CFR § 164.514 — hhs.gov. VERIFICAT.
  • Shaip: Tipuri de identificatori PHI în de-identificarea din sănătate — shaip.com. VERIFICAT-EXTERN.
  • HHS OCR: Ghid de de-identificare actualizat 2024 — hhs.gov. VERIFICAT.

Articole Asemănătoare

Sănătate

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

Sănătate

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Sănătate

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Pregătit să vă protejați datele?

Începeți să anonimizati PII cu 285+ tipuri de entități în 48 de limbi.

Începeți Proba GratuităVizualizați Funcționalitățile

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.