anonym.legal

By · Last updated 2026-05-30

Nazaj na blogZdravstvo

HIPAA: Zaznavanje MRN formatov specificnih za bolnisnico

HIPAA Safe Harbor zahteva odstranitev stevilk zdravstvenih kartonov - vendar formati MRN niso standardizirani. Epic, Cerner in Meditech vsi uporabljajo razlicne formate.

May 30, 20267 min branja
HIPAA Safe Harbormedical record numbersMRN detectionhealthcare compliancecustom PII patterns

Posodobljeno za leto 2026

De-identifikacija HIPAA Safe Harbor: Zaznavanje formatov MRN specificnih za bolnisnico brez programiranja

HIPAA Safe Harbor zahteva odstranitev stevilk zdravstvenih kartonov. To je ena od 18 zahtevanih vrst ID-jev. Zveni enostavno. Problem je v tem, da formati MRN niso standardizirani.

Epic uporablja en format. Cerner uporablja drugacnega. Meditech uporablja se drugega. Vsaka bolnisnica doda svoje kode. Regionalne zdravstvene skupine ustvarijo se vec formatov. Standardno orodje za osebne podatke ne more poznati vasega formata. Spregledalo bo vase MRN-je.

To ni manjse tveganje. Ekipe za zdravstveno informatiko pogosto najdejo MRN-je se v naborih podatkov, ki so bili namenjeni de-identifikaciji. Orodje je bilo nastavljeno le za obicajne vrste osebnih podatkov.

Problem formata MRN

ZDA nimajo nacionalnega standarda za stevilke zdravstvenih kartonov. Vsaka bolnisnica ali prodajalec EHR definira svoj format.

Pogosto opazeni vzorci:

  • Slog Epic: 8-12 mestna stevilka (npr. 123456789)
  • Slog Cerner: Predpona kode bolnisnice + stevilka (npr. MGH-987654)
  • Regionalne mreze: Koda objekta + leto + zaporedje (npr. HOSP-2023-456789)
  • Veteranska administracija: 9-mestna s kontrolno stevilko
  • Pediatricni sistemi: Predpona vrste pacienta + stevilka (npr. PED-12345678)

Eno samo pravilo ne ustreza vsem tem. Ni univerzalnega vzorca MRN.

Kaj standardna orodja za osebne podatke ujamejo: Vecina orodij HIPAA se osredotoci na ID-je s fiksnim formatom. SSN-ji sledijo formatu XXX-XX-XXXX. Telefonske stevilke sledijo XXX-XXX-XXXX. E-postni naslovi imajo jasno obliko. Te je enostavno najti.

MRN-ji, stevilke racunov in stevilke licenc so tipi HIPAA 8, 10 in 11. Ti se razlikujejo po bolnisnicah. Potrebujejo prilagojeno nastavitev. Genericno orodje jih ne bo ujelo.

Vrzel skladnosti

Regionalna bolnisnica zeli deliti podatke pacientov z univerznistnim raziskovalnim partnerjem. Njihov EHR uporablja ta format MRN: HOSP-LLLL-XXXXXX.

Podatke pozene skozi svoje orodje HIPAA. Orodje odstrani imena, datume, telefonske stevilke in SSN-je. Ne odstrani MRN-jev. HOSP-2023-456789 ne ustreza nobenemu vgrajenemu pravilu.

Raziskovalec dobi nabor podatkov. Zdruzi ga s svojimi evidencami. Te evidence vkljucujejo MRN-je iz preteklih napotitev v isti bolnisnici. Mnogi pacienti so zdaj lahko ponovno identificirani. Bolnisnica ima krsitev HIPAA.

To je resnicen nacin odpovedi. Glejte tudi de-identifikacijo HIPAA Safe Harbor za zdravstvene raziskave za vec o tem, kje Safe Harbor odpove.

Resitev: Ustvarjanje entitet po meri

Resitev je definirati format vasega MRN kot entiteto po meri. To lahko naredi uradnik za skladnost. Noben inzenir ni potreben.

Koraki:

  1. Zapisite format: "Zacne se z HOSP, nato pomisljaj, 4-mestno leto, pomisljaj in 6-mestna stevilka"

  2. Uporabite orodje UI za gradnjo regularnega izraza: HOSP-\d{4}-\d{6}

  3. Preizkusite ga na 20 odpustnih povzetkih. Potrdite, da ujame vse MRN-je.

  4. Shranite kot entiteto po meri z imenom "Hospital MRN"

  5. Dodajte ga k vasi prednastavitvi HIPAA skupaj s standardnimi 17 vrstami ID-jev

Ta postopek uredniku za skladnost vzame priblizno 3 dni. Gradnja kode po meri lahko vzame 3 mesece.

Primer: Omrezje 15 ustanov

Organizacija: Regionalno bolnisnisko omrezje z 15 ustanovami

Format MRN: HOSP-LLLL-XXXXXX (v tisocih PDF-jev odpustnih povzetkov)

Cilj: Deljenje raziskovalnega nabora podatkov z univerznistnim partnerjem v okviru sporazuma o uporabi podatkov HIPAA

Stari pristop: Zunanji prodajalec de-identifikacije za 120.000 dolarjev letno

Ugotovljena vrzel: Orodje prodajalca ni zaznalo institucijsko specificnega formata MRN

Nov potek dela:

  1. Uradnik za skladnost definira vzorec MRN - 20 minut
  2. UI preveri regularni izraz - 5 minut
  3. Test na 50 vzorcnih povzetkih - 30 minut
  4. Potrditev, da ni MRN-jev, ni lazno pozitivnih - 10 minut
  5. Dodajanje entitete po meri k prednastavitvi HIPAA
  6. Zagon celotnega nabora 50.000 evidenc v paketnem nacinu

Skupni cas za zaprtje vrzeli: eno popoldne.

Omrezja vecih ustanov: Vecje formatov MRN

Bolnisniska omrezja, zgrajena s fuzijami, pogosto teko na vec sistemih EHR. Vsak zastareli sistem lahko uporablja drugacen format MRN.

Kako to obravnavati:

Ustvarite loceno entiteto po meri za vsak format:

  • "Format MRN A (Epic)" - 8-mestna stevilka
  • "Format MRN B (zastareli Cerner)" - predpona + 7-mestna stevilka
  • "Format MRN C (pridobljeni podruznicki)" - drzavna koda + leto + zaporedje

Ena prednastavitev drzi vse tri entitete po meri skupaj s standardnimi vrstami ID-jev HIPAA. Vsak dokument vsake ustanove bo imel odstranjene MRN-je.

Glejte zaznavanje MRN po meri v tokovih HIPAA brez kode za korakoven vodic za to nastavitev z vecimi formati.

Preko MRN-jev: Drugi nestandardni identifikatorji

Enak pristop deluje za druge vrste ID-jev HIPAA Safe Harbor.

Stevilke clanov zdravstvenega nacarta (Kategorija 9): Vsak zavarovalec uporablja svoj format. Aetna, Blue Cross in United Healthcare so vsi videti drugace. Racunovodska ekipa potrebuje prilagojen vzorec za vsakega platnika.

Stevilke racunov (Kategorija 10): Stevilke bolnisniskeih racunov se razlikujejo po bolnisnicah.

Stevilke licenc (Kategorija 11): Stevilke DEA imajo standardni zvezni format. Stevilke drzavnih zdravniskih licenc nimajo. Vsak drzavni odbor uporablja svoj format.

Identifikatorji naprav (Kategorija 14): Serijske stevilke medicinskih naprav nastavi vsak proizvajalec.

Za vsakega od teh entiteta po meri zapre vrzel. Inzinirji niso potrebni.

Glejte identifikatorje osebnih podatkov po meri za anonimizacijo organizacije za vec o nestandardnih vrstah ID-jev.

Validacija: Dokazovanje skladnosti Safe Harbor

HIPAA Safe Harbor pravi, da pokrita entiteta ne sme imeti "dejanskega znanja", da bi podatki lahko identificirali koga. (45 CFR SS164.514(b)(1))

Validacija entitet po meri dokazuje, da je pokritih vseh 18 vrst ID-jev.

Koraki validacije:

  1. Obdelajte 50-100 vzorcnih dokumentov iz raziskovalnega nabora podatkov
  2. Preglejte izhod - videti je karkoli kot ID?
  3. Zazenite drugi prehod zaznavanja za ujemanje zamudenih elementov
  4. Dokumentirajte, kaj ste storili

Vasa nastavitev entitet po meri, pregled vzorcev in dnevniki obdelave tvorijo vaso evidenco Safe Harbor.

Zakljucek

Standardna orodja za osebne podatke s privzetimi nastavitvami ne dokoncajo de-identifikacije HIPAA Safe Harbor. Stevilke zdravstvenih kartonov so specificne za bolnisnico. Potrebujejo zaznavanje po meri.

Ustvarjanje entitet po meri zapre to vrzel v urah. Uradniki za skladnost lahko definirajo vzorec, ga preizkusijo in obdelajo podatke. Nobeno inzinirsko delo ni potrebno.

Sorodni članki

Zdravstvo

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

Zdravstvo

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Zdravstvo

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Ste pripravljeni zaščititi svoje podatke?

Začnite z anonimizacijo PII z več kot 285 tipi entitet v 48 jezikih.

Začnite brezplačno preizkušnjoOgled funkcij

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.