anonym.legal

By · Last updated 2026-05-30

Povratak na blogZdravstvo

HIPAA: Detekcija MRN-a specificnih za bolnicu

HIPAA Safe Harbor zahteva uklanjanje brojeva medicinskih kartona - ali MRN formati nisu standardizovani. Epic, Cerner i Meditech koriste razlicite formate, sto standard PII alati ne mogu da znaju bez prilagodjenih entiteta.

May 30, 20267 min čitanja
HIPAA Safe Harbormedical record numbersMRN detectionhealthcare compliancecustom PII patterns

Azurirano za 2026. godinu

HIPAA Safe Harbor de-identifikacija: Detekcija MRN formata specificnih za bolnicu bez inzenjerskog rada

HIPAA Safe Harbor zahteva uklanjanje brojeva medicinskih kartona. Ovo je jedan od 18 obaveznih tipova ID-a. Zvuci jednostavno. Problem je sto MRN formati nisu standardizovani.

Epic koristi jedan format. Cerner koristi drugi. Meditech koristi treci. Svaka bolnica dodaje sopstvene kodove. Regionalne zdravstvene grupe stvaraju jos vise formata. Standardni PII alat ne moze znati vas format. Propustice vase MRN-ove.

Ovo nije manji rizik. IT timovi u zdravstvu cesto pronalaze MRN-ove koji su jos uvek u skupovima podataka koji su trebali biti de-identifikovani. Alat je bio podesena samo za uobicajene tipove PII.

Problem formata MRN-a

SAD nema nacionalni standard za brojeve medicinskih kartona. Svaka bolnica ili dobavljac EHR-a definise sopstveni format.

Cesti obrasci koji se primecuju:

  • Epic stil: 8-12 cifara numericki (npr. 123456789)
  • Cerner stil: Prefiks sifre bolnice + numericki (npr. MGH-987654)
  • Regionalne mreze: Kod ustanove + godina + sekvenca (npr. HOSP-2023-456789)
  • Veterans Affairs: 9 cifara sa kontrolnom cifrom
  • Pedijatrijski sistemi: Prefiks tipa pacijenta + numericki (npr. PED-12345678)

Ni jedno pravilo ne pokriva sve ove formate. Ne postoji univerzalni obrazac MRN-a.

Sta standardni PII alati otkrivaju: Vecina HIPAA alata fokusira se na ID-ove fiksnog formata. SSN-ovi prate XXX-XX-XXXX. Brojevi telefona prate XXX-XXX-XXXX. Adrese elektronske poste imaju jasan oblik. Ove je lako pronaci.

MRN-ovi, brojevi racuna i brojevi licenci su HIPAA tipovi 8, 10 i 11. Ovi variraju po bolnici. Zahtevaju prilagodljivo podesavanje. Genericki alat ih nece otkriti.

Praznina komplijansa

Regionalna bolnica zeli da deli podatke o pacijentima sa univerzitetskim istrazivackim partnerom. Njihov EHR koristi ovaj MRN format: HOSP-YYYY-XXXXXX.

Pokrecaju podatke kroz svoj HIPAA alat. Alat uklanja imena, datume, brojeve telefona i SSN-ove. Ne uklanja MRN-ove. HOSP-2023-456789 ne odgovara nijednom ugradjenom pravilu.

Istrazivac dobija skup podataka. Spaja ga sa sopstvenim zapisima. Ti zapisi ukljucuju MRN-ove iz proslog upucivanja u istu bolnicu. Mnogi pacijenti mogu biti ponovo identifikovani. Bolnica ima HIPAA krsenje.

Ovo je realan nacin kvara. Pogledajte takodje HIPAA Safe Harbor de-identifikaciju za zdravstveno istrazivanje za vise o tome gde Safe Harbor ne uspeva.

Resenje: Kreiranje prilagodjenih entiteta

Resenje je definisanje vaseg MRN formata kao prilagodjenog entiteta. Sluzbenik za komplijans to moze da uradi. Nije potreban inzenjer.

Koraci:

  1. Zapisite format: "Pocinje sa HOSP, zatim crtica, 4-cifrena godina, crtica i 6-cifreni broj"

  2. Koristite AI alat za pravljenje regexa: HOSP-\d{4}-\d{6}

  3. Testirajte na 20 otpusnih pisama. Potvrdite da otkriva sve MRN-ove.

  4. Sacuvajte ga kao prilagodjeni entitet pod nazivom "Hospital MRN"

  5. Dodajte ga u vas HIPAA preset zajedno sa standardnih 17 tipova ID-a

Ovaj proces traje sluzbeniku za komplijans oko 3 dana. Pravljenje prilagodljnog koda moze trajati 3 meseca.

Primer: Mreza bolnica sa 15 ustanova

Organizacija: Regionalna mreza bolnica sa 15 ustanova

Format MRN-a: HOSP-YYYY-XXXXXX (u hiljadama PDF-ova otpusnih pisama)

Cilj: Deljenje istrazivackog skupa podataka sa univerzitetskim partnerom prema HIPAA sporazumu o upotrebi podataka

Stari pristup: Spoljni dobavljac de-identifikacije po ceni od 120.000 dolara godisnje

Pronadjena praznina: Alat dobavljaca nije detektovao MRN format specificne institucije

Novi tok posla:

  1. Sluzbenik za komplijans definise MRN obrazac - 20 minuta
  2. AI validira regex - 5 minuta
  3. Test na 50 uzorcnih rezimea - 30 minuta
  4. Potvrdite da nema MRN-ova, nema laznih pozitiva - 10 minuta
  5. Dodajte prilagodjeni entitet u HIPAA preset
  6. Pokrenite ceo skup podataka od 50.000 zapisa u grupi

Ukupno vreme za zatvaranje praznine: jedno popodne.

Mreze visestrukih ustanova: Visestruki formati MRN-a

Bolnicke mreze izgradjene kroz spajanja cesto koriste nekoliko EHR sistema. Svaki nasledjeni sistem moze koristiti drugi format MRN-a.

Kako se nositi s tim:

Kreirajte zaseban prilagodjeni entitet za svaki format:

  • "MRN format A (Epic)" - 8-cifreni numericki
  • "MRN format B (nasledjeni Cerner)" - prefiks + 7-cifreni numericki
  • "MRN format C (preuzeta filijala)" - drzavni kod + godina + sekvenca

Jedan preset drzi sva tri priladodjena entiteta plus standardne HIPAA tipove ID-a. Svaki dokument iz svake ustanove imace uklonjene MRN-ove.

Pogledajte prilagodljenu MRN detekciju u HIPAA cevovodima bez koda za korak-po-korak vodic za ovo viseformatno podesavanje.

Izvan MRN-ova: Ostali nestandardni identifikatori

Isti pristup radi za druge HIPAA Safe Harbor tipove ID-a.

Brojevi clanova zdravstvenog plana (kategorija 9): Svaki osiguravac koristi sopstveni format. Aetna, Blue Cross i United Healthcare svi izgledaju drugacije. Tim za naplatu treba prilagodjeni obrazac za svakog platioca.

Brojevi racuna (kategorija 10): Bolnicki brojevi racuna za naplatu razlikuju se po bolnici.

Brojevi licenci (kategorija 11): DEA brojevi imaju standardni federalni format. Drzavni brojevi medicinske licence ne. Svaka drzavna komisija koristi sopstveni format.

Identifikatori uredaja (kategorija 14): Serijski brojevi medicinskih uredaja odreduje svaki proizvodjac.

Za svaki od ovih, prilagodjeni entitet zatvara prazninu. Inzenjeri nisu potrebni.

Pogledajte prilagodjene PII identifikatore za organizacionu anonimizaciju za vise o nestandardnim tipovima ID-a.

Validacija: Dokazivanje Safe Harbor komplijansa

HIPAA Safe Harbor kaze da pokrivena ustanova ne sme imati "stvarno znanje" da podaci mogu identifikovati nekoga. (45 CFR sekcija 164.514(b)(1))

Validacija prilagodjenih entiteta dokazuje da je svih 18 tipova ID-a pokriveno.

Koraci validacije:

  1. Obradite 50-100 uzorcnih dokumenata iz istrazivackog skupa podataka
  2. Pregledajte izlaz - da li nesto izgleda kao ID?
  3. Pokrenite drugi prolaz detekcije da biste uhvatili propustene stavke
  4. Dokumentujte ono sto ste uradili

Vase prilagodjeno podesavanje entiteta, pregled uzoraka i zapisi o obradi cine vas Safe Harbor zapis.

Zakljucak

Standardni PII alati na podrazumevanim podesavanjima ne zavrsavaju HIPAA Safe Harbor de-identifikaciju. Brojevi medicinskih kartona su specificni za bolnicu. Zahtevaju prilagodljvu detekciju.

Kreiranje prilagodjenih entiteta zatvara ovu prazninu za nekoliko sati. Sluzbenik za komplijans moze da definise obrazac, testira ga i obradjuje podatke. Inzenjerski rad nije potreban.

Jaz izmedju "pokrenuli smo HIPAA alat" i "uklonili smo svih 18 Safe Harbor identifikatora" cesto je samo jedan nedostajuci prilagodjeni entitet.

Izvori

Povezani članci

Zdravstvo

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

Zdravstvo

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Zdravstvo

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Spremni da zaštitite svoje podatke?

Počnite sa anonimizacijom PII sa 285+ tipova entiteta na 48 jezika.

Započnite besplatnu probuPogledajte funkcije

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.