18 HIPAA Identifier na Nami-miss ng Iyong Tool

18 HIPAA Identifier na Nami-miss ng Iyong Tool

Na-update para sa 2026.

Naglilista ang HIPAA ng 18 kategorya ng PHI identifier. Nakikikilala ng karamihan sa mga anonymization tool ang halos anim. Ang iba pang labindalawa ay nakakalusot — at ang bawat isa ay isang compliance gap.

Ang Safe Harbor Rule

Tinutukoy ng HIPAA's Privacy Rule (45 CFR ss 164.514) ang Safe Harbor de-identification. Kailangang alisin ang lahat ng 18 kategorya ng identifier. Alisin ang bawat isa at ang data ay de-identified ayon sa batas. Ito ang dahilan kung bakit sikat ang Safe Harbor: ito ay pumasa o nabigo, hindi isang pagpapasya.

Ang 18 kategorya ay:

1. Mga pangalan
2. Geographic na datos na mas maliit kaysa sa estado — address ng kalye, lungsod, county, ZIP code
3. Mga petsa maliban sa taon — kapanganakan, pagpasok, paglabas, kamatayan
4. Mga numero ng telepono
5. Mga numero ng fax
6. Mga email address
7. Mga Social Security code
8. Mga medical record identifier (MRN)
9. Mga health plan beneficiary code
10. Mga account identifier
11. Mga certificate at license code
12. Mga vehicle identifier at serial code
13. Mga device identifier at serial code
14. Mga web URL
15. Mga IP address
16. Mga biometric identifier — fingerprint, voiceprint
17. Mga full-face na larawan at katulad na imahe
18. Anumang iba pang natatanging identifying code o halaga

Humahawak nang mahusay ang karamihan sa mga tool sa mga kategorya 1, 4, 6, at 7. Regular nilang nami-miss ang 8, 9, 10, 11, 13, at 18.

Ang MRN Gap

Ang mga medical record identifier ay nasa kategorya 8. Ang mga format ng MRN ay itinakda ng bawat ospital. Walang pambansang pamantayan sa US.

Gumamit ang Hospital A ng 7-digit na integer. Gumagamit ang Hospital B ng "PT-YYYYNNNN." Gumagamit ang Hospital C ng isang 8-character na alphanumeric na string. Isinusulat ng Hospital D ang "MRN: " bago ang isang 9-digit na code.

Hindi i-flag ng isang generic na tool ang "PT-2024-8847" bilang PHI. Pumapasa ang dokumento sa mga de-identification check. Ngunit hindi ito de-identified. Walang alerto. Iniisip ng koponan na tapos na ang trabaho. Hindi pa.

Ito ang pinakamasamang uri ng agwat: isang tahimik.

Tatlong Paraan para Ayusin Ito

I-code ito sa Presidio. Nangangailangan ito ng mga kasanayan sa Python at patuloy na pagpapanatili. Gumagana ito ngunit nagagastos ng oras.

Magdagdag ng manu-manong pagsusuri. Isang tao ang sumusuri sa bawat dokumento para sa mga MRN. Hindi ito naka-scale.

Gumamit ng AI-assisted custom entity creation. Hindi kailangan ng code. Nagbibigay ang koponan ng mga sample na halaga. Ginagawa ng AI ang pattern.

Narito kung paano gumagana ito. Nagbibigay ang isang koponan ng limang sample na halaga ng MRN: SVHS-0012345, SVHS-0987654, SVHS-1122334, SVHS-4455667, SVHS-8899001. Ibinabalik ng AI ang SVHS-\d{7} at sinusuri ito laban sa mga sample. Sine-save ito ng koponan sa kanilang HIPAA preset. Lahat ng susunod na session ay nakikikilala sa format. Ang parehong diskarte ay gumagana para sa mga beneficiary code at device serial code.

Tingnan kung paano gumagana ang mga preset sa HIPAA MRN detection guide. Matuto tungkol sa AI pattern workflow.

Ang Nakatagong Pagpapalagay

Maraming koponan ang sumusubok sa isang sample na dokumento na may pangalan at numero ng telepono. Pumapasa ang tool. Inaakala nilang kumpleto ang coverage. Ngunit bihirang magsama ng mga institution-specific na identifier ang mga sample. Ang mga MRN at beneficiary code ay mukhang random na string sa isang generic na tool. Pumapasa sila nang walang flag.

Isang tunay na Safe Harbor audit ang nagma-map ng lahat ng 18 kategorya sa isang paraan ng pagtukoy. Para sa kategorya 8, i-verify gamit ang mga tunay na sample ng MRN mula sa iyong sariling ospital. Huwag ipagpalagay na alam ng tool ang iyong format.

Suriin ang buong framework sa aming HIPAA compliance overview.

Konklusyon

Hinihiling ng Safe Harbor na alisin ang lahat ng 18 kategorya ng identifier. Sumasaklaw ang mga generic na tool sa mas kaunti. Ang mga agwat — mga MRN, beneficiary code, device serial — ay walang karaniwang format, kaya nami-miss sila ng mga generic na tool. Isinasara ng AI-assisted na custom entity ang agwat nang walang code o manu-manong pagsusuri.

Mga Pinagmulan

• HHS: HIPAA Safe Harbor, 45 CFR ss 164.514 — hhs.gov. VERIFIED.
• Shaip: PHI identifier types in healthcare de-identification — shaip.com. VERIFIED-EXTERNAL.
• HHS OCR: De-identification guidance updated 2024 — hhs.gov. VERIFIED.