18 Tanımlayıcı Gereksinimi
HIPAA'nın Gizlilik Kuralı (45 CFR Bölüm 164.514), Güvenli Liman anonimleştirme yöntemini belirtir: korunmuş sağlık bilgilerinin anonimleştirilmesi için 18 belirli tanımlayıcı kategorisinin kaldırılması gerekir. Güvenli Liman yöntemi, iki HIPAA anonimleştirme yaklaşımından biridir; uyum sağlamak belirleyicidir — eğer tüm 18 kategori kaldırılırsa, veriler yasal olarak anonimleştirilmiş sayılır.
18 kategori:
- İsimler
- Coğrafi veriler (eyaletin altındaki — sokak adresi, şehir, ilçe, posta kodu dahil)
- Birey ile ilgili tarihler (yıl hariç) — doğum, kabul, taburcu, ölüm
- Telefon numaraları
- Faks numaraları
- E-posta adresleri
- Sosyal Güvenlik numaraları
- Tıbbi kayıt numaraları (MRN)
- Sağlık planı yararlanıcı numaraları
- Hesap numaraları
- Sertifika/lisans numaraları
- Araç tanımlayıcıları ve seri numaraları
- Cihaz tanımlayıcıları ve seri numaraları
- Web URL'leri
- IP adresleri
- Biyometrik tanımlayıcılar (parmak izleri, ses izleri)
- Tam yüz fotoğrafları ve karşılaştırılabilir görüntüler
- Herhangi bir başka benzersiz tanımlayıcı numara veya kod
Çoğu PII tespit aracı güvenilir bir şekilde 1, 4, 6 ve 7. kategorileri — isimler, telefon numaraları, e-posta adresleri ve SSN'leri tespit eder. 8, 9, 10, 11, 13 ve 18. kategorilerde sistematik olarak başarısız olurlar.
MRN Tespit Açığı
Tıbbi Kayıt Numaraları açıkça bir PHI tanımlayıcısı (kategori 8) olarak listelenmiştir. MRN formatları kuruma özgüdür — standart bir ulusal format yoktur. Hastane A, 7 haneli bir tam sayı kullanır. Hastane B, "PT-YYYYNNNN" formatını kullanır; burada YYYY yıl ve NNNN bir sıra numarasıdır. Hastane C, alfanümerik 8 karakterli bir dize kullanır. Hastane D, "MRN: " ifadesini takiben 9 haneli bir numara kullanır.
Hastane B'nin MRN formatını bilmeyen genel bir PII tespit aracı, "PT-2024-8847"'yi bir PHI tanımlayıcısı olarak tespit edemeyecektir. Bu MRN'yi içeren belge standart işleme sonrasında anonimleştirilmiş olarak kabul edilecektir — oysa öyle değildir.
Bu, organizasyon için görünmez bir uyum başarısızlığı durumu yaratır: anonimleştirme tamamlanmış gibi görünür çünkü araç herhangi bir ihlali işaretlememiştir. Eksik tespit sorundur.
Özel Varlık Çözümü
MRN tespiti gerektiren sağlık kuruluşlarının üç seçeneği vardır. İlk olarak, tespiti doğrudan Presidio'da uygulamak — MRN formatları geliştikçe Python programlama uzmanlığı ve sürekli bakım gerektirir. İkincisi, MRN'ler için özel olarak manuel bir inceleme adımı sürdürmek — anonimleştirme hattında sistematik bir zayıf halka oluşturur. Üçüncüsü, kod gerektirmeden AI destekli özel varlık oluşturma sağlayan bir sistem kullanmaktır.
AI desen yardımcı yaklaşımı: klinik bilişim ekibi 5 örnek MRN değeri (SVHS-0012345, SVHS-0987654, SVHS-1122334, SVHS-4455667, SVHS-8899001) sağlar ve bir tespit deseni talep eder. AI bir regex oluşturur — SVHS-d{7} — ve bunu sağlanan örneklerle doğrular. Desen, ekibin HIPAA uyum ön ayarına kaydedilir. Tüm sonraki anonimleştirme oturumları bu MRN formatını otomatik olarak tespit eder.
Aynı yaklaşım diğer kuruma özgü tanımlayıcılara da uygulanır: sağlık planı yararlanıcı numarası formatları, ekipman seri numarası formatları ve organizasyona özgü herhangi bir özel tanımlayıcı kod.
Kaynaklar: