anonym.legal

By · Last updated 2026-05-30

Bloga DönSağlık Hizmetleri

HIPAA: Hastaneye Özgü MRN Tespiti

HIPAA Safe Harbor, tıbbi kayıt numaralarının kaldırılmasını zorunlu kılar; ancak MRN biçimleri standartlaştırılmamıştır. Epic, Cerner ve Meditech'in her biri farklı biçimler kullanır.

May 30, 20267 dk okuma
HIPAA Safe Harbormedical record numbersMRN detectionhealthcare compliancecustom PII patterns

2026 için Güncellendi

HIPAA Safe Harbor Kimliksizleştirme: Mühendislik Gerektirmeden Hastaneye Özgü MRN Biçimlerini Tespit Etme

HIPAA Safe Harbor, tıbbi kayıt numaralarının kaldırılmasını zorunlu kılar. Bu, zorunlu 18 kimlik türünden biridir. Kulağa basit geliyor. Sorun şu ki MRN biçimleri standartlaştırılmamıştır.

Epic bir biçim kullanır. Cerner farklı bir biçim kullanır. Meditech ise bir başkasını. Her hastane kendi kodlarını ekler. Bölgesel sağlık grupları daha da fazla biçim oluşturur. Standart bir KKV aracı sizin biçiminizi bilemez. MRN'lerinizi kaçırır.

Bu küçük bir risk değildir. Sağlık BT ekipleri, kimliksizleştirilmesi amaçlanan veri kümelerinde MRN'lerin hâlâ bulunduğunu sık sık fark eder. Araç yalnızca yaygın KKV türleri için kurulmuştu.

MRN Biçim Sorunu

ABD'nin tıbbi kayıt numaraları için ulusal bir standardı yoktur. Her hastane veya EHR satıcısı kendi biçimini tanımlar.

Yaygın gözlemlenen kalıplar:

  • Epic tarzı: 8-12 haneli sayısal (örn. 123456789)
  • Cerner tarzı: Hastane kodu öneki + sayısal (örn. MGH-987654)
  • Bölgesel ağlar: Tesis kodu + yıl + sıra (örn. HOSP-2023-456789)
  • Gaziler İşleri: Kontrol hanesiyle 9 haneli
  • Pediatrik sistemler: Hasta türü öneki + sayısal (örn. PED-12345678)

Tek bir kural bunların hepsini eşleştiremez. Evrensel bir MRN kalıbı yoktur.

Standart KKV araçlarının yakaladıkları: HIPAA araçlarının çoğu sabit biçimli kimlik numaralarına odaklanır. SSN'ler XXX-XX-XXXX kalıbını izler. Telefon numaraları XXX-XXX-XXXX kalıbını izler. E-posta adreslerinin net bir şekli var. Bunları bulmak kolaydır.

MRN'ler, hesap numaraları ve lisans numaraları HIPAA türleri 8, 10 ve 11'dir. Bunlar hastaneye göre değişir. Özel kurulum gerektirirler. Genel bir araç onları yakalamaz.

Uyum Açığı

Bölgesel bir hastane, hasta verilerini üniversiteli bir araştırma ortağıyla paylaşmak istiyor. EHR sistemleri şu MRN biçimini kullanıyor: HOSP-YYYY-XXXXXX.

Veriyi HIPAA araçlarından geçiriyorlar. Araç isimleri, tarihleri, telefon numaralarını ve SSN'leri temizliyor. MRN'leri kaldırmıyor. HOSP-2023-456789 hiçbir yerleşik kurala uymaz.

Araştırmacı veri kümesini alıyor. Aynı hastaneden gelen geçmiş yönlendirmeleri içeren kendi kayıtlarıyla MRN üzerinden birleştiriyor. Artık pek çok hasta yeniden tanımlanabilir. Hastanenin bir HIPAA ihlali var.

Bu gerçek bir başarısızlık modudur. Safe Harbor'un çöktüğü diğer noktalar için sağlık araştırmalarında HIPAA Safe Harbor kimliksizleştirme makalesine bakın.

Çözüm: Özel Varlık Oluşturma

Çözüm, MRN biçiminizi özel bir varlık olarak tanımlamaktır. Bunu bir uyum görevlisi yapabilir. Mühendis gerekmez.

Adımlar:

  1. Biçimi yazın: "HOSP ile başlar, ardından tire, 4 haneli yıl, tire ve 6 haneli sayı gelir"

  2. Regex oluşturmak için bir yapay zekâ aracı kullanın: HOSP-\d{4}-\d{6}

  3. 20 taburculuk özetinde test edin. Tüm MRN'lerin yakalandığını doğrulayın.

  4. "Hastane MRN" adıyla özel bir varlık olarak kaydedin

  5. Standart 17 kimlik türünün yanına HIPAA ön ayarınıza ekleyin

Bu süreç bir uyum görevlisine yaklaşık 3 gün alır. Özel kod yazmak 3 ay sürebilir.

Örnek: 15 Tesisli Hastane Ağı

Kuruluş: 15 tesisli bölgesel hastane ağı

MRN biçimi: HOSP-YYYY-XXXXXX (binlerce taburculuk özeti PDF'inde)

Hedef: HIPAA veri kullanım anlaşması kapsamında üniversiteli bir ortakla araştırma veri kümesini paylaşmak

Eski yaklaşım: Yılda 120.000 dolarlık harici kimliksizleştirme satıcısı

Bulunan açık: Satıcı aracı kuruma özgü MRN biçimini tespit etmiyordu

Yeni iş akışı:

  1. Uyum görevlisi MRN kalıbını tanımlar — 20 dakika
  2. Yapay zekâ regex'i doğrular — 5 dakika
  3. 50 örnek özette test — 30 dakika
  4. MRN kalmadığını, yanlış pozitif olmadığını doğrula — 10 dakika
  5. Özel varlığı HIPAA ön ayarına ekle
  6. 50.000 kayıtlık tam veri kümesini toplu olarak işle

Açığı kapatma toplam süresi: bir öğleden sonra.

Çok Tesisli Ağlar: Birden Fazla MRN Biçimi

Birleşmelerle büyüyen hastane ağları çoğunlukla birden fazla EHR sistemi çalıştırır. Her eski sistem farklı bir MRN biçimi kullanıyor olabilir.

Bununla nasıl başa çıkılır:

Her biçim için ayrı bir özel varlık oluşturun:

  • "MRN Biçim A (Epic)" — 8 haneli sayısal
  • "MRN Biçim B (eski Cerner)" — önek + 7 haneli sayısal
  • "MRN Biçim C (satın alınan bağlı kuruluş)" — eyalet kodu + yıl + sıra

Bir ön ayar, standart HIPAA kimlik türlerinin yanında bu üç özel varlığı da barındırır. Her tesisten gelen her belgede MRN'ler kaldırılacaktır.

Bu çok biçimli kurulum için adım adım kılavuzu görmek üzere kod yazılmadan HIPAA boru hatlarında özel MRN tespiti makalesine bakın.

MRN'lerin Ötesinde: Diğer Standart Dışı Tanımlayıcılar

Aynı yaklaşım diğer HIPAA Safe Harbor kimlik türleri için de işe yarar.

Sağlık planı üye numaraları (Kategori 9): Her sigorta şirketi kendi biçimini kullanır. Aetna, Blue Cross ve United Healthcare hepsi farklı görünür. Faturalandırma ekibinin her ödeyici için özel bir kalıba ihtiyacı vardır.

Hesap numaraları (Kategori 10): Hastane fatura hesap numaraları hastaneye göre farklılık gösterir.

Lisans numaraları (Kategori 11): DEA numaralarının standart federal bir biçimi vardır. Eyalet tıp lisans numaralarının yoktur. Her eyalet kurulu kendi biçimini kullanır.

Cihaz tanımlayıcıları (Kategori 14): Tıbbi cihaz seri numaraları her üretici tarafından ayrı belirlenir.

Bunların her biri için özel bir varlık açığı kapatır. Mühendis gerekmez.

Standart dışı kimlik türleri hakkında daha fazlası için organizasyonel anonimleştirme için özel KKV tanımlayıcıları makalesine bakın.

Doğrulama: Safe Harbor Uyumunu Kanıtlama

HIPAA Safe Harbor, kapsanan kuruluşun verinin birini tanımlayabileceğine dair "gerçek bilgisinin" olmaması gerektiğini söyler. (45 CFR §164.514(b)(1))

Özel varlık doğrulaması, 18 kimlik türünün tamamının kapsandığını kanıtlar.

Doğrulama adımları:

  1. Araştırma veri kümesinden 50-100 örnek belgeyi işleyin
  2. Çıktıyı inceleyin — bir kimlik numarasına benzeyen bir şey var mı?
  3. Kaçırılan öğeleri yakalamak için ikinci bir tespit geçişi çalıştırın
  4. Yaptıklarınızı belgeleyin

Özel varlık kurulumunuz, örnek incelemeniz ve işleme günlükleriniz Safe Harbor kaydınızı oluşturur.

Sonuç

Varsayılan ayarlarla standart KKV araçları, HIPAA Safe Harbor kimliksizleştirmesini tamamlamaz. Tıbbi kayıt numaraları hastaneye özgüdür. Özel tespit gerektirir.

Özel varlık oluşturma bu açığı saatler içinde kapatır. Uyum görevlileri kalıbı tanımlayabilir, test edebilir ve veriyi işleyebilir. Mühendislik çalışması gerekmez.

"Bir HIPAA aracı çalıştırdık" ile "18 Safe Harbor tanımlayıcısının tamamını kaldırdık" arasındaki boşluk çoğunlukla tek bir eksik özel varlıktan ibarettir.

Kaynaklar

İlgili Makaleler

Sağlık Hizmetleri

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

Sağlık Hizmetleri

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Sağlık Hizmetleri

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.