%50 Kaçırma Oranı Sorunu
2025 tarihli bir araştırma (arXiv:2509.14464) büyük dil modeli araçlarını klinik kayıtlar üzerinde test etti. Sonuçlar kaygı verici. Bu araçlar çok dilli belgelerdeki klinik KSB'nin yüzde ellisinden fazlasını kaçırdı. Neden basit: Büyük dil modelleri metin çıktısı için tasarlanmış. HIPAA'nın gerektirdiği yüksek geri çağırma oranına sahip tespit görevi için değil.
HIPAA Güvenli Liman 18 korumalı tanımlayıcı türü listeler. İsimler, tarihler, telefon numaraları, SSN'ler, MRN'ler, sağlık planı kimlikleri, cihaz kimlikleri ve IP adresleri. Her biri için ayrı tespit mantığı gerekiyor.
Klinik notlar bunu daha da güçleştiriyor. Şu örneği ele alalım: "Hasta John D., DOB 4/12/67, MRN 1234567, 03/15/24 tarihinde yatırıldı, Dr. Smith ECG istedi." Tek cümle. Beş korumalı tanımlayıcı. Çoğu kısaltılmış biçimde. Klinik anlam üzerine eğitilmiş bir model çoğunlukla tespit görevinde başarısız oluyor.
Büyük Dil Modellerinin Neyi Neden Kaçırdığı
Büyük dil modeli araçları klinik kayıtlarda belirli biçimlerde başarısız oluyor.
Kısaltılmış tanımlayıcılar: Klinik notlar kısaltma kullanıyor. DOB, MRN ve Hasta yaygın biçimler. Klinik anlam için ince ayarlı bir model "Hasta John D."yi bir isim olarak işaretlemeyebiliyor. Hassas veri çıkarımı farklı bir hedef gerektiriyor.
Bağlama bağlı tarihler: Her tarih aynı riski taşımıyor. "67 yaşında" yumuşak bir işaret. "DOB 4/12/67" doğrudan korumalı bir tanımlayıcı. Kabul tarihi olarak "03/15/24" de korumalı. Yalnızca desen eşleştirme yeterli değil.
ABD dışı formatlar: Cyberhaven'ın Q4 2025 analizi tüm ChatGPT girdilerinin %34,8'inin hassas veri içerdiğini ortaya koydu; bu girdiler çok dilli KBV de barındırıyor. Sağlık alanında bu, ABD dışı kayıt kimlikleri, bölgesel tarih formatları ve yerel sağlık kimlik türleri anlamına geliyor. ABD üzerinde eğitilmiş araçlar bunları sürekli kaçırıyor.
Özel hastane tanımlayıcıları: Hastaneler kendi MRN formatlarını, personel kimliklerini ve alan kodlarını kullanıyor. Bunlar standart NER eğitim verilerinde yer almıyor. Özel varlık desteği olmayan bir araç bunları bulamıyor.
Araştırma Verisi Seti Riski
500.000 nottan araştırma veri seti oluşturan bir hastanenin gerçek bir uyum sorunu var. HIPAA, anonimleştirilmiş veriler için "çok küçük risk" standardını öngörüyor. Korumalı tanımlayıcıların yarısını kaçıran bir araç bu standardı karşılayamaz.
Araştırma arşivleri temiz veri barındırmıyor. Notlar birçok departmanı, zaman dilimini ve zaman zaman birden fazla dili kapsıyor. Fatura verisi üzerinde iyi çalışan bir araç anlatı notlarında başarısız olabilir. Serbest metin içindeki hassas veriler alan etiketine sahip değil.
Kurumsal inceleme kurulu onayı ek gereksinimler getiriyor. Kurumların kullanılan yöntemi, kaldırılan tanımlayıcı türlerini ve yapılan denetimleri belgelemesi gerekiyor. Kayıtların yarısını kaçıran bir araç bu gereklilikleri karşılayamaz.
anonym.legal'ın HIPAA çalışmalarını nasıl desteklediği için uyum genel bakışımıza ve güvenlik uygulamalarımıza bakın.
Üç Katmanlı Çözüm
2025 araştırması net bir örüntü ortaya koydu. En düşük kaçırma oranlarına sahip araçlar üç tespit katmanı kullandı.
Birinci katman — regex: Yapısal tanımlayıcıları buluyor. SSN'ler, MRN'ler, telefon numaraları, sağlık planı kimlikleri. Sabit formatlarda güvenilir.
İkinci katman — NER: Transformer modelleri kullanıyor. Anlatı metninde isimler, tarihler ve hassas verileri buluyor. Regex'in yapamadığı yerde çalışıyor.
Üçüncü katman — özel varlıklar: Alana özgü biçimleri işliyor. Kuruluşa özel MRN desenleri, personel kimlikleri, tesis kodları. Hiçbir standart model bunları kapsayamıyor.
Saf makine öğrenmesi araçları kısaltmalar ve İngilizce dışı metinlerde bozuluyor. Saf regex araçları alan etiketi olmayan hassas verileri kaçırıyor. Hiçbiri tek başına yeterli değil.
Araştırmada yalnızca üç katmanlı tasarım %5'in altında kaçırma oranına ulaştı. Bu, HIPAA Güvenli Liman uyumu için gereken standart.
Sonraki adımlar için araştırmada HIPAA Güvenli Liman anonimleştirme rehberimize bakın.