Виявлення MRN за HIPAA без знання регулярних виразів
Формат MRN вашої лікарні відсутній у будь-якому стандартному інструменті захисту ПДн. Ось як додати його за п'ять хвилин. Без написання коду.
Команди медичних IT стикаються з проблемою відповідності HIPAA, якої немає в інших галузях. Ідентифікатор, який найбільше потрібно знайти — медичний номер запису (MRN) — встановлює сама лікарня. Жодного загальнонаціонального стандарту не існує.
Кожен проект деідентифікації за HIPAA потребує спеціального налаштування. Без нього MRN просочуються крізь «деідентифіковані» файли непоміченими.
Проблема MRN у мережах кількох закладів
Лікарняні мережі, побудовані через злиття, мають успадковані EHR-системи. Кожна система має власний формат MRN:
- Memorial Hospital (Epic): MRN:XXXXXXX — 7-значне число з префіксом
- St. Mary's (Cerner): PT-YYYYY — 5 знаків із префіксом пацієнта
- University Hospital (Meditech): UHN-XXXXXXXXXX — 10-символьна комбінація
- Клініка (окрема EMR): C\d{5} — буква C плюс 5 цифр
Безпечна гавань HIPAA вимагає видалення всіх 18 типів ідентифікаторів. Категорія 8 — це медичні номери записів. Інструмент, що не знає вашого формату, пропустить їх. Файл виглядає чистим. Але він таким не є.
Спільнота ServiceNow з охорони здоров'я зафіксувала саме цю проблему. Стандартні інструменти знаходять номери соціального страхування та телефонні номери. Вони щоразу пропускають MRN закладу.
Бар'єр регулярних виразів
Додавання спеціальних правил до Microsoft Presidio — відкритого базового компонента багатьох інструментів HIPAA — потребує реальних навичок:
- Потрібно знати клас PatternRecognizer
- Потрібно писати регулярні вирази в синтаксисі Python
- Потрібно налаштовувати файли конфігурації YAML
- Потрібно налаштовувати показники достовірності
- Потрібно тестувати та налагоджувати скрипти Python
Офіцер комплаєнсу, який знає формат MRN, не може зробити це самостійно. Виправлення потрапляє до черги інженерних завдань. Воно чекає 6–8 тижнів. Прогалина залишається відкритою.
Генерація шаблонів за допомогою AI
Існує швидший спосіб. Опишіть шаблон звичайними словами. Отримайте готовий регулярний вираз у відповідь.
Кроки:
- Відкрийте конструктор спеціальних сутностей
- Надайте приклади: «Наші MRN виглядають так: MRN:1234567, MRN:9876543, MRN:0001234»
- AI будує правило: MRN:\d{7}
- Протестуйте на 10 зразкових записах
- Всі MRN знайдено? Збережіть і розгорніть.
Для мережі з чотирма форматами MRN:
- Memorial Hospital → MRN:\d{7}
- St. Mary's → PT-\d{5}
- University Hospital → UHN-[A-Z0-9]{10}
- Клініка → C\d{5}
Створіть чотири спеціальні сутності. Згрупуйте їх у пресет. Запустіть на всіх файлах. Час: один день.
Дивіться спеціальне виявлення MRN у конвеєрах HIPAA без коду для повного посібника.
Валідація для безпечної гавані
Безпечна гавань HIPAA говорить, що суб'єкт, що охоплюється, не повинен мати «фактичних знань» про те, що дані можуть ідентифікувати когось. (45 CFR §164.514(b))
Валідація показує, що ваші спеціальні правила охоплюють всі 18 типів ідентифікаторів.
Крок 1: Зберіть зразки. Отримайте 100 записів з кожного сайту. Охопіть різні часові проміжки та відділення.
Крок 2: Запустіть виявлення. Обробіть усі 400 документів із вашими спеціальними правилами.
Крок 3: Перевірка людиною. Переглядайте 20 документів вручну (5% вибірка). Шукайте пропущені MRN та хибні спрацьовування.
Крок 4: Уточніть правила. Є пропущені MRN? Розширте шаблон. Занадто багато хибних спрацьовувань? Додайте межі слів.
Крок 5: Задокументуйте. Зафіксуйте правило, розмір вибірки, результати та дату. Цей журнал є вашим записом про безпечну гавань.
Дивіться пояснювальне редагування та аудиторські журнали HIPAA для більш детальної інформації про те, що документувати.
Повне покриття безпечної гавані
Після виправлення виявлення MRN перевірте всі 18 категорій.
| Категорія | Стандартні інструменти | Потрібне спеціальне налаштування? |
|---|---|---|
| 1. Імена | Модель NER | Ні |
| 2. Географічні дані | Виявлення місцезнаходження | Ні для штату; Так для кодів сайту |
| 3. Дати | Виявлення дат | Ні |
| 4. Номери телефонів | Виявлення телефону | Ні |
| 5. Номери факсів | Виявлення телефону | Ні |
| 6. Електронні адреси | Виявлення email | Ні |
| 7. ССН | Виявлення ССН | Ні |
| 8. Медичні номери записів | Не вбудовано | Так — специфічне для закладу |
| 9. Номери членів медичного плану | Частково | Часто так — специфічне для платника |
| 10. Номери рахунків | Частково | Часто так — формат виставлення рахунків |
| 11. Номери ліцензій | Частково | Часто так — специфічне для штату |
| 12. VIN транспортних засобів | Частково | Рідко в клінічних документах |
| 13. Ідентифікатори пристроїв | Частково | Так, якщо пристрої є в записах |
| 14. Веб-URL | Виявлення URL | Ні |
| 15. IP-адреси | Виявлення IP | Ні |
| 16. Біометричні ідентифікатори | Контекст тексту | Рідко в нотатках про виписку |
| 17. Фотографії | Тільки зображення | Поза межами для тексту |
| 18. Інші унікальні ідентифікатори | Не вбудовано | Так — специфічне для закладу |
Для клінічного тексту категорії 8, 9, 10 і 18 найчастіше потребують спеціального налаштування.
Контекст клінічних документів
Нотатки про виписку, клінічні нотатки та операційні звіти — основні файли, що передаються для досліджень. Вони містять:
- MRN у верхніх і нижніх колонтитулах
- Номери рахунків у розділах виставлення рахунків
- Дати всіх подій — прийому, процедур, аналізів, ліків
- Імена лікарів і номери DEA
- Інформацію про лікаря, що направляє
- Ідентифікатори членів страхування
Спеціальні правила для форматів, специфічних для закладу, поєднуються із вбудованими правилами для стандартних форматів. Ця пара забезпечує повне покриття безпечної гавані.
Висновок
Деідентифікація за HIPAA без спеціальних правил — це не деідентифікація за безпечною гаванню. Формат MRN кожної лікарні є унікальним. Стандартні інструменти їх пропускають. Прогалина комплаєнсу є реальною і залишається відкритою, поки ви її не закриєте.
Генерація шаблонів AI скорочує виправлення з 6–8 тижнів інженерної роботи до одного дня роботи з комплаєнсу. Опишіть формат. Протестуйте на реальних записах. Розгорніть. Готово.