HIPAA De-Identifikation gemäß 45 CFR §164.514(b) erfordert die Entfernung von 18 spezifischen Kategorien von Protected Health Information (PHI). Jedes Cloud-basierte De-Identifizierungs-Tool schafft ein Datenübertragungsrisiko — und eine potenzielle Business Associate Agreement (BAA) Verpflichtung. anonym.plus eliminiert beide: Alle PHI-Verarbeitung erfolgt lokal auf Ihrer Maschine, und das Tool ist kein Business Associate gemäß HIPAA.
HIPAA De-Identifikation: Zwei genehmigte Methoden
Die HIPAA Privacy Rule (45 CFR §164.514) legt zwei konforme De-Identifizierungsansätze fest:
Safe Harbor Methode (§164.514(b))
Entfernen Sie alle 18 aufgelisteten Identifizierungskategorien UND haben Sie kein tatsächliches Wissen, dass die verbleibenden Informationen verwendet werden könnten, um eine Person zu identifizieren. Dies ist ein Checklisten-basierter Ansatz, der keine statistische Expertise erfordert.
Expert Determination Methode (§164.514(a))
Ein qualifizierter statistischer oder wissenschaftlicher Experte wendet allgemein akzeptierte Prinzipien an, um zu behaupten, dass das Risiko einer Person-Identifikation sehr gering ist. Flexibler — erlaubt die Beibehaltung einiger Identifikatoren, wenn die statistische Analyse es unterstützt. Erfordert dokumentierte Fachbegründung.
Für die meisten Organisationen ist Safe Harbor die praktische Wahl. Es bietet einen klaren, verteidigbaren Compliance-Standard ohne statistische Expertise für jeden Datensatz.
Die 18 HIPAA Safe Harbor Identifikatoren
Alle 18 Kategorien müssen für Safe Harbor De-Identifikation entfernt werden:
| # | Identifizierungskategorie | anonym.plus Erkennung |
|---|---|---|
| 1 | Namen | ✓ PERSON Entitätstyp |
| 2 | Geografische Daten kleiner als Bundesstaat (Adresse, ZIP-Code, Geocodes) | ✓ LOCATION, STREET_ADDRESS, US_ZIP Entitäten |
| 3 | Daten (außer Jahr) bezogen auf Personen — Aufnahme, Entlassung, Geburtsdatum, Todesdatum | ✓ DATE_TIME Entitätstyp |
| 4 | Telefonnummern | ✓ PHONE_NUMBER |
| 5 | Faxnummern | ✓ PHONE_NUMBER (einschließlich Fax) |
| 6 | E-Mail-Adressen | ✓ EMAIL_ADDRESS |
| 7 | Sozialversicherungsnummern | ✓ US_SSN |
| 8 | Patientennummern | ✓ MEDICAL_LICENSE, benutzerdefinierte Entitätsunterstützung |
| 9 | Versicherungs-Begünstigtennummern | ✓ US_ITIN, benutzerdefinierte Entität |
| 10 | Kontonummern | ✓ IBAN_CODE, CREDIT_CARD, benutzerdefinierte Entität |
| 11 | Zertifikat-/Lizenznummern | ✓ MEDICAL_LICENSE, benutzerdefinierte Regex-Entitäten |
| 12 | Fahrzeugidentifikatoren und Seriennummern | ✓ Benutzerdefinierte Entität (Regex-Muster) |
| 13 | Geräteidentifikatoren und Seriennummern | ✓ Benutzerdefinierte Entität (Regex-Muster) |
| 14 | Web-URLs | ✓ URL Entitätstyp |
| 15 | IP-Adressen | ✓ IP_ADDRESS |
| 16 | Biometrische Identifikatoren (Fingerabdrücke, Stimmenabdrücke) | ✓ OCR-basierte Texterkennung für gekennzeichnete biometrische Referenzen |
| 17 | Vollgesichts-Fotografien und vergleichbare Bilder | ✓ Bild-Modus: OCR erkennt gekennzeichnete Fotoreferen in Dokumenten |
| 18 | Jeder andere eindeutige Identifizierungscode oder andere Merkmale | ✓ Benutzerdefinierte Entitäten: definieren Sie Regex-Muster für einrichtungsspezifische Identifikatoren |
Warum keine Business Associate Agreement erforderlich ist
Ein HIPAA Business Associate ist in 45 CFR §160.103 definiert als eine Person oder Organisation, die Protected Health Information (PHI) im Namen einer bedeckten Einheit erstellt, empfängt, speichert oder übermittelt. Das kritische Wort ist übermittelt.
anonym.plus verarbeitet PHI vollständig auf Ihrer lokalen Maschine. Keine PHI wird von anonym.plus oder einem Drittanbieter erstellt, empfangen, gespeichert oder übermittelt. Die NLP-Engine (Presidio + spaCy) läuft als lokaler Prozess. Kein Dokumentinhalt erreicht einen Netzwerk-Endpunkt.
Weil anonym.plus niemals PHI in Ihrem Namen verarbeitet — es bietet nur Software, die lokal läuft — es ist kein Business Associate gemäß 45 CFR §160.103. Keine BAA ist erforderlich, verfügbar oder anwendbar.
Siehe den Healthcare Anwendungsfall im Detail. Healthcare Anonymisierungs-Anwendungsfall →
Häufig gestellte Fragen
Was sind die 18 HIPAA Safe Harbor Identifikatoren?
Namen; geografische Unterteilungen unter Staatsebene; Daten (außer Jahr); Telefonnummern; Faxnummern; E-Mail-Adressen; SSNs; Patientennummern; Versicherungs-Begünstigtennummern; Kontonummern; Zertifikat-/Lizenznummern; Fahrzeugidentifikatoren; Geräteidentifikatoren; URLs; IP-Adressen; biometrische Identifikatoren; Vollgesichts-Fotos; jeder andere eindeutige Identifizierungscode. Alle müssen für Safe Harbor De-Identifikation entfernt werden.
Erfordert die Verwendung von anonym.plus eine HIPAA BAA?
Nein. anonym.plus ist kein Business Associate (45 CFR §160.103), weil es PHI nicht erstellt, empfängt, speichert oder übermittelt. Alle Verarbeitung ist lokal. Keine PHI verlässt Ihr Gerät. Keine BAA ist erforderlich oder angeboten.
Abdeckt anonym.plus alle 18 HIPAA Safe Harbor Identifikatoren?
Ja. Integrierte Entitätstypen abgedeckt Identifikatoren 1–11, 14–15. Benutzerdefinierte Entitätstypen (bis zu 50) mit Regex-Mustern abgedeckt Identifikatoren 12–13, 18. Bild-Modus mit OCR abgedeckt Dokument-eingebettete Foto- und biometrische Referenzen. Überprüfen Sie die erkannte Entitäts-Tabelle oben für vollständige Zuordnung.