אוטומציית טריאז' קליטת מטופלים עם n8n ו-Claude — מדריך בנייה תואם HIPAA

2. ארכיטקטורת המערכת

שישה רכיבים, כל אחד מהם על תשתית HIPAA-eligible עם BAA חתום. ה-Anthropic public API לא נמצא במכוון בסטאק — Claude מגיע אלינו דרך AWS Bedrock, ש-AWS היא הצד שחתם על ה-BAA. n8n רץ self-hosted בחשבון AWS HIPAA-eligible בתוך VPC פרטי.

הסטאק

אומדן עלות (4,000 קליטות לחודש)

שלושה ערוצי קליטה מזינים את אותה נקודת כניסה ב-n8n: טופס web ב-Jotform HIPAA, webhook של פורטל המטופלים של Athenahealth או Epic, ו-secure email gateway (Paubox או Virtru). כל ערוץ נושא PHI, ולכן כל אחד מהם דורש TLS 1.3, BAA חתום עם הספק, וחתימת webhook מאומתת. העברות מפורטל המטופלים משתמשות במשאבי FHIR R4 — Communication ו-ServiceRequest.

מקבל webhook ב-n8n

הצומת Webhook של n8n מקבל POST מ-Jotform וממנוי ה-webhook של Athenahealth. ודא חתימת HMAC לפני שאתה עושה כל דבר אחר. אם תדלג על השלב הזה הנקודה הופכת לווקטור דליפת PHI לכל סורק שימצא אותה.

{
  "submissionID": "5829471",
  "formID": "intake_v3",
  "ip": "203.0.113.42",
  "submittedAt": "2026-05-03T14:22:11Z",
  "fields": {
    "patient_first_name": "Jane",
    "patient_last_name": "Doe",
    "dob": "1984-07-19",
    "mrn_existing": "MRN-44218",
    "phone": "+1-415-555-0144",
    "email": "[email protected]",
    "chief_complaint": "Sudden chest tightness for 2 hours, radiating left arm, mild shortness of breath. No prior cardiac history.",
    "symptom_duration_hours": 2,
    "current_medications": ["lisinopril 10mg"],
    "allergies": ["penicillin"]
  },
  "signature": "sha256=3a9f1c..."
}

לפני שבייט אחד מגיע ל-LLM, מזהים נשלפים ומוחלפים בטוקנים הפיכים. 18 המזהים של HIPAA Safe Harbor — שם, תאריך לידה, SSN, MRN, ZIP מלא, טלפון, מייל, IP, מספרי חשבון, מזהים ביומטריים והיתר — נשלפים ונשמרים בטבלת Postgres מוצפנת. התלונה העיקרית וההקשר הקליני עוברים ל-Bedrock; המזהים לא. גם אם AWS Bedrock מכוסה ב-BAA, מינימיזציה של PHI היא חובת HIPAA Privacy Rule בפני עצמה.

סכימת מיפוי טוקנים

CREATE EXTENSION IF NOT EXISTS pgcrypto;

CREATE TABLE phi_token_map (
  token_id        uuid PRIMARY KEY DEFAULT gen_random_uuid(),
  intake_ref      text NOT NULL,
  field_name      text NOT NULL,        -- patient_first_name, dob, mrn...
  ciphertext      bytea NOT NULL,       -- pgp_sym_encrypt(value, kms_key)
  created_at      timestamptz DEFAULT now(),
  expires_at      timestamptz,          -- soft TTL for revocable tokens
  accessed_count  int DEFAULT 0
);

CREATE INDEX idx_token_intake ON phi_token_map(intake_ref);
CREATE INDEX idx_token_expiry ON phi_token_map(expires_at)
  WHERE expires_at IS NOT NULL;

פונקציית טוקניזציה (n8n Code node)

import re, uuid

PHI_FIELDS = [
    "patient_first_name", "patient_last_name", "dob",
    "mrn_existing", "phone", "email", "ip", "ssn"
]

def tokenize(payload, db):
    intake_ref = payload["submissionID"]
    safe = dict(payload["fields"])
    for f in PHI_FIELDS:
        if f in safe and safe[f]:
            tok = f"<{{f.upper()}}_{{uuid.uuid4().hex[:8]}}>"
            db.insert_token(intake_ref, f, safe[f])
            safe[f] = tok

    safe["chief_complaint"] = re.sub(
        r"b(?:my name is|I am)s+w+", "[NAME]",
        safe["chief_complaint"], flags=re.I
    )
    return {"intake_ref": intake_ref, "fields": safe}

ה-payload המטוקן עובר ל-Claude Haiku ב-AWS Bedrock. המודל מחזיר אחת מארבע רמות חומרה — emergent, urgent, routine_week, routine_extended — בתוספת רמז להתמחות וטרייס נימוקים מובנה. ה-prompt שמרני בתכנון: הוא תמיד מסלים אם הצגה יכולה להיות אירוע מוחי, אוטם, אנפילקסיס, אקטופי, ספסיס או דגל אדום ילדים. דפוס הסיווג חולק את ה-DNA שלו עם שירותי האוטומציה הרחבים שלנו, אך כאן כל פלט מכוון fail-safe.

System prompt לסיווג

You are a clinical intake triage assistant.

Input: a tokenized intake form. PHI is replaced with tokens.
Do not attempt to reverse tokens. Do not invent identifiers.

Output ONLY valid JSON, no prose. Schema:
{
  "severity": "emergent" | "urgent" | "routine_week" | "routine_extended",
  "specialty_hint": "primary_care" | "cardiology" | "dermatology"
                  | "orthopedics" | "obgyn" | "pediatrics" | "ent",
  "red_flags": [string],
  "confidence": 0.0 to 1.0,
  "rationale": "one sentence, clinical only"
}

Rules:
- emergent = any chest pain >15 min, stroke FAST signs, anaphylaxis,
  severe abdominal pain, suicidal ideation, infant fever >38C,
  pregnancy bleeding, severe shortness of breath, syncope.
- When in doubt between two tiers, ALWAYS pick the more urgent one.
- If chief complaint is too vague to assess, return severity:"urgent"
  and red_flags:["insufficient_information"].
- This output is reviewed by a licensed nurse before any patient action.
  You are an aid, not a decision-maker.

n8n HTTP Request — Bedrock InvokeModel

{
  "method": "POST",
  "url": "https://bedrock-runtime.us-east-1.amazonaws.com/model/anthropic.claude-haiku-4-5/invoke",
  "authentication": "awsSignatureV4",
  "headers": { "content-type": "application/json" },
  "body": {
    "anthropic_version": "bedrock-2023-05-31",
    "max_tokens": 400,
    "system": "{{ $json.classifierSystemPrompt }}",
    "messages": [
      {
        "role": "user",
        "content": "Tokenized intake:n{{ JSON.stringify($json.tokenized) }}"
      }
    ]
  }
}

צומת Switch ב-n8n מנתב את הקליטה לתור ההתמחות הנכון בהתבסס על חומרה, רמז ההתמחות של המודל, ושכבת keyword overlay מקודדת קשיח לבטיחות. ה-overlay תופס מקרי קצה שבהם המודל עלול לבחור רפואה ראשונית למשהו שצריך להיות בבירור קרדיולוגיה — דפוס חגורה-וכתפיות, חשוב במיוחד למרפאות עם שולחן קבלה משותף ועם מטפלים מוסמכים.

מטריצת ניתוב

Keyword overlay מקודד קשיח

EMERGENT_KEYWORDS = {
  "chest pain", "crushing chest", "stroke", "facial droop",
  "slurred speech", "anaphylaxis", "throat closing", "suicidal",
  "overdose", "severe bleeding", "unresponsive", "seizure"
}

def overlay(complaint, classifier_result):
    text = complaint.lower()
    if any(k in text for k in EMERGENT_KEYWORDS):
        # Force-upgrade regardless of model output
        classifier_result["severity"] = "emergent"
        classifier_result["red_flags"].append("keyword_overlay_triggered")
    return classifier_result

עבור הרמות routine ו-urgent, n8n שולח שאילתה ל-FHIR API של ה-EHR לחיפוש זמנים פנויים שתואמים את ההתמחות, רשת הביטוח של המטופל וחלון ה-SLA. Athenahealth, Epic MyChart, eClinicalWorks, DrChrono ו-NextGen חושפים כולם משאבי FHIR R4 Slot ו-Appointment, אם כי הרשאות ומגבלות קצב משתנות. אותה שכבת קביעה מפעילה את אוטומציות מרפאות שיניים שלנו ואת אוטומציות מרפאות וטרינריות עם טקסונומיות התמחות שונות.

חיפוש slot ב-FHIR

GET /Slot?
  schedule.actor:HealthcareService.specialty=cardiology
  &status=free
  &start=ge2026-05-03&start=le2026-05-10
  &_count=20
Authorization: Bearer {{ $credentials.athena.accessToken }}
Accept: application/fhir+json

החלטת קביעה אוטומטית

אם המטופל מוכר (יש MRN קיים), התור נקבע אוטומטית. אם חדש, המערכת שמה hold ושולחת קישור אישור ב-Paubox SMS — המטופל מאשר תוך חלון של 30 דקות, אחרת ה-slot חוזר לבריכה. רמות emergent ו-urgent תמיד עוקפות את הקביעה האוטומטית ומנותבות לקו האחות.

כל סיווג, החלטת ניתוב, חיפוש slot, קביעה ופעולת דה-טוקניזציה כותבים שורה אחת ליומן ביקורת בלתי-משתנה. האחסון הוא S3 עם Object Lock במצב compliance — אפילו AWS root user לא יכול למחוק רשומות לפני סיום חלון השמירה של 6 שנים. היומן מזין שני יעדים: SIEM פנימי לסקירה שגרתית, ומנגנון זיהוי פריצות אוטומטי שמזעיק את קצין הפרטיות אם מתגלים דפוסי גישה חריגים.

סכימת יומן ביקורת

CREATE TABLE hipaa_audit_log (
  id              uuid PRIMARY KEY DEFAULT gen_random_uuid(),
  occurred_at     timestamptz NOT NULL DEFAULT now(),
  intake_ref      text NOT NULL,
  actor           text NOT NULL,        -- system|[email protected]|...
  action          text NOT NULL,        -- classify|tokenize|detokenize|book
  resource_type   text NOT NULL,        -- intake|slot|appointment|phi
  prompt_hash     text,                 -- sha256, never raw prompt
  response_hash   text,
  severity_out    text,
  baa_scope       text NOT NULL,        -- aws_bedrock|athena|jotform
  source_ip       inet,
  retained_until  date NOT NULL DEFAULT (now() + interval '6 years')
);

-- Append-only enforcement: revoke UPDATE/DELETE on the table.
REVOKE UPDATE, DELETE ON hipaa_audit_log FROM PUBLIC;

טריגר זיהוי פריצה

workflow מתוזמן ב-n8n רץ כל 15 דקות מול יומן הביקורת. הוא מתריע על שלושה דפוסים: דה-טוקניזציה בכמות (יותר מ-50 רשומות ב-5 דקות), עליה בכשלי אימות של תפקיד שירות, או כל גישה מ-IP מחוץ לטווחי המקום והעסק וה-VPN. שעון ההתראה של HHS מתחיל ברגע שקצין הפרטיות מקבל זימון — לכן ה-workflow מטביע חותמת זמן גם על הזיהוי וגם על הזימון.

כשלים נפוצים ופתרונות

שלושה דפוסי כשל מופיעים בכל הטמעת AI במרפאה. תכננו אותם מהיום הראשון — כל אחד מהם הוא אירוע מדווח פוטנציאלי תחת HIPAA או חוק מדינתי.

כשל 1: דליפת PHI דרך טקסט חופשי של תלונה

סימפטום: מטופל כותב "היי, אני Jane Doe, תאריך לידה 7/19/84, MRN 44218, יש לי כאב בחזה". השדות המובנים מטוקנים בסדר אבל התלונה החופשית מכילה שם, תאריך לידה ו-MRN שזורמים ישר ל-LLM.

תיקון: הריצו פאס regex לדה-אידנטיפיקציה על chief_complaint לפני הטוקניזציה. תפסו דפוסים נפוצים — "my name is X", "DOB", "MRN", "SSN", "phone". לדיוק גבוה יותר הוסיפו presidio או פאס Claude Haiku NER קטן שמחזיר offsets לרידקציה. AWS Comprehend Medical עם זיהוי PHI גם הוא BAA-eligible.

כשל 2: הורדת חומרה בהצגות לא טיפוסיות

סימפטום: אישה בת 58 כותבת "מרגישה ממש עייפה וקצת בחילה, הלסת כואבת". המודל מסווג כ-routine — אבל זו הצגת ספר של אוטם לב לא טיפוסי בנשים.

תיקון: הוסיפו חוקי דגלים אדומים מודעי-דמוגרפיה ל-prompt ול-keyword overlay. אישה + מעל 50 + כאב לסת + בחילה + עייפות מפעילים מסלול קרדיולוגיה emergent בלי קשר לפלט המודל. תחזוקה עם המנהל הרפואי שלכם — סקירה רבעונית.

כשל 3: השבתה של Bedrock או EHR בשיא בוקר יום שני

סימפטום: AWS Bedrock מחזיר 503 או נקודת FHIR של Athenahealth קורסת. ה-workflow נתקע וקליטות נערמות לא מעובדות.

תיקון: ל-HTTP node של n8n יש retry-with-backoff מובנה. אחרי 3 ניסיונות כושלים, נתבו את הקליטה ל"תור נסיגה לאחות" עם באנר: "טריאז' AI לא זמין, נדרשת בדיקה ידנית". להיכשל-בקול, לעולם לא בשקט. תור הנסיגה משאיר את ה-PHI בתוך ה-VPC כל הזמן. אותו דפוס fail-safe מתועד בסקירת שירותי ה-AI שלנו.

HIPAA ועמידה ברגולציה — הסעיף הארוך

נתוני קליטת מטופלים הם בין המידע האישי המפוקח ביותר בארה"ב. שלושת הכללים המרכזיים של HIPAA — Privacy, Security, Breach Notification — חלים על כל בייט שזורם דרך ה-workflow הזה, בנוסף לחוקי מדינות שלעיתים מוסיפים דרישות מחמירות יותר (CMIA של קליפורניה, SHIELD Act של ניו יורק, HB300 של טקסס, My Health My Data Act של וושינגטון). זה הסעיף הארוך במדריך מסיבה: לקבל את סיפור העמידה נכון זה ההבדל בין הטמעה לבין פשרת OCR בשש ספרות.

שרשרת ה-BAA

Business Associate Agreement הוא חוזה שמחייב ספק לטפל ב-PHI בהתאם ל-HIPAA. כל ספק במסלול הנתונים צריך אחד. עבור ה-workflow הזה זה אומר: AWS (מכסה Bedrock, EC2, RDS, S3, CloudWatch, KMS), Jotform HIPAA tier, Paubox או Virtru, ספק ה-EHR שלכם (כבר מכוסה אם הוא ה-EHR שלכם), וכל כלי ניטור או SIEM שנוגע ביומן הביקורת.

ה-Anthropic public API מוחרג במכוון. נכון לכתיבת המדריך, Anthropic לא מציעה BAA על ה-API הציבורי. AWS Bedrock הוא המסלול ה-BAA-מכוסה ל-Claude — AWS היא ה-business associate, AWS מטפלת ב-PHI בתוך גבול HIPAA-eligible שלה, ו-Anthropic ספק המודל לא מקבלת PHI באופן שדורש BAA נפרד. אם אי פעם תעקפו את Bedrock ותקראו ישירות ל-Anthropic עם PHI, יצרתם חשיפה לא מורשית. זו טעות תכופה ורצינית.

מינימיזציה של PHI בפועל

תקן minimum-necessary של HIPAA Privacy Rule הוא לא שאיפה. זו דרישה. 18 מזהי Safe Harbor — שם, חלוקות גיאוגרפיות קטנות ממדינה, כל אלמנט תאריך מתחת לשנה (חוץ מגיל 90+), טלפון, פקס, מייל, SSN, MRN, מספר מוטב ביטוח בריאות, מספר חשבון, מספר תעודה/רישיון, מזהה רכב, מזהה מכשיר, URL, IP, מזהה ביומטרי, תמונת פנים מלאה, וכל מספר מזהה ייחודי אחר — נשלפים לפני קריאת ה-LLM ומוחלפים בטוקנים הפיכים. הזיהוי מחדש קורה רק בתוך ה-VPC, רק על-ידי תפקיד השירות של n8n, ורק כשה-workflow צריך לכתוב חזרה ל-EHR.

הצפנה — at rest, in transit, in use

At rest: כל שכבת אחסון משתמשת ב-AES-256 עם מפתח KMS מנוהל-לקוח. RDS Postgres, baskets S3 Object Lock, EBS volumes על EC2 host של n8n, ו-CloudWatch log groups כולם מצפינים עם אותו alias מפתח. למפתח KMS יש מדיניות מחמירה — רק תפקיד IAM של n8n וקצין הפרטיות יכולים להשתמש בו; רק יומן CloudTrail רושם מי השתמש בו.

In transit: TLS 1.3 בין כל רכיב. נקודות webhook דוחות חבילות צופן TLS 1.2 ללא forward secrecy. תעבורת VPC פנימית משתמשת ב-VPC endpoints (PrivateLink) ל-Bedrock, S3 ו-Secrets Manager — PHI לעולם לא חוצה את האינטרנט הציבורי.

In use: Bedrock מעבד את ה-prompt בתוך חומרה מנוהלת של AWS. ה-prompt לא נשמר, לא משמש לאימון (לפי תוספת ה-BAA של AWS), ולא משותף בין-לקוחות. ודאו זאת בהגדרות data-protection של Bedrock ותעדו זאת בתיק ה-BAA.

שמירת ביקורת — 6 שנים, בלתי-משתנה

HIPAA Security Rule דורש שמירה של 6 שנים לתיעוד הקשור למדיניות ונהלי אבטחה, כולל יומני ביקורת של גישה ל-PHI. טבלת הביקורת משתמשת ב-S3 Object Lock במצב compliance עם תקופת שמירה של 6 שנים — אפילו AWS root user לא יכול למחוק רשומות לפני שהחלון נסגר. CloudTrail רושם את מחזור החיים של כל שינוי הגדרת Object Lock. עמודת retained_until בכל שורה היא סמן יישום מיותר, לא תחליף לנעילה ברמת ה-bucket.

Breach Notification Rule — שעונים מתחילים לתקתק

אם מתגלה פריצה של PHI לא מוצפן, ל-covered entity יש 60 יום להודיע למטופלים מושפעים, ל-HHS Office for Civil Rights, ו(לפריצות של 500+ תושבים במדינה) למדיה מקומית בולטת. "גילוי" מוגדר רחב: זה היום הראשון שכל איש צוות ידע, או, על-ידי שקידה סבירה, היה צריך לדעת. טריגר זיהוי הפריצה ב-Step 6 מטביע חותמת זמן גם על ההתראה וגם על הזימון, כך ששעון הגילוי מעוגן באחסון בלתי-משתנה.

שכבת חוקי מדינות

CMIA של קליפורניה, SHIELD של ניו יורק, HB300 של טקסס, ו-My Health My Data Act של וושינגטון כולם מוסיפים חובות מעל HIPAA — לפעמים חלונות הודעה קצרים יותר, לפעמים הגדרות רחבות יותר של מידע מוגן, לפעמים זכויות תביעה פרטיות. ה-workflow לעמידה ברגולציה צריך לעקוב אחר באיזו מדינה כל מטופל מתגורר (לפי ZIP כתובת) ולסמן את הכלל המגביל ביותר שחל לקצין הפרטיות.

תוצאות מדודות — אחרי 90 יום

מספרים מהטמעה אמיתית בקבוצת רפואה ראשונית של 6 רופאים בשני סניפים אחרי טייס ראשון של 90 יום, עם כל סיווג emergent שנסקר עצמאית על-ידי המנהל הרפואי.

חיסכון שנתי בעבודה של כ-$120K כיסה את עלות ההטמעה ברבעון הראשון. נתון רגישות ה-emergent של 96% נסקר עצמאית על-ידי המנהל הרפואי מול תרשימי ESI Level 1/2; 4% ה-"false negatives" כולם היו סיווגים משניים שבהם ה-keyword overlay תפס את המקרה בכל מקרה, כלומר אפס מטופלים הגיעו לתור routine כשהם נזקקו לטיפול emergent.

לוח זמנים ועלות הטמעה

שאלות נפוצות