Omkeerbere De-ID vir Kliniese Navorsing
Lang proewe staan voor 'n moeilike kompromis. Pasiente moet gedurende die studie versteek bly. IRB-reels vereis dit. Pasientvertroue hang daarvan af. Maar 'n resultaat mag later her-kontak vereis. Permanente de-ID verwyder daai pad. Omkeerbere de-ID hou dit oop.
Sien hoe ons dit ondersteun in ons nakomingsoorsig en sekuriteitspraktyke.
Die Her-Kontakprobleem
'n Onkologiesentrum voer 'n 5 000-pasient-studie uit. Halfpad deur die proef toon 47 pasiente merkers wat verband hou met 'n aggressiewe kankertipe. Dit was nie in die oorspronklike omvang nie. Die etiekraad hersien die bevinding. Dit keur her-kontak goed. Plig-om-te-waarsku is van toepassing.
As die oorspronklike de-ID permanent was, sit die span vas. Ewekansige kodes sonder 'n kaart gee geen pad terug nie. Die 47 rekords kan nie gekoppel word aan werklike pasiente nie. Op die bevinding kan nie opgetree word nie. Pasiente wat moontlik sorg benodig, kan nie bereik word nie. Die privaatheidopstelling het op sy mees kritieke punt misluk.
Dit is nie skaars nie. Enige lang proef kan 'n onverwagse bevinding tref. Plig-om-te-waarsku-leer vereis optrede wanneer risiko gevind word. Sonder 'n her-ID-pad is daai optrede nie moontlik nie.
GDPR Sleutelskeidingsreels
EDPB Riglyne 05/2022 spreek hierdie probleem direk aan. Pseudonimisering is 'n geldige databeskermingstap. Dit hou die opsie oop om weer te identifiseer. 'n Goedgekeurde proses kan dit gebruik wanneer nodig.
Die kernreel is sleutelskeiding. Die dekripsiesleutel moet afsonderlik van die gepseudo-nimiseerde data gehou word. Kontroles moet enige toegang blokkeer wat nie goedgekeur is nie. Die span wat die data gebruik, moet nie ook die sleutel hou nie. Her-ID moet 'n formele, geregistreerde stap vereis.
IAPP se 2024-opname het bevind dat slegs 23% van anonimiseringsnutsgoed ware omkeerbaarheid bied. Die meeste pas permanente maskering of vervanging toe. Daai metodes blokkeer die her-kontak wat plig-om-te-waarsku vereis.
Hoe die Argitektuur Werk
'n Voldoenende opstelling gebruik omkeerbere enkripsie met AES-256-GCM. Elke pasient-ID word in 'n token omgesit. Dieselfde pasient wys na dieselfde token in alle studielees. Datakoppelings bly ongeskonde. Geen rou ID's verskyn in die werkstelsel nie.
Die dekripsiesleutel word gehou deur 'n dataversorger. Dit word afsonderlik van die data gehou. Enige gebruik van die sleutel vereis 'n skriftelike, goedgekeurde versoek.
Die span werk slegs met tokens tydens analise. Wanneer die 47 geraakte pasiente gemerk word, keur die etiekraad her-ID goed. Die versorger pas die sleutel toe op slegs daai 47 rekords. Die span kry werklike ID's vir daai 47. Die ander 4 953 pasiente bly beskerm.
Slegs geteikende her-ID is moontlik. Die res van die datastel word nooit aangeraak nie.
Vir meer oor hoe pseudonimisering van volle anonimisering verskil, sien ons GDPR-anonimisering vs. pseudonimisering-gids.