مشكلة البحث الطولي
يعمل البحث السريري الطولي على توتر أساسي: يجب حماية هويات المشاركين طوال فترة الدراسة لتلبية متطلبات لجنة الأخلاقيات والحفاظ على ثقة المشاركين، ولكن قد يحتاج نفس المشاركين إلى الاتصال بهم للمتابعة السريرية إذا كشفت الأبحاث عن نتائج غير متوقعة.
يكتشف مركز أبحاث الأورام الذي يجري دراسة مؤشرات حيوية على 5000 مريض في منتصف الدراسة أن 47 مشاركًا يظهرون علامات تشير إلى خطر مرتفع لنوع سرطان عدواني لم يتم تحديده في الأصل كنقطة نهاية للدراسة. تستعرض لجنة الأخلاقيات الاكتشاف وتوافق على إعادة الاتصال بموجب واجب التحذير - تبرر الفائدة الطبية المحتملة تحديد المتضررين والاتصال بهم.
إذا كانت إزالة الهوية الأصلية دائمة - إذا تم استبدال هويات المرضى برموز عشوائية دون الاحتفاظ بجدول mapping من قبل أمين البيانات - لا يمكن لفريق البحث تحديد أي المرضى الحقيقيين يتوافقون مع المشاركين الـ 47 المتأثرين. لا يمكن اتخاذ إجراء بشأن الاكتشاف البحثي. لا يمكن للمرضى الذين قد يحتاجون إلى اهتمام سريري عاجل تلقيه. لقد فشل الإطار الأخلاقي للدراسة، الذي يوازن بين حماية الخصوصية مقابل إمكانية النتائج القابلة للتنفيذ سريريًا، في أهم حالة استخدام له.
GDPR ومتطلبات الفصل الرئيسية
تعترف إرشادات EDPB 05/2022 بشأن إزالة الهوية المستعارة بهذا التوتر وتوفر إطارًا لحله. تُعتبر إزالة الهوية المستعارة تدبيرًا لحماية البيانات يحافظ على القدرة على إعادة تحديد الهوية عند الحاجة.
المتطلب هو الفصل الرئيسي: يجب الاحتفاظ بمفتاح فك التشفير بشكل منفصل عن البيانات المستعارة، تحت ضوابط تقنية وتنظيمية تمنع الوصول غير المصرح به. لا يمكن لفريق البحث الوصول إلى كل من مجموعة البيانات المجهولة ومفتاح فك التشفير في نفس الوقت - يجب أن تضمن الضوابط أن تتطلب إعادة تحديد الهوية عملية مصرح بها، وليس مجرد حيازة مجموعة البيانات.
وجد استطلاع IAPP لعام 2024 أن 23% فقط من أدوات إزالة الهوية تقدم قابلية عكس حقيقية - القدرة على إنتاج مجموعة بيانات مستعارة مع الاحتفاظ بقدرة فك التشفير التي تلبي متطلبات الفصل الرئيسية لـ EDPB. تقدم الغالبية العظمى من الأدوات استبدالًا دائمًا أو إخفاء، مما يمنع إعادة تحديد الهوية المصرح بها التي يتطلبها سيناريو واجب التحذير.
بنية التشفير القابلة للعكس
تفي بنية البحث السريري بمتطلبات الخصوصية للجنة الأخلاقيات واحتياجات إعادة تحديد الهوية بموجب واجب التحذير:
يتم معالجة مجموعة بيانات البحث باستخدام تشفير قابل للعكس مع AES-256-GCM، مما ينتج رموزًا مشفرة حتمية من معرفات المرضى. يتم تمثيل معرف كل مريض بشكل متسق عبر جميع مستندات الدراسة، مع الحفاظ على سلامة الإشارة أثناء حماية الهوية. يُحتفظ بمفتاح فك التشفير من قبل أمين بيانات معين، محتفظ به بشكل منفصل عن مجموعة البيانات المجهولة، تحت ضوابط وصول تتطلب تفويضًا موثقًا لأي عملية فك تشفير.
يعمل فريق البحث بالكامل مع مجموعة البيانات المجهولة - لا يتم توفير الوصول إلى مفتاح فك التشفير للتحليل الروتيني. عندما يتم تحديد المشاركين الـ 47 المتأثرين في التحليل الإحصائي، يؤدي موافقة لجنة الأخلاقيات إلى بدء عملية إعادة تحديد الهوية المصرح بها. يقوم أمين البيانات بتطبيق مفتاح فك التشفير على السجلات الـ 47 المحددة. يتلقى فريق البحث هويات المرضى الحقيقيين لأولئك المشاركين الـ 47 فقط. تظل هويات المشاركين الـ 4953 المتبقية محمية.
المصادر: