Протокол на IRB за повторен контакт: Ръководство за обратимо криптиране
IRB вече изискват повече от план за деидентификация. Нуждаят се и от план за повторен контакт. Трябва да покажете две неща. Първо, че външни страни не могат да достигнат реалните имена на пациентите. Второ, че екипът ви може — когато одобрението по етика го разрешава.
Това двойно правило произтича от реален опит. Дългосрочни проучвания са намирали спешни резултати по средата на изпитването. Но записите са били заключени. Нямало е път за връщане. Това е блокирало медицинската грижа. Регулаторите са взели под внимание.
Вижте как поддържаме това в нашия преглед на съответствието и практики за сигурност.
Защо IRB се нуждаят от двупосочна врата
Глобите по GDPR са нараснали с 56% през 2024 г. (Годишен доклад на DLA Piper 2025). GDPR Член 89 отговаря на тази тенденция. Изисква псевдонимизация — не пълно премахване — за изследователски данни. Правилото признава, че изследванията понякога се нуждаят от път обратно към реалния запис.
Проучване на NEJM AI от 2024 г. изследва деидентификация, базирана на LLM. То установи основен проблем. Изчистените клинични бележки остават свързани с идентичността на пациента чрез същите клинични модели, които ги правят полезни. Статията препоръчва: използвайте псевдонимизация с документиран план за ключовете. Това поддържа пътя за повторен контакт отворен.
Вашият IRB трябва да види и двете страни на тази врата. Кой може да преидентифицира? При какви условия? Кой съхранява ключа? Какво се регистрира?
Как работи настройката
AES-256-GCM работи в фиксиран режим. Всеки идентификатор на пациент винаги се преобразува в един и същи токен. "Patient_001" дава един и същи изход всеки път. Този токен се появява на изходното ниво, на 3-тия месец и при финалния преглед. Екипът следи всеки пациент само с токена. Никакви реални имена не влизат в работните файлове.
Разделянето на ключа отговаря на правилото на EDPB. Изследователският екип съхранява криптираните данни. Попечителят на данните съхранява ключа в отделна система. Никоя от двете страни не може сама да преидентифицира. Екипът не може да декриптира. Попечителят не може да свърже ключовете с пациентите без данните.
Когато повторният контакт е одобрен, попечителят прилага ключа към посочените записи. Всяка стъпка е регистрирана: кои записи, кога, кой е дал одобрението. Този дневник е вашето доказателство по GDPR Член 89.
Как изглежда това на практика
Онкологичен център провежда кохортно проучване с 5000 пациенти в три страни. Всеки обект работи само с токени. Директорът по данните на водещия център съхранява ключа.
По средата на проучването едно сканиране маркира 47 пациенти с висок риск. Комисията по етика одобрява повторния контакт. Директорът декриптира тези 47 записа. Медицинският екип се свързва с тези 47 пациенти. Останалите 4953 остават скрити и в трите обекта.
Ключът не се движи. Данните остават криптирани. Само тези 47 записа някога се свързват с реални имена.
За повече информация относно псевдонимизацията в сравнение с пълната анонимизация вижте нашето ръководство за обратима деидентификация.