Обратима деидентификация за клинични изследвания
Длъгосрочните изпитвания са изправени пред труден компромис. Пациентите трябва да остават скрити по време на проучването. Правилата на IRB го изискват. Доверието на пациентите зависи от това. Но резултат може да изисква повторно свързване по-късно. Постоянната деидентификация премахва тази възможност. Обратимата деидентификация я запазва.
Вижте как поддържаме това в нашия преглед на съответствието и практики за сигурност.
Проблемът с повторното свързване
Онкологичен център провежда проучване с 5 000 пациенти. По средата на изпитването 47 пациенти показват маркери, свързани с агресивен тип рак. Това не е в оригиналния обхват. Съветът по етика преглежда констатацията. Одобрява повторно свързване. Прилага се задължение за предупреждение.
Ако оригиналната деидентификация е постоянна, екипът е блокиран. Случайни кодове без съответствие не дават път назад. 47-те записа не могат да се свържат с реални пациенти. Констатацията не може да бъде предприета. Пациентите, които може да се нуждаят от грижи, не могат да бъдат достигнати. Конфигурацията за поверителност е се провалила в най-критичния момент.
Това не е рядкост. Всяко дългосрочно изпитване може да срещне неочаквана констатация. Доктрината за задължение за предупреждение изисква действие при намерен риск. Без път за повторна идентификация, това действие е невъзможно.
Правила на GDPR за разделяне на ключове
Насоките на EDPB 05/2022 адресират директно този проблем. Псевдонимизацията е валидна стъпка за защита на данни. Тя запазва отворена опцията за повторна идентификация. Одобрен процес може да я използва при необходимост.
Основното правило е разделянето на ключове. Ключът за декриптиране трябва да се пази отделно от псевдонимизираните данни. Контролите трябва да блокират всеки достъп, който не е одобрен. Екипът, използващ данните, не трябва да притежава и ключа. Повторната идентификация трябва да изисква формална, регистрирана стъпка.
Проучването на IAPP от 2024 г. установи, че само 23% от инструментите за анонимизация предлагат истинска обратимост. Повечето прилагат постоянно маскиране или замяна. Тези методи блокират повторното свързване, което изисква задължението за предупреждение.
Как работи архитектурата
Съвместимата конфигурация използва обратимо криптиране с AES-256-GCM. Всеки пациентски идентификатор се превръща в токен. Един и същ пациент се съпоставя с един и същ токен в всички файлове на проучването. Връзките на данните остават непокътнати. Никакви необработени идентификатори не се появяват в работния набор.
Ключът за декриптиране се притежава от попечител на данни. Пази се отделно от данните. Всяко използване на ключа изисква писмена, одобрена заявка.
Екипът работи само с токени по време на анализа. Когато 47-те засегнати пациенти са маркирани, съветът по етика одобрява повторна идентификация. Попечителят прилага ключа само за тези 47 записа. Екипът получава реалните идентификатори за тези 47. Останалите 4 953 пациенти остават защитени.
Възможна е само целенасочена повторна идентификация. Останалата част от набора данни никога не се докосва.
За повече относно разликата между псевдонимизация и пълна анонимизация вижте нашето ръководство за анонимизация vs. псевдонимизация по GDPR.