Проблемът с надлъжното изследване
Дългосрочните клинични изследвания работят върху фундаментално напрежение: самоличността на участниците трябва да бъде защитена през целия период на проучването, за да се задоволят изискванията на IRB и да се запази доверието на участниците, но може да се наложи същите участници да бъдат потърсени за клинично проследяване, ако изследването разкрие неочаквани открития.
Онкологичен изследователски център, провеждащ проучване на биомаркери с 5000 пациенти, открива по средата на проучването, че 47 участници показват маркери, предполагащи повишен риск за агресивен вариант на рак, който първоначално не е идентифициран като крайна точка на изследването. Комисията по етика преглежда констатацията и одобрява повторен контакт съгласно доктрината за задължение за предупреждение — потенциалната медицинска полза оправдава идентифицирането и контакта със засегнатите участници.
Ако първоначалната деидентификация е била постоянна - ако самоличностите на пациентите са били заменени с произволни кодове без таблица за картографиране, запазена от пазителя на данните - изследователският екип не може да идентифицира кои реални пациенти съответстват на 47-те засегнати участници. На резултатите от изследването не може да се действа. Пациентите, които може да се нуждаят от спешна клинична помощ, не могат да я получат. Етичната рамка на проучването, която балансира защитата на поверителността срещу потенциала за клинично приложими открития, се провали в най-важния случай на употреба.
GDPR и изискването за разделяне на ключовете
EDPB Насоки 05/2022 относно псевдонимизацията признават това напрежение и предоставят рамка за разрешаването му. Псевдонимизацията се признава като мярка за защита на данните, която запазва възможността за повторно идентифициране, когато е необходимо.
Изискването е разделяне на ключове: ключът за декриптиране трябва да се съхранява отделно от псевдонимизираните данни, под технически и организационен контрол, който предотвратява неоторизиран достъп. Изследователски екип не може да има достъп както до анонимизирания набор от данни, така и до ключа за дешифриране едновременно - контролите трябва да гарантират, че повторното идентифициране изисква оторизиран процес, а не просто притежаване на набора от данни.
Проучването на IAPP от 2024 г. установи, че само 23% от инструментите за анонимизиране предлагат истинска обратимост — способността да се създаде псевдонимизиран набор от данни със запазена способност за декриптиране, който отговаря на изискването за разделяне на ключове на EDPB. По-голямата част от инструментите предлагат постоянна подмяна или маскиране, което предотвратява оторизираната повторна идентификация, изисквана от сценария със задължение за предупреждение.
Архитектурата на обратимо криптиране
Архитектурата на клиничните изследвания, която отговаря както на изискванията за поверителност на IRB, така и на нуждите от повторна идентификация за задължение за предупреждение:
Наборът от данни за изследване се обработва с помощта на обратимо криптиране с AES-256-GCM, генерирайки детерминистични криптирани токени от идентификатори на пациенти. Идентификаторът на всеки пациент е последователно представен във всички документи на изследването, като се поддържа референтна цялост, като същевременно се защитава самоличността. Ключът за декриптиране се държи от назначен пазител на данни, съхраняван отделно от анонимизирания набор от данни, под контроли за достъп, които изискват документирано разрешение за всяка операция по декриптиране.
Изследователският екип работи изцяло с анонимизирания набор от данни - не е осигурен достъп до ключа за дешифриране за рутинен анализ. Когато 47-те засегнати участници бъдат идентифицирани в статистическия анализ, одобрението на комисията по етика задейства оторизирания процес на повторна идентификация. Пазителят на данните прилага ключа за дешифриране към конкретните 47 записа. Изследователският екип получава самоличността на истинските пациенти само за тези 47 участници. Самоличността на останалите 4953 участници остава защитена.
Източници:
- [PMC/NCBI: Методи за деидентификация на клинични изследвания и изисквания за обратимост] (https://pmc.ncbi.nlm.nih.gov/articles/PMC3733629/)
- EDPB Указания 05/2022: Изисквания за псевдонимизация и разделяне на ключове
- [IAPP 2024: Проучване на обратимостта на инструмента за анонимизиране и анализ на съответствието] (https://iapp.org/resources/article/top-10-operational-impacts-of-the-gdpr/)