Оборотна деідентифікація для клінічних досліджень
Довгострокові дослідження стикаються з серйозним компромісом. Пацієнти мають залишатися прихованими під час дослідження. Цього вимагають правила IRB. Від цього залежить довіра пацієнтів. Але результат може вимагати повторного контакту пізніше. Постійна деідентифікація закриває цей шлях. Оборотна деідентифікація залишає його відкритим.
Дивіться, як ми підтримуємо це у нашому огляді відповідності та практиках безпеки.
Проблема повторного контакту
Онкологічний центр проводить дослідження за участю 5 000 пацієнтів. У середині дослідження у 47 пацієнтів виявляють маркери, пов'язані з агресивним типом раку. Це не входило до початкового обсягу. Етична комісія розглядає висновок. Вона схвалює повторний контакт. Застосовується доктрина обов'язку попередити.
Якщо початкова деідентифікація була постійною, команда заходить у глухий кут. Випадкові коди без карти відповідності не дають шляху назад. 47 записів не можна пов'язати з реальними пацієнтами. За виявленням неможливо вжити заходів. Пацієнти, які можуть потребувати допомоги, не можуть бути охоплені. Налаштування конфіденційності зазнало краху в найкритичніший момент.
Це не рідкісне явище. Будь-яке довгострокове дослідження може зіткнутися з несподіваним виявленням. Доктрина обов'язку попередити вимагає дій у разі виявлення ризику. Без шляху повторної ідентифікації ці дії неможливі.
Правила розмежування ключів за GDPR
Настанови EDPB 05/2022 безпосередньо вирішують цю проблему. Псевдонімізація є дійсним кроком захисту даних. Вона зберігає можливість повторної ідентифікації. Затверджений процес може використовувати її за потреби.
Основне правило — розмежування ключів. Ключ дешифрування має зберігатися окремо від псевдонімізованих даних. Засоби контролю мають блокувати будь-який несхвалений доступ. Команда, яка працює з даними, не повинна також мати ключ. Повторна ідентифікація повинна вимагати формального, зареєстрованого кроку.
Опитування IAPP 2024 року виявило, що лише 23% інструментів анонімізації пропонують справжню оборотність. Більшість застосовують постійне маскування або заміну. Ці методи блокують повторний контакт, якого вимагає доктрина обов'язку попередити.
Як працює архітектура
Відповідна конфігурація використовує оборотне шифрування з AES-256-GCM. Кожен ідентифікатор пацієнта перетворюється на токен. Один і той самий пацієнт відображається на один і той самий токен у всіх файлах дослідження. Зв'язки між даними зберігаються. Жодних необроблених ідентифікаторів у робочому наборі даних не з'являється.
Ключ дешифрування зберігається у куратора даних. Він зберігається окремо від даних. Будь-яке використання ключа вимагає письмового, погодженого запиту.
Команда працює лише з токенами під час аналізу. Коли 47 постраждалих пацієнтів визначені, етична комісія схвалює повторну ідентифікацію. Куратор застосовує ключ лише до цих 47 записів. Команда отримує реальні ідентифікатори для цих 47 осіб. Решта 4 953 пацієнтів залишаються захищеними.
Можлива лише цільова повторна ідентифікація. Решта набору даних залишається недоторканою.
Для отримання додаткової інформації про відмінності між псевдонімізацією та повною анонімізацією дивіться наш посібник GDPR: анонімізація проти псевдонімізації.