Protocol de recontacte IRB: guia de xifratge reversible
Els IRB ara demanen mes que un pla de desidentificacio. Tambe necessiten un pla de recontacte. Heu de demostrar dues coses. Primer, que les parts externes no poden arribar als noms reals dels pacients. Segon, que el vostre equip pot fer-ho, quan l'aprovacio etica ho permeti.
Aquesta norma bipartida prové de l'experiencia real. Estudis llargs han trobat resultats urgents a mig assaig, pero els registres estaven bloquejats. No existia cap cami de retorn. Aixo va bloquejar l'atencio als pacients. Els reguladors ho van observar.
Vegeu com donem suport a aixo a la nostra visio general de conformitat i a les practiques de seguretat.
Per que els IRB necessiten una porta de doble sentit
Les multes del RGPD van augmentar un 56% el 2024 (DLA Piper Annual Report 2025). L'article 89 del RGPD respon a aquesta tendencia. Requereix pseudonimitzacio, no eliminacio total, per a les dades d'investigacio. La norma accepta que la investigacio de vegades necessita un cami de retorn al registre real.
Un article del 2024 de NEJM AI va estudiar la desidentificacio basada en LLM. Va trobar un problema central: les notes cliniques depurades continuen vinculades a la identitat del pacient a traves dels mateixos patrons clinics que les fan utils. L'article proposa usar pseudonimitzacio amb un pla de claus documentat. Aixo manté obert el cami de recontacte.
El vostre IRB necessita veure les dues cares d'aquesta porta. Qui pot reidentificar? En quines condicions? Qui te la clau? Que es registra?
Com funciona la configuracio
L'AES-256-GCM funciona en mode fix. Cada ID de pacient sempre es mapa al mateix token. "Pacient_001" dona la mateixa sortida cada vegada. Aquest token apareix a la linia base, als 3 mesos i a la revisio final. L'equip fa el seguiment de cada pacient nomes amb el token. Cap nom real entra als fitxers de treball.
La divisio de claus compleix la norma de l'EDPB. L'equip d'investigacio te les dades xifrades. Un custodi de dades te la clau en un sistema separat. Cap de les dues parts pot reidentificar sola. L'equip no pot desxifrar. El custodi no pot vincular claus a pacients sense les dades.
Quan s'aprova el recontacte, el custodi aplica la clau als registres nomenats. Cada pas queda registrat: quins registres, quan, qui va donar l'aprovacio. Aquest registre es la vostra prova segons l'article 89 del RGPD.
Com es veu a la practica
Un centre d'oncologia executa una cohort de 5.000 pacients en tres paisos. Cada lloc treballa nomes amb tokens. L'oficial de dades del centre principal te la clau.
A mig estudi, una exploracio senyala 47 pacients d'alt risc. El comite d'etica aprova el recontacte. L'oficial desxifra aquells 47 registres. L'equip d'atencio contacta aquells 47 pacients. Els altres 4.953 romanen ocults als tres llocs.
La clau no es mou. Les dades romanen xifrades. Nomes aquells 47 registres es vinculen alguna vegada a noms reals.
Per saber mes sobre pseudonimitzacio versus anonimitzacio total, vegeu la nostra guia de desidentificacio reversible.