Kravet om IRB Re-identifikationsprotokol
IRB'er kræver nu almindeligvis, at forskere dokumenterer deres re-identifikationsprotokol - ikke kun deres de-identifikationsmetode. Dokumentationen skal samtidig bevise to ting: at det de-identificerede datasæt ikke kan re-identificeres af uautoriserede parter, og at autoriseret re-identifikation er mulig under definerede forhold.
Dette dobbelte krav afspejler erfaringerne fra longitudinal forskning, hvor klinisk handlingsbare fund opstod midt i studiet, men permanent anonymisering forhindrede handling. GDPR-håndhævelsesaktioner steg med 56% i 2024 (DLA Piper Årsrapport 2025), og EU-forskningsundtagelsen under Artikel 89 kræver specifikt pseudonymisering frem for permanent anonymisering af forskningsdata - hvilket anerkender, at forskning kræver reversibilitet under kontrollerede forhold.
Et NEJM AI-papir fra 2024 om LLM-baseret de-identifikation flagger eksplicit denne udfordring: "de-identificerede kliniske noter forbliver statistisk knyttet til identitet gennem de meget korrelationer, der bekræfter deres kliniske nytte." Papirets anbefaling: pseudonymisering med dokumenteret nøgleopbevaring frem for permanent anonymisering, specifikt for at bevare re-kontaktmuligheden, som longitudinal forskning kræver.
Den kontrollerede re-identifikationsarkitektur
Deterministisk AES-256-GCM kryptering genererer konsistente tokens: den samme patientidentifikator krypteres altid til den samme token ved hjælp af den samme nøgle. "Patient_001" i baselinevurderingen krypteres til "[ENC:f8a2c...]" - den samme token vises i 3-måneders opfølgning, 12-måneders opfølgning og den endelige analyse. Forskningsholdet kan spore patientens longitudinale data ved hjælp af den krypterede token som en stabil identifikator, uden nogensinde at få adgang til den reelle identitet.
Nøgleopbevaringsordningen opfylder EDPB's krav om nøgleadskillelse: forskningsholdet har det krypterede datasæt. Den udpegede datakontaktperson har dekrypteringsnøglen i et separat nøglehåndteringssystem. Ingen af parterne kan re-identificere deltagere uden den anden - forskningsholdet kan ikke dekryptere uden nøglen, og nøgleopbevaringspersonen kan ikke identificere, hvilke optegnelser der tilhører hvilke deltagere uden dataene.
Når re-identifikation er autoriseret (etikkomitéens godkendelse, pligt til at advare, reguleringskrav), anvender nøgleopbevaringspersonen nøglen på de specifikt identificerede optegnelser. Hver dekrypteringsbegivenhed logges: hvilke optegnelser, hvornår, af hvem, under hvilken autorisation. Revisionsloggen demonstrerer overholdelse af GDPR Artikel 89 kravene for dokumenterede sikkerhedsforanstaltninger.
Praktisk implementering
For et europæisk onkologisk forskningscenter med en kohorte på 5.000 patienter: forskningsdatasættet anonymiseres ved hjælp af reversibel kryptering før distribution til samarbejdende institutioner i tre lande. Hver institutions forskningshold kan analysere longitudinale data ved hjælp af krypterede patienttokens. Nøglen opbevares af den koordinerende institutions databeskyttelsesansvarlige.
Når en biomarkøranalyse midt i studiet identificerer 47 deltagere med forhøjede risikomarkører, udløser etikkomitéens godkendelse en formel re-identifikationsanmodning. Den databeskyttelsesansvarlige dekrypterer de 47 specifikke optegnelser. Den koordinerende institutions kliniske team kontakter de 47 reelle patienter. Identiteterne for de 4.953 andre deltagere forbliver beskyttede på tværs af alle tre samarbejdende institutioner.
Kilder: