Reversibel de-identifikation i klinisk forskning
Langvarige forsøg står over for et svært valg. Patienter skal forblive anonyme under studiet. IRB-regler kræver det. Patienternes tillid afhænger af det. Men et resultat kan kræve, at man genoptager kontakten senere. Permanent de-identifikation fjerner denne mulighed. Reversibel de-identifikation bevarer den.
Se, hvordan vi understøtter dette i vores overholdelsesovesigt og sikkerhedspraksis.
Problemet med genkontakt
Et onkologicenter gennemfører en undersøgelse med 5.000 patienter. Midt i forsøget viser 47 patienter markører forbundet med en aggressiv kræfttype. Dette var ikke inden for det oprindelige omfang. Det etiske udvalg gennemgår fundet. Det godkender genkontakt. Oplysningspligten gælder.
Hvis den oprindelige de-identifikation var permanent, er teamet strandet. Tilfældige koder uden nogen nøgle giver ingen vej tilbage. De 47 journaler kan ikke knyttes til rigtige patienter. Fundet kan ikke handles på. Patienter, der muligvis har behov for behandling, kan ikke kontaktes. Privatlivsopsætningen har svigtet på sit mest kritiske punkt.
Dette er ikke sjældent. Ethvert langt forsøg kan støde på et uventet fund. Oplysningspligtsdoktrinen kræver handling, når risiko konstateres. Uden en re-identifikationssti er denne handling ikke mulig.
GDPR's regler om nøgleadskillelse
EDPB's retningslinjer 05/2022 behandler dette problem direkte. Pseudonymisering er et gyldigt databeskyttelsestrin. Det bevarer muligheden for re-identifikation. En godkendt proces kan anvende det, når det er nødvendigt.
Hovedreglen er nøgleadskillelse. Dekrypteringsnøglen skal opbevares adskilt fra de pseudonymiserede data. Kontroller skal blokere enhver adgang, der ikke er godkendt. Det team, der anvender dataene, må ikke også besidde nøglen. Re-identifikation skal kræve et formelt, logget trin.
IAPPs undersøgelse fra 2024 viste, at kun 23% af anonymiseringsværktøjer tilbyder ægte reversibilitet. De fleste anvender permanent maskering eller erstatning. Disse metoder blokerer den genkontakt, som oplysningspligten kræver.
Sådan fungerer arkitekturen
En compliant løsning bruger reversibel kryptering med AES-256-GCM. Hvert patient-ID omdannes til et token. Den samme patient mappes til det samme token på tværs af alle studiefiler. Dataforbindelser forbliver intakte. Ingen rå ID'er vises i arbejdsdatasættet.
Dekrypteringsnøglen besiddes af en datavogter. Den opbevares adskilt fra dataene. Enhver brug af nøglen kræver en skriftlig, godkendt anmodning.
Teamet arbejder udelukkende med tokens under analysen. Når de 47 berørte patienter er identificeret, godkender det etiske udvalg re-identifikation. Datavogteren anvender nøglen kun på disse 47 journaler. Teamet modtager rigtige ID'er for disse 47. De øvrige 4.953 patienter forbliver beskyttede.
Kun målrettet re-identifikation er mulig. Resten af datasættet berøres aldrig.
For mere om, hvordan pseudonymisering adskiller sig fra fuld anonymisering, se vores GDPR-guide om anonymisering versus pseudonymisering.