Protokol Re-Kontak IRB: Panduan Enkripsi Reversibel
IRB kini meminta lebih dari sekadar rencana de-identifikasi. Mereka juga membutuhkan rencana re-kontak. Anda harus menunjukkan dua hal. Pertama, pihak luar tidak dapat mengakses nama pasien asli. Kedua, tim Anda bisa — ketika persetujuan etika mengizinkannya.
Aturan dua bagian ini berasal dari pengalaman nyata. Studi jangka panjang telah menemukan hasil mendesak di tengah percobaan. Namun catatan terkunci. Tidak ada jalur kembali. Ini menghalangi perawatan pasien. Regulator pun memperhatikannya.
Lihat cara kami mendukung ini dalam ikhtisar kepatuhan dan praktik keamanan kami.
Mengapa IRB Membutuhkan Pintu Dua Arah
Denda GDPR naik 56% pada 2024 (DLA Piper Annual Report 2025). GDPR Article 89 merespons tren tersebut. Ini mensyaratkan pseudonymisasi — bukan penghapusan penuh — untuk data penelitian. Aturan ini mengakui bahwa penelitian terkadang membutuhkan jalur kembali ke catatan asli.
Sebuah makalah NEJM AI 2024 mempelajari de-ID berbasis LLM. Makalah itu menemukan masalah utama. Catatan klinis yang telah discrub tetap terhubung ke identitas pasien melalui pola klinis yang sama yang membuat catatan tersebut berguna. Makalah itu menyatakan: gunakan pseudonymisasi dengan rencana kunci yang terdokumentasi. Ini menjaga jalur re-kontak tetap terbuka.
IRB Anda perlu melihat kedua sisi pintu itu. Siapa yang dapat melakukan re-identifikasi? Dalam kondisi apa? Siapa yang memegang kunci? Apa yang dicatat?
Cara Kerja Pengaturan Ini
AES-256-GCM berjalan dalam mode tetap. Setiap ID pasien selalu dipetakan ke token yang sama. "Patient_001" menghasilkan output yang sama setiap kali. Token itu muncul pada baseline, pada bulan ke-3, dan pada tinjauan akhir. Tim melacak setiap pasien menggunakan token saja. Tidak ada nama asli yang masuk ke file kerja.
Pemisahan kunci memenuhi aturan EDPB. Tim penelitian memegang data terenkripsi. Seorang kustodian data memegang kunci dalam sistem terpisah. Tidak ada pihak yang bisa melakukan re-identifikasi sendiri. Tim tidak bisa mendekripsi. Kustodian tidak bisa menghubungkan kunci ke pasien tanpa data.
Ketika re-kontak disetujui, kustodian menerapkan kunci pada catatan yang disebutkan. Setiap langkah dicatat: catatan mana, kapan, siapa yang memberikan persetujuan. Log tersebut adalah bukti GDPR Article 89 Anda.
Seperti Apa dalam Praktiknya
Sebuah pusat onkologi menjalankan kohort 5.000 pasien di tiga negara. Setiap situs hanya bekerja dengan token. Petugas data pusat utama memegang kunci.
Di tengah studi, pemindaian menandai 47 pasien dengan risiko tinggi. Dewan etika menyetujui re-kontak. Petugas mendekripsi 47 catatan tersebut. Tim perawatan menghubungi 47 pasien tersebut. 4.953 pasien lainnya tetap tersembunyi di ketiga situs.
Kunci tidak bergerak. Data tetap terenkripsi. Hanya 47 catatan tersebut yang pernah dikaitkan dengan nama asli.
Untuk informasi lebih lanjut tentang pseudonymisasi vs. anonimisasi penuh, lihat panduan de-identifikasi reversibel kami.