Afturkræft einkvæmistap í klínískum rannsóknum
Langar rannsóknir standa frammi fyrir erfiðum málamiðlun. Sjúklingar verða að vera leyndir meðan á rannsókn stendur. IRB-reglur krefjast þess. Traust sjúklinga veltur á því. En niðurstaða kann að krefjast endursamskipta síðar. Varanleg nafnleysi fjarlægir þann möguleika. Afturkræft einkvæmistap heldur honum opnum.
Sjá hvernig við styðjum þetta í reglufylgniyfirlitiðinu og öryggisháttum.
Vandinn við endursamskipti
Krabbalæknismiðstöð keyrir 5.000-sjúklinga rannsókn. Um miðbik rannsóknar sýna 47 sjúklingar merki sem tengist árásarsömu krabbameinstegund. Þetta var ekki í upprunalegu umfangi. Siðanefndin yfirferar fundinn. Hún samþykkir endursamskipti. Skylda til viðvörunar gildir.
Ef upprunalegt einkvæmistap var varanlegt er liðið á þverfólki. Slembitáknuð kóðar með engu korti gefa engan leið til baka. 47 skrárnar geta ekki tengst raunverulegum sjúklingum. Ekki er hægt að bregðast við fundinum. Sjúklingar sem kannski þurfa umönnun eru ekki aðgengilegir. Persónuverndaruppsetningin hefur brugðist á mikilvægustu stundinni.
Þetta er ekki sjaldgæft. Hvaða löng rannsókn sem er getur rekist á óvæntan fund. Skylda til viðvörunar krefst aðgerðar þegar hætta finnst. Án endurauðkenningarleiðar er sú aðgerð ekki möguleg.
GDPR-lykilaðskilnaðarreglur
EDPB-leiðbeiningar 05/2022 taka á þessu vandamáli beint. Dulnefning er gilt gagnaverndarskref. Það heldur möguleikanum á endurauðkenningu opnum. Samþykkt ferli getur notað hana þegar þörf krefur.
Kjarnareglan er lykilaðskilnaður. Dulkóðunarlykilinn verður að vera geymdur aðskilinn frá dulnefndu gögnunum. Ráðstafanir verða að loka á alla ósamþykktan aðgang. Liðið sem notar gögnin má ekki hafa lykillinn. Endurauðkenning verður að krefjast formlegt, skráð skref.
Kannanir IAPP 2024 leiddu í ljós að aðeins 23% nafnleysistækja bjóða upp á raunverulega afturkræfni. Flest nota varanlegar leynilegar eða skiptingarlegar aðferðir. Þær aðferðir hindra endursamskiptin sem skylda til viðvörunar krefst.
Hvernig uppbyggingin virkar
Samhæft uppstilling notar afturkræfa dulkóðun með AES-256-GCM. Hvert sjúklingaauðkenni er breytt í tákn. Sami sjúklingurinn varpast á sama tákn í öllum rannsóknarskrám. Gagnasamsetning heldur sér. Engin hráauðkenni koma fram í vinnusettinu.
Dulkóðunarlykilinn er á vörslu gagnavarðara. Hann er geymdur aðskilinn frá gögnunum. Öll notkun lykilsins krefst skriflegrar, samþykktrar beiðni.
Liðið vinnur eingöngu með táknum meðan á greiningu stendur. Þegar 47 sjúklingarnir sem urðu fyrir áhrifum eru merktir samþykkir siðanefndin endurauðkenningu. Gagnavarðarinn beitir lyklinum á þær 47 skrár eingöngu. Liðið fær raunauðkenni fyrir þær 47. Hinir 4.953 sjúklingarnir eru áfram verndaðir.
Aðeins markviss endurauðkenning er möguleg. Restin af gagnasettinu er aldrei snert.
Sjá nánar um hvernig dulnefning er frábrugðin fullkominni nafnleysi í GDPR-nafnleysi vs. dulnefningarleiðbeiningunum.