Atgaminamas de-identifikavimas klinikiniu tyrimų reikmems
Ilgalaikiai tyrimai susiduria su sunkiu kompromisu. Pacientai turi buti slepiami tyrimo metu. IRB taisykles to reikalauja. Pacientu pasitikejimas nuo to priklauso. Taciau rezultatas gali reikalauti pakartotinio kontakto veliau. Nuolatinis de-identifikavimas pašalina šia galimybę. Atgaminamas de-identifikavimas ja išlaiko.
Žr., kaip mes tai palaikome savo atitikties apžvalgoje ir saugumo praktikose.
Pakartotinio kontakto problema
Onkologijos centras vykdo 5 000 pacientu tyrimą. Tyrimo viduryje 47 pacientams pastebimi žymekliai, susiję su agresyviu vežio tipu. Tai nebuvo numatyta pradineme apimtyje. Etikos komisija peržiuri radinį. Ji patvirtina pakartotini kontaktą. Taikomas pareigos perspeti doktrina.
Jei pradinis de-identifikavimas buvo nuolatinis, komanda yra iki rankove. Atsitiktiniai kodai be žemelapio neduoda kelio atgal. 47 irašai negali susieti su tikrais pacientais. Radinys negali buti imtasi veiksmu. Pacientai, kuriems gali reiketi priziūros, negali buti pasiekti. Privatumo nustatymas patyre nesekme ties kritiškiausiu tašku.
Tai nera reta situacija. Bet koks ilgalaikis tyrimas gali susidurti su netiketu radiniu. Pareigos perspeti doktrina reikalauja veiksmu, kai randama rizika. Be re-ID kelio šie veiksmai neįmanomi.
BDAR raktų atskyrimo taisykles
EDPB Gaires 05/2022 tiesiogiai sprendžia šia problema. Pseudonimizavimas yra tinkamas duomenu apsaugos žingsnis. Jis išlaiko galimybę pakartotinai identifikuoti esant poreikiui. Patvirtintas procesas gali tai naudoti, kai reikia.
Pagrindinė taisyklė yra raktų atskyrimas. Iššifravimo raktas turi buti laikomas atokiai nuo pseudonimizuotu duomenu. Kontroles priemones turi blokuoti bet kokią prieigą, kuri nera patvirtinta. Komanda, naudojanti duomenis, neturi taip pat laikyti rakto. Re-ID turi reikalauti formalaus, registruoto žingsnio.
IAPP 2024 m. apklausa nustate, kad tik 23 % anonimizavimo irankiu siūlo tikrą atgaminamumą. Dauguma taiko nuolatinį maskavimą arba pakeitimą. Šie metodai blokuoja pakartotini kontaktą, kurio reikalauja pareigos perspeti doktrina.
Kaip veikia architektura
Atitinkantis nustatymas naudoja atgaminamą šifravimą su AES-256-GCM. Kiekvienas paciento ID paverciamas žetonu. Tas pats pacientas visame failuose atitinka tą patį žetoną. Duomenu ryšiai išlieka sveiki. Darbiname aibeje nera jokiu tikrų ID.
Iššifravimo raktas laikomas duomenu saugotojo. Jis laikomas atokiai nuo duomenu. Bet koks rakto naudojimas reikalauja raštiško, patvirtinto prašymo.
Komanda analizuodama dirba tik su žetonais. Kai 47 paveikti pacientai yra pažymeti, etikos komisija patvirtina re-ID. Saugotojas taiko rakta tik tiems 47 irašams. Komanda gauna tikrus ID tiems 47. Kiti 4 953 pacientai lieka apsaugoti.
Įmanoma tik tikslingas re-ID. Likusis duomenu rinkinys niekada nepaliciamas.
Daugiau apie tai, kaip pseudonimizavimas skiriasi nuo visiško anonimizavimo, žr. mūsu BDAR anonimizavimo prieš pseudonimizavimą vadova.