Protokol Hubungan Semula IRB: Panduan Penyulitan Boleh Balik
IRB kini meminta lebih daripada sekadar pelan penyah-ID. Mereka juga memerlukan pelan hubungan semula. Anda mesti menunjukkan dua perkara. Pertama, pihak luar tidak dapat mencapai nama pesakit sebenar. Kedua, pasukan anda boleh -- apabila kelulusan etika membenarkannya.
Peraturan dua bahagian ini berasal dari pengalaman sebenar. Kajian panjang telah menemui keputusan mendesak pada pertengahan percubaan. Tetapi rekod terkunci. Tiada laluan balik wujud. Itu menyekat penjagaan pesakit. Pengawal selia mengambil perhatian.
Lihat cara kami menyokong ini dalam gambaran keseluruhan pematuhan dan amalan keselamatan kami.
Mengapa IRB Memerlukan Pintu Dua Hala
Denda GDPR meningkat 56% pada 2024 (Laporan Tahunan DLA Piper 2025). GDPR Artikel 89 bertindak balas terhadap trend itu. Ia memerlukan pseudonimisasi -- bukan penyingkiran penuh -- untuk data penyelidikan. Peraturan ini menerima bahawa penyelidikan kadangkala memerlukan laluan kembali kepada rekod sebenar.
Kertas NEJM AI 2024 mengkaji penyah-ID berasaskan LLM. Ia menemui masalah teras. Nota klinikal yang dibersihkan kekal terikat kepada identiti pesakit melalui corak klinikal yang sama yang menjadikannya berguna. Kertas itu berkata: gunakan pseudonimisasi dengan pelan kunci yang didokumentasikan. Itu mengekalkan laluan hubungan semula terbuka.
IRB anda perlu melihat kedua-dua sisi pintu tersebut. Siapa yang boleh mengenal pasti semula? Di bawah syarat apa? Siapa yang memegang kunci? Apa yang dilog?
Cara Persediaan Berfungsi
AES-256-GCM berjalan dalam mod tetap. Setiap ID pesakit sentiasa memetakan kepada token yang sama. "Patient_001" memberikan output yang sama setiap kali. Token tersebut muncul pada garis asas, pada bulan ke-3, dan pada semakan akhir. Pasukan menjejak setiap pesakit menggunakan token sahaja. Tiada nama sebenar memasuki fail kerja.
Pembahagian kunci memenuhi peraturan EDPB. Pasukan penyelidikan memegang data disulitkan. Penjaga data memegang kunci dalam sistem berasingan. Tiada satu pihak pun boleh mengenal pasti semula secara bersendirian. Pasukan tidak boleh menyahsulit. Penjaga tidak boleh menghubungkan kunci kepada pesakit tanpa data.
Apabila hubungan semula diluluskan, penjaga menggunakan kunci pada rekod yang dinamakan. Setiap langkah dilog: rekod mana, bila, siapa yang memberi kelulusan. Log tersebut adalah bukti GDPR Artikel 89 anda.
Rupa Ini dalam Amalan
Sebuah pusat onkologi menjalankan kohort 5,000 pesakit di tiga negara. Setiap tapak bekerja dengan token sahaja. Pegawai data pusat utama memegang kunci.
Pada pertengahan kajian, imbasan menanda 47 pesakit berisiko tinggi. Lembaga etika meluluskan hubungan semula. Pegawai menyahsulit 47 rekod tersebut. Pasukan penjagaan menghubungi 47 pesakit tersebut. 4,953 pesakit yang lain kekal tersembunyi di ketiga-tiga tapak.
Kunci tidak bergerak. Data kekal disulitkan. Hanya 47 rekod tersebut yang pernah dikaitkan dengan nama sebenar.
Untuk maklumat lanjut tentang pseudonimisasi berbanding anonimisasi penuh, lihat panduan penyah-pengenalan boleh balik kami.