Problemet med Langsgående Forskning
Langsgående klinisk forskning opererer på en grunnleggende spenning: deltakernes identiteter må beskyttes gjennom hele studieperioden for å tilfredsstille IRB-krav og opprettholde deltakernes tillit, men de samme deltakerne kan måtte kontaktes for klinisk oppfølging hvis forskningen avdekker uventede funn.
Et onkologisk forskningssenter som gjennomfører en biomarkørstudie med 5 000 pasienter oppdager midt i studien at 47 deltakere viser markører som antyder økt risiko for en aggressiv krevariant som ikke opprinnelig ble identifisert som et studieendepunkt. Etikkkomiteen vurderer funnet og godkjenner re-kontakt under plikten til å varsle-doktrinen — den potensielle medisinske fordelen rettferdiggjør identifisering og kontakt med de berørte deltakerne.
Hvis den opprinnelige de-identifikasjonen var permanent — hvis pasientidentiteter ble erstattet med tilfeldige koder uten en kartleggingstabell beholdt av datakontrolleren — kan ikke forskningsteamet identifisere hvilke ekte pasienter som tilsvarer de 47 berørte deltakerne. Forskningsfunnene kan ikke handles på. Pasienter som kan trenge akutt klinisk oppmerksomhet kan ikke få det. Studiens etiske rammeverk, som balanserte personvernbeskyttelse mot potensialet for klinisk handlingsbare funn, har feilet i sitt viktigste bruksområde.
GDPR og Kravet om Nøkkelseparasjon
EDPB-retningslinjer 05/2022 om pseudonymisering anerkjenner denne spenningen og gir et rammeverk for å løse den. Pseudonymisering er anerkjent som et databeskyttelsestiltak som bevarer evnen til å re-identifisere når det er nødvendig.
Kravet er nøkkelseparasjon: dekrypteringsnøkkelen må holdes adskilt fra de pseudonymiserte dataene, under tekniske og organisatoriske kontroller som forhindrer uautorisert tilgang. Et forskningsteam kan ikke få tilgang til både det anonymiserte datasettet og dekrypteringsnøkkelen samtidig — kontrollene må sikre at re-identifikasjon krever en autorisert prosess, ikke bare besittelse av datasettet.
IAPPs 2024-undersøkelse fant at bare 23 % av anonymiseringsverktøyene tilbyr ekte reversibilitet — evnen til å produsere et pseudonymisert datasett med en beholdt dekrypteringskapasitet som tilfredsstiller EDPBs krav om nøkkelseparasjon. Flertallet av verktøyene tilbyr permanent erstatning eller masking, som forhindrer den autoriserte re-identifikasjonen som plikten til å varsle-scenarioet krever.
Den Reversible Krypteringsarkitekturen
Den kliniske forskningsarkitekturen som tilfredsstiller både IRBs personvernbestemmelser og plikten til å varsle re-identifikasjonsbehov:
Forskningsdatasettet behandles ved hjelp av reversibel kryptering med AES-256-GCM, som genererer deterministiske krypterte token fra pasientidentifikatorer. Hver pasients identifikator er konsekvent representert på tvers av alle studiedokumenter, og opprettholder referanseintegritet samtidig som identiteten beskyttes. Dekrypteringsnøkkelen holdes av en utpekt datakontroller, holdt adskilt fra det anonymiserte datasettet, under tilgangskontroller som krever dokumentert autorisasjon for enhver dekrypteringsoperasjon.
Forskningsteamet arbeider utelukkende med det anonymiserte datasettet — ingen tilgang til dekrypteringsnøkkelen gis for rutinemessig analyse. Når de 47 berørte deltakerne er identifisert i den statistiske analysen, utløser etikkkomiteens godkjenning den autoriserte re-identifikasjonsprosessen. Datakontrolleren anvender dekrypteringsnøkkelen på de spesifikke 47 postene. Forskningsteamet mottar de ekte pasientidentitetene for de 47 deltakerne kun. Identitetene til de resterende 4 953 deltakerne forblir beskyttet.
Kilder: