De IRB Re-Identificatie Protocol Vereiste
IRB's vereisen nu vaak dat onderzoekers hun re-identificatieprotocol documenteren - niet alleen hun de-identificatiemethode. De documentatie moet tegelijkertijd twee dingen bewijzen: dat de gedeïdentificeerde dataset niet kan worden gere-identificeerd door ongeautoriseerde partijen, en dat geautoriseerde re-identificatie mogelijk is onder gedefinieerde voorwaarden.
Deze dubbele vereiste weerspiegelt de lessen van longitudinaal onderzoek waarbij klinisch toepasbare bevindingen halverwege de studie naar voren kwamen, maar permanente anonimisatie verhinderde dat er op werd ingegaan. De handhaving van de GDPR is met 56% in 2024 toegenomen (DLA Piper Jaarverslag 2025), en de EU-onderzoeksuitzondering onder Artikel 89 vereist specifiek pseudonimisering in plaats van permanente anonimisatie voor onderzoeksdata - wat erkent dat onderzoek omkeerbaarheid onder gecontroleerde omstandigheden vereist.
Een NEJM AI-paper uit 2024 over LLM-gebaseerde de-identificatie wijst expliciet op deze uitdaging: "gedeïdentificeerde klinische notities blijven statistisch verbonden met identiteit door de correlaties die hun klinische nut bevestigen." De aanbeveling van het paper: pseudonimisering met gedocumenteerde sleutelbewaking in plaats van permanente anonimisatie, specifiek om de hercontactcapaciteit te behouden die longitudinaal onderzoek vereist.
De Gecontroleerde Re-Identificatie Architectuur
Deterministische AES-256-GCM versleuteling genereert consistente tokens: dezelfde patiëntidentificator versleutelt altijd naar hetzelfde token met dezelfde sleutel. "Patient_001" in de baseline beoordeling versleutelt naar "[ENC:f8a2c...]" - hetzelfde token verschijnt in de follow-up na 3 maanden, de follow-up na 12 maanden en de uiteindelijke analyse. Het onderzoeksteam kan de longitudinale gegevens van de patiënt volgen met behulp van het versleutelde token als een stabiele identificator, zonder ooit de echte identiteit te benaderen.
De sleutelbewakingsregeling voldoet aan de sleutel scheidingseis van de EDPB: het onderzoeksteam houdt de versleutelde dataset. De aangewezen gegevensbewaker houdt de ontsleutelingssleutel in een apart sleutelbeheersysteem. Geen van beide partijen kan deelnemers re-identificeren zonder de ander - het onderzoeksteam kan niet ontsleutelen zonder de sleutel, en de sleutelbewaker kan niet identificeren welke records bij welke deelnemers horen zonder de data.
Wanneer re-identificatie is geautoriseerd (goedkeuring van de ethische commissie, plicht om te waarschuwen, wettelijke vereiste), past de sleutelbewaker de sleutel toe op de specifieke geïdentificeerde records. Elk ontsleutelingsgebeurtenis wordt gelogd: welke records, wanneer, door wie, onder welke autorisatie. Het auditlog toont naleving van de vereisten van de GDPR Artikel 89 voor gedocumenteerde waarborgen.
Praktische Implementatie
Voor een Europees oncologisch onderzoekscentrum met een cohort van 5.000 patiënten: de onderzoeksdataset wordt geanonimiseerd met behulp van omkeerbare versleuteling voordat deze wordt verspreid naar samenwerkende instellingen in drie landen. Elk onderzoeksteam van de instelling kan longitudinale gegevens analyseren met behulp van versleutelde patiënttokens. De sleutel wordt beheerd door de gegevensbeschermingsfunctionaris van de coördinerende instelling.
Wanneer een biomarkeranalyse halverwege de studie 47 deelnemers met verhoogde risicomarkers identificeert, activeert de goedkeuring van de ethische commissie een formeel verzoek tot re-identificatie. De gegevensbeschermingsfunctionaris ontsleutelt de 47 specifieke records. Het klinische team van de coördinerende instelling neemt contact op met de 47 echte patiënten. De identiteiten van de 4.953 andere deelnemers blijven beschermd in alle drie de samenwerkende instellingen.
Bronnen: