Het Langdurige Onderzoeksprobleem
Langdurig klinisch onderzoek opereert op een fundamentele spanning: de identiteiten van deelnemers moeten gedurende de studieperiode worden beschermd om te voldoen aan de IRB-vereisten en het vertrouwen van de deelnemers te behouden, maar dezelfde deelnemers moeten mogelijk worden gecontacteerd voor klinische follow-up als het onderzoek onverwachte bevindingen onthult.
Een oncologisch onderzoekscentrum dat een biomarkerstudie met 5.000 patiënten uitvoert, ontdekt halverwege de studie dat 47 deelnemers markers vertonen die wijzen op een verhoogd risico voor een agressieve kankervariant die oorspronkelijk niet als eindpunt van de studie was geïdentificeerd. De ethische commissie beoordeelt de bevinding en keurt hercontact goed onder de plicht-om-te-waarschuwen doctrine — het potentiële medische voordeel rechtvaardigt het identificeren en contacteren van de getroffen deelnemers.
Als de oorspronkelijke de-identificatie permanent was — als patiëntidentiteiten waren vervangen door willekeurige codes zonder een mappingtabel die door de gegevensbeheerder werd bewaard — kan het onderzoeksteam niet identificeren welke echte patiënten overeenkomen met de 47 getroffen deelnemers. De onderzoeksbevinding kan niet worden uitgevoerd. Patiënten die mogelijk urgente klinische aandacht nodig hebben, kunnen deze niet ontvangen. Het ethische kader van de studie, dat privacybescherming in balans hield met de mogelijkheid van klinisch bruikbare bevindingen, is gefaald in zijn belangrijkste gebruiksgeval.
GDPR en de Sleutel Scheidingsvereiste
EDPB-richtlijnen 05/2022 over pseudonimisering erkennen deze spanning en bieden een kader voor het oplossen ervan. Pseudonimisering wordt erkend als een gegevensbeschermingsmaatregel die de mogelijkheid behoudt om opnieuw te identificeren wanneer dat nodig is.
De vereiste is sleutel scheiding: de decryptiesleutel moet gescheiden worden gehouden van de gepseudonimiseerde gegevens, onder technische en organisatorische controles die ongeautoriseerde toegang voorkomen. Een onderzoeksteam kan niet tegelijkertijd toegang hebben tot zowel de geanonimiseerde dataset als de decryptiesleutel — de controles moeten ervoor zorgen dat heridentificatie een geautoriseerd proces vereist, niet simpelweg het bezit van de dataset.
De IAPP-2024-enquête toonde aan dat slechts 23% van de anonimiseringshulpmiddelen echte omkeerbaarheid biedt — de mogelijkheid om een gepseudonimiseerde dataset te produceren met een behouden decryptiecapaciteit die voldoet aan de sleutel scheidingsvereiste van de EDPB. De meeste hulpmiddelen bieden permanente vervanging of masking, die de geautoriseerde heridentificatie verhinderen die het plicht-om-te-waarschuwen scenario vereist.
De Reversibele Encryptiearchitectuur
De klinische onderzoeksarchitectuur die zowel voldoet aan de privacyvereisten van de IRB als aan de heridentificatiebehoeften van de plicht-om-te-waarschuwen:
De onderzoeksdataset wordt verwerkt met behulp van reversibele encryptie met AES-256-GCM, waarbij deterministische versleutelde tokens worden gegenereerd uit patiëntidentificatoren. De identificator van elke patiënt wordt consistent weergegeven in alle studie documenten, waarbij de referentiële integriteit wordt behouden terwijl de identiteit wordt beschermd. De decryptiesleutel wordt beheerd door een aangewezen gegevensbeheerder, apart gehouden van de geanonimiseerde dataset, onder toegangscontroles die gedocumenteerde autorisatie vereisen voor elke decryptie-operatie.
Het onderzoeksteam werkt volledig met de geanonimiseerde dataset — er is geen toegang tot de decryptiesleutel voor routinematige analyses. Wanneer de 47 getroffen deelnemers worden geïdentificeerd in de statistische analyse, activeert de goedkeuring van de ethische commissie het geautoriseerde heridentificatieproces. De gegevensbeheerder past de decryptiesleutel toe op de specifieke 47 records. Het onderzoeksteam ontvangt de echte patiëntidentiteiten voor die 47 deelnemers alleen. De identiteiten van de overige 4.953 deelnemers blijven beschermd.
Bronnen: