Problem Badań Longitudinalnych
Longitudinalne badania kliniczne działają w fundamentalnym napięciu: tożsamości uczestników muszą być chronione przez cały okres badania, aby spełnić wymagania IRB i utrzymać zaufanie uczestników, ale ci sami uczestnicy mogą potrzebować być kontaktowani w celu klinicznego follow-up, jeśli badania ujawniają nieoczekiwane wyniki.
Centrum badań onkologicznych prowadzące badanie biomarkerów na 5000 pacjentów odkrywa w trakcie badania, że 47 uczestników wykazuje markery sugerujące podwyższone ryzyko agresywnej odmiany nowotworu, która nie została pierwotnie zidentyfikowana jako cel badania. Komitet etyczny przegląda to odkrycie i zatwierdza ponowny kontakt na podstawie doktryny obowiązku ostrzegania — potencjalna korzyść medyczna uzasadnia identyfikację i kontakt z dotkniętymi uczestnikami.
Jeśli pierwotna de-identyfikacja była trwała — jeśli tożsamości pacjentów zostały zastąpione losowymi kodami bez zachowanej tabeli mapowania przez kustosza danych — zespół badawczy nie może zidentyfikować, którzy rzeczywiści pacjenci odpowiadają 47 dotkniętym uczestnikom. Odkrycie badawcze nie może być wykorzystane. Pacjenci, którzy mogą potrzebować pilnej uwagi klinicznej, nie mogą jej otrzymać. Etyczny framework badania, który równoważył ochronę prywatności z potencjalnymi wynikami klinicznie wykonalnymi, zawiódł w swoim najważniejszym przypadku użycia.
GDPR i Kluczowy Wymóg Separacji
Wytyczne EDPB 05/2022 dotyczące pseudonimizacji uznają to napięcie i dostarczają ram do jego rozwiązania. Pseudonimizacja jest uznawana za środek ochrony danych, który zachowuje możliwość ponownej identyfikacji, gdy jest to wymagane.
Wymóg to kluczowa separacja: klucz deszyfrujący musi być przechowywany oddzielnie od danych pseudonimizowanych, pod kontrolami technicznymi i organizacyjnymi, które zapobiegają nieautoryzowanemu dostępowi. Zespół badawczy nie może jednocześnie uzyskać dostępu do zanonimizowanego zbioru danych i klucza deszyfrującego — kontrole muszą zapewnić, że ponowna identyfikacja wymaga autoryzowanego procesu, a nie tylko posiadania zbioru danych.
Badanie IAPP z 2024 roku wykazało, że tylko 23% narzędzi anonimizujących oferuje prawdziwą odwracalność — możliwość wytworzenia zanonimizowanego zbioru danych z zachowaną zdolnością deszyfracji, która spełnia wymóg separacji klucza EDPB. Większość narzędzi oferuje trwałe zastąpienie lub maskowanie, które uniemożliwiają autoryzowaną ponowną identyfikację, której wymaga scenariusz obowiązku ostrzegania.
Architektura Odwracalnego Szyfrowania
Architektura badań klinicznych, która spełnia zarówno wymagania prywatności IRB, jak i potrzeby ponownej identyfikacji w ramach obowiązku ostrzegania:
Zbiór danych badawczy jest przetwarzany przy użyciu odwracalnego szyfrowania z AES-256-GCM, generując deterministyczne zaszyfrowane tokeny z identyfikatorów pacjentów. Identyfikator każdego pacjenta jest konsekwentnie reprezentowany we wszystkich dokumentach badawczych, zachowując integralność referencyjną przy jednoczesnej ochronie tożsamości. Klucz deszyfrujący jest przechowywany przez wyznaczonego kustosza danych, oddzielnie od zanonimizowanego zbioru danych, pod kontrolami dostępu, które wymagają udokumentowanej autoryzacji dla każdej operacji deszyfracji.
Zespół badawczy pracuje wyłącznie z zanonimizowanym zbiorem danych — nie ma dostępu do klucza deszyfrującego w celu rutynowej analizy. Gdy 47 dotkniętych uczestników zostaje zidentyfikowanych w analizie statystycznej, zatwierdzenie komitetu etycznego uruchamia autoryzowany proces ponownej identyfikacji. Kustosz danych stosuje klucz deszyfrujący do konkretnych 47 rekordów. Zespół badawczy otrzymuje prawdziwe tożsamości pacjentów tylko dla tych 47 uczestników. Tożsamości pozostałych 4953 uczestników pozostają chronione.
Źródła: