Cerinta IRB privind Protocolul de Re-identificare
IRB-urile solicita acum cercetatorilor sa documenteze protocolul lor de re-identificare — nu doar metoda de dezidentificare. Documentatia trebuie sa dovedeasca simultan doua lucruri: ca setul de date dezidentificat nu poate fi re-identificat de parti neautorizate, si ca re-identificarea autorizata este posibila in conditii definite.
Aceasta cerinta duala reflecta lectiile cercetarii longitudinale unde constatarile actionabile clinic au aparut la mijlocul studiului, dar anonimizarea permanenta a impiedicat actionarea lor. Aplicarea GDPR a crescut cu 56% in 2024 (Raportul Anual DLA Piper 2025), iar exceptia de cercetare UE conform Articolului 89 solicita in mod specific pseudonimizarea mai degraba decat anonimizarea permanenta pentru datele de cercetare.
Criptarea Reversibila ca Solutie
Criptarea reversibila (criptare determinista cu gestionarea cheii) permite:
- Partajarea setului de date dezidentificat: ID-urile pacientilor sunt inlocuite cu pseudonime criptate
- Re-contactul autorizat: Detinatorii cheii pot decripta pseudonimele pentru a identifica pacientii pentru urmarire
- Protectia accesului neautorizat: Partile fara cheie de decriptare nu pot re-identifica
Cerinte tehnice:
- Pseudonimele sunt create cu criptare determinista (acelasi ID pacient produce intotdeauna acelasi pseudonim)
- Cheia de decriptare este stocata separat de setul de date
- Accesul la cheie este inregistrat si auditat
- Procedura de re-identificare necesita aprobarea comitetului
Surse: Orientarile EDPB Articolul 89 privind Cercetarea si Pseudonimizarea; Articolul NEJM AI privind Dezidentificarea Clinica 2024; Raportul Anual DLA Piper GDPR 2025