Проблема продольного исследования
Продольные клинические исследования функционируют на основе фундаментального противоречия: идентичности участников должны быть защищены на протяжении всего периода исследования, чтобы удовлетворить требования IRB и сохранить доверие участников, но теми же участниками может потребоваться связаться для клинического наблюдения, если исследование выявляет неожиданные результаты.
Онкологический исследовательский центр, проводящий исследование биомаркеров на 5000 пациентов, обнаруживает в середине исследования, что у 47 участников есть маркеры, указывающие на повышенный риск агрессивного варианта рака, который изначально не был идентифицирован как конечная точка исследования. Этический комитет рассматривает находку и одобряет повторный контакт в соответствии с доктриной обязанности предупреждать — потенциальная медицинская выгода оправдывает идентификацию и контакт с затронутыми участниками.
Если первоначальная деидентификация была постоянной — если идентичности пациентов были заменены случайными кодами без сохраненной таблицы соответствия у хранителя данных — исследовательская группа не может идентифицировать, какие реальные пациенты соответствуют 47 затронутым участникам. Исследовательская находка не может быть реализована. Пациенты, которым может потребоваться срочное клиническое внимание, не могут его получить. Этическая структура исследования, которая балансировала защиту конфиденциальности с потенциальными клинически значимыми находками, провалилась в своем самом важном случае использования.
GDPR и требование о ключевом разделении
Руководящие принципы EDPB 05/2022 по псевдонимизации признают это противоречие и предоставляют структуру для его разрешения. Псевдонимизация признается мерой защиты данных, которая сохраняет возможность повторной идентификации, когда это необходимо.
Требование заключается в ключевом разделении: ключ расшифровки должен храниться отдельно от псевдонимизированных данных, под техническим и организационным контролем, который предотвращает несанкционированный доступ. Исследовательская группа не может одновременно получить доступ как к анонимизированному набору данных, так и к ключу расшифровки — контроль должен обеспечивать, чтобы повторная идентификация требовала авторизованного процесса, а не просто обладания набором данных.
Опрос IAPP 2024 показал, что только 23% инструментов анонимизации предлагают истинную обратимость — возможность создать псевдонимизированный набор данных с сохраненной способностью расшифровки, которая удовлетворяет требованию EDPB о ключевом разделении. Большинство инструментов предлагают постоянную замену или маскировку, что предотвращает авторизованную повторную идентификацию, требуемую в сценарии обязанности предупреждать.
Архитектура обратимого шифрования
Клиническая исследовательская архитектура, которая удовлетворяет как требованиям конфиденциальности IRB, так и потребностям повторной идентификации в соответствии с обязанностью предупреждать:
Исследовательский набор данных обрабатывается с использованием обратимого шифрования с AES-256-GCM, генерируя детерминированные зашифрованные токены из идентификаторов пациентов. Идентификатор каждого пациента последовательно представлен во всех документах исследования, поддерживая ссылочную целостность при защите идентичности. Ключ расшифровки хранится у назначенного хранителя данных, отдельно от анонимизированного набора данных, под контролем доступа, который требует документального разрешения для любой операции расшифровки.
Исследовательская группа работает исключительно с анонимизированным набором данных — доступ к ключу расшифровки не предоставляется для рутинного анализа. Когда 47 затронутых участников идентифицируются в статистическом анализе, одобрение этического комитета инициирует авторизованный процесс повторной идентификации. Хранитель данных применяет ключ расшифровки к конкретным 47 записям. Исследовательская группа получает реальные идентичности пациентов только для этих 47 участников. Идентичности оставшихся 4953 участников остаются защищенными.
Источники: