anonym.legal
Späť na blogZdravotná Starostlivosť

Reverzibilná de-identifikácia v klinickej výskume...

Klinickí výskumníci potrebujú rozlíšiť medzi anonymizáciou (ireverzibilné) a pseudonymizáciou (reverzibilné).

April 19, 20269 min čítania
reversible de-identificationclinical research pseudonymizationpatient re-contact protocolIRB data managementHIPAA reversible encryption

Problém: Výskumníci si nechávajú údaje

Klinickí výskumníci majú dilemu:

  1. Ak pseudonymizujú pacientskych údajov (Hash SSN namiesto SSN), vydávajú dôvernosť — ale retivované údaje si zachovajú mapovací súbor
  2. Ak anonymizujú (vyhodia SSN úplne), majú presnosť — ale stratia schopnosť nasledovať pacientske výsledky v čase

Prípady:

  • Výskum rakoviny: Výskumník potrebuje vedieť, či pacient prežil 5 rokov. SSN sa pseudonymizuje, ale mapovací súbor („John Doe = XXX789") zostáva s výskumníkom
  • Výskum diabetu: Výskumník zbiera údaje počas 10 rokov. Bez mapovacieho súboru sa výskum stane nemožným — nemôžu sa spáriť údaje v čase

Takže výskumníci zvyčajne pseudonymizujú — a mapovací súbor je chránený v úkaznateľnej osobitnej databáze.

GDPR Recital 26 verzus HIPAA Pravidlá

GDPR a HIPAA majú iné definície anonymizácie:

GDPR (Recital 26)

Anonymizácia = údaje sú ireverzibilne transformované tak, že osoba nie je určiteľná.

  • Hashované SSN bez mapovacieho súboru = anonymné
  • Hashované SSN s mapovacím súborom = PSEUDONYMIZOVANÉ (nie anonymné)

Pseudonymizácia = údaje sú transformované, ale mapovací súbor existuje niekde.

  • Mapovací súbor je stále GDPR regulovaný — vyžaduje DPA, záznamy o spracovaní, práva subjektov údajov

HIPAA (USA)

De-identifikácia = údaje spĺňajú Pravidlo bezpečnosti a zdravia (HIPAA Safe Harbor)

  • Všetkých 18 identifikátorov HIPAA je odstránených (meno, SSN, DL číslo, atď.)
  • Bez mapovacieho súboru
  • = Nie sú spravované podľa HIPAA

Pseudonymizácia = údaje sú transformované, ale menovka existuje.

  • V USA to nie je štandardný pojem — HIPAA používa „de-identificácia" a „pseudonymizácia sa používa ako medziľahlá kategória

Klávesnica: V GDPR sa pseudonymizácia stále považuje za spracovávanie osobných údajov. V HIPAA sa de-identifikácia (bez mapovacieho súboru) považuje za nespracovanie.

Príklady

Príklad 1: Prospektívna štúdia (mapovací súbor sa drží)

  • Výskumník zbiera diabetické údaje od 1 000 pacientov
  • Všetci SSN sú hashované
  • Mapovací súbor (pacient meno ↔ hashed SSN) sa drží s výskumníkom
  • GDPR perspektíva: PSEUDONYMIZOVANÉ — stále podliehajú GDPR
  • HIPAA perspektíva: PSEUDONYMIZOVANÉ — stále podliehajú HIPAA
  • Zastavte: Výskumník potrebuje DPA v GDPR, HIPAA Business Associate Agreement v USA

Príklad 2: Retrospektívna štúdia (mapovací súbor sa vyhodia)

  • Výskumník zbiera históriu 500 pacientov s rakovinou
  • Všetci SSN sú hashované
  • Mapovací súbor sa vyhodia (alebo sa nikdy nevytvára)
  • GDPR perspektíva: ANONYMIZOVANÉ — nepodliehajú GDPR
  • HIPAA perspektíva: DE-IDENTIFIKOVANÉ — nepodliehajú HIPAA
  • Zastavte: Výskumník nepotrebuje DPA alebo BAA

Príklad 3: Dlhodobá štúdia s mapovacím súborom v trezore

  • Výskumník zbiera údaje o srdcovej chorobe počas 10 rokov
  • Všetci SSN sú hashované
  • Mapovací súbor sa drží v kryptograficky chránenom trezore v inej lokalite
  • Akceptu majú iba niektorí autorizovaní výskumníci
  • GDPR perspektíva: PSEUDONYMIZOVANÉ — stále podliehajú GDPR, ale s „pseudonymizáciou" zvýhod (menšia povinnosť práv subjektov)
  • HIPAA perspektíva: PSEUDONYMIZOVANÉ — stále podliehajú HIPAA, vyžaduje BAA
  • Zastavte: Výskumník potrebuje GDPR DPA, HIPAA BAA, a správu trezora

Regulačný prípad

V roku 2020 bola Švédska úradníka (IMY) skúmať štúdiu rakoviny, ktorá tvrdila, že je anonymizovaná — ale hashovaného SSN s mapovacím súborom sa drží.

Rozhodnutie: Nie je anonymizované podľa GDPR — je to pseudonymizácia.

Výskumník musel:

  • Implementovať DPA s pacientami
  • Zverejniť práva subjektov — pacient môže požiadať o prístup k svojim údajom
  • Zverejniť názory spracovateľov — mapovací súbor je spracovateľ podľa GDPR

Pokuta: €8 000 — relativne nízka, ale výskumníka nutila inštitúciu opätovne spracovať všetky údaje.

Dobrá prax

  1. Ak potrebujete mapovací súbor: Narzývajte si to ako pseudonymizáciu. Zmluvne DPA, HIPAA BAA a správu trezora.
  2. Ak mapovací súbor nepotrebujete: Vyhoďte ho. Teraz je to anonymizácia/de-identifikácia — žiadne regulačné povinnosti.
  3. Hashované SSN bez Salt: Hashing bez soli sa dá prevrátenie s rainbow tabuľkami. Používajte Argon2 s Salt alebo iné moderné deriváty kľúčov.

Klávesnica správu: Reverzibilná anonymizácia = pseudonymizácia. Správajte sa tak podľa GDPR a HIPAA.

Súvisiace články

Zdravotná Starostlivosť

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

Zdravotná Starostlivosť

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Zdravotná Starostlivosť

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Pripravení chrániť vaše údaje?

Začnite anonymizovať PII s 285+ typmi entít v 48 jazykoch.

Začať bezplatnú skúšobnú verziuZobraziť funkcie