Проблем лонгитудиналног истраживања
Лонгитудинално клиничко истраживање функционише на фундаменталном напетости: идентитети учесника морају бити заштићени током периода студије да би се задовољили захтеви IRB и очувало поверење учесника, али исти учесници могу требати контактирани клиничко праћење ако истраживање откаже неочекиване налазе.
Онколошки истраживачки центар који спроводи студију биомаркера од 5.000 пацијената открива средино-студије да 47 учесника показује маркере суггестивне за повишену опасност аггресивне варијанте рака која није била првобитно идентификована као крајња тачка студије. Етички комитет преглед налаза и одобрава поновни контакт под доктрином дужности упозорења - потенцијална медицинска корист оправдава идентификовање и контактирање погођених учесника.
Ако је била првобитна деидентификација - ако су идентитети пацијената замењени случајним кодовима без табеле мапирања задржане од стране чувара podataka - истраживачки тим не може идентификовати которе праве пацијенте одговарају 47 погођеним учесницима. Налаз истраживања не може бити делован. Пацијенти који могу требати итну клиничку пажњу не могу је примити. Етички оквир студије, који је балансирао заштиту приватности против потенцијала за клинички деловане налазе, није у његовом најважнијем случају.
GDPR и захтев раздвајања кључа
EDPB Смернице 05/2022 о псеудонимизацији препознају ову тензију и дају оквир за њено решавање. Псеудонимизација је препозната као мера заштите podataka која сачувава способност поновне идентификације када је потребна.
Захтев је раздвајање кључа: дешифровни кључ мора бити одвојен од псеудонимизованих podataka, под техничким и организационим контролама која спречава неовлашћен приступ. Истраживачки тим не може приступити анонимизованом сету podataka и дешифровном кључу истовремено - контроле морају осигурати да реидентификација захтева овлашћени процес, не једноставну поседност датасета.
IAPP-ово истраживање из 2024 је открило да само 23% алатки за анонимизацију нуди праву прелиризибилност - способност да произведе псеудонимизовани dataset са задржаном могућношћу дешифровања која задовољава EDPB захтев раздвајања кључа. Већина алатки нуди трајну замену или маскирање, која спречавају овлашћену реидентификацију којy сценарио дужности упозорења захтева.
Архитектура Reversible Encryption
Архитектура клиничког истраживања која задовољава обе IRB захтеве приватности и дужност упозорења реидентификације:
Истраживачки dataset је обрађен користећи reversible encryption са AES-256-GCM, генеришући детерминистичке енкриптоване жетоне од идентификатора пацијената. Идентификатор сваког пацијента је конзистентно представљен у свим студијским документима, задржавајући референцијалног интегритета док штити идентитет. Дешифровни кључ је држан од стране одређеног чувара datа, одржаног одвојено од анонимизованог dataseta, под контролама приступа које захтевају документовану овлашћење за било коју операцију дешифровања.
Истраживачки тим ради потпуно са анонимизованим datasetом - никакав приступ дешифровном кључу није дат за редовну анализу. Када се 47 погођених учесника идентификују у статистичкој анализи, одобрење етичког комитета покреће овлашћени процес реидентификације. Чувач datа примени дешифровни кључ на специфичне 47 записе. Истраживачки тим приима праве идентитете пацијената за те 47 учеснике само. Идентитети осталих 4.953 учесника остају заштићени.
Извори: