การถอดตัวตนแบบย้อนกลับได้สำหรับการวิจัยทางคลินิก
การทดลองระยะยาวเผชิญกับการแลกเปลี่ยนที่ยาก ผู้ป่วยต้องซ่อนอยู่ระหว่างการศึกษา กฎของ IRB กำหนดให้ทำเช่นนั้น ความไว้วางใจของผู้ป่วยขึ้นอยู่กับมัน แต่ผลลัพธ์อาจต้องการการติดต่อใหม่ในภายหลัง การถอดตัวตนถาวรลบเส้นทางนั้น การถอดตัวตนแบบย้อนกลับได้รักษาเส้นทางนั้นไว้
ดูวิธีที่เราสนับสนุนสิ่งนี้ใน ภาพรวมการปฏิบัติตาม และ แนวทางปฏิบัติด้านความปลอดภัย
ปัญหาการติดต่อใหม่
ศูนย์มะเร็งวิทยาดำเนินการศึกษาผู้ป่วย 5,000 คน ระหว่างการทดลอง ผู้ป่วย 47 คนแสดง marker ที่เกี่ยวข้องกับมะเร็งชนิดที่รุนแรง สิ่งนี้ไม่อยู่ในขอบเขตเดิม คณะกรรมการจริยธรรมทบทวนการค้นพบ อนุมัติการติดต่อใหม่ หน้าที่ในการแจ้งเตือนใช้บังคับ
หากการถอดตัวตนเดิมเป็นถาวร ทีมจะติดขัด รหัสสุ่มที่ไม่มีแผนที่ไม่ให้เส้นทางกลับ บันทึก 47 รายการไม่สามารถเชื่อมโยงกับผู้ป่วยจริงได้ การค้นพบไม่สามารถดำเนินการได้ ผู้ป่วยที่อาจต้องการการดูแลไม่สามารถติดต่อได้ การตั้งค่าความเป็นส่วนตัวล้มเหลวในจุดวิกฤตที่สุด
สิ่งนี้ไม่ใช่เรื่องหายาก การทดลองระยะยาวใดๆ ก็สามารถพบการค้นพบที่ไม่คาดคิดได้ หลักการหน้าที่ในการแจ้งเตือนกำหนดให้ดำเนินการเมื่อพบความเสี่ยง โดยไม่มีเส้นทาง re-ID การดำเนินการนั้นไม่เป็นไปได้
กฎการแยกกุญแจ GDPR
แนวทาง EDPB 05/2022 แก้ไขปัญหานี้โดยตรง การทำ pseudonymization เป็นขั้นตอนการป้องกันข้อมูลที่ถูกต้อง มันรักษาตัวเลือกในการ re-identify ไว้เปิด กระบวนการที่ได้รับการอนุมัติสามารถใช้มันเมื่อจำเป็น
กฎหลักคือการแยกกุญแจ กุญแจถอดรหัสต้องถูกเก็บแยกจากข้อมูล pseudonymized การควบคุมต้องบล็อกการเข้าถึงที่ไม่ได้รับการอนุมัติ ทีมที่ใช้ข้อมูลต้องไม่ถือกุญแจด้วย Re-ID ต้องต้องการขั้นตอนที่เป็นทางการและบันทึก
การสำรวจ IAPP ปี 2024 พบว่า เพียง 23% ของเครื่องมือทำให้ไม่ระบุตัวตน ที่เสนอการย้อนกลับได้จริง เครื่องมือส่วนใหญ่ใช้การปิดบังถาวรหรือการแทนที่ วิธีเหล่านั้นบล็อกการติดต่อใหม่ที่หน้าที่ในการแจ้งเตือนกำหนด
วิธีสถาปัตยกรรมทำงาน
การตั้งค่าที่สอดคล้องใช้การเข้ารหัสแบบย้อนกลับด้วย AES-256-GCM ID ผู้ป่วยแต่ละคนถูกแปลงเป็น token ผู้ป่วยคนเดียวกันแมปกับ token เดียวกันในไฟล์การศึกษาทั้งหมด ลิงก์ข้อมูลยังคงสมบูรณ์ ไม่มี ID ดิบปรากฏในชุดทำงาน
กุญแจถอดรหัสถูกถือโดย data custodian ถูกเก็บแยกจากข้อมูล การใช้กุญแจใดๆ ต้องการคำขอที่เป็นลายลักษณ์อักษรและได้รับการอนุมัติ
ทีมทำงานกับ token เท่านั้นระหว่างการวิเคราะห์ เมื่อผู้ป่วยที่ได้รับผลกระทบ 47 คนถูกระบุ คณะกรรมการจริยธรรมอนุมัติ re-ID custodian ใช้กุญแจกับบันทึก 47 รายการเท่านั้น ทีมได้รับ ID จริงสำหรับ 47 คนนั้น ผู้ป่วยอีก 4,953 คนยังคงได้รับการป้องกัน
มีเพียง re-ID เป้าหมายเท่านั้นที่เป็นไปได้ ส่วนที่เหลือของชุดข้อมูลไม่เคยถูกแตะต้อง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่การทำ pseudonymization แตกต่างจากการทำให้ไม่ระบุตัวตนอย่างสมบูรณ์ ดู คู่มือ GDPR anonymization vs pseudonymization