IRB Re-Contact Protocol: Reversible Encryption Guide
Ang mga IRB ay ngayon ay humihingi ng higit pa sa isang de-ID na plano. Kailangan din nila ng isang re-contact na plano. Kailangan mong ipakita ang dalawang bagay. Una, hindi maabot ng mga panlabas na partido ang mga tunay na pangalan ng pasyente. Pangalawa, kaya ng iyong koponan — kapag sinabi ng pag-apruba ng etika.
Ang dalawang bahaging patakarang ito ay nagmula sa tunay na karanasan. Ang mga matagal na pag-aaral ay nakakita ng mga agarang resulta sa gitna ng trial. Ngunit ang mga rekord ay naka-lock. Walang landas pabalik. Humahadlang ito sa pangangalaga ng pasyente. Nakinig ang mga regulador.
Tingnan kung paano namin sinusuportahan ito sa aming compliance overview at security practices.
Bakit Kailangan ng IRB ng Dalawang-Daang Pinto
Tumaas ng 56% ang mga multa sa GDPR noong 2024 (DLA Piper Annual Report 2025). Tinutugunan ng GDPR Article 89 ang trend na iyon. Nangangailangan ito ng pseudonymization — hindi kumpletong pagtanggal — para sa datos ng pananaliksik. Tinatanggap ng panuntunan na ang pananaliksik ay minsan ay nangangailangan ng landas pabalik sa tunay na rekord.
Isang 2024 NEJM AI paper ang nag-aral ng LLM-based de-ID. Natuklasan nito ang isang pangunahing problema. Ang mga naka-scrub na clinical note ay nananatiling nakatali sa pagkakakilanlan ng pasyente sa pamamagitan ng parehong mga clinical pattern na ginagawa silang kapaki-pakinabang. Sinasabi ng papel: gumamit ng pseudonymization na may dokumentadong key plan. Iyon ay nagpapanatiling bukas ang landas ng re-contact.
Kailangang makita ng iyong IRB ang dalawang panig ng pinto. Sino ang maaaring mag-re-identify? Sa ilalim ng anong mga tuntunin? Sino ang humahawak ng key? Ano ang nalo-log?
Paano Gumagana ang Setup
Ang AES-256-GCM ay tumatakbo sa isang fixed na mode. Ang bawat patient ID ay palaging nagma-map sa parehong token. Ang "Patient_001" ay palaging nagbibigay ng parehong output. Ang token na iyon ay lumalabas sa baseline, sa 3 buwan, at sa panghuling pagsusuri. Sinusubaybayan ng koponan ang bawat pasyente gamit ang token lamang. Walang tunay na pangalan ang pumapasok sa mga work file.
Ang key split ay nakakatugon sa panuntunan ng EDPB. Hawak ng koponan ng pananaliksik ang naka-encrypt na datos. Hawak ng isang data custodian ang key sa isang hiwalay na sistema. Wala sa magkabilang panig ang maaaring mag-re-identify nang mag-isa. Hindi maaaring mag-decrypt ang koponan. Hindi maaaring iugnay ng custodian ang mga key sa mga pasyente nang walang datos.
Kapag aprubado na ang re-contact, inilalapat ng custodian ang key sa mga pinangalanang rekord. Bawat hakbang ay naka-log: aling mga rekord, kailan, sino ang nagbigay ng pag-apruba. Ang log na iyon ang iyong patunay sa GDPR Article 89.
Ano ang Hitsura Nito sa Praktika
Isang oncology center ang nagpapatakbo ng isang 5,000-pasyenteng cohort sa tatlong bansa. Bawat site ay gumagana nang may mga token lamang. Ang data officer ng lead center ang humahawak ng key.
Sa kalagitnaan ng pag-aaral, isang scan ang nagtatanda sa 47 na pasyente na may mataas na panganib. Inaprubahan ng ethics board ang re-contact. Dine-decrypt ng opisyal ang mga 47 rekord na iyon. Inaaabot ng koponan ng pag-aalaga ang mga 47 pasyenteng iyon. Ang iba pang 4,953 ay nananatiling nakatago sa lahat ng tatlong site.
Hindi gumagalaw ang key. Nananatiling naka-encrypt ang datos. Ang mga 47 rekord lamang ang kailanman ay ikinokonekta sa mga tunay na pangalan.
Para sa karagdagang impormasyon sa pseudonymization kumpara sa kumpletong anonymization, tingnan ang aming reversible de-identification guide.