Sütun Silmenin Gözden Kaçırdığı Boşluk
2026 için güncellendi
Araştırma veri kümeleri üniversiteler arasında CSV dosyaları olarak dolaşır. Ekipler bir CSV'yi paylaşıma hazırlarken iş sütun bazında yürütülür. Kişisel bilgileri bulun. Silin ya da değiştirin.
Bu yöntem sabit alanlar için işe yarar. "E-posta" adlı bir sütun e-posta adresleri içerir — silin. "Telefon" adlı bir sütun telefon numaraları içerir — silin. "Katılımcı_adı" adlı bir sütun isimler içerir — bir kodla değiştirin.
Ancak serbest metin yanıt sütunları bir kör noktadır. Etiketli sütunları kaldırmak bu sütunlara dokunmaz.
5.000 satırlık bir ankette beş yapılandırılmış KVV sütunu ve on beş açık metin yanıt sütunu bulunabilir. Yapılandırılmış olanlar isim, e-posta, telefon numarası, kimlik ve doğum yılı içerir. Açık metin olanlar ise yorumlar, notlar ve öneriler barındırır.
Yapılandırılmış sütunlar temizlenir. Açık metin sütunları ise ham hâlinde kalır. Oysa insanlar şu üç örneğe benzer şeyler yazar.
Birincisi: "Boston Medical Center'daki doktorum Dr. Maria Santos, tedavinin yeni olduğunu söyledi." İkincisi: "Bununla 2019 kazamdan beri uğraşıyorum." Üçüncüsü: "Bakıcıma margaret.wells@gmail.com adresinden ulaşabilirsiniz."
Her giriş gerçek bir kişiye işaret eder. Bir kısmı sağlık bilgisi ya da iletişim bilgisi içerir. Bunların hiçbiri bir sütun başlığında yer almaz. Hiçbiri sütun silme yöntemiyle yakalanmaz.
Bu Neden GDPR Standardını Karşılamıyor
GDPR Recital 26, anonim kayıtları herhangi bir kişiyle ilişkilendirilemeyen kayıtlar olarak tanımlar. Çıta yüksektir. Kayıtlar yalnızca yeniden tanımlama makul ölçüde mümkün olmadığında gerçek anlamda anonimdir.
Temiz sabit sütunlara sahip ancak açık metinlerinde adlandırılmış kişiler bulunan bir CSV bu testi geçemez. O isimler tanımlanabilir niteliktedir. Veri kümesi hâlâ kişiseldir. GDPR Madde 89 kuralları hâlâ geçerlidir. Bu nedenle üç risk ortaya çıkar.
Madde 89 araştırma muafiyeti: Madde 89, araştırmacıların bilimsel amaçlarla daha az yükümlülükle kişisel bilgileri işlemesine olanak tanır. Ancak yalnızca "uygun güvenceler" mevcut olduğunda. Açık metin KVV içeren bir dosyayı paylaşırken Madde 89 kapsamını ileri sürmek hukuki bir başarısızlıktır.
Etik onay: IRB'lerin ve etik kurulların büyük çoğunluğu, paylaşılan veri kümeleri için tam anonimleştirme gerektirir. Kısmi çalışma — sabit sütunlar temizlenmiş, açık metin ham bırakılmış — genellikle reddedilir. Kurul başvuruyu kabul etmeyebilir.
Veri paylaşım sözleşmeleri: Kurumlar arasındaki VPS'ler gerekli anonimleştirme düzeyini belirler. GDPR Recital 26'yı karşılamayan kısmi çalışma VPS'i ihlal edebilir. Bunun daha geniş bir programla nasıl örtüştüğü için Yasal Uyum genel bakışımıza bakın.
Açık Metni Temizlemek Neden Bu Kadar Zor
Serbest metin anket yanıtları, en zor KVV hedefleri arasındadır. İşte nedeni.
Bağlamdaki isimler: "Boston Medical Center'daki Dr. Maria Santos" ifadesi bir kişiyi ve bir kuruluşu işaretlemek için adlandırılmış varlık tanıma (NER) gerektirir. Anahtar kelime listeleri bunu bulamaz.
Hikayelerdeki isimler: "John Henderson'ın arabası benimkine çarptı" gerçek bir ismi bir hikâyenin içine yerleştirir. Bu, geçerken adı geçen bir kişidir. Yalnızca NER bunu yakalar.
Standart dışı biçimler: İletişim bilgisi "margaret nokta wells at gmail yazın" şeklinde görünebilir. Basit regex araçları bunları gözden kaçırır.
Araştırmaya özgü terimler: Klinik anketler genellikle hastane kimlikleri, alan kodları ve yer adları içerir. Bunlar genel görünseler bile bir kişiyi tanımlayabilir.
Dolayısıyla yalnızca örüntü eşleştirmesi yeterli değildir. Gerçek anket anonimleştirmesi için NLP tabanlı araçlar gereklidir. Teknik seçenekler için Güvenlik ve Uyum sayfasına bakın.
Üç Üniversiteden Gerçek Bir Örnek
Avrupa'daki üç üniversiteden oluşan bir araştırma ekibi bir hasta deneyimi anketi yürüttü. Veri kümesinde 5.000 katılımcı, 3 sabit KVV sütunu ve 8 açık metin sütunu bulunuyordu. Plan; bir VPS ve GDPR Madde 89 kapsamında dosyayı alanlar arasında paylaşmaktı.
Yalnızca sütun silme ile:
- Sabit KVV sütunları: kaldırıldı
- Açık metin sütunları: ham bırakıldı
- İddia: "KVV sütunları silindi"
- Geride kalan KVV: 47 adlandırılmış kişi, yorumlarda 23 e-posta adresi, katılımcıları tanımlayabilecek 18 yer adı
NLP tabanlı algılama ile:
- Sabit KVV sütunları: tutarlı simgelerle değiştirildi
- Açık metin sütunları: 47 isim değiştirildi, 23 e-posta maskelendi, 18 yer adı genel hâle getirildi ("Boston Medical Center" → "[Sağlık Kurumu]")
- Sonuç: GDPR Recital 26'yı geçen bir dosya
- Etik kurul yöntemi onayladı
- VKO, VPS uyumluluğunu teyit etti
Boşluk gerçektir. Birinci çıktı temiz görünür. İkinci çıktı gerçekten temizdir.
Paylaşım Öncesi Beş Adımlı Protokol
Herhangi bir anket veya mülakat dosyasını paylaşmadan önce şu adımları uygulayın.
Adım 1: Her sütunu etiketleyin Her sütunu sabit KVV, sabit KVV dışı veya açık metin olarak işaretleyin. Yazıya dökün.
Adım 2: Sabit KVV'yi işleyin Analiz için gerekli olmayan girişleri silin. Kayıtları bağlamak için gerekli girişleri değiştirin. Kullanılan kodları kaydedin.
Adım 3: Açık metin sütunlarını tarayın Tüm açık metin sütunlarında NLP algılaması çalıştırın. Her sonucu gözden geçirin. Hangilerinin gerçek KVV olduğunu onaylayın.
Adım 4: Değiştirmeleri uygulayın
Açık metin çıktısındaki onaylanmış KVV'yi değiştirin. [KİŞİ], [E-POSTA] veya [KONUM] gibi net etiketler kullanın.
Adım 5: Doğrulayın ve belgeleyin Çıktıdan 50–100 satır örnekleyin. Açık metin girişlerini elle kontrol edin. Kısa bir özet yazın: kullanılan araçlar, bulunan varlık türleri, işlenen sütunlar. Etik inceleme için dosyayla birlikte paylaşın.
Bu, "isim sütununu sildik" ifadesini açık ve belgelenmiş bir sürece dönüştürür. GDPR Madde 89'u ve çoğu etik kurulun gerektirdiği anonimleştirme standartlarını karşılar. İlgili kılavuzlar için doküman merkezimizi ziyaret edin.
Kaynaklar
- GDPR Madde 89: Bilimsel Araştırma için Güvenceler — VERIFIED-EXTERNAL
- GDPR Recital 26: Anonimleştirme İlkesi — VERIFIED-EXTERNAL
- ICO: Anonimleştirme ve Veri Koruma Riski — VERIFIED-EXTERNAL