Khử nhận dạng có thể đảo ngược trong nghiên cứu lâm sàng
Các nghiên cứu dài hạn đối mặt với một sự đánh đổi khó khăn. Bệnh nhân phải duy trì ẩn danh trong suốt nghiên cứu. Các quy định IRB yêu cầu điều đó. Sự tin tưởng của bệnh nhân phụ thuộc vào đó. Nhưng một phát hiện có thể yêu cầu liên hệ lại sau này. Khử nhận dạng vĩnh viễn loại bỏ khả năng này. Khử nhận dạng có thể đảo ngược giữ cho khả năng đó luôn mở.
Tìm hiểu cách chúng tôi hỗ trợ vấn đề này trong tổng quan tuân thủ và thực hành bảo mật của chúng tôi.
Vấn đề liên hệ lại
Một trung tâm ung thư thực hiện nghiên cứu trên 5.000 bệnh nhân. Giữa chừng thử nghiệm, 47 bệnh nhân cho thấy các dấu hiệu liên quan đến loại ung thư xâm lấn. Điều này không được dự tính trong giao thức ban đầu. Hội đồng đạo đức xem xét phát hiện. Hội đồng phê duyệt việc liên hệ lại. Nghĩa vụ cảnh báo được áp dụng.
Nếu khử nhận dạng ban đầu là vĩnh viễn, nhóm nghiên cứu bị kẹt. Các mã ngẫu nhiên không có bản đồ ánh xạ không cung cấp đường trở về. 47 hồ sơ không thể được liên kết với bệnh nhân thực. Phát hiện không thể được theo dõi. Những bệnh nhân có thể cần điều trị không thể được tiếp cận. Cấu trúc bảo vệ quyền riêng tư đã thất bại ở thời điểm quan trọng nhất.
Đây không phải trường hợp hiếm gặp. Bất kỳ nghiên cứu dài hạn nào cũng có thể gặp một phát hiện bất ngờ. Học thuyết về nghĩa vụ cảnh báo yêu cầu hành động khi xác định được rủi ro. Nếu không có con đường tái nhận dạng, hành động đó không thể thực hiện.
Quy tắc GDPR về tách biệt khóa
Hướng dẫn EDPB 05/2022 giải quyết vấn đề này trực tiếp. Giả danh hóa là một bước bảo vệ dữ liệu hợp lệ. Nó giữ cho khả năng tái nhận dạng luôn mở. Một quy trình được phê duyệt có thể sử dụng nó khi cần thiết.
Quy tắc cơ bản là tách biệt khóa. Khóa giải mã phải được giữ tách biệt với dữ liệu đã giả danh hóa. Các biện pháp kiểm soát phải chặn mọi truy cập không được phê duyệt. Nhóm sử dụng dữ liệu không được nắm giữ khóa. Tái nhận dạng phải yêu cầu một bước chính thức và được ghi lại.
Khảo sát IAPP năm 2024 phát hiện chỉ 23% công cụ ẩn danh hóa cung cấp khả năng đảo ngược thực sự. Hầu hết áp dụng che giấu hoặc thay thế vĩnh viễn. Các phương pháp này chặn việc liên hệ lại mà nghĩa vụ cảnh báo yêu cầu.
Kiến trúc hoạt động như thế nào
Một cấu hình tuân thủ sử dụng mã hóa có thể đảo ngược với AES-256-GCM. Mỗi ID bệnh nhân được biến thành một token. Cùng một bệnh nhân tương ứng với cùng một token trên tất cả các file nghiên cứu. Các liên kết giữa dữ liệu được giữ nguyên. Không có ID thô nào xuất hiện trong tập dữ liệu làm việc.
Khóa giải mã do người quản lý dữ liệu nắm giữ. Nó được giữ tách biệt với dữ liệu. Bất kỳ việc sử dụng khóa nào đều yêu cầu yêu cầu bằng văn bản được phê duyệt.
Nhóm chỉ làm việc với token trong quá trình phân tích. Khi 47 bệnh nhân bị ảnh hưởng được xác định, hội đồng đạo đức phê duyệt tái nhận dạng. Người quản lý chỉ áp dụng khóa cho 47 hồ sơ đó. Nhóm nhận được ID thực cho 47 bệnh nhân đó. 4.953 bệnh nhân còn lại vẫn được bảo vệ.
Chỉ có thể tái nhận dạng có mục tiêu. Phần còn lại của tập dữ liệu không bao giờ bị chạm đến.
Để biết thêm về sự khác biệt giữa giả danh hóa và ẩn danh hóa hoàn toàn, xem hướng dẫn GDPR về ẩn danh hóa và giả danh hóa của chúng tôi.