临床试验对于生命科学组织的研发周期至关重要,所收集的数据有助于创新进步。然而,处理和存储个人资料会带来许多风险,包括数据泄露、未经授权的访问和滥用。在我们的匿名化博客系列第 2 部分中,我们将深入探讨临床试验利益相关者可以采取哪些步骤通过使用假名化来降低这些风险,以及他们应该提出哪些问题。
概述开展临床试验的 CRO、赞助商和合作伙伴的风险降低措施
如第 1 部分所述,尽管匿名化并不总是一种简单或可用的解决方案,但它是一种适用于临床试验数据的有用技术。可能会出现与某些限制以及处理异常和影响其应用的司法管辖权差异有关的问题。
我们之前概述了应应用于匿名化流程的各种客观风险评估,包括k-匿名 和有动机的入侵者测试。这些可以帮助量化匿名化的有效性,但也有其他因素需要考虑。
CRO、赞助商和合作伙伴之间的协作至关重要。但利益相关者还可以采取哪些其他措施来减轻数据安全风险?
假名数据
什么是假名化?这是一种数据 手机号码数据 保护技术,利用假名或代码替换、删除或转换可识别信息。与匿名化不同,匿名化会将个人数据不可逆转地变为不可识别,而假名化则保留了使用密钥代码重新识别个人的能力。密钥必须单独保管且安全,只有授权人员才能访问密钥,从而降低任何处理风险。
例如,假名数据可能显示患者编号为 123,年龄在 25-30 岁之间。只有钥匙持有者才能连接数据源,识别出患者 123 是约翰·史密斯先生,出生日期为 1995 年 1 月 1日。
值得注意的是,假名化是一种控制技术,但它并不能逃避任何 GDPR 法规。假名化数据仍然被归类为个人数据。
网站、CRO 和赞助商:谁应该掌握关键?
赞助公司通常与 CRO 签订合同作为数据 美国最好的 9 张台球桌 处理器,并经常指派他们担任密钥持有者的角色。然而,随着惯例的发展,我们看到了向网站而不是 CRO 保留密钥的转变。这为能够重新识别数据的能力提供了更大的“公平”方法。
赞助商掌握密钥的情况并不常见,任何此类请求都必须受到质疑和仔细评估。需要有实际或法律要求,因为随意重新识别数据的能力(控制者同时掌握假名信息和密钥)可能会使假名化的优势变得无效。
密钥持有者的基本安全措施
实施假名数据时过程,必须采取强有力 bo 目录 的技术和组织措施 (TOM) 来确保其有效性。这些安全程序至少需要包括:
- 通过定期的第三方安全评估(包括漏洞评估和内部审计)严格限制访问
- 对有权访问数据的员工进行数据保护和隐私培训
- 承包商与组织之间的保密协议
与合作伙伴合作降低风险
第三方通常是临床试验设立的重要因素,但与第三方合作也会带来风险。即使有明确的 TOM,组织也需要意识到自己的责任和监管威胁。