研究数据安全指引

以适当的机密性、完整性和可用性水平安全维护研究数据对于确保参与者、研究人员和大学的低风险阈值至关重要。无论研究是否涉及收集个人身份数据，首席研究员及其研究团队都应概述与每个研究项目相关的数据管理和安全流程和程序。

数据的敏感性

• 在进行研究时，了解所使用的数据及其相应的敏感性是很重要的。敏感数据定义和分类网页有关于识别敏感数据的信息。
• 为了最好地确定数据的敏感性，了解一些关键术语有助于了解数据的来源。
  • 匿名：如果没有人（包括研究人员）可以将数据与提供数据的个人联系起来，那么数据就是匿名的。没有识别信息，如姓名、地址、识别号码或其他独特的个人特征，这些信息可能会从研究对象池中识别个人。
  • 机密：此类别中的数据可以链接到源个人。研究小组成员有义务保护机密数据，防止未经授权泄露给研究小组以外的人。防止未经授权披露机密资料的方法包括：
    • 将研究对象标识符与研究数据分开存储。
    • 使用唯一的代码来引用研究对象的数据。需要注意的是，此方法不会使数据匿名。
    • 分别存储代码键和对象的标识符。
  • 去标识化：去标识化数据是一个数据集，它删除了将数据与研究对象联系起来的任何和所有直接和间接标识符或代码。
• 按类型存储数据和按解决方案存储数据页面上的信息将帮助您找到用于研究数据的适当IT资源。

数据存储

• 保护大学数据网页详细介绍了每种数据类型可以使用的企业级存储解决方案，如何定义和分类数据，模板数据管理计划和模板系统安全计划。
• 所有数据收集和存储设备都必须使用强密码进行密码保护，这意味着它满足足够的复杂性，以降低被坏人猜测或窃取的风险。
• 用于收集敏感数据的设备必须遵守安全计算机管理标准，以确保在收集和存储研究数据时安全使用。
• 如果需要使用便携式设备进行标识符的初始收集或存储，则数据文件应该是加密，并在收集后尽快将标识符转移到安全系统。便携设备不使用时应锁在安全的地方。
  • 便携式设备上的所有敏感研究信息在不使用时必须加密并锁定在安全位置。
  • 所有在便携式收集设备上收集的数据应在收集后尽快转移到批准的存储地点，并从便携式收集设备上删除。
• 标识符、数据和键应该分开放置；密码保护/加密文件，每个文件应存储在不同的安全位置。
• OHIO Catmail和Calendar服务不得用于收集、存储或传输可识别的人类受试者研究数据或受保护的健康信息（PHI）。
• 如果使用任何云计算服务，包括但不限于“免费服务”，PI必须遵守俄亥俄技术审查流程、保护大学数据指南、信息安全标准和适用的大学政策。
• 在发送电子邮件招募研究参与者时，请遵循电子邮件最佳实践，以防止邮件看起来像垃圾邮件或网络钓鱼。

数据访问

• 对可识别数据的访问应该遵循最小权限原则，这意味着只有那些需要访问数据的人才应该有权访问数据。

数据保留与销毁

• 良好的研究数据管理包括设计数据管理计划和研究协议，以便在适用的情况下解决数据保留和销毁问题。
• 在设计数据管理计划和研究协议的数据保留和销毁要求时，研究人员必须考虑：
  • 数据类型
  • 与数据相关的任何法规要求，以及
  • 大学与研究赞助商签订的协议和合同中规定的任何要求
• 如果适用，规定的保存期限和相应的销毁日期必须记录在研究方案中。
• 如果联邦政府对数据共享有要求，或者研究者需要为进一步的研究保留数据，那么与数据相关的标识符必须尽可能早地从研究数据库和文件中安全地删除。
• 如果适用，数据销毁必须遵循安全销毁数据的指导。