410. Upprätthålla datasekretess

by Posted on

uppdaterad Juli 1, 2019

Sekretess avser forskarens avtal att hantera, lagra och dela forskningsdata för att säkerställa att information som erhållits från och om forskningsdeltagare inte avslöjas felaktigt. Individer kan bara vara villiga att dela information för forskningsändamål med en förståelse för att informationen kommer att förbli skyddad från utlämnande utanför forskningsinställningen eller till obehöriga personer.

OBS: i denna policy används termen “data” i vidaste bemärkelse och inkluderar numeriska datafiler och kvalitativa material som intervjuavskrifter, dagböcker och fältanteckningar. Forskningsdata kan innehålla ljud-och videoformat, geospatial information, biometri, webbplatser och dataarkiv (inklusive de som är tillgängliga online).
krav på sekretessskydd gäller för skyddad personligt identifierbar Information (PPII) erhållen

  • preliminärt för forskning (t. ex. Ppii erhålls från privata register för att bedöma behörighet eller kontakta potentiella deltagare);
  • under datainsamling, analys och dispens; och
  • efter studieavslutning (om PPII behålls).

forskare ansvarar för

  • att följa det IRB-godkända avtalet om forskare och deltagare för insamling och skydd av forskningsdata och
  • skydda deltagare från skador som kan uppstå till följd av brott mot sekretess (t. ex. förlust av försäkring, förlust av anställning eller skada på social ställning).

skydd av datasekretess

rutinmässiga försiktighetsåtgärder för att skydda konfidentialitet

i de flesta undersökningar är det bara en fråga om att följa vissa rutinmetoder:

  • PPII ersätts med forskningsidentifieringskoder (ID-koder) för PPII.

OBS: namn och personnummer får inte ingå i eller användas för ID-koder.

  • ansiktsblad som innehåller PPII tas bort från slutförda undersökningsinstrument;
  • åtkomst till huvudkodlistor eller nyckelkoder är begränsad.
  • huvudlistor lagras separat från data och förstörs så snart som möjligt.
  • kontaktlistor, rekryteringsregister eller andra dokument som innehåller PPII förstörs när det inte längre krävs för forskningen.
  • filer som innehåller elektroniska data är lösenordsskyddade och krypterade (åtminstone när data överförs eller transporteras).
  • forskningsdata / prover lagras säkert i låsta skåp eller rum.
  • elektroniska data lagras i lösenordsskyddade datorer eller filer.
  • filer som innehåller elektroniska data stängs när datorer lämnas utan uppsikt.
  • blanketter för samtycke och HIPAA-godkännande lagras säkert i låsta skåp eller rum, separat från forskningsdata.
  • forskningspersonal utbildas i IRB-godkända metoder för hantering och lagring av forskningsdata/prover.

överväganden för att skydda konfidentialitet under datainsamling

  • inkludering av PPII: kommer PPII att samlas in tillsammans med data/exemplar? Vilka är de minsta PPII som krävs för att bedriva forskningen?
  • Kodningsdata / prover: kommer PPII att ersättas med ID-koder när data/provet samlas in / erhålls (rekommenderas)? Om nej, varför inte? Om ja, kommer en huvudkodlista att användas för att länka PPII med ID-koder? Hur kommer sekretessen för huvudkodlistan att skyddas? Bör numeriska data vara topp-eller bottenkodade?
  • tillgång till klinik, utbildning, Program eller personalregister för forskning: Hur ska forskare säkerställa att endast behöriga personer får tillgång till klinik eller andra privata register som kommer att användas för forskningen? Hur kommer forskare att säkerställa att konfidentialitet upprätthålls under insamlingen av privat information från klinik eller andra register?
  • elektroniska register: hur ska forskare säkerställa att elektroniska data skyddas under datainsamlingen? Kommer deltagare som genomför onlineundersökningar att uppmanas att stänga webbläsaren för att begränsa åtkomsten till sina svar?
  • användning av översättare eller tolkar: när datainsamling kräver användning av översättare eller tolkar som inte är medlemmar i forskargruppen, hur ska forskare säkerställa sekretessen för den insamlade informationen?
  • personliga intervjuer: vilka skyddsåtgärder kommer att finnas för att upprätthålla sekretessen för data som erhållits genom personliga intervjuer?
  • fokusgrupper eller andra gruppinställningar (skolor, fängelse, kliniker, behandlingscentra): Vilka skydd kommer att finnas för att minimera möjligheten att information som delas i en gruppmiljö avslöjas utanför gruppen eller för andra ändamål än de som beskrivs i studiehandlingar?
  • Internetforskning: hur kommer forskare att begränsa tillgången till enkätsvar under datainsamling (t. ex. begränsad åtkomst, datakryptering, virus-och inkräktarskydd)?

OBS: universitetets IRB tillåter inte att forskningsdata samlas in eller skickas ut via e-post.

  • Fältprocedurer: Vilka skyddsåtgärder kommer att finnas för att upprätthålla sekretessen för uppgifter under insamlingen i fältet? Under lagring på fältplatser? Under transport till universitetet?
  • biometrisk eller genetisk testning: Hur kommer forskare att skydda sekretessen för diagnostisk eller genetisk information, särskilt om tester är out-sourced?
  • Återkontakta deltagare: Vad är den minsta information som krävs för att återkontakta deltagare? Hur kommer sekretessen för kontaktinformationen att bibehållas under forskningen? När kommer kontaktinformationen att förstöras?
  • länka flera datamängder: forskning som involverar flera datamängder kräver ofta att en gemensam identifierare finns i de olika datamängderna (t.ex. namn, adress, personnummer). Kommer forskare att använda standard mellan fillänk förfaranden för sammanslagning av datamängder? Om inte, hur ska sekretessen skyddas?
  • brott mot Sekretess risker: bör dokumentation av samtycke frångås för att skydda deltagare i händelse av brott mot sekretess?

överväganden för att skydda konfidentialitet vid lagring av Data / exemplar

OBS: Överväganden för datalagring gäller både före och efter analys.

  • behålla PPII: kommer PPII att lagras med data/prover? Varför?
  • tillgång till PPII: om PPII kommer att lagras med data/ exemplar, vem kommer att ha tillgång? Om lagrade data/prover kodas, vem kommer att ha tillgång till huvudkodlistan? När kommer huvudkodlistan att förstöras?

OBS: tillgång till PPII bör begränsas till forskare som behöver sådan tillgång för att uppfylla forskningsmålen. Huvudkodlistan ska förstöras så snart som möjligt (t. ex., omedelbart efter att data har rengjorts).

  • identifiering av deltagare genom länkade element: kommer lagrade, kodade data/prover att innehålla element som kan användas (ensam eller i kombination) för att länka en individ med sina data/prover? Detta är särskilt relevant för forskning med små cellstorlekar.
  • lagring av elektroniska register: hur ska forskare hantera och elektroniska data för att skydda konfidentialiteten?

notera: University (inklusive UNSOM) forskare uppmanas att använda UNRNAS eller andra universitets dataservrar för att lagra elektroniska forskningsregister. Universitetet förbjuder användning av molnbaserade fillagringstjänster om inte särskilt godkänts av universitetet. För mer information, se Data -, webb-och molnsystem på informationsteknologins webbplats eller skicka ett e-postmeddelande till [email protected].

  • ljud -, Video-och fotografiska poster: Vilka ytterligare försiktighetsåtgärder kommer att användas för att skydda konfidentialiteten för ljud -, video-eller fotografiska poster genom att enskilda deltagare kan identifieras genom röstanalys (ljud och video) eller fysiska egenskaper (video eller fotografiska bilder)?
  • Lagringsanläggningens säkerhet: är lagringsplatsens säkerhetsfunktioner (eller lagringsmekanismer för elektroniska data) tillräckliga för att säkerställa datasekretess?
  • inkludering i kliniska eller programposter: kommer forskningsdata att registreras i permanenta kliniska eller programposter? Om ja, vilken information kommer att spelas in och varför kommer den att spelas in i dessa poster?
  • placering av Data i Arkiv: vilka är kraven i arkivet relaterade till filformat; datahanterings-och delningsplaner; dokumentation av form och innehåll; variabelnamn, etiketter och grupper; kodning; och saknad dat.

överväganden för att skydda konfidentialitet under dataanalys och Presentation

  • presentera Data: Hur kommer data att presenteras för att säkerställa att diskreta variabler inte kan användas (ensam eller i kombination) för att identifiera en individ? Detta är särskilt viktigt för forskning med små cellstorlekar.
  • geokodning och kartläggning: för forskning som involverar geokodning och kartläggning, vilka försiktighetsåtgärder kommer att genomföras för att skydda identiteten hos individer i provpopulationerna? Är det möjligt att den mappade informationen kan stigmatisera eller framkalla ångest bland de individer som bor i specifika platser som identifieras på kartan?

  • sekundära eller tillfälliga fynd: kommer deltagare (eller drabbade, biologiska familjemedlemmar) att få veta om sekundära eller tillfälliga fynd? Om nej, varför inte? Om ja, hur och till vem kommer avslöjandet att göras?

informera deltagarna om sekretessskydd och begränsningar

informationsforskarna är skyldiga att avslöja för deltagarna står i proportion till risken. Mer information om processer för att skydda konfidentialitet bör ges till deltagare i studier där obehörigt avslöjande kan riskera dem, jämfört med deltagare i studier där avslöjande inte sannolikt kommer att utsätta dem för skador.
utredare kan få tillgång till PPII utan att informera de personer som informationen avser om IRB godkänner ett upphävande av kravet på att få informerat samtycke. I sådana fall bör forskare vara särskilt medvetna om vikten av att hålla deltagarnas information konfidentiell eftersom privat information nås utan deltagarnas kunskap eller tillstånd.

obligatoriska upplysningar relaterade till sekretessskydd

forskare måste berätta för deltagarna

  • hur informationen som samlas in från/om dem kommer att användas (dvs. 379>
  • om PPII kommer att samlas in, och om PPII kommer att avslöjas i rapporter eller publikationer som härrör från forskningen;
  • vem kommer att ha tillgång till deras PPII och annan information som samlas in om dem; och
  • samlingen av ljud -, video-eller fotografiska poster. För det senare måste forskare få signerade video – / fotoutgåvor.

valfria upplysningar relaterade till sekretessskydd

deltagarna kan dra nytta av att få veta

  • varför insamling/lagring av PPII är nödvändig för forskningen;
  • om PPII kommer att lagras med data eller kopplas till data via en huvudkodlista;
  • hur länge forskarna kommer att behålla sin PPII;
  • när data kommer att avidentifieras, eller om inte avidentifieras, när det kommer att förstöras; och
  • vilka förfaranden kommer att införas för att utesluta obehörig åtkomst till forskningsdata.

informera deltagarna om sekundära och tillfälliga fynd

när de kommunicerar de grundläggande aspekterna av sin forskning till IRB och till deltagarna måste forskare också överväga om studietester eller procedurer kan avslöja information om en studiedeltagare som inte är forskningens primära fokus men som kan ha klinisk betydelse för individen. Sådana resultat kan vara sekundära eller till forskningen, och förväntade eller oförutsedda.
tester/procedurer som är mer benägna att leda till sekundära eller tillfälliga fynd inkluderar storskalig genetisk sekvensering (t.ex. helgenomsekvensering, icke-specifika genomiska analyser); icke-diskret testning av blod och andra biologiska prover (t. ex. metaboliska paneler); och avbildning (t. ex. MR, CT, röntgenstrålar, ultraljud). För mer information, se IRB policy för att avslöja resultat till deltagarna.

upplysningar relaterade till sekretessbegränsningar

forskare måste berätta för deltagarna om begränsningar av skyddet av datasekretess, såsom:

  • inspektion av medicinska eller forskningsregister av IRB, FDA eller sponsor;
  • obligatoriska rapporteringslagar för smittsamma sjukdomar; och
  • obligatoriska rapporteringslagar för övergrepp mot barn eller äldre.

gränser för konfidentialitet för Humanistiska projekt

humanistiska projekt kan inte förvänta sig att hålla deltagarnas identiteter eller deras svar konfidentiella; ibland vill intervjuade ha sina namn associerade med sina svar. Denna praxis är acceptabel så länge forskningsdeltagarna blir medvetna om huruvida deras namn kommer att associeras med deras svar och berättas om eventuella inneboende risker i samband med sådan avslöjande.

ytterligare Sekretesshänsyn

Sekretessintyg

forskning som involverar olaglig verksamhet eller insamling av känsliga uppgifter kan kräva att forskare erhåller ett Sekretessintyg för skydd mot stämning.

undantag från dokumentation av informerat samtycke

forskning där den huvudsakliga risken är relaterad till ett brott mot sekretess kan vara berättigad till ett IRB-undantag från undertecknat samtycke. Till exempel i studier där ämnen väljs ut på grund av en känslig, stigmatiserande eller olaglig egenskap (t. ex. personer med olaglig invandringsstatus; eller som har sexuellt missbrukat barn, sökt behandling i ett drogmissbruksprogram eller testat positivt för HIV) kan det vara viktigare att hålla deltagarnas identitet konfidentiell än att hålla de uppgifter som erhållits om deltagarna konfidentiella. Se IRB policy för samtycke undantag för mer information.

Dataanvändnings-och Materialöverföringsavtal

när forskare delar data/prover med andra enheter, vare sig som leverantör eller mottagare, kan formella avtal vara motiverade. Se universitetets Office of Sponsored Projects policy och formulär för att upprätta Dataanvändningsavtal. Kontakta University Technology Transfer Office för information om Materialöverföringsavtal.
i tillämpliga fall måste utredare bifoga godkända Dataanvändningsavtal och Materialöverföringsavtal till nya projekt eller ändringspaket (för Nyligen tillagda avtal) i IRBNet för IRB-granskning eller befriad bestämning.

IRB granskning av sekretessskydd

när forskningsdata kommer att kopplas direkt eller indirekt till PPII, kommer universitetets IRB inte att godkänna forskningen om inte försiktighetsåtgärder är tillräckliga för att skydda datasekretess under datainsamling, lagring, analys och dispens. Universitetets IRB balanserar kraven för att skydda konfidentialiteten för forskningsdata med risknivån i samband med obehörigt avslöjande, lagliga skyldigheter relaterade till konfidentialitet och konfidentialitetsåtagandet till forskningsdeltagare.
för forskning som involverar information som kan betraktas som känslig (t.ex. psykisk sjukdom, kognitiv försämring, fysiska funktionshinder, könssjukdomar, drog-och alkoholmissbruk) kommer IRB att bedöma behovet av mer robusta skyddsåtgärder, inklusive Sekretessintyg.

obehörigt utlämnande av Information

utredare måste informera IRB omedelbart i händelse av obehörig frisläppande eller förlust av försökspersonernas privata eller konfidentiella information. Mer information finns i IRB-policy för rapportering av problem.

Published by admin

Lämna ett svar

Din e-postadress kommer inte publiceras.