火狐体育IRB数据安全考虑的研究样本数据存储计划
所有以任何方式存储、处理或传输的火狐体育信息都应被划分为四个敏感级别之一:公共、内部、机密和私人。敏感性分类根据信息是什么以及如何访问、处理、交流和存储信息来识别信息。如果信息可以应用于一个以上的敏感级别,将选择最高级别(最严格的)。
大学研究电子数据要求
涉及电子数据的协议的最低数据安全性:
- 所有数据采集和存储设备都需要设置密码保护。
- 用于研究的非大学设备应安装最新的杀毒软件。
- 标识符或密钥应放在单独的、有密码保护或加密的文件中。
- 标识符不应存储在移动设备、闪存驱动器或其他便携式设备上[笔记本电脑除外]。如果协议认为必须使用便携式设备,则应该对数据文件进行加密。PI负责与其部门IT联络人协商,以确定便携式设备的最安全方法。
- 如果使用电子邮件进行通信,PI应向参与者提供电子邮件不安全的声明。
- 不应通过电子邮件传输受保护的健康信息或高度敏感信息。
- PI必须计划以加密格式定期备份数据。
- 纸质文件,如签署的同意书、调查问卷等,必须存放在校园内一个上锁的橱柜或抽屉里。数据不能存储在个人家中。
机密或私人信息所需的额外数据安全性
- 所有数据应传输到pi火狐体育火狐体育州立文件位置或访问控制部门共享驱动器,不应永久存储在本地硬盘驱动器,闪存驱动器设备,便携式设备或基于云的服务,如谷歌驱动器或DropBox。
- 用于数据分析的数据文件应不包含IP地址或其他电子标识符。如果使用调查工具收集IP地址,则需要从下载的数据文件中删除这些地址。
- IRB标准和规定要求在项目完成后保留原始数据三年。但是,如果参与者面临的风险主要是通过可识别的数据记录违反机密性,则PI应考虑作为协议的一部分,删除或销毁可识别信息(即视频文件)的方法。在监管要求之前销毁数据必须得到内部审查委员会的批准。
- 必须考虑加密和安全套接字层(SSL)等标准安全措施。其他保护措施可能包括知情同意的认证数字签名、数据传输加密和标识符的技术分离。
信息分类类型
私人(限制最多)
所有受联邦或州法律保护的个人身份信息均为隐私信息。任何与您的研究方案中描述的方式不同的私人信息的发布都必须作为不良事件立即报告给IRB。
例子:
- 学生和员工身份证号码(CWIDs)与全名和/或出生日期相结合
- 健康保险单的身份证号码
- 个人健康或精神健康记录
保密
只有指定人员才能获得的敏感信息。机密信息是指根据所有适用的州和联邦法律,公众无法获得的信息。任何与您的研究方案中描述的方式不同的机密信息的泄露都必须作为不良事件立即报告给IRB。
例子:
- 你自己的研究数据
- 健康信息,包括受保护的健康信息(PHI)
- 电子邮件地址,社会安全号码或未列出的电话号码
内部
提供给业务单位并用于官方目的的信息,但除非根据适用法律的要求和授权,否则不会向公众发布。
例子:
- 财务会计信息
- 部门建设计划等项目数据不影响学校安全
- 没有任何其他识别信息的学生和员工身份证号码(CWIDs)
公共(限制最少)
根据《新泽西州公开公共记录法》的要求,大学法律顾问或大学正式授权的人已宣布公开信息,因此可以自由分发。学校官方出版物或学校网站上的公开信息可在未经特别授权的情况下发布。
例子:
- 教职员工/ bios
- 课程目录
- 新闻稿和营销材料
负责任的数据安全的额外资源
| 研究所 | 资源 |
|---|---|
| 全国人力资源保护咨询委员会 | 保密和研究数据保护建议 |
| 哈佛大学 | 数据安全策略 |
| 加州大学 | 数据安全指引 |
| 美国大学 | IRB安全和隐私检查表 |
| 质量-使用调查选项匿名回复 | 匿名化反应 |