我们建议澳门威尼斯人注册网站研究人员在任何时候将数据转入或转出BU时签订数据使用协议。在下面了解更多信息或在这里找到DUA申请表。
什么是数据使用协议?
数据使用协议(“DUA”),有时被称为数据传输协议(“DTA”)或数据共享协议(“DSA”),是双方或多方之间的正式书面合同协议,规定了数据的具体使用方式和必须如何保护数据。这些协议可以在学术机构、政府机构和/或公司实体之间建立。任何数据共享通常都需要DUA;在没有DUA的情况下共享数据可能会使澳门威尼斯人注册网站研究人员和机构在不知不觉中违反道德和监管标准。
通常,DUA的数据是澳门威尼斯人注册网站研究项目的必要组成部分。DUA在法律上约束各方对数据的适当保护和使用,并规定了一些条件,例如谁被允许使用和接收数据集、接收方对数据使用和进一步披露的限制、保护数据的义务、因滥用数据而产生的损害的责任、以及发布期望和/或确认。DUA建立的相互理解可以通过清楚地阐明数据提供方和数据接收方的期望来帮助防止未来的问题。
澳门威尼斯人注册网站研究人员不得代表学校签署DUAs。DUAs是一种法律文件,必须由大学授权的签署人签署,以约束大学遵守其条款。如果您收到来自第三方的DUA并要求BU签名,请联系Industry Engagement。IE合同团队可以帮助审查DUA并指导您完成整个过程。
DUA的共同义务
DUA的共同义务规定,数据接收方将:
- 不使用、披露或销毁数据集,除非DUA允许或法律要求;
- 采用适当的管理、技术和物理保障措施,防止未经授权使用或披露数据集;
- 向数据提供商报告任何违反DUA的数据集使用或披露;
- 确保向其提供数据集的任何人同意就接收或存取数据而适用于数据接收者的相同规定;和
- 不重新识别信息或联系数据主体(对于与人类主体相关的数据)。
可能被共享的数据类型
可识别的数据
可识别数据是指数据提供者认为敏感或机密的数据,或指某些类型的澳门威尼斯人注册网站研究数据,例如可识别的人类受试者澳门威尼斯人注册网站研究数据、受《健康保险可携带性和责任法案》(HIPAA)保护的健康信息(PHI),或数据提供者认为敏感或机密的其他数据。
拥有已执行的DUA是传输可识别数据的先决条件。
去除了识别信息的数据
在传输的数据已完全去标识化的情况下,可能不需要DUA。然而,去识别的数据在其使用、披露或随后的转移方面仍可能受到其他合同限制。发送或接收去识别数据的澳门威尼斯人注册网站研究人员应通过数据使用请求表格与Industry Engagement联系。
我什么时候需要DUA?
不确定是否需要DUA ?下载DUA决策树。
谁来处理我的酒后驾车?
Industry Engagement可以帮助管理DUA的审查和签署。建立DUA的过程因共享数据的类型、所涉及的机构或机构以及数据是入站(由波士顿大学接收)还是出站(由波士顿大学提供)而异。
当发送DUA请求到行业参与时,请填写DUA申请表:
DUA申请表格
完成的DUA申请表提供了有关澳门威尼斯人注册网站研究的必要背景信息的行业参与。项目摘要、数据元素列表、资金来源、共享结果的期望和出版作者,以及人类/动物/干细胞合宪性(如适用)是确保DUA条款适当的必要条件。Industry Engagement可能会根据所提供的信息和特定协议条款与您联系,提出其他问题。如有必要,我们也可以在审查DUA时咨询大学的其他合规和法律办公室,以确保适当的保护措施和批准到位。根据项目/数据规范,可能需要对协议进行更改。
CHIA数据和其他主协议
任何学院/澳门威尼斯人注册网站研究所/ BU其他部门的所有BU澳门威尼斯人注册网站研究人员为澳门威尼斯人注册网站研究获取CHIA数据必须遵守本协议。
请注意,BU可能已经与某些实体签订了主数据使用协议:
术语表
- 完全可识别的人类受试者数据-带有任何个人标识符的资料,以及有关个人、其亲属、家庭成员或雇主的资料,这些资料单独或结合起来可识别个人身份。
- 有限数据集-根据隐私规则规定未完全去标识化的数据集。数据集必须排除以下18个隐私规则个人标识符中的15个:
-
- 名称;
- 街道地址(不包括镇、市、州和邮政编码);
- 电话号码;
- 传真号;
- 电子邮件地址;
- 社会安全号码;
- 医疗记录号码;
- 健康计划受益人人数;
- 账号;
- 证书证号;
- 车辆识别码和序列号,包括车牌;
- 设备标识符和序列号;
- url;
- IP地址;
- 生物识别(包括指纹和声纹)和全脸照片(或可比图像)。
以下个人身分代号可保留在有限数据集中:
-
- 入院、出院、服役、出生日期、死亡日期等日期;
- 城市,州,五位数或以上的邮政编码;和
- 以年、月、日或小时为单位的年龄。
并且,以下两个要求适用:
-
- 承保实体可能只发布最低限度的必要信息,因此预期接收人必须说明需要哪些信息;和
- 接收方必须同意“数据使用协议”,该协议通常描述了所接收信息的允许使用和披露,并禁止重新识别或使用该信息与个人联系。数据使用协议是受HIPAA保护的实体与数据接收方之间的协议。注意,HIPAA覆盖实体的内部和外部接收方都需要数据使用协议。有关BU的HIPAA覆盖组件的更多信息,请参阅/hipaa/files/2017/06/6-20-2017-HIPAA-CC-Designation.pdf。
- 个人身份信息-可用于区分或追踪个人身份的资料,例如单独的姓名、社会保障号码、生物特征记录等,或与其他与特定个人有关或可有关连的个人或识别资料(例如出生日期和地点、母亲的婚前姓名等)结合使用。这包括可用于识别、定位或联系单个学生的任何和所有信息,如姓名、地址、学生证和登录信息。它还包括学生的学术、健康和纪律记录,以及可以结合起来识别特定学生的信息,如人口统计和出生日期。
- 在欧洲经济区/欧盟的个人数据-欧盟于2016年制定了《通用数据保护条例》(GDPR),以保护欧洲经济区/欧盟人民的个人数据。GDPR法规有意将“个人数据”定义得非常宽泛;在欧洲经济区/欧盟,几乎任何与个人有关的数据都可以被视为“个人数据”。
- 根据BU的数据分类政策,被视为机密、内部或限制使用的数据-见BU的数据分类策略了解更多信息。
- 跨国界传输的数据——例如,从南非合作者那里收到的去识别数据集。
- 与另一协议相关的数据-现有协议可能对需要遵守的数据有义务或限制;涉及数据重新转移的未来协议将需要与BU对数据提供商的DUA合同义务相协调。
- 另一方要求的DUA-提供方或接收方要求使用DUA进行转账。
- 去除了识别信息的数据-下列个人或其亲属、雇主或家庭成员的身分代号,必须从资料集中删除,才可使资料去除身分识别:
- 名称;
- 所有小于一个州的地理分区,包括街道地址、市、县、选区、邮政编码及其相应的地理编码,但邮政编码的前三位数字除外,如果:
- 将所有邮政编码与相同的三个首字母数字组合而成的地理单元包含了20,000多人;和
- 所有包含20,000或更少人口的地理单元的邮政编码的前三位数字将更改为000。
- 与个人有直接关系的日期的所有日期要素(年除外),包括出生日期、入院日期、出院日期、死亡日期;以及所有超过89岁的年龄和指示该年龄的日期(包括年份)的所有要素,但这些年龄和要素可以汇总为90岁或以上的单一类别;
- 电话号码;
- 传真号;
- 电子邮件地址;
- 社会安全号码;
- 医疗记录号;
- 健康计划受益人人数;
- 账号;
- 证书/许可证号码;
- 车辆识别码和序列号,包括车牌号码;
- 设备标识符和序列号;
- Web通用资源定位器(url);
- 互联网协议(IP)地址;
- 生物识别识别,包括指纹和声纹、全脸摄影图像和任何可比图像;和
- 任何其他唯一标识数字、特征或代码。
有关DUA处理的问题,请联系Industry Engagement: industry@bu.edu。
