人类受试者澳门威尼斯人注册网站研究中的数据安全
由Charles River Campus IRB审查和批准的人类受试者澳门威尼斯人注册网站研究数据安全管理一般指南。
数据安全要求
大学数据是由波士顿大学产生、拥有或以其他方式拥有的与大学活动相关的信息,包括澳门威尼斯人注册网站研究数据。大学澳门威尼斯人注册网站研究数据受波士顿大学数据保护标准的约束。根据大学的数据分类政策,数据被分类为公共、内部、机密或限制使用,必须采用不同的保护标准。
澳门威尼斯人注册网站研究者的职责
- 收集或利用澳门威尼斯人注册网站研究数据的澳门威尼斯人注册网站研究人员负责在对所使用的数据类别具有适当安全控制的系统上访问、存储、传输和处理数据。
- 澳门威尼斯人注册网站研究人员应该逐项列出作为其澳门威尼斯人注册网站研究的一部分所收集和/或利用的数据种类,并确定其数据需要的安全级别。
- 澳门威尼斯人注册网站研究人员应该咨询IS&T和/或他们当地的IT支持小组,以确定访问、存储和使用他们的数据的最佳方式,特别是那些被归类为机密或限制使用的数据。
澳门威尼斯人注册网站研究数据示例和相应的BU数据分类
- 虽然波士顿大学的大多数澳门威尼斯人注册网站研究数据不受HIPAA隐私规则的约束,但HIPAA去识别标准(删除18个数据元素,例如电子邮件地址、电话号码、出生日期、邮政编码等)仍然是黄金标准。当数据以HIPAA隐私规则的方式去识别时,由于数据被归类为公共数据,因此对于BU的平台使用没有特定的要求。
- 同样,根据HIPAA隐私规则,数据被视为有限数据集,这意味着它们包含受保护的健康信息*,不包括直接标识符,通过将元素限制为日期、城市和邮政编码,有效地将数据匿名化。当BU数据以HIPAA有限数据集标准的方式匿名化时,可以使用BU共享计算集群、BU Office 365应用程序、BU REDCap或Qualtrics、BU Network Drives (NAS1)、BU谷歌应用程序和其他数据,因为这些数据被归类为机密数据。注意:BU b谷歌应用程序不能用于HIPAA下的有限数据集,因为数据通常由HIPAA覆盖的实体提供,如医院、诊所、健康保险公司、MA公共卫生部等。来自HIPAA覆盖实体的有限数据集需要执行数据使用协议(dua)。有关dua的更多信息,请联系BU的行业参与办公室。
- 这项澳门威尼斯人注册网站研究与健康有关,包括一些个人身份信息,如电子邮件地址、电话号码、图片/视频中的面部图像(即使没有与图像相关联的名字)等。在这种情况下,BU限制使用网络驱动器(nas-RU1或BUMC Y驱动器);BU Office365应用程序,如SharePoint、OneDrive、Teams;可以使用BU REDCap或qualics和其他数据,因为这些数据被归类为限制使用。但是,请注意,如果澳门威尼斯人注册网站研究与健康无关(例如,每天发送的文本数量),即使包含可识别的信息,也将其归类为机密。
IRB应用程序的注意事项
作为IRB在保护人类受试者权利和福利方面的角色的一部分,澳门威尼斯人注册网站研究人员必须确定在澳门威尼斯人注册网站研究中提出的电子平台、数据传输方法、数据/文档存储计划等。这些信息可以在IRB应用程序的数据机密性部分中记录。BU的InfoSec提供了可用于IRB应用程序的数据机密性部分的示例语言。
鼓励澳门威尼斯人注册网站研究人员与IS&T就使用第三方数据收集、存储或分析应用程序进行咨询。向IRB提供与BU IS&T的通信,以验证新颖或第三方应用程序的适当性,可以促进IRB对数据保密计划的审查。
澳门威尼斯人注册
波士顿大学信息安全部门的回答
数据存储和安全问题
我已经完成了我的澳门威尼斯人注册网站研究学习,需要保存7年的数据。我该怎么做呢?
澳门威尼斯人注册网站研究数据保留7年要求的目的是(1)符合联邦要求,(2)使大学能够回应诉讼/法律/传票请求。因此,数据应该保存在BU中。BU的IS&T提供存储存档的机密和限制使用的数据。请参阅他们的网站,了解更多信息。
我想把我的数据存储在一台有密码保护的电脑上,这台电脑将存储在一个上锁的办公室里,但有人提到BU也需要加密。这是真的吗?
是的,BU数据保护标准要求对所有非公共数据进行加密,包括机密和限制使用数据,即使计算机或设备存储在上锁的办公室中也是如此。
数据传输和通信问题
作为我的实地澳门威尼斯人注册网站研究的一部分,我正在用我的手机录制采访并上传到BU网络共享驱动器。但是,我的合作者没有访问BU网络共享驱动器的权限,他们希望将收集到的采访录音发短信给我。有更好的处理方法吗?
- 咨询IS&T的最新建议,然而,最近他们建议澳门威尼斯人注册网站研究人员使用BU Office365 OneDrive文件夹进行数据传输。然后,OneDrive文件夹可以使用合作者的专业电子邮件帐户(不应该使用个人地址)与他们共享。合作者可以将OneDrive应用程序下载到他们的手机上。
我可以使用哪些平台来分享与健康有关的*信息?
- 为了避免澳门威尼斯人注册网站研究人员与澳门威尼斯人注册网站研究参与者使用他们的个人手机,波士顿大学有一些推荐的选择:澳门威尼斯人注册网站研究人员可以使用波士顿大学的台式电话,波士顿大学的手机,或者使用波士顿大学Cisco Webex将台式电话扩展到个人设备:/tech/services/cccs/phone/linesequip/softphone/。
- BU Microsoft Teams可以通过Teams应用程序用于聊天/发短信或打电话(电子邮件地址)。Teams类似于Zoom,但具有符合HIPAA的视频和/或音频记录,可以在Microsoft Stream上存储和共享。
- BU REDCap可用于通过电子邮件或安全文本(Twilio)发送参与者信息(如视频)以及典型的澳门威尼斯人注册网站研究需求(如同意书、调查、提醒等)。
- BU Qualtrics具有与BU REDCap相似的功能,但没有那么多的功能。
我可以使用哪些平台发送约会更新否披露与健康有关的信息?
- 可以在此实例中使用谷歌Voice,因为您不打算通过谷歌Voice公开运行状况信息。虽然BU HIPAA组件永远不能使用谷歌Voice,但非HIPAA组件可以这样做,只要它们不共享或讨论健康信息。有关预约的沟通将受到波士顿大学机密数据政策的约束:/policies/data-classification-policy/。
- Whatsapp、bgmail Chat或iMessage可用于预约设置或更新,但不能用于请求或发送与健康相关的信息。WhatsApp是Meta的产品,虽然消息是加密发送的,但Meta可以访问使用其产品的手机上的信息。Meta、b谷歌和Apple等公司使用并共享用户信息。因此,澳门威尼斯人注册网站研究不应该要求使用这些应用程序,除非同意书概述了公司如何收集数据并与第三方公司共享数据
远程同意参与者
我想使用谷歌表单来同意参与者,可以吗?
- 如果你是不在进行与健康有关的*澳门威尼斯人注册网站研究时,谷歌表格可能可以使用。但是,如果您正在进行与健康相关的澳门威尼斯人注册网站研究,我们建议使用BU Microsoft应用程序,例如Forms。表单可以托管在BU网站上,只有管理员可以看到响应。其他限制使用/HIPAA合规选项包括使用BU qualics或BU REDCap收集参与者同意。请注意,BU的REDCap可用于FDA (21 C.F.R. Part 11)合规性,但需要实施其他要求。发送电子邮件至rchelp@bu.edu开始这个过程。
额外的资源
- BU IS&T提供广泛的服务,以确保波士顿大学信息和技术资源的安全。鼓励澳门威尼斯人注册网站研究人员咨询IS&T
- 澳门威尼斯人注册网站研究人员的BU信息安全页面提供了基于数据分类的BU审查和清除服务的列表
- IS&T提供的数据存储选项
- BU HIPAA策略概述了所覆盖的组件必须如何保护HIPAA数据
- 电子邮件安全提醒的最佳做法
*与健康相关的信息非常广泛,包括与学校有关的压力或焦虑,但通常不包括社会参与、决策、每天发送的文本数量或教育实践、策略或有效性。