Page tree
Skip to end of metadata
Go to start of metadata
  • Kansallisen ohjeen motivointiosuus

Why should you manage your research data and write a data management plan (DMP)?

  • Because it is good research practice!
  • Data Management is a part of your transferable research skills. 
  • DMP is an essential part of your research plan and project. Creating a DMP you can express that you are aware of each steps that you need to take during your research project. 
  • DMP is a living document that you update when it is needed. Unexpected situations happends but DMP helps you to controll your project.
  • DMP is a exellent modell that you can utilize for all kinds of information management needs.
  • Shareable and reliable data gives your credits as well as your publication.
  • Carefully documented DMP gives you good oppprtunities to chose publication channel. Distinguished publishers expects that you have taken into consideration ethical issues of your research as well as DMP. These two instruments goes hand in hand.  
  • You will reduce the risk of losing your data.
  • You will be able to anticipate complex ownership and user rights issues in advance.
  • It helps you support open access to create productive future collaborations.
  • You will meet funder requirements.
  • It helps you save time and money.
  • The DMP reflects your managerial skills as a project leader.

Data is understood as a broad term that includes ”all information that is needed to replicate a study ---, and everything that is potentially useful for others.” – Sarah Jones /DCC

Your DMP should describe how you will manage data during the whole research life cycle. The DMP is a living document which should be updated as the research project progresses.

Your research data management practices should follow the FAIR principles, which dictate how your data will be Findable, Accessible, Interoperable and Re-usable.

Good luck with your DMP!

— —

TÄMÄ OHJE TÄYDENTÄÄ KANSALLISTA AINEISTONHALLINTASUUNNITELMAOHJETTA, LUE OHJEITA RINNAKKAIN!

Tämä on ohje tutkimussuunnitelmasta erillisen aineistonhallintasuunnitelman laadintaan. Kuitenkin etenkin tutkimuksessa, joka perustuu aineiston keräämiseen ja analysointiin, tutkimussuunnitelma ja aineistonhallintasuunnitelma ovat läheisessä riippuvaisuussuhteessa ja usein monesti päällekkäisiä. Tutkimussuunnitelman ja aineistohallintasuunnitelman eroa voidaan kuitenkin luonnehtia seuraavasti: tutkimussuunnitelmassa kerrotaan, millaisia aineistoja käytetään, miksi niitä käytetään ja miten niitä käytetään osana suunniteltavaa tutkimustyötä, kun taas aineistonhallintasuunnitelmassa puolestaan kerrotaan, miten näitä aineistoja hallinnoidaan ja miten niiden jatkokäyttö mahdollistetaan tutkimustyön kuluessa.

Tämä ohje täydentää yleistä aineistonhallintasuunnitelmaohjetta henkilötietoja sisältävien aineistojen osalta. Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Tätä ohjetta voidaan kuitenkin soveltaa soveltuvin osin myös muiden sensitiivisten (arkaluonteisten?) tai muutoin (sopimuksella?) salassa pidettävien aineistojen käsittelyyn. Edeltävä lause jää epäselväksi, voisiko käyttää arkaluoteinen ja sopimukseen perustuen salassa pidettävä. Varmistetaan, että ei sotketa julkisuuslakiin  perustuen salassa pidettävään tietoon.

Henkilötietojen käsittelystä säädetään lailla. Henkilötietojen käsittelyä ohjaava lainsäädäntö muuttuu toukokuussa 2018, jolloin henkilötietojen käsittelyssä aletaan soveltaa EU:n yleistä tietosuoja-asetusta (linkki) ja sitä täydentävää tietosuojalakia (linkki). Uudistuksen tarkoitus on parantaa henkilöiden mahdollisuuksia vaikuttaa itseään koskevien tietojen käsittelyyn, ja se tuo muutoksia myös henkilötietojen käsittelyyn tutkimuksessa. Näitä ovat mm. osoitusvelvollisuus eli henkilötietojen käsittelijän tai rekisterinpitäjän on jatkossa osoitettava kirjallisesti noudattavansa tietosuojalainsäädäntöä ja henkilötietojen käsittelyä koskevia periaatteita sekä toteuttaa lainsäädännön edellyttämät rekisteröityjen oikeudet. Lisäksi suostumuksella kerättävien henkilötietojen käytössä on muutoksia aiempaan.

Monia henkilötietojen käsittelyn vaiheita varten on olemassa organisaatiokohtaiset ohjeet, joita sinun tulee noudattaa.

Henkilötietojen käsittelyperuste (esim. lakiin perustuva tai suostumus) voi rajoittaa aineiston jatkokäyttöä (jakamista ja avaamista), mikä esitettävä aineistonhallintasuunnitelmassa. Kun tutkimuksessa käsitellään henkilötietoja, tutkimus voi vaatia eettistä ennakkoarviointia. Eettinen ennakkoarviointi tehdään aina lääketieteellisessä tutkimuksessa ja ihmistieteellisessä tutkimuksessa tieteenalakohtaisten käytänteiden perusteella arvioituna.

Henkilötietoja sisältävien aineistojen hallinnan suunnittelu on erityisen tärkeää, sillä sen kautta pystyt varmistamaan omat ja edustamasi organisaation vastuut sekä tutkittaviesi oikeudet. Tietosuojalainsäädännön rikkomisesta voi aiheutua hallinnollisia sanktioita tai rikosoikeudellisia seuraamuksia. Henkilötietojen vuotaminen luvattomiin käsiin voi aiheuttaa vakavaa haittaa tutkittaville.


  — — 

Kun tutkimus sisältää henkilötietoa, selvitä myös  tarvitseeko tutkimus eettistä ennakkoarviointia.

Huomioi tutkimussuunnitelmassa seuraavat henkilötietojen käsittelyä koskevat periaateet:

  1. Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  2. Käyttötarkoitussidonnaisuus
  3. Tietojen minimointi
  4. Täsmällisyys
  5. Säilytyksen rajoittaminen
  6. Tietojen eheys ja luottamuksellisuus
  7. Osoitusvelvollisuus: rekisterinpitäjä osoittaa kirjallisesti noudattavansa tietosuojalainsädäntöä ja henkilötietojen käsittelyä koskevia periaatteita sekä toteuttaa lainsäädännön edellyttämät rekisteröityjen oikeudet.  Huomioi kaikki rekisterinpitäjän velvollisuudet.

Ota huomioon tietosuoja-asetuksen edellytykset suostumuksella kerättävien henkilötietojen käyttöön (Anna Hännisen luento)

  1. Käsittelyn tarkoitus tulee määritellä: tietty; nimenomainen ja laillinen
  2. Suostumus on yksi käsittelyn oikeusperusteista
    1. määrittele oikeusperuste
    2. suostumus ennen käsittelyn aloittamista
    3. suostumus ei syrjäytä tietosuojaperiaatteita
    4. suostumusta ei voi antaa tietosuoja-asetuksen vastaiseen käsittelyyn
  3. Suostumus ja tutkittavan informointi ovat kokonaisuus 



Uudet kysymyksetVuoden 2018 ohjeet (luonnos)Sensitiivisen aineiston lisäohjeKommentit ym.

1. General description of data




1.1 What kinds of data your research is based on? What data will be collected, produced or reused? What file formats will the data be in?

Consider your DMP as a part of your research plan. The standalone readability of a DMP is not necessary. DMP completes your research plan with a description of the technical management of your data. To avoid redundancy, refer to your research plan in your DMP and vice versa.

Briefly describe what types of data you are collecting or producing. Also explain what kinds of already existing data you will use, for example, what types of texts, images, photographs, measurements, statistics, physical samples or codes.

Categorise your data in a way that you can refer to it later in the plan. That is, your answer to this question can form a general structure for the rest of the plan, for example, A) data collected for this project, B) data produced as an outcome of the process, C) previously collected existing data which is reused in this project, D) managerial documents and project deliverables, and so on.

List the file formats for each data set. In some cases, the file formats used during the research project may differ from those used in archiving the data. List both. The file format is a primary factor in the accessibility and reusability of your data in the future.

Tips for best practices

  • Data analysis and methodological issues related to data and materials should be described in your research plan.
  • Examples of file formats: .csv, .txt, .docx, .xslx, .tif
  • When listing the file formats, you will be using, make sure to include any special or uncommon software necessary to view or use the data, especially if the software is coded in your project.
  • Use a table or bullet points for a concise way of presenting data types, file formats, the software used and so on.

Kuvaa aineistonhallintasuunnitelmassa, millaista henkilötietoja sisältävää dataa keräys- ja analyysimenetelmät tuottavat.

Kuvaa seuraavat tiedot:

  • Kaikki datan lähteet, esimerkiksi tutkimukseen osallistuvat henkilöt, viranomaiset ja rekisterit
  • Jos datan lähde on rekisteri tai tilasto, yksilöi myös rekisterinpitäjä.
  • Yksilöi henkilötietoja ja arkaluonteisia henkilötietoja sisältävät aineistot


Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi.


Arkaluonteisia henkilötietoja (tietosuoja-asetus 9,10 art) ovat:

  1. Rotu tai etninen alkuperä
  2. Poliittinen mielipide
  3. Uskonnollinen tai filosofinen vakaumus
  4. Ammattiliiton jäsenyys
  5. Geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten
  6. Terveyttä koskevat tiedot
  7. Seksuaalinen käyttäytyminen tai suuntautuminen
  8. Rikostuomiot ja rikkomukset

Huomaa, että henkilötietoja tai arkaluonteisia tietoja kerättäessä tai siirrettäessä pitää varmistua myös keräys- ja siirtovälineen tietoturvallisuudesta, tämä kuvataan tarkemmin kohdassa 4.1.



Perustele tutkimuksen oikeutus ja perusteet henkilötiedon keruulle ja käsittelylle tutkimussuunnitelmassa.

Ympättäisikö tähän kohti motivointiosuus? Muualla se on aika näkymätön. MEK

Mitä henkilötieto on?

https://ec.europa.eu/info/law/law-topic/data-protection_en

Mitä arkaluonteinen henkilötieto on?

 

Vaikeiden sanojen lyhyet selitteet                                                                                              Rekisteridata on alunperin kerätty muuhun tarkoitukseen  kuin kyseessä oleva tutkimus.  Rekisteritietojen tutkimuskäyttö on siis aina toissijaista (sekundaarista).

THL:n rekistereiden rekisteriselosteet https://www.thl.fi/fi/tilastot/tietoa-tilastoista/rekisteriselosteet

Sotetiedon toissijainen käyttö http://stm.fi/sote-tiedon-hyodyntaminen


Susanna: sensitiivistä aineistoa on muukin kuin sensitiivinen henkilötieto, esim. paikkatieto ja luontoon liittyvä havaintotieto. Ks. sitä koskeva ohjeistus: https://laji.fi/about/709


MEK: Rajaus? Keskitytäänkö tässä ohjeessa arkaluontoiseen henkilötietoon vai otetaanko mukaan myös muut sensitiiviset aineistot tai salassa pidettävät?

1.2 How will the consistency and quality of data be controlled?

Explain how the data collection, analysis and processing methods used may affect the quality of data and how you will minimize the risks related to data accuracy.

Data quality control ensures that no data is accidentally changed and that the accuracy of data is maintained over its entire life cycle. Quality problems can emerge due to the technical handling, converting or transferring of data, or during its contextual processing and analysis.

Tips for best practices

  • Transcriptions of audio or video interviews should be checked by someone other than the transcriber.
  • Analog material should be digitised in as high resolution as possible for accuracy.
  • In all conversions, maintaining the original information content should be ensured.

Mieti datan laatua koko sen elinkaaren aikana, aina keräämisestä julkaisemiseen ja arkistointiin saakka. Mitkä ovat pahimmat tietosuojaan liittyvät riskit ja kuinka niitä hallitaan? Liittyykö henkilötietoja sisältävän datan keräämiseen elementtejä, jotka vaativat erityishuomiota datan laatuun liittyen?

Muistitko nämä? / Mieti esimerkiksi näitä / Kysymyksiä mietittäväksi

  • Missä vaiheessa aineisto kannattaa suojata koodilla tai anonymisoida?
  • Vaikuttaako anonymisointi tai pseudonymisointi datan laatuun? Onko data käyttökelpoista anonymisoinnin jälkeen?
  • Miten varmistetaan, ettei karkeistuksessa menetetä arvokasta informaatiota?
  • Metadatan kirjaaminen ja metadatastandardien käyttö ovat myös laatutoimenpiteitä, kirjaa nämä tarkemmin suunnitelman kohtaan "Dokumentointi ja metadata"


Lähde: The eGenVar data management system--cataloguing and sharing sensitive data and metadata for the life sciences. https://www.ncbi.nlm.nih.gov/pubmed/24682735

MEK:  Mistä löytyisi hyvät linkit tähän? Tutkijoilla on ollut perinteisesti hankala hahmottaa, mitä datan laadunhallinnalla tarkoitetaan. Se menee helposti sotkuun tutkimusmenetelmän laadun kanssa. (Osittain tämä saattaakin olla lomittainen asia menetelmän kanssa.)

MEK: Eikös karkeitus oli yksi anaonymisoinnin keinoista? Pitäisikö se kohta olla edellisen kysymyksen täsmennys? Eli sisennetäänkö se kohta ja lisätään eteen esim=> "Esim: Miten varmistetaan, ettei karkeistuksessa menetetä arvokasta arvokasta informaatiota?"


2. Ethical and Legal Compliance (Sari)




2.1 What ethical issues are related to your data management - for example handling sensitive data, protecting identity of participants, or gaining consents for data sharing?

Describe how you will maintain high ethical standards and comply with relevant legislation when managing your research data. Ethical issues must be considered throughout the whole research data life cycle.

For example, following the guidelines regarding informing research participants is considered an ethical requirement for most research. Moreover, if you are handling personal or sensitive information, describe how you will ensure privacy protection and data anonymisation or pseudonymisation.

Tips for best practices

  • Check your institutional Ethical Guidelines and Security Policy, and prepare to follow the instructions that are given in these guidelines.
  • If your research is to be reviewed by an ethical committee, outline in your DMP how you will comply with the protocol (i.e., how to remove personal or sensitive information from your data before sharing it to ensure privacy protection or how you will use restricted access procedures). 
  • See, e.g., the Finnish Advisory Board on Research Integrity for more information about the responsible conduct of research.
  • See, e.g., the European Code of Conduct for Research Integrity.
  1.  Miten henkilötietojen käsittelyn lainmukaisuuden osoitetaan?

Rekisterinpitäjän on pystyttävä osoittamaan kirjallisesti kaikki henkilötietojen käsittelyprosessit (osoitusvelvollisuus). Käsittelytoimet dokumentoidaan tietosuojaselosteeseen.

Kuka on rekisterinpitäjä?

Rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty.

Tietosuojavaltuutetun toimisto, rekisteri- ja tietosuojaselosteet: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html

Tietosuojavaltuutetun toimisto, EU:n tietosuojauudistus: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html


2. Mitä toimenpiteitä käytetään tietosuojan varmistamiseksi?

  • pseudonymisointi
  • anonymisointi
  • riittävät suojatoimet: tekniset rajoitukset, käytön valvonta, kuvataan suunnitelman kohdassa 4
  • koulutus, ohjeet, määräykset, sitoumukset ja sopimukset
  • prosessit, käytännesäännöt, sertifikaatit
  • tiedon salaaminen
  • auditoinnit

Katso organisaatiosi oma tietosuojaohjeistus ja toimenpiteet.

Tietoarkiston aineistonhallinnan käsikirja, tunnisteellisuus ja anonymisointi: http://www.fsd.uta.fi/aineistonhallinta/fi/tunnisteellisuus-ja-anonymisointi.html


3. Miten tutkittavan suostumus vaikuttaa datan käyttöön?

Suostumuksen tulisi kattaa kaikki henkilötietojen käsittelytoimet. Jos tutkimuksen yhteydessä kerättäville henkilötiedoille on myös muu käyttötarkoitus, tulee suostumus pyytää myös tätä varten.

Kun tutkimuksessa käsitellään henkilötietoja, on tutkittavaa informoitava tutkimuksesta. Tästä voidaan poiketa vain harvoin, esimerkiksi kun tutkimussuunnitelmaan perustuen tietoja kerätään muulla käsittelyperusteella kuin suostumus.

Tietoarkiston aineistonhallinnan käsikirja, tutkittavien informointi: http://www.fsd.uta.fi/aineistonhallinta/fi/tutkittavien-informointi.html

Tutkimuksen eettinen ennakkoarviointi:

Tutkimuseettinen neuvottelukunta (TENK): eettinen ennakkoarviointi Suomessa http://www.tenk.fi/fi/eettinen-ennakkoarviointi-suomessa

Eettinen ennakkoarviointi ihmistieteissä: http://www.tenk.fi/fi/eettinen-ennakkoarviointi-ihmistieteissa

Alueelliset eettiset toimikunnat:

HUS: http://www.hus.fi/tutkijalle/tutkimuseettiset-toimikunnat/Sivut/default.aspx

 PSHP (TAYS): http://www.pshp.fi/eettinentoimikunta

 VSSHP (TYKS): http://www.vsshp.fi/fi/tutkijoille/eettinen-toimikunta/Sivut/default.aspx

 PSSHP (KYS): https://www.psshp.fi/tutkimus/tutkimuseettinen-toimikunta

KSSHP: http://www.ksshp.fi/fi-FI/Ammattilaiselle/Tieteellinen_toiminta/Tutkimuseettinen_toimikunta

PPSHP (OYS): https://www.ppshp.fi/Tutkimus-ja-opetus/Eettinen-toimikunta/Pages/default.aspx


Antti Ketola, lakimies, Tietoarkisto. Käsitteletkö tutkimuksessasi henkilötietoja, tietosuojaasetuksen mukainen seloste käsittelytoimista: https://moniviestin.uta.fi/videot/yhteiskuntatieteellinen-tietoarkisto/2017/webinaarit/tietosuoja-asetuksen-mukainen-seloste-kasittelytoimista

Anna Hänninen, ylitarkastaja, Tietosuojavaltuutetun toimisto, EU:n tietosuoja-asetus ja tutkittavan suostumus


 

  • Käsittelyperuste

Jarkko Reittu esitys:

Diat


ORGANISAATIO VOI LAITTAA TÄHÄN TIEDOT OMASTA EETTISESTÄ TOIMIKUNNASTA JA TIETOSUOJAN OHJEISTUKSISTA

MEK: Miten ohjeessa huolehditaan, ettei DMP:n tekijän tarvise kirjoittaa samaa asiaa moneen kohtaan? Miten huolehditaan DMP:n suhteesta tutkimussuunnitelmaan kirjattaviin asioihin? 

2.2 How will data ownership, copyright and Intellectual Property Right (IPR) issues be managed? Are there any copyrights, licenses or other restrictions which prevents you from using or sharing the data?

Data documentation enables data sets and files to be discovered, used and properly cited by other users (human or computer). Metadata is essential information regarding the data, for example, where, when, why and how the data were collected, processed and interpreted. Metadata may also contain details about experiments, analytical methods and the research context. 

Tips for best practices

  • Describe all the types of documentation (README files, metadata, etc.) you will provide to help secondary users find, understand and reuse your data.
  • Following the FAIR principles will help you ensure the Findability, Accessibility, Interoperability and Re-usability of your data.
  • Use research instruments which create standardised metadata formats automatically. Then your data can be moved from one manufacturer tool to another.
  • Consider how the data will be organised during the project. Describe, for example, your file-naming conventions, version control and folder structure.
  • Identify the types of information that should be captured to enable a researcher like you to discover, access, interpret, use and cite your data.
  • Repositories often require the use of a specific metadata standard. Check whether a discipline/community- or repository-based metadata schema or standard (i.e., preferred sets of metadata elements) exists that can be adopted.

Minkälaisia sopimuksia tehdään datan luovuttajan tai siirtäjän kanssa. Mitä sovitaan rahoittajan kanssa henkilötietojen käsittelystä?

Mikäli sensitiivinen aineisto ei ole henkilötietoa vaan esimerkiksi liike- tai ammattisalaisuuden piirissä, sovi käyttö- ja käsittelyperiaatteista aineiston omistajan kanssa etukäteen.


  • Tilastokeskuksen tulkinta rekisterinpitäjyydestä etäkäyttöpalvelussa:
    • Jos käytetään vain TK:n aineistoja, rekisterinpitäjä on TK
    • Jos yhdistellään useamman rekisterinpitäjän aineistoja, rekisterinpitäjä on tutkija.



Onko tässä erityistä sensitiivisen datan osalta?/MEK


On toki tärkeää erottaa tutkittavien oikeus määrätä oman datansa käytöstä ja tähän liittyvät suostumukset datan omistajuudesta. Onkohän tämä asia, josta olisi hyvä olla ohje?


Pitäisikö korostaa (vielä perusohjetta enemmän) omistajuuden ja hallinnointioikeuksien siirron merkitystä sensitiivisen datan kohdalla esim. jos omistaja katoaa ja data jää "lojumaan" vaikka levyjärjestemään?


Turkka: KUKA ON REKISTERINPITÄJÄ?

MEK: Rekisterinpitäjä on hankala sana joka pitää varmastikin selittää.


3. Documentation & metadata (Minna)




3.1 How will you document your data in order to make it findable, accessible, interoperable and re-usable for you and others?  What kind of metadata standards, README files or other documentation you will use to help others to understand and use your data?

Data documentation enables data sets and files to be discovered, used, and properly cited. Metadata is essentially information regarding the data, for example, where, when, why, and how were the data collected, processed and interpreted. Metadata may also contain details about experiments, analytical methods, and research context. 

Metadata elements can include descriptive and technical metadata. Descriptive metadata enables indexing, discovery and retrieval (e.g. keywords) of data sets. Technical metadata describes how data sets were produced, structured and how they should be used (e.g. file naming); as well as rights to metadata which define who owns and who can access the data, and who has the right to manage it.

Tips for best practices

  • Following the FAIR principles will help you ensure the Findability, Accessibility, Interoperability, and Re-usability of your data. Your data is interoperable when you, for example, utilize research instruments which create standadized metadata automatically. Then your data can be moved from one manufacturer tool to another.
  • Consider how the data will be organized during the project. Describe, for example, your file naming conventions, version control and folder structure.
  • Identify the types of information that should be captured to enable a researcher like you to discover, access, interpret, use, and cite your data.
  • Repositories often require the use of a specific metadata standard. Check whether a discipline/community or repository based metadata schema or standard (i.e., preferred sets of metadata elements) exists that can be adopted.

Vinkkejä

Lisää muuttujien kuvaukseen tieto siitä, sisältääkö muuttuja henkilötietoa tai arkaluonteista tietoa. Ks. esim. Aineistonhallinnan käsikirja.


Vaikka tutkimusdatasi sisältäisi arkaluonteisia henkilötietoja, voi metadatan julkaista, jos se ei sisällä tunnisteellista tietoa, jonka avulla tutkittavia voi identifioida.

Turkka:

  • Esimerkkejä siitä, milloin metadata sisältää "tunnisteellista tietoa, jonka avulla tutkittavia voi identifioida"? "Aineisto sisältää Anatomian professori [Suomessa 4 kpl] tietoja..."

MEK: Löytyiskö tähän jotain sopivaa ohjetta linkattavaksi?


Minna: Paras suomenkielinen ohje taitaa olla: http://www.fsd.uta.fi/aineistonhallinta/fi/aineiston-kuvailu-ja-metadata.html

http://www.fsd.uta.fi/aineistonhallinta/fi/tunnisteellisuus-ja-anonymisointi.html



4. Storage and backup during the research project (MEK)



4.1 Where will your data be stored and how it will be backed up?

Describe where you will store and back up your data during your research project. Methods for preserving and sharing your data after your research project has ended are explained in more detail in Section 5.

Consider who will be responsible for backup and recovery. If there are several researchers involved, create a plan with your collaborators and ensure safe transfer between participants.

Tips for best practices

  • The use of a safe and secure storage provided and maintained by your organisation’s IT support is preferable.

Jos tutkimuksessa kerätään tai käytetään henkilötietoja, huomiothan nämä:

  • mahdollisimman aikaisessa vaiheessa datan luovuttajan tai siirtäjän vaatimukset
  • tee lain vaatima riskinarvio => selviää vaadittavat tietoturvatoimet

Tietoturvatoimia ovat

  • Varmuuskopiointi (turvaa kyvyn palautua vikatilanteesta)
  • Pääsynhallinta  kenelle myönnetään pääsy ja millä perusteella, miten pääsyn rajaus tehdään, tämä kuvataan tarkemmin kohdassa 4.2.
  • Salaus tarpeen mukaan, erityisesti mobiililaitteet, kannettavat ja ulkoiset tallennuslaitteet on pyrittävä salaamaan.
  • Valvonta (lokitus): sekä tekninen loki että aineistonkäsittelyn ja käytön valvonta, tämä kuvataan tarkemmin kohdassa 4.2.
  • Teknisen ympäristön suojaus: miten käsittely-ympäristön suojataan ulkopuolisilta
  • Henkilöstöturvallisuus: tutkimusryhmän jäsenten perehdytys, koulutus, ohjeet sekä yhteisesti sovitut käytännöt
  • Tilaturvallisuus: työtilojen lukitukset, säilytyskalusteet, kameravalvonta sekä kulkuoikeuksien valvonta,  tämä kuvataan tarkemmin kohdassa 4.2.

Vinkkejä

  • Käytä aina kun mahdollista rekisterinpitäjien tarjoamia suojattuja käsittely-ympäristöjä.

Linkkejä

Turkka:

Etäkäyttöjärjestelmät:

Miki: CSC:n palvelu sensitiivisille aineistoille on testattavissa 2018 lopussa.

4.2 Who will be responsible for controlling access to your data, and how will secured access be controlled?

It is essential to consider data security issues, especially if your data is sensitive, for example, personal data, politically sensitive information or trade secrets. Describe who has access to your data, what they are authorised to do with it, or how you will ensure the safe transfer of data to your collaborators.

Tips for best practices

  • Access controls should always be in line with the level of confidentiality involved

Pääsynhallinta: kenelle myönnetään pääsy ja millä perusteella, miten pääsyn rajaus tehdään ja kuka siitä vastaa.

  • Tarvitaan nimetty vastuuhenkilö
  • Tarvitaan lista myönnetyistä oikeuksista ja käyttäjistä
  • Oikeuksia myönnetään vain tarpeeseen ja mahdollisimman rajatusti
  • Oikeuksia myönnettäessä tarve ja peruste tarkistetaan
  • Käytössä pitää olla menetelmä käytäntöoikeuksien perumiseen ja poistamiseen

Valvonta: tämä tarkoittaa sekä teknistä lokia että sitä miten valvotaan aineistonkäsittelyä ja käyttöä.

  • Mieti miten aineiston käyttöä seurataan tutkimuksen aikana.
    • Missä ja millä tavoin?
    • Mihin ja kenelle sitä kopioidaan?
    • Kuka ja millä perustein voi siirtää aineistoa tutkimusryhmästä.  Muista, että tämän pitää olla linjassa suostumuksen kanssa, mikäli aineisto on saatu käytöön suostumuksen perusteella.
  • Selvitä ja kuvaa pystyvätkö käytetyt tekniset välineet pitämää kirjaa siitä kuka käytti, mitä aineistoa ja milloin. Kysy organisaatiosi IT-tuesta, onko tarjolla käyttö- ja muutoslokitusta.

Tilaturvallisuus: työtilojen lukitukset, säilytyskalusteet, kameravalvonta sekä kulkuoikeuksien valvonta.

  • Tarvitaan nimetty vastuuhenkilö
  • Tarvitaan lista kulkuoikeuksien haltijoista ja avaimista
  • Mitkä ovet on lukittuja tai ne saa lukkoon työtilan ja ulkomaailman välillä?
  • Onko käytettävissä murtosuojattuja säilytystilloja tai kalusteita työtiloissa papereille, muille analogisille aineistoille tai ulkoisille tallennuslaitteille?
  • Onko kameravalvontaa?

Listään tähän asiaa rekisterinpitäjän vastuusta ja tehtävistä

Tietosuojavastaavan tehtävät kuvataan EU laissa näin: http://www.privacy-regulation.eu/fi/39.htm

5. Opening, publishing and archiving the data after the research project (Susanna)




5.1 What part of the data can be made openly available or published? Where and when will the data, or its metadata, be made available?

Describe whether you will publish or otherwise make all your data or only parts of it openly available. If your data or parts of it cannot be opened, explain why.
The openness of research data promotes its reuse.

Tips for best practices

  • You can publish a description (i.e., the metadata) of your data without making the data itself openly available, which enables you to restrict access to the data.
  • Publish your data in a data repository or peer-reviewed data journal.
  • Check re3data.org to find a repository for your data.
  • Remember to check funder, disciplinary or national recommendations for data repositories.
  • It is recommended to make all research data, code and software created within a research project available for reuse, e.g., under Creative Commons, GNU, MIT or another relevant license.

Ota huomioon Tietosuoja-asetuksen edellytykset suostumuksella kerättävien henkilötietojen käyttöön. Arkaluonteisten tiedon käsittelyperuste (esim. lakiin perustuva tai suostumus) voi rajoittaa aineiston jakamista.

Sensitiivisen aineiston avaamiseen tai julkaisemisen tapoja ovat:

    1. Data anonymisoidaan => aineisto voidaan jakaa avoimesti sopivassa datarepositoriossa tai -arkistossa.
    2. Julkaistaan vain metadata, mutta ei dataa => aineiston löytyvyys turvataan kertomalla datasta sopivassa repositoriossa, mutta datan säilytys tai arkistointi hoidetaan toisaalla suojatusti ja tietoturvallisesti.

 

Linkkejä


Turkka: Miten huomioidaan, että anonymisointi ei vanhene?

5.2 Where will data with long-term value be archived and for how long? Which part of this data is restricted and which part can be made openly available or published?



Briefly describe what data to archive and for how long – as well as what data to dispose of after the project. Describe the access policy to the archived data.

Tips for best practices

  • Remember to check funder, disciplinary or national recommendations for data archives.

Sensitiivisen aineiston arkistointisuunnitelmaa tehtäessä on tärkeä miettiä, mikä osa aineistosta arkistoidaan ja kuinka pitkäksi aikaa. On tärkeä myös suunnitella mikä osa aineistosta hävitetään ja miten se tehdään turvallisesti.

Perinteisesti arkaluontoinen aineisto kehotetaan tuhoamaan tutkimushankkeen jälkeen, koska sen säilyttäminen on riskialtista ja vaatii erityisjärjestelyjä. Myös muut tarpeettomat aineistotiedostot ja tietojärjestelmien käytön yhteydessä syntyvät väliaikaistiedostot on poistettava käyttötarpeen päätyttyä.

Pelkästään tiedoston poistaminen (deletointi) ja tietokoneen roskakorin tyhjentäminen ei tarkoita, että tiedosto olisi tuhoutunut lopullisesti. Poistettuja tietoja voi palauttaa jopa kiintolevyn uudelleen alustamisen jälkeen. Tiedon lopulliseen hävittämiseen on olemassa erilaisia ohjelmia, jotka perustuvat esimerkiksi tietojen ylikirjoittamiseen tai kiintolevyn magnetointiin. Tallennusväline voidaan myös murskata mekaanisesti lukukelvottomaksi.

Arkaluontoista henkilötietoja sisältävän aineiston arkistointi vaatii säilytysluvan Kansallisarkistolta, ja aineisto on minimoitava ennen säilytystä. Tällaisen aineiston jatkokäyttö on mahdollista tutkimusluvalla.

Vinkkejä

  • Jos käytätä rekisteriaineistoa, jolla on käyttö- tai tutkimuslupa, muistathan, että aineiston anonymisointi ja hävittäminen tai arkistointi tehdään viimeistään tutkimusluvan määräajan päättyessä.
  • Rekisteriaineiston aito anonymisointi edellyttää sekä suoran että välillisen tunnistamisen mahdollisuuden poistamista sekä tunnisteavaimen hävittämistä.
  • Näytteisiin liittyvä data voidaan arkistoida biopankkiin.
  • Useilla yliopistoilla ja virastoilla on oma sisäinen ohjeistuksensa tallennusvälineiden hävittämisestä.

Linkkejä



Kansalliset ja kansainväliset data-arkistot ottavat vastaan vain hyvin kuvailtua aineistoa ja niillä on usein mm. datan dokumentointiin, metadataan ja tiedostoformaateihin liittyviä vaatimuksia. Nämä vaatimukset kannattaa ottaa huomioon jo tutkimuksen suunnitteluvaiheessa. /MEK kirjoitteli turhaan, koska kuuluisi yleisohjeeseen.


MEK: FSD on päivittänyt mm. anonymisointiin liittyvät ohjeensa. Pitäiskö linkata sinne?

5.3 Estimate time and effort required for preparing the data in order to publish or to archive it.


Estimate the need to hire expert help to manage, preserve and share the data. Consider the additional computational facilities and resources that need to be accessed, and what the associated costs will amount to.

Tips for best practices

  • Remember to specify your data management costs in the budget.

Sensitiivisen datanhallinnan kustannuksia mietittäessä kannattaa ottaa huomioon mm:

  • aineiston anonymisoinnin kustannukset (aika ja tarvittavat ohjelmistot)
  • korkeamman turvatason vaatimukset tekniikalle

Turkka: Aineiston säilytyksestä huolehtiminen myös silloin, kun se ei ole enää aktiivisessa käytössä mutta sitä ei voida vielä hävittää/arkistoida?


  • No labels