Bemærk: Disse noter er gældende på tværs af forskningsinstrukserne.
Ad) A.1.b.:
Det er vigtigt at have de centrale stamoplysninger på et projekt samlet i et dokument, så man hurtigt kan danne sig overblik over projektet så oplysninger i de forskellige SDU-systemer hurtigt kan fremskaffes ved behov.
I punktet anføres, at et forsker-id f.eks. kan være et ORCID.
Ad) A.1.c.:
Punktet følger af SDUs retningslinjer, som er beskrevet i procesbeskrivelsen om Eksternt Finansierede Projekter - Pre-Award.
Link: Alle processbeskrivelser vedrørende forskning.
Ad) A.1.d.:
Punktet følger af SDUs open science politik.
Der skal laves datamanagementplan for alle nye projekter. En datamanagementplan giver et grundigt og brugbart overblik over alle aspekter af databehandlingen. Dvs. hvordan forestiller man sig at indsamle, overføre, gemme, strukturere, navngive, dele og evt. publicere sine forskningsdata. En datamanagementplan er et arbejdsdokument, der løbende kan ændres, hvis projektet ændrer sig i forhold til et eller flere aspekter af data.
Guidelines og støtte til datamanagementplanlægning kan fås af SDUs RDM support. På siden findes yderligere links med information og vejledning.
Flere store fonde har krav om datamanagementplaner og har deres egne skabeloner, som skal anvendes. Se evt. DMPonline.
Ad) A1.e.:
Der må ikke opbevares eller behandles persondata uden at dette er anmeldt til RIO (hvis man er dataansvarlig) eller indgået databehandleraftale gennem RIO (hvis man er databehandler).
Ad) A1.e.i:
Link: Anmeldelsesskema SDU-RIO
Al forskning med persondata, hvor SDU er dataansvarlig, skal være en del af et forskningsprojekt, som skal være anmeldt ved RIO.
RIO skal, på forespørgsel fra Datatilsynet, kunne fremvise en fortegnelse over igangværende forskningsprojekter på universitetet. Derfor skal alle forskningsprojekter på SDU, der indeholder persondata, godkendes af RIO. RIO godkender, projektet og du vil herefter modtage en bekræftelse på registreringen af dit forskningsprojekt. Først når denne godkendelse er blevet indhentet, kan du påbegynde indhentning/indsamling af data. Når du får en godkendelse fra RIO, fremgår dit forskningsprojekt af fortegnelsen.
Det samme er gældende for projekter, som ikke tidligere har været anmeldt ved RIO, men er blevet anmeldt til Datatilsynet som private forskningsprojekter. Hvis dette er tilfældet, vil personen bag projektet (og ikke SDU) være juridisk ansvarlig, hvis noget går galt. Disse projekter bør som udgangspunkt overdrages til SDU (kontakt RIO for overdragelse).
Ovenstående følger af SDUs retningslinjer: Vejledning til fortegnelse over behandlingsaktiviteter.
Se også de procesbeskrivelser, der er for forskningsdata, f.eks. Sundhedsdata, på siden med processbeskrivelser.
Link fra underpunkt om databehandlere under 1.e.i.
Med introduktionen af GDPR bliver det påkrævet, at man fremover fører fortegnelser over, hvem der har adgang eller har haft adgang til ens data. Derfor, hvis der er eksterne databehandlere (ikke-SDU ansatte) på projektet, så skal dette skrives i anmeldelsen og der skal indgås databehandleraftaler via RIO.
Det er RIO, som skal underskrive databehandleraftalen, inden du kan påbegynde arbejdet med partneren.
RIO har ansvaret for SDUs elektroniske fortegnelse over forskningsaktiviteter og de skal derfor have besked om al overladelse (til SDU projekter) og videregivelse (til eksterne projekter) af forskningsdata.
Se RIOs procedurer for videregivelse/overladelse
Bemærk, at videregivelse af dataansvar ikke nødvendigvis betyder at man fysisk afgiver data, men blot at modtageren også er dataansvarlig.
Overladelse af personoplysningerPersonoplysninger i ét projekt på SDU må ikke uden videre kobles med personoplysninger i et andet projekt på SDU. Her skal laves en overladelse fra det afgivende projekt til det modtagende projekt. Dette gøres ved at udfylde en overladelsesanmodning.
Det SKAL foreligge tilladelse fra RIO, inden overladelsen iværksættes.
Videregivelse of personoplysninger
SDU’s fortegnelse skal også indeholde oplysninger om videregivelser af data til anden dataansvarlig i EU eller tredjelande. Derfor må du kun videregive data fra dit forskningsprojekt/-database til tredjemand, hvis dette er anmeldt og godkendt af RIO. Videregivelser udenfor EU/EØS skal godkendes af Datatilsynet via RIO.
Der anmodes om tilladelse til videregivelse.
Videregivelse må i så fald kun ske til brug for andre videnskabelige eller statistiske undersøgelser. Der SKAL foreligge tilladelse (fra Datatilsynet eller RIO), inden videregivelsen iværksættes.
Se dokumentet ”Vejledning til fortegnelse over behandlingsaktiviteter.docx”, som findes på siden her.
Ad) A1.e.ii.:
Som noget nyt introducerer databeskyttelsesforordningen et krav om, at databehandleren også skal føre en fortegnelse over, hvem de er databehandlere for.
Derfor, hvis du (SDU) er databehandler på et forskningsprojekt, så skal der indgås databehandleraftale mellem SDU og den dataansvarlige instans. Denne databehandleraftale skal indgås (underskrives) af RIO. Kontakt derfor RIO , hvis du skal være databehandler på et forskningsprojekt.
Ad) A1.f.:
Projekter, der inkluderer biologisk materiale og følger af komitéloven og den nationale videnskabsetiske komité: Det anbefales, at VEK spørges i tvivlstilfælde. Ved brug af biologisk materiale fra en biobank, skal det undersøges, om tidligere dispensationer dækker projektet og ellers skal man være opmærksom på, at VEK skal søges om dispensation. Anmeldelsen skal ske til Syddanmarks regionale komité. Kravene til anmeldelsen kan findes her og der forefindes standard samtykkeerklæringsskabeloner.
Projekter, hvor der skal bruges patientjournaloplysninger: Ifølge Sundhedsloven skal Styrelsen for Patientsikkerhed godkende nogle videregivelser af patientjournaloplysninger. Der er link til ansøgningsskemaet på siden.
Projekter, der benytter data fra Sundhedsdatastyrelsen (SDS), Danmarks Statistik (DST) eller andre forskningsregistre/kliniske kvalitetsdatabaser, skal indhente de fornødne tilladelser fra disse instanser. Se mere på Sundhedsstyrelsens, Sundhedsdatastyrelsens, Danmarks Statistiks og RKKP's hjemmesider. Vær opmærksom på at forskningen med data fra de nationale sundhedsregistre som udgangspunkt skal foregå på Sundhedsdatastyrelsens eller Danmarks Statistiks Forskermaskiner. På Danmarks Statistiks hjemmeside kan du læse om, hvordan du får adgang til data. Al forskning med data fra DST kan kun foregå på DSTs forskermaskine. SDU har en databehandleraftale med DST og SDS. Hvis der skal bruges data fra andre registre, skal der også ansøges om at få adgang til disse data hos relevante myndigheder.
Ad) A1.g.:
Ved indsamling af persondata er det blevet endnu vigtigere at indhente et samtykke, hvis data skal deles med andre, anvendes til anden forskning eller til undervisning. Det er også meget vigtigt, hvad der står i samtykket og deltagerinformationen, da det har direkte betydning for databehandlingen og dermed den forskning, der kan laves på det indsamlede data. Se ”Vejledning til udarbejdelse af samtykkeerklæring.docx” og ”Vejledning om den dataansvarliges oplysningspligt.docx”. Begge dokumenter findes på siden her.
Mere indblik i samtykkeudformning kan bl.a. findes hos VEK godkendelse. Desuden må det kraftigt anbefales at konsultere RIO og SDUs RDM support, idet en grundigt udarbejdet datamanagementplan vil hjælpe med til at sikre, at de udarbejdede samtykker og deltagerinformationen muliggør projektets gennemførelse.
Det er derfor også vigtigt på forhånd at få beskrevet, hvordan data skal indsamles, da det også kan have betydning for udformningen af samtykker og deltagerinformation.
Ad) A2.:
Det er ikke usædvanligt, at der sker væsentlige eller mindre væsentlige ændringer i projektet efter RIOs godkendelse.
Væsentlige ændringer er eksempelvis ændringer i formålet, ændring af kontaktperson eller personkredsen, indhentning af nye typer af personoplysninger eller forlængelse af projektperioden. Disse ændringer skal altid anmeldes til SDU RIO inden de iværksættes, da de kræver en forudgående tilladelse.
Mindre væsentlige ændringer er eksempelvis ændring af projektets navn. Disse ændringer skal blot anmeldes til SDU RIO indenfor 4 uger efter ændringen. Skema til ændringsanmodning.
Vær opmærksom på, om ændringerne kræver fornyet samtykke fra projektdeltageren.
Punktet følger af ”Vejledning til fortegnelse over behandlingsaktiviteter.docx” (her.)
Ad) A9.:
Punktet følger af SDUs juridiske vejledninger om indsigt, indsigelse, sletning, dataportabilitet, begrænsning og berigtigelse, der udspringer af persondataforordningen. Alle vejledningerne findes på siden her. De fleste forskningsaktiviteter er undtaget fra disse rettigheder, hvis data kun bruges til forskning, jf. SDUs juridiske vejledning. DPO-en/rektorsekretariatet derfor kontaktes angående henvendelsen jura@sdu.dk
Ad) A10.:
Da SDU skal være klar til at anmelde et brud på persondatasikkerheden til Datatilsynet, og evt. de registrerede inden for 72 timer er det vigtigt, at der ikke er tvivl om hvilke projekter og projektdeltagere, der er ramt af bruddet på persondatasikkerheden.
Den hurtige kobling kan f.eks. klares ved, at forskningsdatamappe starter med projekt-nr. (se evt hjælp til navngivning).
Se endvidere SDUs juridiske vejledninger:
”Vejledning til fortegnelsen over behandlingsaktiviteter.docx” og
”Vejledning til håndtering af brud på persondatasikkerheden 27.03.2018.docx”.
Begge dokumenter kan findes på siden her.
Ad) B. :
Denne del af instruksen er udarbejdet med udgangspunkt i ”Procesbeskrivelse for Fakulteter og Institutter på SDU Eksternt Finansierede Projekter – Pre-Award”, ”Procesbeskrivelse for Fakulteter og Institutter på SDU Eksternt Finansierede Projekter – At-Award” og ”Procesbeskrivelse for Fakulteter og Institutter på SDU Eksternt Finansierede Projekter – Post-Award”.
Arbejdsgangene i forbindelse med ansøgning om/bevilling af eksterne midler er dels beskrevet i Regnskabsinstruksens Bilag 14, dels i en kort skematisk oversigt sidst i instruksen.
Ad) C1. :
Da det kan være svært ud fra GDPR og SDUs retningslinjer og vejledninger at afgøre om et datasæt indeholder følsomme og/eller fortrolige personoplysninger eller kun almindelige personoplysninger, er det lettere og hurtigere for den enkelte forsker, at behandle alle datasæt som om de er følsomme persondata.
Undtagelsen er selvfølgelig datasæt som er blevet klassificeret til at være et anonymt datasæt. Se instruksen omkring anonymisering af forskningsdata.
Ad) C3.:
Af-identifikation betyder at fjerne alle umiddelbare, åbenlyse kilder til identifikation såsom CPR-nummer, navn, adresse, email, kontaktoplysninger mm. Se også ordliste.
Ad) C4.:
For at sikre der ikke er noget forskningsdata der ikke kan tilgås f.eks. i tilfælde af opsigelser, afskedigelser, dødsfald, osv.
Ad) C6.:
Ifølge SDU’s procesbeskrivelse: Data i det offenlige rum
Skal du sikre dig mod uautoriseret adgang således: Det er ikke tilladt at behandle personhenførbare, følsomme/fortrolige oplysninger et offentligt sted uden at sikre sig, at de ikke kan observeres af udenforstående personer. Man bør om muligt helt afstå fra behandling, hvis man ikke kan tilsikre dette.
Hvis man har behov for at behandle sådanne data på rejse eller andre offentlige steder, hvor denne risiko eksisterer, skal man sikre sig mod uautoriseret adgang:
Man bør som udgangspunkt undgå at medbringe data i papirform, da det er nemt at miste fysiske eksemplarer, fx ved forglemmelse eller tyveri. Mistede dokumenter er umiddelbart tilgængelige for andre mennesker. Data på en computer må behandles, hvis computeren er krypteret og beskyttet med password. Dette beskytter mod misbrug af data i tilfælde af tyveri af computeren eller at man på anden måde mister den.
Hvis man sidder tæt sammen, som fx i et tog eller fly, bør man afstå fra at behandle data der er personhenførbare – dvs. man bør udelukkende behandle pseudonymiserede eller anonymiserede oplysninger, hvis der er risiko for, at andre kan se oplysningerne. Man kan evt. udstyre computeren med et privacy filter, som kan rekvireres hos Servicedesk.
Ved anvendelse af Internet må man kun anvende sikrede wifi-netværk, ikke åbne offentlige netværk. Derudover skal man anvende VPN (AnyConnect).
Ad) C7.:
Da kommunikation med deltagere i en dataindsamling meget hurtigt kan indeholde følsomme persondata. Desuden sender det også et godt signal til deltagerne.
Ad) C12.:
En vejledning til hvad man kan fortælle respondenter om oplysningspligt fås fra datatilsynet: https://www.datatilsynet.dk
Ad) C12-15.:
Følger bl.a. af SDUs juridiske vejledning til udarbejdelse af samtykkeerklæring (https://syddanskuni.sharepoint.com/:w:/r/Sites/persondata/_layouts/15/Doc.aspx?sourcedoc=%7BFB784570-1B8F-4040-8721-A9610C874AD3%7D&file=Vejledning%20til%20udarbejdelse%20af%20samtykkeerkl%C3%A6ring.docx&action=default&mobileredirect=true ) og vejledning om den dataansvarliges oplysningspligt (https://syddanskuni.sharepoint.com/:w:/r/Sites/persondata/_layouts/15/Doc.aspx?sourcedoc=%7B1F30D1EA-AA55-46C2-BEB5-F5ACAE676311%7D&file=Vejledning%20om%20den%20dataansvarliges%20oplysningspligt.docx&action=default&mobileredirect=true).
Ad) D.:
Det er i UK beskrevet hvordan kvalitative data kan håndteres i forhold til anonymisering: Anonymisation is possible, but may destroy the data, so it’s better to use a reasonable level of anonymisation, alongside other regulations - for example in data access - to ensure that the assurances of confidentiality and anonymity that you gave to participants can realistically be maintained. Se evt.: https://www.ukdataservice.ac.uk/manage-data/legal-ethical/anonymisation/qualitative
Ad) E.:
Forskningsdata skal være Findable, Accessible, Interoperable og Reusable (FAIR). Syddansk Universitet opfordrer til, at forskningsdata gøres frit tilgængelige under overholdelse af etiske regler, lovmæssige og kontraktmæssige forpligtelser, databeskyttelseslovgivning og intellektuelle ejendomsrettigheder.
Oplysninger, der ligger til grund for publikationer, bør gøres offentligt tilgængelige i relevante ”data repositiories”, idet der tages hensyn til eventuelle juridiske, etiske eller kommercielle begrænsninger.
Hvis data ikke kan gøres åbent tilgængelige, skal i det mindste metadata offentliggøres. Adgang til de oprindelige data kan gives efter anmodning.
To enable Open Science by making data Findable, Accessible, Interoperable (accessible and usable across disciplines and methods) and Reusable (FAIR, see: https://www.force11.org/group/fairgroup/fairprinciples and https://www.nature.com/articles/sdata201618). Open science includes transparent methods and public access to results, including publications, data, codebooks and statistical software syntax(e.g. SPSS syntaxes, STATA do-files, R code) for programming, data management and analysis.
Ad) E8.:
Data exempt from the Open Science Policy
- Administrative data
- Data from third parties, data repositories and administrative registers with conditions limiting reuse, publication and dissemination.
Publicly available data.
- Studies included in systematic reviews and meta-analyses. The exemption does not apply to documentation of searches, selection of studies for review and analyses in tables, figures and similar supplementary material routinely published online with reviews.
Ad) E10 og E11:
How to preserve the data after the project has ended (particularly relevant for PhDs)
- Document the data, using guidelines from the Danish National Archives (Rigsarkivet).
- Archive or permanently delete sensitive data before the permissions expire (Rigsarkivet)
- Provide data to the Danish National Archives (Rigsarkivet) and assure have the least restrictive conditions for access possible.
- View guidelines of the Danish National Archives (Rigsarkivet) for documenting, re-porting and archiving research data in Danish at: https://www.sa.dk/da/forskning/for-forskere/anmeldelse-aflevering-forskningsdata/.
-Long-term preservation/archiving
- All data should be stored for a minimum of five years after publication of the research (re-quired permissions should be obtained or extended, including from the Danish Data Protection Agency). Beyond this minimum requirement, several types of research data should be preserved for long term access and reuse, including (the list is not exhaustive):
- If it would be unethical to subject humans or animals to unnecessary repetition of experiments, trials, observations or other research activities.
- If it would be unethical or indefensible to waste research funds and human resources that could be put to better use (i.e. prevention and cure of disease) on unnecessary repetition of experiments, clinical trials and observational research.
- Data and materials that is impossible or hard to reproduce.
- Data and materials that is costly to produce, in terms of funding, time or human re-sources.
- Data and materials that can be reused in new projects, serve as benchmarks, as reference or are of public interest.
- Data and materials underlying publications.
- Archiving as an alternative to deletion
- Valuable data and materials should be preserved by archiving in the Danish National Archives (Rigsarkivet). Preserving your data and materials in this archive fulfils legal requirements of deletion when a data processing permission expires.
- Documentation of archived data is required, using guidelines from the Danish National Archives (Rigsarkivet) (in Danish). See: https://www.sa.dk/da/forskning/for-forskere/anmeldelse-aflevering-forskningsdata/.