Skip to main content
DA / EN

Forskningsinstruks for projekter, der indeholder persondata og hvor SDU IKKE er dataansvarlig

 

Afsnit A

Generelle punkter

A.1. Alle forskningsprojekter skal have den nødvendige projektdokumentation (som udgøres af punkt 1.a-1.g nedenfor), som navngives og gemmes på fællesdrev, fx Sharepoint (mere info, instruksens afsnit C) således, at forskningsdata kan knyttes til projektdokumentationen. Dataindsamling må IKKE initieres før den nødvendige projektdokumentation er lavet, og påkrævede godkendelser er indhentet. Afhængig af projekttype består dokumentationen af:

A.1.a. Projektbeskrivelse

A.1.b. Projekt stamoplysninger (Mere info i noterne)

A.1.b.i. Projekt-numre (internt nr., Acadre sagsnr., RIOs fortegnelsesløbenr.)
A.1.b.ii. Projektnavn og evt. forkortelse
A.1.b.iii. Institut- og fakultestilhørsforhold
A.1.b.iv. Oplysninger om hvem der er projektansvarlig
A.1.b.v. Primærforskernavn(e) med forsker-id(er) (fx ORCID)
A.1.b.vi. Kontaktperson (navn, tlf.nr. og e-mailadresse)
A.1.b.vii. Projektperioden, inklusive opbevaringsperioden ift. publicerede artikler


A.1.c. Tillige ved projekter med ekstern finansiering (Se også afsnit B)
A.1.c.i. Ansøgning/Bevillingsskrivelse
A.1.c.ii. Oplysninger om hvem, der er bevillingsgiver
A.1.c.iii. Budget
A.1.c.iv. Godkendelser af budget fra hhv. Institutlederen (alle projekter) og FSØ (projekter over kr. 1.000.000)
A.1.c.v. Oplysninger om SDU projektkontonummeret

A.1.d. Datamanagementplan (Mere info i noterne). Der skal for alle nye projekter laves en datamanagementplan. Enhedens forskningsleder og/eller datamanagementsansvarlig involveres heri. Afgør ved større projekter/paraplyprojekter om det er mere fordelagtigt med flere datamanagementplaner, en for hvert underpunkt.

A.1.e. For ALLE projekter, der indeholder persondata gælder, at der ikke må opbevares eller behandles persondata uden, at dette er anmeldt til RIO (hvis man er dataansvarlig) eller indgået databehandleraftale gennem RIO (hvis man er databehandler). (Mere info i noterne)

A.1.e.i. Punktet gælder ikke, når SDU ikke er dataansvarlig.

A.1.e.ii Databehandleraftale, hvis SDU er databehandler og en ekstern (f.eks. Region Syddanmark) er dataansvarlig (SKAL underskrives af RIO) (Mere info i noterne)

A.1.f.–A.4. Punkterne gælder  ikke, når SDU ikke er dataansvarlig.

A.5. Projektets mapper og filer skal navngives på en måde, der er systematisk og som giver mening for udenforstående. Fx kan mappenavnet starte med projektets projektnr. efterfulgt af en _ (f.eks. 2018-025_...) (Mere info i noterne)

A.6. Punktet gælder ikke, når SDU ikke er dataansvarlig.

A.7. Al publikation af forskningsdataresultater skal følge ISTs instruks, afsnit E Publicering.

A.8.–A.10.Punkterne gælder  ikke, når SDU ikke er dataansvarlig.

A.11. Mindst to personer på IST/SDU skal have adgang til projektdokumentationen og vide, hvor data er placeret. På hver forskningsenhed skal der være mindst én datamanagementsansvarlig, som har til opgave at have adgang til projekter med kun én forsker og som skal have det nødvendige overblik samt introducere nye medarbejdere til instrukser mv.

A.12. Dispensation fra denne instruks kræver ISTs institutleders godkendelse via: IST-sekretariatet@health.sdu.dk

 

Afsnit B

Behandling og opbevaring af ansøgnings-/afslags- eller bevillingsdokumentation

Ansøgninger:

B.1. Ansøgningsdokumentationen (Ansøgning, Projektbeskrivelse, CV’er og budget, samt godkendelse af dette FAK/FSØ) skal gemmes i en projektspecifik mappe. Spørg sekretariatet/økonomimedarbejderen hvor din enheds mappe ligger. Husk også at journalisere i Acadre.

B.2. Begræns så vidt som muligt forekomsten af følsomme og fortrolige persondata i ansøgningsdokumentationen (Slet fx de sidste 4 cifre i CPR.nr., så kun fødselsdatoen er tilbage).

B.3. Udveksling af ansøgningsdokumenter internt på SDU skal foregå via SharePoint eller intern mail (dvs. din SDU-mail skal anvendes).

B.4. Hvis der i forbindelse med udarbejdelsen af en ansøgning bruges eksterne konsulenter, bør det sikres at der foreligger en databehandleraftale mellem SDU og den eksterne part. RIO kan hjælpe med dette.

B.5. Udveksling af ansøgningsdokumenter med eksterne partnere skal foregå via SharePoint (i de tilfælde, hvor SDU er hovedansøger/tovholder på ansøgningen) eller (i de tilfælde, hvor SDU er medansøger) ved at følge den eksterne partners retningslinjer. Bemærk dog at mails sendt ”ud af huset” skal krypteres, hvis de indeholder følsomme eller fortrolige data.

B.6. Alle mails indeholdende følsomme eller fortrolige persondata skal hurtigst muligt gemmes i den projektspecifikke mappe og SKAL derefter slettes i Outlook.

B.7. Printede kopier med persondata destrueres løbende og hurtigst muligt. Se i øvrigt SDUs retningslinjer for håndtering af papir.

B.8. De færdige ansøgningsdokumenter indleveres til sekretariatet/enhedssekretæren til journalisering i Acadre og indtastning i SDUpro.

B.9. Når ansøgningsdokumenter er journaliseret i Acadre og overleveret til ansøgningsmodtageren, markeres det (med dato) i den projektspecifikke mappe at dokumenterne er afleveret/afsendt.

B.10. Beskeder modtaget fra ansøgningsmodtageren (fx mailbekræftelse på modtagelse eller besked om succesfuldt upload) videresendes til sekretariatet/økonomimedarbejderen til journalisering.

Afslag:

B.11. Får du afslag på en ansøgning om eksterne midler, skal dokumentation for afslaget (ofte en mail) videresendes til sekretariatet/økonomimedarbejderen, der journaliserer i Acadre og lukker sagen.

B.12. I den projektspecifikke mappe, bør det ligeledes markeres at ansøgningen blev afslået.

Bevilling:

B.13. Får du tilsagn om bevilling skal dette fremsendes til sekretariatet/økonomimedarbejderen, der opretter en ny Acadre sag til bevillingsdokumentationen.

B.14. Budgettet fra ansøgningen skal lægges over i Skabelon til A-budgetter. Denne opgave varetages hos sekretariat/økonomimedarbejderen. Dette gælder både hvis ansøgningen er imødekommet med 100% eller hvis budgettet fra bevillingsgivers side er blevet reduceret. Når sekretariatet/økonomimedarbejderen har det færdige budget journaliseres dette i Acadre og sagen tastes færdigt i SDUpro og sendes til godkendelse.

Link til oversigt på SDUnet (kun for ansatte).

 

Afsnit C

Behandling og opbevaring af forskningsdata

Denne del af instruksen vedrører opbevaring og/eller behandling/analyse af forskningsdata på SDU.

-  Hvis du er databehandler for et projekt på et andet institut på SDU, gælder enten denne instruks eller det pågældende instituts regler.

-  Hvis du alene har anonymiserede persondata gælder instruksen ikke, se instruksens del D om anonymisering.

-  Ved et rent registerprojekt hos Danmarks Statistik eller Sundhedsdatastyrelsen (DST/SDS) gælder deres opbevarings- og behandlingsregler. Sendes SDU forskningsdata til DST/SDS, skal instruksen følges i forhold til dataopbevaring hos SDU. Bemærk at projekter oprettet under IST autorisation hos DST skal have dataansvarlig på IST.

Generelt

C.1. Forskningsdata skal behandles som følsomme persondata.

C.2.  Punktet gælder ikke, når SDU ikke er dataansvarlig.

C.3. Forskningsdata skal hurtigst muligt af-identificeres.

C.3.a. Hvis det personidentificerbare data (cpr, navn, telefon, …) skal opbevares, skal det ske adskilt fra det af-identificerede data ved tekniske og/eller organisatoriske tiltag.

C.3.b. Filnavne må ikke indeholde personidentificerbar information.

C.4.–C.5.  Punkterne gælder ikke, når SDU ikke er dataansvarlig.

C.6. Når du arbejder med forskningsdata uden for SDU og din hjemmearbejdsplads (fx i tog, lufthavne), skal du bruge en VPN-forbindelse samt sørge for at andre ikke kan se din skærm.

C.7.–C.20.  Punkterne gælder  ikke, når SDU ikke er dataansvarlig.

Dataanalyse

C.21. Oparbejdning af data til analysedatasæt skal dokumenteres på en måde, så det er muligt at rekonstruere, se evt. Rigsarkivets krav for inspiration.

C.22. Dataoparbejdningen skal kunne genskabes og derfor skal kode og logningsfiler til dataoparbejdning gemmes på samme server som data, med en passende filstruktur og navngivning.

C.23. Resultater skal kunne genskabes, derfor skal kode og logningsfiler til analyse og afrapportering gemmes sammen med data, med en passende filstruktur og navngivning .

 

 

Afsnit D

Anonymisering og pseudonymisering af persondata

Se først definitionerne af begreberne persondata, afidentificeret persondata, anonymisering og pseudonymisering i ordlisten.

Kvalitativ forskning
Anonymisering af kvalitative forskningsdata anses for værende stor set umulig, da deltageren typisk vil kunne genkende sig selv i data. Stadigvæk skal data hurtigst muligt afidentificeres som beskrevet i afsnit C Behandling og opbevaring af forskningsdata.

Kvantitativ forskning
Anonymisering af kvantitative forskningsdata anses for værende stort set umuligt, hvis datasættet fortsat skal kunne bruges til forskningsanalyser. Anonymiseringsprocessen skal kunne dokumenteres især overfor Datatilsynet.

Pseudonymisering svarer til anonymisering, hvor der blot stadig er en kode, som refererer tilbage til de oprindelige personoplysninger. Det er derfor lige så svært og pseudonymiseringsprocessen skal også kunne dokumenteres.

Der kan stadig være scenarier, hvor det ønskes at lave anonymisering fx:
-  Datasæt til udvikling af scripts, der skal køres på rigtige data efterfølgende.
-  Datasæt, der skal bruges til undervisningsformål.
-  Hvor forskningen kan laves på anonyme data.
-  Publikationskrav fra tidsskrifter.
-  Behandling af data i det offentlige rum el.lign.

D.1. Al anvendelse af anonymiserede/pseudonymiserede forskningsdata udenfor SDUs sikre IT-systemer (SDUs sikker server løsning) samt dokumentationen af anonymiseringen/pseudonymiseringen skal først godkendes af enhedens forskningsleder eller en af forskningslederen udpeget ansat.

D.2. Der skal oprettes et anonymiseringsdokument der beskriver anonymiseringen/pseudonymiseringen. Dette dokument bør indeholde:
D.2.a.i. Information om projektet (RIO – godkendt), og hvilke data der skal anonymiseres/pseudonymiseres.
D.2.a.ii. Hvilken metode, der er brugt til at anonymiseringen/pseudonymiseringen f.eks. ved at referere til en eller flere af de metoder, der er beskrevet af EUs artikel 29 gruppes mening om anonymiseringsteknikker.
D.2.a.iii. Scriptet (evt. lig anonymiseringsdokument) der er brugt til anonymiseringen.
D.2.a.iv. Oplysninger om hvem der skal modtage datasættet.
D.2.a.v. Variabeloversigt for det anonymiserede/pseudonymiserede datasæt.

D.3. Anonymiseringen/pseudonymiseringen skal opfylde kravene fra ISTs tekniske retningslinje til anonymisering

D.4. Anonymiseringsdokumentet bør ligge sammen med det anonymiserede datasæt i projektdokumentationsmappen.

D.5. Ved pseudonymisering skal nøglefilen opbevares i en SDU-godkendt løsning, fx OneDrive, og adskilt fra det pseudonymiserede data.

 

Afsnit E

Publicering

E.1. Al publicering på IST skal overholde det danske kodex for integritet i forskning (som sammenfatning og i den fulde version).

Generelt om publicering

E.2. Al publicering bør ske med brug af ORCID (Open Researcher and Contributor ID), som anvendes til entydigt at identificere forskere og videnskabelige forfattere. Det anbefales at ORCID er åben og fremgår af forskerens Pure-profil.

E.3. Det anbefales at alle publicerede artikler får en DOI (Digital Object Identifier).

E.4. Open access publikationer indgår på linje med alle andre peer reviewed publikationer i beslutninger om ansættelser, bedømmelser og forfremmelser, som anbefalet af The San Fransisco Declaration on Research Assessment (DORA). IST stræber efter at være eksplicit om de kriterier, der anvendes i disse sammenhænge.

E.5. Alle forskningspubliceringer skal registreres i SDUs forskningsdatabase Pure.
Det anbefales, at det sker med Open Access, hvis det er muligt etisk, juridisk, kontraktmæssigt og i forhold til intellektuelle ejendomsrettigheder.
E.5.a. IST yder ikke støtte til publicering med Open Access.
E.5.b. Hvis der er finansiering til det, så anbefales Open Access med brugerbetaling (”Full” eller ”Gold”).
E.5.c. Ellers anbefales ”Green” Open Acces, hvis det er muligt: forfatteren har fået tilladelse fra udgiveren til at arkivere et eksemplar af sit arbejde i et digitalt arkiv.

E.6. Du kan undersøge om du burde have en ophavsretslicens som fx Creative Commons.

Præsentation af forskningsresultater i publikationen

E.7. Forskningsresultater skal publiceres således, at individer ikke kan genkendes. Ved publicering af transskriberede interviews tjekkes for personidentificerbare oplysninger (person- eller stednavne, detaljer om helbredsoplysninger, datoer, mv), mens der kan bruges ordrette citater fra respondenter.

Tilgængelighed af rådata

E.8. Det meste af ISTs forskningsdata vil ikke kunne gøres frit tilgængelige i rå form. Metadata, dvs datamanagementplan, kode, mv. skal dog føres tilgængelige i overenstemmelse med SDUs Open Science Policy og FAIR-principperne.

E.9. Al forskningsdata skal være anonymiseret inden det gøres tilgængeligt (se afsnit D).

Opbevaring af rådata og tilhørende analysefiler

E.10. Forskningsdata (rådata) skal arkiveres eller slettes i henhold til tilladelsen.

E.11. Du skal sørge for, at resultaterne skal kunne genskabes i en periode efter publiceringen. (Fx for et DST projekt skal du opbevare udtræksbeskrivelsen og analysefilerne.)

 

 

 

Sidst opdateret: 02.03.2023