Skip to main content
DA / EN

Forskningsinstruks for projekter, der indholder persondata og hvor SDU er dataansvarlig

Afsnit A

Generelle punkter 

 

A.1. Alle forskningsprojekter skal have den nødvendige projektdokumentation (som udgøres af punkt 1.a-1.g nedenfor), som navngives og gemmes på fællesdrev, fx Sharepoint (mere info, instruksens afsnit C) således, at forskningsdata kan knyttes til projektdokumentationen. Husk at tjekke specifikke regler på din forskningsenhed (fx hvor du skal opbevare dokumentationen henne). Dataindsamling må IKKE initieres før den nødvendige projektdokumentation er lavet, og påkrævede godkendelser er indhentet. Bemærk, at hvis du har lavet en datamanagement plan, har du allerede besvaret det meste af A.1.

Specialestuderende, der har lavet en tilknytningsaftale med IST, skal også overholde instruksen, da SDU er dataansvarlig. For specialestuderende er datamanagementplanen, RIO-anmeldelse og en projektbeskrivelse tilstrækkelig til projektdokumentation.

Afhængig af projekttype består dokumentationen af (Dette er en tjekliste, de fleste punkter er i data management plan):

Nummer

Indhold

Detaljer

A.1.a

Projektbeskrivelse


A.1.b

Projekt stamoplysninger (Mere info i noterne)
A.1.b.i. Projekt-numre (internt nr., Acadre sagsnr., RIOs fortegnelsesløbenr.)A.1.b.ii. Projektnavn og evt. forkortelseA.1.b.iii. Institut- og fakultetstilhørsforholdA.1.b.iv. Oplysninger om hvem der er projektansvarligA.1.b.v. Primærforskernavn(e) med forsker-id(er) (fx ORCID)A.1.b.vi. Kontaktperson (navn, tlf.nr. og e-mailadresse)A.1.b.vii. Projektperioden, inklusive opbevaringsperioden ift. publicerede artikler

A.1.c.

Tillige ved projekter med ekstern finansiering (Se også afsnit B)
A.1.c.i. Ansøgning/BevillingsskrivelseA.1.c.ii. Oplysninger om hvem, der er bevillingsgiverA.1.c.iii. BudgetA.1.c.iv. Godkendelser af budget fra hhv. Institutlederen (alle projekter) og FSØ (projekter over kr. 1.000.000)A.1.c.v. Oplysninger om SDU projektkontonummeret

A.1.d.

Datamanagementplan (Mere info i noterne).

Der skal for alle nye projekter laves en datamanagementplan. Enhedens forskningsleder og/eller datamanagementsansvarlig involveres heri. Afgør ved større projekter/paraplyprojekter om det er mere fordelagtigt med flere datamanagementplaner, en for hvert underpunkt

A.1.e

Juridiske dokumenter (mest relevante/væsentlige)
A.1.e.i. RIO anmeldelse og godkendelse

For ALLE projekter, der indeholder persondata gælder, at der ikke må opbevares eller behandles persondata uden, at dette er anmeldt til RIO (hvis man er dataansvarlig) eller der er indgået databehandleraftale gennem RIO (hvis man er databehandler). ()A.1.e.ii. Databehandleraftale

Databehandleraftale, hvis SDU er databehandler og en ekstern (f.eks. Region Syddanmark) er dataansvarlig (SKAL underskrives af RIO) (Mere info i noterne)

A.1.f.

Evt. andre relevante anmeldelser og godkendelser

f.eks. Videnskabsetisk komite, Styrelsen for Patientsikkerhed, Sundhedsdatastyrelsen, Danmarks Statistik, Evt. andre forskningsregistre/kliniske kvalitetsdatabaser. (Mere info i noterne)

A.1.g.

Dataindsamlingsplaner (hvis data indsamles)
A.1.g.i. Samtykke-/fortroligheds-erklæringsskabeloner. For opbevaring af selve erklæringerne, se afsnit C.A.1.g.ii. DeltagerinformationA.1.g.iii. IndsamlingsflowA.1.g.iv. Data-/prøve-indsamlingsmåde, opsætning og instrukser (til f.eks. interviewere og deltagere, projektsygeplejersker og laboranter)
A.1.a. Projektbeskrivelse

A.2. Projektdokumentationen skal give et retvisende billede af forskningsprojektet, og derfor skal eventuelle ændringer af den oprindelige projektplan kunne findes i dokumentationen. Ændringer i projekter, der indeholder persondata, skal anmeldes til RIO (Mere info i noterne).

A.3. Al persondata i forbindelse med projektansøgninger (fx administrative personoplysninger om fondsansøgere) skal behandles og opbevares jf. afsnit B. Behandling og opbevaring af ansøgnings-/afslags- eller bevillingsdokumentation.

A.4. Al forskningsdata i forbindelse med forskningsprojekter skal behandles og opbevares jf. afsnit C.  Behandling og opbevaring af forskningsdata.

A.5. Projektets mapper og filer skal navngives på en måde, der er systematisk og som giver mening for udenforstående. Fx kan mappenavnet starte med projektets projekt-nr. efterfulgt af en _ (f.eks. 2018-025_...) (Mere info i Hjælp til Navngivning).

A.6. Al anonymisering af persondata i forskningsprojekter skal følge afsnit D Anonymisering og pseudonymisering af persondata.

A.7. Al publikation af forskningsdataresultater skal følge ISTs instruks, afsnit E Publicering.

A.8. Al sletning og arkivering af forskningsdata skal følge ISTs instruks, afsnit C om data

A.9. Hvis en projektdeltager/registreret i forskningsprojektet anmoder om indsigt, indsigelse, sletning, dataportabilitet, begrænsning og/eller berigtigelse, skal denne anmodning inden for 48 timer videresendes til rektorsekretariatets juridiske kontor via jura@sdu.dk, der efterfølgende vil tage sig af henvendelsen.

Mere info her: brud anmeldelse SDU-net.

A.10. I tilfælde af brud på persondatasikkerheden kontaktes IT-helpdesk med det samme. Derudover indberettes bruddet her: brud anmeldelse SDU-net.

A.11. Mindst to personer på IST/SDU skal have adgang til projektdokumentationen og vide, hvor data er placeret. På hver forskningsenhed skal der være mindst én datamanagementsansvarlig, som har til opgave at have adgang til projekter med kun én forsker og som skal have det nødvendige overblik samt introducere nye medarbejdere til instrukser mv.

A.12. Dispensation fra denne instruks kræver ISTs institutleders godkendelse via: IST-sekretariatet@health.sdu.dk

 

Afsnit B

Behandling og opbevaring af ansøgnings-/afslags- eller bevillingsdokumentation

 

Ansøgninger:

B.1. Ansøgningsdokumentationen (Ansøgning, Projektbeskrivelse, CV’er og budget, samt godkendelse af dette FAK/FSØ) skal gemmes i en projektspecifik mappe. Spørg sekretariatet/økonomimedarbejderen hvor din enheds mappe ligger. Husk også at journalisere i Acadre.

B.2. Begræns så vidt som muligt forekomsten af følsomme og fortrolige persondata i ansøgningsdokumentationen (Slet fx de sidste 4 cifre i CPR.nr., så kun fødselsdatoen er tilbage).

B.3. Udveksling af ansøgningsdokumenter internt på SDU skal foregå via SharePoint eller intern mail (dvs. din SDU-mail skal anvendes). 

B.4. Hvis der i forbindelse med udarbejdelsen af en ansøgning bruges eksterne konsulenter, bør det sikres at der foreligger en databehandleraftale mellem SDU og den eksterne part. RIO kan hjælpe med dette.

B.5. Udveksling af ansøgningsdokumenter med eksterne partnere skal foregå via SharePoint (i de tilfælde, hvor SDU er hovedansøger/tovholder på ansøgningen) eller (i de tilfælde, hvor SDU er medansøger) ved at følge den eksterne partners retningslinjer. Bemærk dog at mails sendt ”ud af huset” skal krypteres, hvis de indeholder følsomme eller fortrolige data.

B.6. Alle mails indeholdende følsomme eller fortrolige persondata skal hurtigst muligt gemmes i den projektspecifikke mappe og SKAL derefter slettes i Outlook. 

B.7. Printede kopier med persondata destrueres løbende og hurtigst muligt. Se i øvrigt SDUs retningslinjer for håndtering af papir.

B.8. De færdige ansøgningsdokumenter indleveres til sekretariatet/økonomimedarbejderen til journalisering i Acadre og indtastning i SDUpro.

B.9. Når dokumentationen er journaliseret i Acadre og overleveret til ansøgningsmodtageren, markeres det (med dato) i den projektspecifikke mappe at dokumenterne er afleveret/afsendt.

B.10. Beskeder modtaget fra ansøgningsmodtageren (fx mailbekræftelse på modtagelse eller besked om succesfuldt upload) videresendes til sekretariatet/økonomimedarbejderen til journalisering.

 

Afslag:

B.11. Får du afslag på en ansøgning om eksterne midler, skal dokumentation for afslaget (ofte en mail) videresendes til sekretariatet/økonomimedarbejderen, der journaliserer i Acadre og lukker sagen.

B.12. I den projektspecifikke mappe, bør det ligeledes markeres at ansøgningen blev afslået.

 

Bevilling:

B.13. Får du tilsagn om bevilling skal dette fremsendes til sekretariatet/økonomimedarbejderen, der opretter en ny Acadre sag til bevillingsdokumentationen.

B.14. Budgettet fra ansøgningen skal lægges over i Skabelon til A-budgetter. Denne opgave varetages hos sekretariatet/økonomimedarbejderen. Dette gælder både hvis ansøgningen er imødekommet med 100% eller hvis budgettet fra bevillingsgivers side er blevet reduceret. Når sekretariatet/økonomimedarbejderen har det færdige budget, journaliseres dette i Acadre og sagen tastes færdigt i SDUpro og sendes til godkendelse.

Link til oversigt på SDUnet (kun for ansatte).   

 

Afsnit C

 

Behandling og opbevaring af forskningsdata

-  Da SDU er dataansvarlig skal alle punkter opfyldes.

-  Ved et rent registerprojekt hos Danmarks Statistik eller Sundhedsdatastyrelsen (DST/SDS) gælder deres opbevarings- og behandlingsregler. Sendes SDU forskningsdata til DST/SDS, skal instruksen følges i forhold til dataopbevaring hos SDU.

 

Generelt

C.1. Forskningsdata skal behandles som følsomme persondata.

C.2. Forskningsdata skal behandles, dvs analyseres eller kigges på, på en sikker server på SDU, eller på UCloud. Du skal helst bruge en SDU-computer.

C.2.a. Under dataindsamling må data godt ligge på OneDrive, SharePoint, Nextcloud eller PF-Share (dog kun så længe at det er nødvendigt).  Om muligt skal data tilgås fra en SDU-computer, hvis det ikke ligger på en sikker server.

C.2.b. Ren arkivering af data, hvor datafiler ikke åbnes, kan ske på SDU-godkendte systemer (fx Sharepoint, PF-share) hertil og i krypteret form. Data må kun tilgås fra en SDU-computer.

C.3. Forskningsdata skal hurtigst muligt pseudonymiseres.

C.3.a. Hvis det direkte eller stærkt indirekte personidentificerbare data (cpr, navn, telefon, …) skal opbevares, skal det ske adskilt fra det pseudonymiserede data i en SDU-godkendt løsning fx. OneDrive. ved tekniske og/eller organisatoriske tiltag, fx i et helt andet slags drev eller hos en anden person.
C.3.b. Filnavne må ikke indeholde direkte eller stærkt indirekte personidentificerbar information, fx navn.

C.4. Forskningsdata skal kunne tilgås af mindst to SDU-personer med tilknytning til projektet eller enheden (den anden person kan være den datamanagement-ansvarlige på enheden). Det anerkendes, at det under dataindsamling og datamodtagelse kan forekomme, at kun en person har adgang.

C.5. Forskere uden tilknytning til SDU betragtes som eksterne og du skal kontakte RIO inden de gives adgang til persondata. Ofte vil der skulle laves en databehandleraftale. De må kun analysere SDU-data på en sikker server. Studerende med tilknytningsaftale og gæsteforskere med gæsteforskeraftale har en tilknytning til SDU og skal derfor overholde SDU's og IST's regler.

C.6. Når du arbejder med forskningsdata udenfor SDU og ikke på din hjemmearbejdsplads (fx i tog, lufthavne), skal du bruge en VPN-forbindelse samt sørge for at andre ikke kan se din skærm.

Dataindsamling (generelt)

C.7. Hvis du vælger elektronisk kommunikation med projektdeltagere, bør det om muligt foregå via e-Boks (via SDU’s anbefalede løsning ), alternativt via krypteret mail.  

C.8. Håndtering af persondata på papir skal følge SDU’s retningslinje for Håndtering af papir.

C.9. Enhver udveksling af forskningsdata med eksterne skal ske ved brug af en SDU-godkendt løsning. 

C.10. Projektdeltageren skal have et projektspecifikt løbenummer (ID-nummer). Al identifikation af deltageren i IT-systemer, papirer og apparater foregår ved brug af dette ID-nummer. 

C.11. Indsamlingsstyringsfiler (filer, der angiver navne, adresser, telefonnumre og lignende til styring af indsamling) skal også behandles som følsomme persondata. Se endvidere SDU’s retningslinjer for Lokale Databaser.

Dataindsamling (samtykke og oplysningspligt)

C.12. Der er oplysningspligt over for respondenter, dvs de skal informeres om: Hvem der er dataansvarlig, databeskyttelsesrådgiver og evt. databehandler, inklusive kontaktinformation, formål med dataindsamlingen, retsgrundlag (databeskyttelseslovens §10 eller samtykke), hvordan personoplysninger behandles og muligheder for klage samt tilbagetrækning af evt. samtykke.

C.13. Undersøg hos RIO om det er nødvendigt med samtykke eller om undersøgelsen kan gennemføres efter Databeskyttelseslovens §10 om (om forskning). I begge tilfælde skal du oplyse om dataindsamlingens formål og hvordan data behandles.

C.14. Samtykke skal ikke indeholde CPR-nummer. Samtykke og deltagerinformation skal enten

C.14.a. Sendes til projektdeltagere ved brug af SDUs e-Boks løsning/krypteret mail
C.14.b. Sendes med almindeligt brev
C.14.c. Udleveres af intervieweren

C.15. Hvis der bruges samtykker på papir skal disse hurtigst muligt scannes og gemmes i Acadre. Hver samtykkefil skal have deltagerens ID-nummer eller ID-numre i filnavnet. Papiret håndteres efter SDUs retningslinje Håndtering af papir, dvs. destrueres eller opbevares efter forskrifterne.

C.16. Ved alle elektroniske samtykker (GDPR-samtykke) skal projektdeltageren eller projektdeltagerens proxy selv aktivt afkrydse samtykkefeltet. Elektroniske samtykker gemmes i forbindelse med data og selve samtykkeinformationen journaliseres i Acadre.

Dataindsamling (brug af apparater)

C.17. Apparater (kameraer, diktafoner, lungefunktionsmålere, ultralydsscannere osv.) skal om muligt krypteres og kodeordsbeskyttes. Hvis de automatisk kan overføre data til et SDU godkendt system på en sikker måde, skal denne funktion bruges.

C.18. Hvis apparatet under dataindsamlingen skal have indtastet et projektdeltagernummer, så skal det være deltagerens ID-nummer. Projektdeltagerens initialer må tilføjes som en ekstra koblingssikkerhed. 

C.19. Data indsamlet i apparater skal hurtigst muligt slettes i apparaterne. De datafiler der hentes ud af apparaterne skal navngives på en meningsfuld måde. Der må ikke bruges navn eller CPR-nummer i filnavngivningen, men kun deltagerens ID-nummer. 

 

Dataanalyse

C.20. Dataanalyse skal foregå på  en sikker server-løsning, dvs.  SDUs S4 eller UCloud, alternativt Danmarks Statistik eller Sundhedsdatastyrelsen, ud fra præmissen at data skal ligge samme sted som analysesoftware.

C.21. Oparbejdning af data til analysedatasæt skal dokumenteres på en måde, så det er muligt at rekonstruere, se evt. Rigsarkivets krav for inspiration.

C.22. Dataoparbejdningen skal kunne genskabes og derfor skal kode og logningsfiler til dataoparbejdning gemmes på samme server som data, med en passende filstruktur og navngivning.

C.23. Resultater skal kunne genskabes, derfor skal kode og logningsfiler til analyse og afrapportering gemmes sammen med data, med en passende filstruktur og navngivning.

 

Projektdokumentation

C.24.  SDU stiller en række værktøjer til rådighed, det gør det muligt at overholde kravet om fælles adgang til projektdokumentation (se afsnit A.11). Både NextCloud, OneDrive, SharePoint og SDU netværksdrev kan anvendes til formålet. NextCloud og OneDrive kan uden videre opsættes af den projektansvarlige, mens SharePoint og SDU netværksdrev skal bestilles via Servicedesk. Alle fire løsninger kan indstilles til differentieret adgang, således at den projektansvarlige f.eks. har fuld adgang (læse-/skriverettigheder) mens en anden part kun har begrænset adgang (læserettigheder).

Særlige forhold for kvalitative analyser

C.25. Indsamling af data ved brug af lyd eller videooptagelse. Der anbefales at bruge en SDU computer og optagefunktionen via et online møde (zoom eller MS Teams) til optagelse. Gem optagelsesfilen direkte på et sted som er godkendt til opbevaring af data, fx nextcloud, eller overfør filen hurtigst muligt dertil efter optagelsen.

C.26. Hvis du vil benytte automatisk transskribering, kan du anvende Amberscript. SDU har en databehandleraftale med Amberscript. Du skal dokumentere hvilke programmer og databehandleraftaler du bruger, i datamanagementplanen og i RIO-anmeldelsen. Efter den automatiske transskribering, skal du gemme resultatfilen på et sted som er godkendt til opbevaring af data, fx nextcloud.

C.27. Din software til analyse skal ligge samme sted som data under al analyse af data. Er dette ikke muligt eller hensigtsmæssig, skal der søges dispensation hos institutlederen, og du skal gennemføre et sikkerhedskursus. Efter opnået dispensation og bestået sikkerhedskursus, må du lægge data i nextcloud - også under analyse.

 

Afsnit D

 

Anonymisering af persondata

Se først definitionerne af begreberne persondata, anonymisering og pseudonymisering i ordlisten.

 

Kvalitativ forskning
Anonymisering af kvalitative forskningsdata anses for værende stor set umulig, da deltageren typisk vil kunne genkende sig selv i data. Stadigvæk skal data hurtigst muligt pseudonymiseres som beskrevet i afsnit C ovenfor.

 

Kvantitativ forskning
Anonymisering af kvantitative forskningsdata anses for værende stort set umuligt, hvis datasættet fortsat skal kunne bruges til forskningsanalyser. Anonymiseringsprocessen skal kunne dokumenteres især overfor Datatilsynet.Der kan stadig være scenarier, hvor det ønskes at lave anonymisering fx:
-  Datasæt til udvikling af scripts, der skal køres på rigtige data efterfølgende.
-  Datasæt, der skal bruges til undervisningsformål.
-  Hvor forskningen kan laves på anonyme data.
-  Publikationskrav fra tidsskrifter.
-  Behandling af data i det offentlige rum el.lign.

D.1. Al anvendelse af anonymiserede forskningsdata udenfor SDUs sikre IT-systemer (SDUs sikker server løsning) samt dokumentationen af anonymiseringen skal først godkendes af enhedens forskningsleder eller en af forskningslederen udpeget ansat.

D.2. Der skal oprettes et anonymiseringsdokument der beskriver anonymiseringen. Dette dokument bør indeholde:

D.2.a.i. Information om projektet (RIO – godkendt), og hvilke data der skal anonymiseres.
D.2.a.ii. Hvilken metode, der er brugt til at anonymiseringen f.eks. ved at referere til en eller flere af de metoder, der er beskrevet af EUs artikel 29 gruppes mening om anonymiseringsteknikker.
D.2.a.iii. Scriptet (evt. lig anonymiseringsdokument) der er brugt til anonymiseringen.
D.2.a.iv. Oplysninger om hvem der skal modtage datasættet.
D.2.a.v. Variabeloversigt for det anonymiserede datasæt.

D.3. Anonymiseringen skal opfylde kravene fra ISTs tekniske retningslinje til anonymisering

D.4. Anonymiseringsdokumentet bør ligge sammen med det anonymiserede datasæt i projektdokumentationsmappen.

 

Afsnit E


Publicering

E.1. Al publicering på IST skal overholde det danske kodex for integritet i forskning (som sammenfatning og i den fulde version).

Generelt om publicering

E.2. Al publicering bør ske med brug af ORCID (Open Researcher and Contributor ID), som anvendes til entydigt at identificere forskere og videnskabelige forfattere. Det anbefales at ORCID er åben og fremgår af forskerens Pure-profil.

E.3. Det anbefales at alle publicerede artikler får en DOI (Digital Object Identifier).

E.4. Open access publikationer indgår på linje med alle andre peer reviewed publikationer i beslutninger om ansættelser, bedømmelser og forfremmelser, som anbefalet af The San Fransisco Declaration on Research Assessment (DORA). IST stræber efter at være eksplicit om de kriterier, der anvendes i disse sammenhænge. 

E.5. Alle forskningspubliceringer skal registreres i SDUs forskningsdatabase Pure

Det anbefales, at det sker med Open Access, hvis det er muligt etisk, juridisk, kontraktmæssigt og i forhold til intellektuelle ejendomsrettigheder.

E.5.a. IST yder ikke støtte til publicering med Open Access.
E.5.b. Hvis der er finansiering til det, så anbefales Open Access med brugerbetaling (”Full” eller ”Gold”).
E.5.c. Ellers anbefales ”Green” Open Acces, hvis det er muligt: forfatteren har fået tilladelse fra udgiveren til at arkivere et eksemplar af sit arbejde i et digitalt arkiv.

E.6. Du kan undersøge om du burde have en ophavsretslicens som fx Creative Commons.

Præsentation af forskningsresultater i publikationen

E.7. Forskningsresultater skal publiceres således, at individer ikke kan genkendes. Ved publicering af transskriberede interviews tjekkes for personidentificerbare oplysninger (person- eller stednavne, detaljer om helbredsoplysninger, datoer, mv), mens der kan bruges ordrette citater fra respondenter. Respondenten kan således genkende sig selv, men andre må ikke kunne genkende dem. I tvivlstilfælde kan respondenten spørges.

Tilgængelighed af rådata

E.8. Det meste af ISTs forskningsdata vil ikke kunne gøres frit tilgængelige i rå form. Metadata, dvs datamanagementplan, kode, mv. skal dog føres tilgængelige i overenstemmelse med SDUs Open Science Policy og FAIR-principperne.

E.9. Al forskningsdata skal være anonymiseret inden det gøres offentligt tilgængeligt (se afsnit D).

 

Opbevaring af rådata og tilhørende analysefiler

E.10. Forskningsdata (rådata) skal arkiveres eller slettes i henhold til tilladelsen.

E.11. Du skal sørge for, at resultaterne skal kunne genskabes i en periode efter publiceringen. (Fx for et DST-projekt skal du opbevare udtræksbeskrivelsen og analysefilerne.)

 

Sidst opdateret: 15.02.2024