Section | UUSI OHJETEKSTI | KOMMENTIT |
Introduction | These instructions are meant to be used alongside the general Finnish DMP guidance. We have gathered the instructions under the each numbered section of data management plan (DMP) so that you will first find the guidelines on what to write in each sections, then practical Tips to ease the writing process, and finally some useful Links concerning that specific section. Note that research organisations provide researchers guidance on complying with the principles of data protection and information security. Please familiarise yourself with your organisation's data management guidelines and, if needed, contact your home organisation's support services. These instructions consider any data that, when exposed, can cause any harm, or is prohibited from being distributed further. Note that data can include parts needing different levels of protection. The data can include either confidential data or personal data. These data types are described below. Types of confidential data:
Types of personal data (all data from which a person can be identified either directly or indirectly):
Tips When handling any kind of personal data, you must acknowledge and address the seven principles of the EU's General Data Protection Regulation in the different sections of your DMP. Links
| KF 4.10. lisätään määritelmät, pohjustetaan myös suunnitelmallisuutta, maininta, että DMP on osa tietosuojadokumentaatiota
2. Purpose limitation (...get new consents for any new purposes.): Tietosuojavaltuutetun sivuilla täsmällinen ohje uuden käyttötarkoituksen ilmaantuessa: When a controller intends to process personal data for purposes other than the original purpose of processing, it must notify the data subjects of this before starting processing. The controller is required to inform the data subjects of the new purpose of processing, the rights of the data subject and all other relevant information unless there is a legal basis for deviating from the notification obligation. Eli uudet nimenomaiset suostumukset tarvitaan nähdäkseni ensisijaisesti silloin, kun käsittelyperusteena on alun alkaenkin suostumus. Kyseessähän voi olla myös rekisteriperusteinen tutkimus, johon ei alun alkaenkaan ole pyydetty suostumusta. Oleellista jokaisessa tapauksessa vähintäänkin päivittää tietosuojailmoitus ja jos mahdollista informoida tutkittavia uudesta käyttötarkoituksesta ja päivitetystä tietosuojailmoituksesta. Koska ohjeessa on erikseen Legal -osio, riittäisikö tässä
(AH, Aalto-yliopisto) Linkit:
UEF:
CSC-SD services office:
HULib/Tuulitoimisto (SM)
THL Jäin miettimään, onko tuossa riittävästi aineiston elinkaaren ennakoinnista ja aineistonhallinnasta. Usein tutkijat ryhtyvät suoraan tekemään, kovalla vauhdilla, jättäen dokumentoinnin ”myöhemmäksi” ja improvisoiden järjestelyitä. Dokumentointi- ja säilytyskäytännöt (kuten codebook, tutkimusloki, hakemistorakenteet) pitää suunnitella etukäteen, sekä itse tutkimuksen käytön aikaa ajatellen, mutta myös arkistointia varten – jos tarvitaan erillisiä siivous- tai dokumentointitoimenpiteitä arkistoidessa ne jäävät helposti tekemättä. Tämä kaikki vaikuttaa tietosuojaan, koska sotkun seasta lipsahtaa helpommin arkaluonteista materiaalia seassa. Toisaalta DMP-ohjeistus on erillinen, mutta mainitaanko siinä esim. kriittisten asiakirjojen (luvat, sopimukset, suostumukset) säilyttäminen? Tein muutaman pienen muokkauksen tekstiin jokaiseen kohtaan (lähinnä yhdenmukaistamista) 1.11.2023 TS |
1. General description of data |
| |
1.1 What kinds of data is your research based on? What data will be collected, produced or reused? What file formats will the data be in? Additionally, give a rough estimate of the size of the data produced/collected.
| If your data includes personal, sensitive, or confidential data, you need to address them in this section of the DMP. These data will need special attention in data handling, which you will describe in other sections. Note that the researcher is responsible to recognise whether their data will include confidential data, personal data or sensitive personal data. Interview recordings, for instance, always contain direct identifiers (e.g., voice or face images of the study subject). In addition, surveys that contains open-ended questions most likely include at least indirect identifiers. Medical imaging data is often considered personal data. Even technical measurement data from a certain device is personal data if it can be associated with an individual person (e.g., GPS tracker information). Tips
| Poistaisin alla olevasta tuon ylivaavaamani. Itse luen tuota muuten, että the risk of developing viittaisi koko listaan. (muok. 28.9.2023 TS)
"In a research" on vanhanaikainen tapa sanoa "A piece of research", joten "a" poistettu. Koko lause tuntuu itse asiassa turhalta, koska sama asia sanotaan on kohdan 1 ensimmäisessä lauseessa. Olisiko tilalle "Types of confidential data:"? (muok. 28.9.23 TS; lisäsin lauseen edellisen kappaleen loppuun; Furthermore, note that there can be either personal data or other confidential data. JA lisäksi types of confidential data ennen listaa. ONKO ok?) Lisätty serial comma ennen kohtaa "or trade secrets" jotta tulkinta ei olisi vain "organisational trade secrets" vaan "trade secrets" ylipäänsä. (AH, Aalto yliopisto) Miksi sensitive personal data kohdassa sanotaan ettei täydellistä listaa ole? GDPR:ssä on nimenomainen lista, jota ei ole tässä avattu kokonaan, vaikka syytä olisi (data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation). Lisäksi jos halutaan, niin voi minusta sanoa, että muukin data voi kyllä muuten olla luonteeltaan arkaluonteiksi miellettävää, vaikka se ei GDPR:n mukaan suoraan sitä olisi. Tässä on siis hyvä minusta todella selvästi avata se, mikä on lainsäädännön määritelmä ja lisäksi moni muu data voidaan arjessa ja muuten myös mieltää arkaluontoiseksi, lainsäädännön tunteman määritelmän lisäksi. (28.9.2023 TS; tässä kommentissa listattu special categories of personal data-tyypit, johon on linkki tuossa ohjetekstissä. Tarvitseeko listausta siis kirjoittaa vielä erikseen auki. Taisimme ajatella, että sensitive personal datalle ei ole selkeätä listaa, mutta tietty noille special categories of personal datalle on tuo lista. Entä jos ottaa mustan palleron pois ja laittaa tuon kohdan jatkoksi vaalealle pallerolle? Olisiko parempi?) Laittaisin terminologian käytöstä kommentin, eli kun tekee DMP:tä niin pyrkii käyttämään täsmällisesti oikeaa terminologiaa, esim. henkilöiteto, erityinen henkilöiteto, psydonymisoitu, anonymisoitu jne. Ajoittain näkee sittä että terminologia on mitä sattuu ja ristiriitaista, joten jää lopulta epäselväksi se, mikä on ollut tarkoitus. (Nämä tulevat seuraavissa kohdissa ohjetta, mutta pitää vielä tarkistaa, että varmasti ovat siellä. 28.9.2023 TS) TAU: Hyvä, että olette huomanneet erityistä suojausta edellyttäviksi tiedoiksi voivan kuulua myös muita tietoja kuin Art. 9 ja Art. 10 tietoja. Meillä esimerkiksi sosiaalihuollon palveluiden käyttöön tai velallisen asemaan liittyvät tiedot arvioidaan tällaisiksi. Tiedot voivat olla myös muusta syystä suojattavia kuin niiden sisältämien henkilötietojen vuoksi. Tutkijalle voisi olla apua esimerkinomaisesta luettelosta, keiden ja minkälaisten tietojen suojaamiseen kannattaa kiinnittää erityistä huomiota. (olisiko hyvä laittaa nämä esimerkeiksi regulated jälkeen? TS 28.9.2023) Taisa yrittää miettiä listaa seuraavaan ryhmän kokoukseen. 4.10.2023 TS tein listan boldatun tekstin perään. UEF:
olisiko "(e.g., GPS tracker information)" parempi lauseen lopussa, jolloin on selvää, että se on juuri sellaista, mitä voi helposti yhdistää henkilöön? (muok. 28.9.2023 TS) HULib/Tuulitoimisto (SM)
SIIRRETTY TERMIT KOHDASTA 1.1 INTROON, PAITSI PSEU JA ANONY -TERMIEN SELITYKSET LÖYTYVÄT NYT KOHDAN 1.2 ALTA. TS 19.10.2023 |
1.2 How will the consistency and quality of data be controlled? | Explain how the data collection, analysis and processing methods used may affect the quality of the data and how you will minimise the risks related to data accuracy. Data quality control ensures that no data is accidentally changed, and that the accuracy of the data is maintained over its entire life cycle. Quality problems can emerge due to the technical handling, converting or transferring of data, or during its contextual processing and analysis. Furthermore, eg. pseudonymisation and anonymisation can affect data quality: Pseudonymous and anonymous data (FSD):
Tips
Links
| (AH, Aalto yliopisto) Varmaankin yleisin virhe tutkijoilla on se, että ei ymmärretä psdudonymisoidun ja anonymisoidun datan eroa. Anonyymi data ei ole henkilöitetoa lainkaan, mutta silti todella usein tutkijat kirjaavat papereihin datan "anonyymiksi", joka on tietenkin ongelmallista kun data on tosiasassa usein pseydonyymiä. Pitäisikö tästä lisätä kappale ja avata nämä termit. Lopussa on kyllä linkit, mutta pitäisikö ihan lyhyesti laittaa vielä leipätekstiin? Iina H. 28.9.2023 (mihin kohtaan tämä olisi hyvä lisätä): Pseudonymisation refers to removing or replacing identifiers with pseudonyms or codes, which are kept separately and protected. Pseudonymous data can become anonymous when separately kept identifying information (decryption key, personal data and information on the techniques used to pseudonymise the data) is destroyed. The data are anonymous if they cannot be linked to the original personal data with reasonable effort. (FSD) Kuuluu kaikille aineistoille, ilmeisesti tips:ejä lisää. Nämä voisi miettiä sen pseudonymisoitu/anonymisointi-näkökulmasta, miten datan laatu ja luotettavuus/29.9.2023 "Set up a plan to process data with scripts – not manually – ensuring full replicability of all operations, keeping data processing and data analysis separate." "Create a scheme to identify data versions by date and/or version number, with change logs and other relevant documentation." UEF:
HULib/Tuulitoimisto (SM)
|
| 2. Ethical and Legal Compliance |
|
2.1 What legal issues are related to your data management? (For example, GDPR and other legislation affecting data processing.)? | Legal issuesIn this section please specify any legislation that is relevant to your research project. These might include legislation that governs the processing of personal data such as the GDPR, the Act on Secondary use of health and social data, or the Finnish Biobank Law, or other legislation such as the EU medical device regulation. Confidential dataWhen working with external parties, for instance, with businesses or in a consortium, make sure that agreements on data handling and management are drawn up. Plan the safe handling of confidential data according to these agreements and possible non-disclosure agreements. Consider export restrictions and seek advice from your organisation if you think these apply to your research. Personal data and special categories of personal dataThe processing of personal data means any operation which is performed on personal data, such as collection, recording, organisation, use, storage, adaptation or alteration, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. Processing personal data in Finland is regulated by the General Data Protection Regulation (GDPR), the Finnish Data Protection Act and specific legislation (such as the Act on the Secondary use of health and social data, or the Act on the Protection of Privacy in Working Life). When processing personal data, mention here who, or what organisation is the data controller of the data you collect or produce. If two or more parties act as joint controllers, the data processing must be agreed upon in advance according to your organisation's guidelines (e.g., with a joint controllership agreement). Also mention if there are processors who process the personal data on behalf of the controller. A Data Processing Agreement (DPA) is typically required for external processors of data. These third parties could include collaborators, transcription companies, translation services, or IT solution providers that your organisation does not have a standing agreement with. Any research that gathers information from or about individuals will need a privacy notice. Check your own organisation's templates for privacy notice. The GDPR defines the information content required for the privacy noitice. Among the required information are the purpose of processing personal data and its legal basis. The legal basis with research is typically "scientific research, a task in the public interest" or "consent". If the legal basis is "consent", all usage purposes of the data must be distinctly specified both in the Privacy Notice and in the form for obtaining a participant's consent to process personal data. If these uses of data change, the participants must be informed, and new consent obtained. Consent to process personal data is different from the ethical consent to participate. See below for more information on the ethical consent to participate. When the processing of personal data is likely to result in a high risk to an individual's rights and freedoms , a Data protection impact assessment (DPIA) is required. Find out your organisation's guidance and process for this, and mention this in the DMP if it is relevant for your research. If you think you may need to transfer personal data outside of the EEA, outline the planned process and get in touch with your organisation's legal team or data protection officer regarding the required documentation. Ethical reviews and considerationsFind out from your organisation if your research requires an Ethical review. Mention the need for an ethical review in the DMP. An ethical review is mandatory in medical research (Medical Research Act (986/1999). In human sciences, an ethical review is required if the study meets one of the six specific criteria defined by The Finnish National Board on Research Integrity (TENK) in The ethical principles of research with human participants and ethical review in the human sciences in Finland. These criteria include, for example, if participation in the study deviates from the principle of informed consent or if the research involves risk of causing mental harm to the research participants. Take into account that some publishers and funders may require ethical review. An ethical review can only be carried out prior to data collection. When individuals are involved in research, Ethical Consent to Participate needs to be obtained from participants. Informed consent to participate in a study is a fundamental premise for all research involving human subjects, both in medicine and in the human sciences. Assess if there are other ethical considerations regarding your data, such as sensitive species data, sensitive location data, or the use of artificial intelligence. Plan your data storage and opening with these in mind. Tips
Links | EnricoG (Aalto) 9/6/2023: You write "GDPR and other legislations". I would give a couple of relatively common examples of other legislations that might apply such as the EU medical device regulation or the biobank law. The sentence could be: siirretty muokattuna tekstiin EV ehdotus simppelimmäksi lauserakenteeksi: In this section please specify any legislation that is relevant to your research project. These might include legislation that governs the processing of personal data, such as the GDPR, the Act on Secondary use of health and social data, or the Finnish Biobank Law, or other legislation such as the EU medical device regulation. Pitäisikö tässäkin olla Act on Secondary use of health and social data? KF: Muokkasin tekstiin ylläolevan mukaisesti. AR 02102023: Onko Section-sarakkeen ehdotus enää ajankohtainen, voiko sen poistaa tai muokata? Vrt. "GDPR and other legislation governing personal data processing". AR 02102023: "Processing personal data in Finland is regulated by the GDPR, the Finnish Data Protection Act and specific legislation" → Onko oikea termi special legislation (erityislansäädäntö)? AR 02102023: "... specific legislation (such as the Secondary use of health and social data, ..." → the Act on the Secondary use of health and social data AR 02102023: "If several parties act as joint controllers" → olisiko täsmällisempi: two or more parties? AR 02102023: "These third parties could include -- IT solutions that your organisation does not have a standing agreement with" → IT solution providers? KF: ylläolevat muokattu tekstiin Kuulostaako alla oleva lause hassulta, kuin GDPR määrittäisi legal basis? (EV) "The GDPR defines the information content required for the privacy notice, including the purpose and the legal basis of processing personal data." Toimisko: "The GDPR defines the information content required for the privacy notice. Among the required information are the purpose of processing personal data and its legal basis." KF: Muokattu ehdotuksen mukaisesti. Tähän kohtaan lisäisin tuon lihavoidusti merkityn kohdan, koska myös rekisteritutkimuksista pitää tehdä tietosuojaseloste/ilmoitus Any research that gathers information from or about individuals will need a Privacy Notice which states what the legal basis of processing personal data is. The legal basis with research is typically be "public interest" or "consent". (AH Aalto yliopisto) "These third parties could include transcribing companies, translation services, and IT solutions that your organisation does not have a standing agreement with." Tutkijoilla on usein väärinkäsitys siitä, että tutkimusryhmä olisi juridisesti relevanttti elin ja siten esimerkiksi tutkimusryhmän sisällä voisi jakaa vapaasti henkilötiedoksi luettavaa dataa, vaikka tutkimusryhmässä olisi eri organisaatioihin työsuhteessa olevia tutkijoita. Eri yliopistot ovat kuitenkin myös suhteessa toisiinsa kolmansia, eli joskus DPA:n tekeminen on tarpeen myös yliopistojen välillä. Nyt tämä kohta saattaa vahvistaa tätä väärinkäsitystä, kun todetaan että kolmansia osapuolia ovat litterointiyritykset ja IT palveluntarjoajat. →muokattu AR 02102023: "When the processing of personal data is likely to carry a high risk," → Ehdotus: When the processing of personal data is likely to result in a high risk to an individual's rights and freedoms, ... KF: Tekstissä: If the legal basis is "consent", the various uses of data must be specified in the Privacy Notice and Consent to process personal data form.
KF: Lisätty uusi muotoilu "In some specific situations, it is possible to derogate from the data subject’s informing. If there are derogations in the informed consent to participate, ethical review is needed." KF: Poistettu (AH Aalto yliopisto) Täsmentäisin "public intrest" käsittelyperusteen nimenomaan tieteelliseen tutkimukseen, eli "scientific research, a task in the public interest" → check (AH Aalto yliopisto) Privacy notice kohta: laittaisin vielä, että GDPR:ssä on listattu mitkä tiedot rekisteröidylle tulee kertoa. Nyt tässä on vain murto-osa siitä tiedosta, mikä rekisteröidylle tulee kertoa ja saa kuvan, että käsittelyperusteen kertominen riittää. Lisäksi ohjaisin tutustumaan organisaation mallipohjiin, monella organisaatiolla on tietosuojaselsosteeseen laadukkaita mallipohjia, joiden ohjeita seuraamalla saa tehtyä tietosuojaselsoteen. Välillä on myöse sellaisia väärinkäistyksiä, että tietosuojaseloste ja DPM olisi sama asia, joten laittaisin siitäkin yhden lauseen, että kyseessä on eri dokumentti ja eri käyttötarkoitus ja kohderyhmä. → check (AH Aalto yliopisto) "In some specific situations, it is possible to derogate from the data subject’s informing and other rights". Siis puhutaanko tässä nyt poikkeamisesta rekisteröidyn oikeuksista tulla informoiduksi vai poikkeamisesta tutkimuseettisesta periaatteesta, että henkilöltä tulee lähtökohtaisesti kysyä suostumus osallistua tutkimukseen? Muotoilu on ehkä vähän epäselvä eikä selvinnyt itselleni, joten tätä voisi tarkentaa. Jos on tutkimuseettinen asia, niin lakimies on useimmiten väärä taho kystä apua, suurimmissa orgnisaatioissa on myös henkilöstöä neuvomaan tutkimuseettisissä asioissa, joka on minusta oikea taho kysyä apua. → tehty AR 02102023: "... six specific criteria defined by The ethical principles of research with human participants and ethical review in the human sciences in Finland (TENK)" → Ehdotus: "... six specific criteria defined by Finnish National Board on Research Integrity in The ethical principles of research with human participants and ethical review in the human sciences in Finland (TENK)" KF: Muotoilu korjattu Leipätekstissä ei viitata lainkaan TENK ohjeeseen ja lakiin (laki lääketieteellisestä tutkimuksesta), johon tarve hakea tutkimuseettinen lasunto pohjimmiltaan perustuu. Orginisaatioilla voi olla näihin pohjautuvia ja täydentämviä ohjeita. Lista tilanteista jolloin lausunto pitää hakea ei ole täydellinen, sekin olisi hyvä mainita jos nämä ovat vain esimerkkejä. -->lisätty UEF:
AR 02102023: Pystyisikö lopussa kohdan "Read the guidelines..." + linkkilistan erottamaan edeltävästä sisällöstä niin, että kukaan ei erehdyksessä tulkitsisi sitä ainoastaan "Ethical reviews and considerations" -osion osaksi? Voisiko olla esim. omana osionaan "Further information, guidelines and templates" tms.? CSC-SD services office:
HULib/Tuulitoimisto (SM)
HY Ehdotus muotoiluksi: Ethical reviews and considerations When individuals are involved in research, Ethical Consent to Participate needs to be obtained from participants. Informed consent to participate in a study is a fundamental premise for all research involving human subjects, both in medicine and in the human sciences. From the perspective of data protection, it is possible to derogate from the data subject’s informing and other rights in some specific situations. To obtain more information on these derogations and related requirements, contact your organisation’s data or legal support. Find out from your organisation if your research requires an ethical review. An ethical review is mandatory in medical research (Medical Research Act (986/1999)). In human sciences, an ethical review is only required if the study meets one of the six specific criteria defined by the National Board on Research Integrity (TENK). These criteria include, for example, if participation in the study deviates from the principle of informed consent or research involves risk of causing mental harm to the research participants. Take into account that some publishers and funders may require ethical review. Remember, an ethical review can only be carried out prior to data collection. Assess if there are other ethical considerations regarding your data, e.g. sensitive species data, (seuraava siirretty poistetusta lauseesta tähän:) handling special categories of personal data, sensitive location data, artificial intelligence. Plan your data storage and opening with these in mind. → muokattu soveltuvin osin |
2.2 How will you manage the rights of the data you use, produce, and share? | Agreements on data ownership and other intellectual property rights must be concluded before commencing any actual research activities. These define the processing of the data in many ways. In cases where personal data is handled by a processor, such as an external service provider, a Data Processing Agreement (DPA) must be prepared between the controller and processor. The DPA provides instructions for data processing. The data controller is also required to inform the research participants when personal data is handled by a processor. This information should be included in the privacy notice. When working with confidential data, consider whether non-disclosure agreements are needed for researchers or data processors. When using pre-existing data, consider what permissions and data access agreements are needed to access and use these data. Ensure you handle the data and delete it as specified by the data controller or owner. If you wish to archive the anonymised data in the end of the research, be sure to include any plans of archiving the anonymised data in your data request. Specify in your research group who has access to what data, and if there are any restricted datasets/work areas/folders. If possible, name the person who manages and grants access rights to the data. Please also find out whether the funder of your research, owner of the data or any other external party has any claims concerning the data. Template agreements are provided by your own research organisation, as well as consultation on making agreements, obtaining permssions and addressing IPR aspects of the data that you plan to collect or reuse. | Lisäisin lihavoidun osuuden alla olevaan When using pre-existing data, consider what permissions you need to access and use it. Ensure you handle the data and delete it as specified by the data controller or owner. If you wish to archive the anonymised data in the end of the research, include the plan in the data request. → lisätty AR 02102023: Jäin vielä miettimään, onko tämä sanamuoto riittävän selkeä tutkijalle "include the plan in the data request"; onko tätä mahdollista selkeyttää, ts. täsmentää, mikä suunnitelma on kyseessä? EV Toimisko: "Be sure to include any plans of archiving the anonymised data in your data request." KF: Muokattu ehdotuksen mukaisesti AR02102023: Ehdotus - olisiko hyvä vielä tarkentaa organisaatioiden tarjoamien palvelujen osalta, esim. "Template agreements and consultation are provided by your own research organisation." → Template agreements are provided by your own research organisation, as well as consultation on making agreements, obtaining permssions and addressing IPR aspects of the data that you plan to collect or reuse. KF: Muokattu Kaipaisiko tämä hieman rautalankaa? Vika lause hieman ontuva. (EV) "In cases where personal data is handled by a processor, such as an external service provider, a Data Processing Agreement (DPA) must be prepared between the controller and processor. The DPA provides instructions for data processing. The data controller is also required to inform the research participants when personal data is handled by a processor. This information can be included in the privacy notice. " KF: Lisäsin, mutta pitäisikö olla "This information should be included in the privacy notice"? UEF:
CSC-SD service office:
|
| 3. Documentation & metadata |
|
3.1 How will you document your data in order to make it findable, accessible, interoperable, and re-usable for you and others? What kind of metadata standards, README files or other documentation will you use to help others to understand and use your data? | When describing data, please remember that file and folder names as well as variables and metadata may contain personal or sensitive data. Even if your research data contains personal data, related metadata can be published if it does not contain identifiers which could be used to identify a study subject. Tips
Links
| Uusi TIP -ehdotus
(AH Aalto yliopisto) Anonyymi data ei ole enää henkilötietoa lainkaan, joten ei siten tietysti myöskään arkaluonteista GDPR:n näkökulmasta. Korostaisin kuitenkin, että lainsäädännössä datan anonymiteetille asetetut vaatimukset ovat korkeat. Harvoin on niin päin, että tutkijat ratsastaisivat liian vähän datan anonymiteetillä, vaan suurimassa osassa tapauksia tutkijat ajattelevat datan olevan anonyymiä, vaikka se ei sitä lainsäädännnö näkökulmasta ole. Lisäsisin tästä kommentin, jos tämä anonymiteetti asia lisätään. Lisäyksiä lihavoituna. (nämä ok, IH, TS, MM) 20.9.2023 (Iina, Matilda, Taisa)
25.9.2023 (HY - matilda)
|
4. Storage and backup during the research project |
| |
4.1 Where will your data be stored, and how will the data be backed up? | According to the General Data Protection Regulation (GDPR), risks related to the processing of personal data must be assessed before processing any such data. Familiarise yourself with the national and organisational data protection and risk management guidelines and consider the following:
Note that, health and social data from public register (processing under secondary-use law) can be processed only in audited environments listed in Valvira's TOINI register. These data can be accessed only if researchers have a permit from the data controller, and the data is available only in the registered research environment. The risk assessment is used to determine the required protective measures for the entire lifecycle of the data (see also section 4.2). After completing the assessment, verify with the data protection officer of your organisation whether your data requires a Data Protection Impact Assessment (DPIA) in accordance with the GDPR. Please familiarise yourself with your organisation's information classification and the related instructions on sensitive data storage services, data sharing, and tools with which information security is ensured in the processing of data. Also find out the service address of your organisation’s data protection and IT units. CSC Sensitive Data services support national requirements for sensitive data and comply with the General Data Protection Regulation (GDPR). Using SD Connect you can store and share encrypted sensitive data and using SD Desktop you can create a private workspace to compute sensitive data. Tips
Links
| Enrico Glerean (Aalto) 9/6/2023: one standardized (ISO27001) framework of referring to these issues is "information classification", so these two words could be included to help researchers find the relevant pages in their organisations. The sentence "Please read your organisation's instructions" could be rephrased: → Minna & Siiri modified the text in the left column using green / 8.9.2023 --- Lise, Marjut, Tero:
Minna 29.9.: Tekoälyasiasta pitäisi varmasti keskustella silloin kun on tarkoitus päivittää geneeristä kansallista ohjetta. Tähän täydentävään DMP-ohjeeseen en sitä sijoittaisi. Kokouksessa 4.10. lisätty muokattu lause tekoälylinjauksista eli tämä nyt ok . / MA UEF:
CSC-SD services office:
TAU Kohta 4.1 Where will your data be stored, and how will the data be backed up?: Art. 9 ja Art. 10 tietojen suojausvaatimuksissa on kansallisia eroja. Suomen vaatimuksista määrätään tietosuojalaissa (1050/2018) 6.2 §. Käsittelyyn tulee valita sellainen ympäristö, joka täyttää suojausvaatimukset TAI tiedot tallentavan on huolehdittava itse (kryptaus). Jakopalvelun toimittajan kanssa on oltava siitä sopimus. Aineiston metatietoihin tulee dokumentoida rekisterinpitäjä – kuka tiedot palveluun on vienyt. - Minna 21.9. "kansallinen" lisätty, jakamista käsitellään muualla, kryptaus sisällytetty tipseihin. - Mielestämme ei mene liian yksityiskohtaiselle tasolle (Lise, Marjut, Tero) Ok, eli millaista lisäystä ehdotatte? Eli mitä kuuluisi ohjeistaa yleisohjeen puolella ja mitä nimenomaan täällä täydentävässä ohjeessa? Nyt lisätty tipseihin "services based in EU"- Minna 2.10. Esim. Euroopan komissio suosittelee Horizon hakujen yhteydessä näin: "as soon as possible and within the deadlines set out in the DMP, deposit the data in a trusted repository (federated in the EOSC if required in the call conditions) ---- Trusted repositories are either certified repositories (e.g. CoreTrustSeal, nestor Seal DIN31644, ISO16363) and/or disciplinary/domain repositories that are commonly used/endorsed by the research communities (e.g. ELIXIR deposition databases)."
|
4.2 Who will be responsible for controlling access to your data, and how will secured access be controlled? | Access to confidential, personal or sensitive personal data must be limited to those individuals for whom it is necessary in order to carry out the research. Data can be accessible only with expressly granted permissions. Please take into account that this group also includes the parties that maintain the services and equipment used and other external service providers, if any. Please familiarise yourself with the principles, guidelines and tools related to the management of access rights in your organisation. Find out how misuse and damage related to personal data are reported in your organisation. Tips
| "What are the protocols for secure data transfer?" ← Lisäys kymmenientuhansien henkilöiden henkilötunnuksia ja terveystietoja samassa tavallisessa sähköpostissa ulkomailta saaneelta tutkijalta. Muokattu S&M 8.9.2023 CSC-SD service office:
|
5. Opening, publishing, and archiving the data after the research project |
| |
5.1 What part of the data can be made openly available or published? Where and when will the data, or its metadata, be made available? | Publishing datasets that contain confidential, personal, or sensitive personal data cannot be done in the same manner as non-sensitive datasets. You need to carefully consider the option suitable for your dataset and use special caution. Please familiarise yourself with the principles and guidelines in your organisation and contact your organisation's data support services for help. The following publishing ways are recommended:
Datasets that contain personal data can be disclosed to interested parties who have been granted a permit for a purpose corresponding with the original grounds for processing. The original grounds for processing datasets containing personal data, such as statutory grounds or consent, can restrict any further use. For example, if the original consent form does not cover the further use of the data, opening the dataset may require requesting fresh consent from the data subjects. Links
| Enrico Glerean (Aalto) 9/6/2023: I would also ad the tag "Minimisation" in this section. Ohjeessa on nyt näin:
Esimerkiksi Tietoarkistoon voi nykyisin arkistoida pseudonyymejä datoja - tyypillisesti pitkittäistutkimuksia, joiden aineistoista tulee aikanaan anonyymejä, kun tutkijat tutkimuksen päätyttyä hävittävät henkilötiedot. Niiden hallinta on vain mutkikkaampaa kuin muiden aineistojen. Tällöin Privacy notice should include information about GDPR-roles and the regulation of data flow
En nyt tietenkään ehdota, että tuommoista ohjeeseen kirjattaisiin. Voisiko tuon kohdan muuttaa esim.
Vaikka discovery metadata on mainittu, tästä puuttuu jokin tällainen: "Make your metadata available, preferably in a structured form (e.g., DDI). Ensure the portability and longevity of both data and metadata by following national recommendations on file formats (https://www.digitalpreservation.fi)". HULib /Tuulitoimisto (SM)
→ Muokattu kohtaa 2, mutta jätetty DDI mainitsematta. Lisäksi lisätty kommentin perusteella linkki loppuun national recommendations on file formats. Mitä mieltä muut ovat?
|
5.2 Where will data with long-term value be archived, and for how long? | Many trustworthy data repositories provide long-term storage for data with long-term value and some accept sets of personal data in exceptional cases. (See e.g. Language Bank, Aila (FSD). Please contact those services before collecting the data to get the necessary instructions. Digital Preservation Service for Research Data (DPS) offers long-term preservation of research data for higher education and research institutions. Each organisation determines their process for identifying valuable research data and transferring it to the service. Sensitive personal or confidential data can be preserved in DPS depending on the organisational guidelines and research permits. DPS is meant for preserving research data, not archiving. Archiving research datasets is possible on the grounds of complying with the Data Protection Act. Based on the Data Protection Act (Section 4.4.) the processing of personal data for archiving purposes is necessary and proportionate to the aim of public interest. Exceptions to the restrictions are made for the processing of special categories of personal data for archiving purposes in the public interest in accord with the Data Protection Act (Section 6.8.) Archived sets of (personal) data are no longer actively used for the original purpose. The recommendation is to erase all personal, confidential, and sensitive data, when it is no longer required by its original purposes of processing. Simply deleting a file and emptying the recycle bin is not enough. Deleted data can be recovered even after reformatting the hard disk. There is software available for the permanent disposal of data based on, for example, overwriting, or demagnetising hard disks. Storage devices can also be mechanically crushed into an unreadable state. Tips
Links
| Lisäisin alla olevan lihavoidun tekstin Many trustworthy data repositories provide long-term storage for data with long-term value and some accept sets of personal data in exceptional cases. (See e.g. Language Bank, Aila (FSD). Please contact those services before collecting the data to get the necessary instructions. → muokattu / S&M 8.9.2023 "Your institution may have separate rules and recommendations; consult these before destroying data." → Muokattu tipsien viimeistä bullettia, mitä mieltä olette?
(AH Aalto yliopisto) "The recommendation is to destroy all personal, confidential, and sensitive data after the research project has ended, as storing it is risky and requires special arrangements." Meillä ei ole tällaista suositusta, että data pitäisi tuhota heti tutkimusprojektin päättymisen jälkeen. Meillä useint tutkijat määrittävät säilytysajan X vuotta viimeisimmästä julkaisusta, jossa dataa on hyödynnetty. Säilytysaikaa, joka on tarpeellinen tutkimuksen toteuttamiseksi on monesti vaikea määrittää etukäteen datan keräämisen yhteydessä, kun ei tiedetä kauanko julkaisu kestää ja kuinka monta julkaisua datasta tehdään. Tätä lausetta pitää siis muokata. GDPR:n mukaan säilytysaikaa ei tarvitse kertoa päivän päälle, vaan jos henkilötietojen säilytysaikaa ei ole mahdollista ilmoittaa täsmällisesti, riittää että ilmoittaa tämän ajan määrittämiskriteerit. Tämän voisi muotoilla ehkä niin, että data pitää poistaa heti kun sitä ei enää tarvita siihen käyttötarkoitukseen, johon se on kerätty. → muokattu tietosuojavaltuutetun sivun ohjeen mukaisesti, mitä mieltä? L https://tietosuoja.fi/en/storage-limitation → lisättiin myös linkki TAU Kohdassa 5.2 Where will data with long-term value be archived, and for how long? Minna 21.9. : Eli pitääkö ohjetta muokata? Nyt siis ohjeessa siteerattu jo Data Protection actia? Meneekö erikseen genomidatasta ohjeistaminen liian yksityiskohtaiseksi eli kannattaako eri datatyypeistä antaa ohjetta? Tutkimusken päätyttyä on arvioitava, onko oikeutta säilyttää tai onko oikeus jakaa aineistoa ja jos on, missä sen voi tehdä. Sensitiivisen datan osalta data repositoryissä rakennetaan luvituspalveluita, joissa rekistrinpitäjä tai muu data holder tekee luovutuspäätöksen tietopyynnön perusteella. Minna 21.9. Eli pitääkö tämän pohjalta tehdä muutoksia ohjeeseen? Tässä kohdassa ohjetta ei toistaiseksi käsitellä jakamista ja luvitusta. Ks. 5.1. |
6.1 Who (for example role, position, and institution) will be responsible for data management? | Though the PI carries overall responsibility of the project, specify here what tasks and responsibilities the project members will take on. For example, who is responsible for:
Consider if these responsibilities will be shared with partners or external parties, for example in cases of joint controllership. | |
6.2. What resources will be required for your data management procedures to ensure that the data can be opened and preserved according to FAIR principles (Findable, Accessible, Interoperable, Re-usable)? | This covers both direct costs to the project as well as personnel hours spent on data management. The foundation for creating FAIR data will be embedded into everyday working practices (file naming, documentation, agreements etc.). Estimated time required for this depends on the data management responsibilities (6.1.) of the project members. When planning the resources needed, the following must be taken into account:
| HULib/Tuulitoimisto (SM)
|