波士顿大学医学校园澳门威尼斯人注册网站研究人员数据安全指南

2025年2月号

作者(年代):

David Corbett, j.d.，信息安全合规经理和HIPAA安全官

目的

本指南的目的是为波士顿大学医学校园（BUMC）澳门威尼斯人注册网站研究人员提供一般考虑事项，以管理由波士顿医学中心/波士顿大学医学校园机构审查委员会（BMC/BUMC IRB）审查和批准的人体受试者澳门威尼斯人注册网站研究中的数据安全。BMC澳门威尼斯人注册网站研究人员应寻求BMC澳门威尼斯人注册网站研究技术计划的指导。

数据安全要求

大学数据是由波士顿大学产生、拥有或以其他方式拥有的与大学活动相关的信息，包括澳门威尼斯人注册网站研究数据。大学澳门威尼斯人注册网站研究数据受波士顿大学数据保护标准的约束。根据大学的数据分类政策，数据被分类为公共、内部、机密或限制使用，必须采用不同的保护标准。

作为一名BUMC澳门威尼斯人注册网站研究员，我的职责是什么？

收集或利用澳门威尼斯人注册网站研究数据的澳门威尼斯人注册网站研究人员负责在具有适当安全措施的系统上访问、存储、传输和处理数据，以对所使用的数据进行分类。
澳门威尼斯人注册网站研究人员应该逐项列出作为其澳门威尼斯人注册网站研究的一部分所收集和/或利用的数据种类，并确定其数据需要的安全级别。
澳门威尼斯人注册网站研究人员应咨询IS&T和/或其当地IT支持小组，以确定访问、存储和使用其数据的最佳方式，特别是对归类为机密或限制使用的数据。

澳门威尼斯人注册网站研究数据示例和相应的BU数据分类

虽然波士顿大学的大多数澳门威尼斯人注册网站研究数据不受HIPAA隐私规则的约束，但HIPAA去识别标准（删除18个数据元素——例如，电子邮件地址、电话号码、出生日期、治疗日期、城市、邮政编码等）仍然是黄金标准。当数据以HIPAA隐私规则的方式去识别时，对于BU的平台使用没有特定的要求，因为数据被归类为公共数据。
同样，在HIPAA隐私规则下，数据被认为是有限数据集；这意味着，它们包含受保护的健康信息*，不包括直接标识符，通过将元素限制为日期、城市和邮政编码，有效地将数据匿名化。当以HIPAA有限数据集标准的方式对人类受试者健康信息进行匿名化时，可以使用BU共享计算集群，因为数据被归类为机密。
该澳门威尼斯人注册网站研究与健康有关，包括一些个人身份信息，如电子邮件地址、电话号码、图片/视频中的面部图像（即使没有与图像相关的姓名）等，因此数据被归类为限制使用。在BU，有几个服务清除了限制使用的数据，包括：

BU限制使用网络驱动器（nas-RU1或BUMC Y驱动器）；
BU Office365应用程序，如SharePoint、OneDrive、Teams和booking With Me；
BU REDCap高级调查工具
BU质量调查工具

IRB应用程序的注意事项

作为IRB在保护人类受试者的权利和福利方面的角色的一部分，澳门威尼斯人注册网站研究人员必须确定在澳门威尼斯人注册网站研究中提出的电子平台、数据传输方法、数据/文档存储计划等。这些信息可以在IRB应用程序的数据保密性部分中记录。BU的InfoSec提供了可用于IRB应用程序的数据保密性部分的示例语言。

鼓励澳门威尼斯人注册网站研究人员咨询IS&T使用第三方数据收集、存储或分析应用程序为他们的澳门威尼斯人注册网站研究。向IRB提供与BU IS&T的通信，以验证新颖或第三方应用的适当性，可以促进IRB对数据保密计划的审查。

由BU信息安全部门解答的澳门威尼斯人注册

数据存储和安全问题

1. 我已经完成了我的澳门威尼斯人注册网站研究学习，需要保存7年的数据。我该怎么做呢？

7年澳门威尼斯人注册网站研究数据保留要求的目的是：(1)符合联邦要求；(2)使大学能够回应诉讼/法律/传票请求。因此，数据应该保存在BU中。BU的IS&T提供多种存储选择，包括BU网络驱动器。

2. 我想把我的数据存储在一台有密码保护的电脑上，这台电脑将存储在一个上锁的办公室里，但有人提到BU也需要加密。这是真的吗？

是的，BU数据保护标准要求对所有非公共数据进行加密，包括机密和限制使用数据，即使计算机或设备存储在上锁的办公室中也是如此。

一般来说，澳门威尼斯人注册网站研究人员应该使用带有加密、补丁管理和高级威胁保护的BU管理计算机，如果怀疑受到攻击，这些计算机将向BU信息安全部门发出警报。学生可以使用个人电脑在共享计算集群或其他位置处理匿名数据，但数据不应存储在个人电脑上。

3. 什么时候可以使用BU b谷歌应用程序？

如果数据是可识别的，但与健康无关（例如，决策、短信/天），则可以使用BU谷歌应用程序。此外，如果数据是匿名的，并且不被视为来自HIPAA覆盖实体的HIPAA有限数据集，则受数据使用协议（DUA）的约束，则可以使用BU b谷歌应用程序。有关dua的更多信息，请联系BU的行业参与办公室。

数据传输和通信问题

1. 作为我的实地澳门威尼斯人注册网站研究的一部分，我正在用我的手机录制采访并上传到BU网络共享驱动器。但是，我的合作者没有访问BU网络共享驱动器的权限，他们希望将收集到的采访录音发短信给我。有更好的处理方法吗？

咨询IS&T的最新建议，然而，最近他们建议澳门威尼斯人注册网站研究人员使用BU Office365 SharePoint或OneDrive文件夹进行数据传输。SharePoint或OneDrive文件夹可以与合作者使用他们的专业电子邮件帐户共享（不应该使用个人地址）。协作者可以将SharePoint、Teams或OneDrive应用程序下载到手机上。

2. 我可以使用哪些平台来分享与健康有关的*信息？

为了避免澳门威尼斯人注册网站研究人员使用他们的个人手机打电话给澳门威尼斯人注册网站研究参与者，波士顿大学有几个建议的选择：

BU桌面电话或BU手机（短信解释如下）
带有购买电话号码的BU思科软电话应用程序或用于将BU桌面电话扩展到个人设备/tech/services/cccs/phone/linesequip/softphone/
Microsoft SharePoint或OneDrive可用于与BU和非BU合作者共享一个文件夹或单个文件/tech/support/information-security/security-for-everyone/share-sharepoint-files-or-folders/
BU Microsoft Teams和Zoom聊天功能可用于共享可识别的健康信息
BU REDCap高级调查工具可用于通过电子邮件或文本（使用Twilio）发送参与者信息（如视频）以及典型的澳门威尼斯人注册网站研究需求（如同意书，调查，提醒等）。

3. 我可以使用哪些平台发送约会更新和提醒，而不会泄露与健康相关的信息？

BU Microsoft Outlook可用于调度和发送Teams和Zoom邀请。
不属于BU HIPAA组件的澳门威尼斯人注册网站研究人员可以使用BU手机发送约会信息和提醒。
谷歌语音可以被不属于BU HIPAA组件的澳门威尼斯人注册网站研究人员用来发送和接收用于日程安排和约会提醒的文本消息。HIPAA组件不能发送文本消息，因为手机运营商不签署HIPAA业务合作协议。当手机运营商存储发往或来自患者的短信时，他们就成为了一种商业伙伴。
不属于BU HIPAA组件的澳门威尼斯人注册网站研究人员可以使用WhatsApp、bgmail Chat或iMessage进行预约设置或更新，但不能用于请求或发送与健康相关的信息。WhatsApp是一款Meta产品；虽然这些信息是加密发送的，但Meta可以访问使用其产品的手机上的信息。Meta、b谷歌和Apple等公司使用并共享用户信息。因此，澳门威尼斯人注册网站研究不应该要求使用这些应用程序，除非同意书概述了公司如何收集数据并与第三方公司共享数据。

澳门威尼斯人注册远程同意参与者的问题

1. 我可以使用BU REDCap获取包含健康相关问题的电子同意吗？

是的，我们有澳门威尼斯人注册设置电子同意的指导：https://www.bumc.bu.edu/crro/resources-library/e-consent-tools-and-guidance/
请注意：BU的REDCap可用于FDA （21 C.F.R. Part 11）合规性，但需要实施其他要求。发送电子邮件到rchelp@bu.edu开始这个过程。

2. 我想使用谷歌表单来同意参与者，可以吗？

如果你不是在做健康相关的澳门威尼斯人注册网站研究，谷歌表格也可以使用。但是，如果您正在进行与健康相关的澳门威尼斯人注册网站研究，那么我们建议使用BU Adobe Sign或BU Microsoft Forms共享同意书。另一个限制使用/HIPAA兼容选项是使用BU质量收集参与者同意。

联系我们和其他资源

请使用下面的其他资源，或通过bumcinfosec@bu.edu与北马信息安全联系。

BU信息安全澳门威尼斯人注册网站研究人员页面
IS&T提供的数据存储选项
BU HIPAA政策概述了BU覆盖组件必须如何保护HIPAA数据
BMC澳门威尼斯人注册网站研究技术计划

*与健康有关的信息非常广泛，包括与学校有关的压力或焦虑；但通常不包括社会参与、决策、每天发送的文本数量、教育实践、策略或有效性。