Sikkerhetskrav ved lagring av aktivt forskningsmateriale ved NIH

Lagring og behandling av aktivt forskningsmateriale, herunder behandling av helse eller personopplysninger som NIH er behandlingsansvarlig for, skal så langt det er mulig skje ved bruk av NIHs IKT-system. 
IT-utstyret som benyttes i forskningsprosjekt skal som hovedregel tilhøre NIH og det skal bare benyttes av de som er knyttet til prosjektet og som har signert taushetserklæring. Andre skal ikke ha tilgang til eller bruke utstyret. IT-utstyret skal være passord-beskyttet i henhold til reglene i § 2.2 i NIHs instruks for bruk av IT-utstyr.
 
Dersom avidentifiserte data skal oppbevares på bærbar enheter skal disse være kryptert og enheten skal være sikret med passord
 
Personidentifiserbare opplysninger (det vil si som ikke er avidentifisert eller anonymisert) skal som hovedregel ikke lagres elektronisk på stasjonær eller bærbar enhet. Personopplysningene skal derfor snarest mulig etter innsamling avidentifiseres ved hjelp av koblingsnøkkel. I praksis betyr dette for eksempel at navnelister oppbevares atskilt fra intervjudata, at lydopptak ikke merkes med navn, men heller med nummer osv. Personidentifiserbare opplysninger kan unntaksvis lagres elektronisk på NIHs filserver på eget, lukket område (sikker sone) når dette er klart nødvendig ut fra formålet med behandlingen. IKT skal godkjenne slik lagring.  
 
Koblingsnøkkel eller annet materiale som kan brukes til å identifisere personene, skal ikke lagres på samme maskin, filserver eller annet lagringsmedium som forskningsdataene. Manuelle koblingsnøkler som er nedlåst separat vil normalt oppfylle kravet om tilfredsstillende atskillelse fra det resterende datamateriale.
 
Personidentifiserbare personopplysninger må ikke overføres elektronisk ved hjelp av overføringsmedium (e-post, minnepinn, cd-rom, pda, mobiltelefon eller lignende). Ved overføring av forskningsdata må disse være avidentifiserte og krypteres. Koblingsnøkkel skal alltid overføres separat. Den/de som får tilgang til dataene skal ha signert taushetserklæring og oppbevare dataene i samsvar med NIHs sikkerhetskrav
 
Dersom data inneholdende personopplysninger lagres på lydbånd, på papir eller på bærbar pc, må man forsøke å avidentifisere opplysningene best mulig. Anvendes bærbar pc, pda eller lignende, er det viktig å sikre maskinen med passord.
 
Når et forskningsprosjekt pågår, vil det ofte bli innsamlet materiale som kan utgjøre store mengder papir i form av spørreskjema og/eller videotaper/båndopptak. Dette materialet må oppbevares bak låste dører/ i skuffer/skap som kun involverte forskere/studenter har adgang til. En låst kontordør vil typisk ikke være tilstrekkelig, da det ofte vil være mange som har nøkkel til kontoret. I slike tilfelle må materialet oppbevares i låst skuffe eller skap. Ingen andre enn de involverte forskere/studenter og evt. de medarbeidere som har ansvar/roller i NIHs informasjonssikkerhetssystem skal informeres om eksistensen av materialet.
 
Tilsvarende gjelder for oppbevaring av humant biologisk materiale.
Ved utskrift av personidentifiserbare opplysninger skal man så vidt mulig bruke separat printer som ingen annen har tilgang til eller anvende personlig kode til å få papirene skrevet ut. Kontakt IKT-seksjonen hvis du er i tvil.