Как стать автором
Поиск
Написать публикацию
Обновить

Как обеспечить конфиденциальность и безопасность данных участников исследования

Время на прочтение7 мин
Количество просмотров2.6K
Информационная безопасность*Интерфейсы*Хранение данных*Дизайн мобильных приложений*Дизайн
Перевод
Автор оригинала: Samhita Tankala

Обеспечение конфиденциальности и безопасности данных участников до, во время и после сбора данных критично важно для процесса исследования пользователей. Он защищает участников от утечек данных и киберугроз.

Из-за активного развития законодательной базы о защите данных, исследователям приходится всё больше уделять внимание тому, как обеспечивается конфиденциальность данных участников до, во время и после исследования. Собранные данные ценны для исследователей, но еще более они важны для самих участников исследования. В нашей зоне ответственности лежит задача убедиться, что мы не нарушаем принципы исследовательской этики и проявляем уважение к участникам на каждом из этапов.

Почему важна защита данных участников 

Сегодня всё чаще сбор данных завязян на Интернет, отсюда растет и количество утечек данных и киберугроз. Участники исследования стали более уязвимы, чем когда-либо, поскольку исследователи проводят удаленные юзабилити-тесты, используют сторонние приложения или хранят данные и обмениваются ими в Интернете. По данным Politico, в 2021 году почти 50 миллионов человек в США столкнулись с утечкой данных о здоровье. Утечки конфиденциальных данных создают огромные потребителям и обходятся отрасли здравоохранения в миллиарды долларов. Чтобы избежать таких потерь данных и нарушений конфиденциальности, независимо от отрасли, необходимо разработать методы обеспечения безопасности, которые органично впишутся в процесс исследования пользователей.

Основные условия

Терминологию конфиденциальности данных непросто понять. Прежде чем обсуждать лучшие методики обеспечения конфиденциальности и защиты данных, необходимо разобраться с терминами.

  • Шифрование — это процесс перестановки данных или преобразования их в код. Шифрование делает данные нечитаемыми, что важно при передаче и совместном использовании данных в Интернете. Зашифрованные данные поставляются с ключом, который предоставляет отправитель. Часто это принимает форму пароля или кодовой фразы. 

  • Конфиденциальность vs. анонимность: эти термины часто используются взаимозаменяемо, но очень важно понимать разницу между ними, чтобы обеспечить защиту участникам исследования. Конфиденциальность подразумевает неразглашение информации. Когда данные являются конфиденциальными, это означает, что они известны и связаны с конкретным участником, но эта информация не передается другим лицам. Анонимная же информация не может быть связана с личностью участника, который был источником этой информации.

  • Информированное согласие — это процесс, когда участников исследования информируют о том, какие данные будут собираться и как они будут использоваться, и участники соглашаются с этими условиями.

6 лучших практик для защиты данных в исследованиях пользователей

Защита данных должна быть тщательно продумана для каждого исследования, ниже вы найдете список основных рекомендаций, которым необходимо следовать до, во время и после исследования.

Перед началом сбора данных

1. Опишите процесс управления данными

Когда дело доходит до данных, вы должны действовать проактивно. Создайте документ с информацией о том, как данные должны собираться, храниться, защищаться и передаваться другим. Затем обязательно сообщите об этом всем членам команды. Назначенный редактор может обновлять рекомендации по мере изменения законов или политики компании. Этот гайд должны включать следующую информацию:

  • формы согласия и что они должны включать; 

  • правила хранения и совместного использования данных участников; 

  • инструкция по удалению данных после завершения исследования; 

  • план на случай утечки данных.

2. Разработайте план сбора данных для сохранения конфиденциальности участников

Прежде чем приступать к сбору данных, изучите законы и правила о конфиденциальности данных. Законы различаются в зависимости от места жительства, но хорошей отправной точкой послужит Общий регламент ЕС по защите данных (GDPR), который считается самым строгим законом о конфиденциальности и безопасности в мире. Законы и правила сложны, но они призваны свести к минимуму риск утечки данных и киберугроз. Исследователи должны следовать закону и использовать его в качестве ориентира при разработке плана сбора данных. Ваш план должен включать, какие данные будут собираться, как они будут использоваться и кому они потенциально будут переданы. Для разработки плана сбора данных исследователи должны задать себе следующие вопросы:

  • Нужны ли идентифицирующие данные? Повлияют ли эти данные на результаты? Исследователю необходимо уметь обосновать необходимость собирать идентифицируемые данные. Хороший способ сделать это — составить список признаков (идентификаторов), которые вы собираете, и описать, зачем они нужны и как они будут использоваться. Эта информация также будет полезна для создания форм согласия участников.

  • Какие инструменты следует использовать для безопасного и надежного сбора данных? Когда исследования проводят несколько человек, часто используется несколько инструментов и, как следствие, несколько способов хранения данных. Прежде чем приступить к сбору данных, команды должны решить, какие инструменты использовать, чтобы избежать хранения в нескольких местах и, таким образом, иметь возможность управлять рисками, связанными с утечкой данных.

3. Подготовьте информированное согласие

Информированное согласие — это улица с двусторонним движением между исследователем и участником. Исследователи информируют участников о том, что влечет за собой их участие в исследовании, какие данные будут собираться и как они будут использоваться. Затем участникам дают возможность принять решение об участии на основе этой информации. Это сообщение обычно представляется в виде формы согласия, которая должна включать следующее:

  • информация об исследовании и других активносях, связанных с ним; 

  • какие данные будут собираться; 

  • как будут использоваться собранные данные; 

  • шаги, которые предпримут исследователи для защиты полученных данных.

В процессе и после сбора данных

4. Обеспечьте анонимность участников

Анонимность следует сохранять при ведении заметок, при очистке данных и подготовке их к хранению или при распространении результатов. Качественные исследователи должны уделять пристальное внимание тому, как они представляют личные данные участников. Даже если они не используют имена и другие ключевые идентификаторы, личную информацию все равно можно вывести на основе индивидуальных или групповых характеристик. Поэтому исследователи должны следовать этим практикам:

  • Заранее обдумайте, какие данные необходимо собрать, и запрашивайте у участников только ту информацию, которая действительно нужна.

  • Не используйте имена участников или любые другие ключевые идентификаторы (например, номер социального страхования, дату рождения) в примечаниях и именах файлов. 

  • При юзабилити-тестировании приостановите запись, пока участники вводят имена пользователей, пароли, адреса или другую идентифицирующую информацию. Можно использовать поддельные учетные данные, если это необходимо для исследования. 

  • Если, несмотря на меры предосторожности, видео- или аудиозапись содержит идентифицирующую информацию, обязательно удалите эту часть записи или размойте ее как можно скорее.

5. Делитесь файлами безопасным способом только с теми людьми, которым они нужны

В целом исследователи должны контролировать, кто и когда имеет доступ к данным. Доступ должен быть предоставлен только тем людям, которые действительно в нем нуждаются. Исследователи не должны собирать и обмениваться данными в облачных сервисах хранения, таких как Google Drive, Dropbox и One Drive. Они не смогут обеспечить полный контроль над данными, и в случае, если облачный провайдер не работает или его взломают, у вас не будет возможности решить эту проблему. Хотя использование облачных сервисов упрощает обмен информацией, исследователи не имеют полного контроля над данными, хранящимися в облаке, и подвергают участников исследования утечке данных и киберугрозам. Вместо этого следует рассмотреть возможность использования внешнего диска для хранения зашифрованных данных и найти более безопасные способы обмена данными (например, с помощью служб безопасной передачи файлов, таких как Hightail).

6. Удалите данные, которые больше не нужны

Идея сохранить данные заманчива, но один из лучших способов защитить данные — это удалить их, как только вы закончите с ними работать. Эта практика снижает риски утечки данных. Также возможны случаи, когда заказчик или участник хочет, чтобы данные были удалены навсегда. Чтобы сделать это как можно проще, исследователи должны:

  • Иметь четкий способ идентификации и извлечения персональных данных участника. Можно использовать стандартный формат наименования файлов и папок с данными. Это упрощает переход к соответствующей папке со всеми данными участника. Если вы включаете данные участников в презентацию или другие результаты, вы можете использовать теги в файлах, чтобы указать, в каких внешних материалах использовалась эта часть данных.

  • Избегать дублирования данных в нескольких местах.

  • Использовать консистентный (единообразный) способ хранения данных, чтобы их можно было легко найти, а не искать по всем файлам, если нужно быстро удалить данные. Непротиворечивость помогает исследователям эффективно и действенно отслеживать данные.

Как применять практики

Применение этих методов не должно требовать дополнительных усилий. Наоборот, они должны органично вписываться в 5 шагов процесса исследования пользователей:

  1. Разработать план исследования.

  2. Отобрать участников.

  3. Провести исследование.

  4. Синтезировать данные.

  5. Поделиться данными.

Как интегрировать лучшие практики обеспечения конфиденциальности и безопасности в 5-этапный процесс исследования пользователей
Как интегрировать лучшие практики обеспечения конфиденциальности и безопасности в 5-этапный процесс исследования пользователей

Чтобы повысить ценность и влияние конфиденциальности и безопасности участников исследований при масштабировании, эти передовые методы следует внедрить в существующий процесс исследования (ResearchOps). ResearchOps упрощает управление операционными аспектами, связанными с конфиденциальностью и безопасностью. Внедрение этих практик и поиск способов их практического применения позволяет исследователям тратить больше времени на проведение исследований и масштабирование информации безопасным и надежным способом.

Вывод 

Обеспечение конфиденциальности и безопасности данных участников должно быть приоритетом для всех исследователей. Поскольку исследователи продолжают разрабатывать новые технологии и работать над этим с большим количеством участников, следование этим передовым методам является важным отправным пунктом.

Ссылки

Кайзер К., 2009 г. Защита конфиденциальности респондентов в качественных исследованиях. [электронная книга] Чикаго: качественные исследования в области здравоохранения. (ноябрь 2009 г.)

Теги:
Хабы:
Всего голосов 3: ↑3 и ↓0+3
Комментарии0
4
Карма
0
Рейтинг
@vesyolkinaolga

Пользователь

Отправить сообщение

Публикации

Показать лучшие за всё время

Истории

Работа

Специалист по информационной безопасности
151 вакансия
Веб дизайнер
39 вакансий

Ближайшие события

Дизайнеры, выбирайте себе компанию по вайбам на Хабр Карьере
Дата15 – 28 апреля
Место
Онлайн
Подробнее в календаре
Конференция «Я.Железо»
Дата18 мая
Время14:00 – 23:59
Место
МоскваОнлайн
Подробнее в календаре
Firebird Conf: конференция для разработчиков и администраторов СУБД Firebird
Дата6 июня
Время09:00 – 20:00
Место
Москва
Подробнее в календаре
Конференция «IT IS CONF 2024»
Дата20 июня
Время09:00 – 19:00
Место
Екатеринбург
Подробнее в календаре

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr