Обеспечение конфиденциальности и безопасности данных участников до, во время и после сбора данных критично важно для процесса исследования пользователей. Он защищает участников от утечек данных и киберугроз.

Из-за активного развития законодательной базы о защите данных, исследователям приходится всё больше уделять внимание тому, как обеспечивается конфиденциальность данных участников до, во время и после исследования. Собранные данные ценны для исследователей, но еще более они важны для самих участников исследования. В нашей зоне ответственности лежит задача убедиться, что мы не нарушаем принципы исследовательской этики и проявляем уважение к участникам на каждом из этапов.

Почему важна защита данных участников 

Сегодня всё чаще сбор данных завязян на Интернет, отсюда растет и количество утечек данных и киберугроз. Участники исследования стали более уязвимы, чем когда-либо, поскольку исследователи проводят удаленные юзабилити-тесты, используют сторонние приложения или хранят данные и обмениваются ими в Интернете. По данным Politico, в 2021 году почти 50 миллионов человек в США столкнулись с утечкой данных о здоровье. Утечки конфиденциальных данных создают огромные потребителям и обходятся отрасли здравоохранения в миллиарды долларов. Чтобы избежать таких потерь данных и нарушений конфиденциальности, независимо от отрасли, необходимо разработать методы обеспечения безопасности, которые органично впишутся в процесс исследования пользователей.

Основные условия

Терминологию конфиденциальности данных непросто понять. Прежде чем обсуждать лучшие методики обеспечения конфиденциальности и защиты данных, необходимо разобраться с терминами.

  • Шифрование — это процесс перестановки данных или преобразования их в код. Шифрование делает данные нечитаемыми, что важно при передаче и совместном использовании данных в Интернете. Зашифрованные данные поставляются с ключом, который предоставляет отправитель. Часто это принимает форму пароля или кодовой фразы. 

  • Конфиденциальность vs. анонимность: эти термины часто используются взаимозаменяемо, но очень важно понимать разницу между ними, чтобы обеспечить защиту участникам исследования. Конфиденциальность подразумевает неразглашение информации. Когда данные являются конфиденциальными, это означает, что они известны и связаны с конкретным участником, но эта информация не передается другим лицам. Анонимная же информация не может быть связана с личностью участника, который был источником этой информации.

  • Информированное согласие — это процесс, когда участников исследования информируют о том, какие данные будут собираться и как они будут использоваться, и участники соглашаются с этими условиями.

6 лучших практик для защиты данных в исследованиях пользователей

Защита данных должна быть тщательно продумана для каждого исследования, ниже вы найдете список основных рекомендаций, которым необходимо следовать до, во время и после исследования.

Перед началом сбора данных

1. Опишите процесс управления данными

Когда дело доходит до данных, вы должны действовать проактивно. Создайте документ с информацией о том, как данные должны собираться, храниться, защищаться и передаваться другим. Затем обязательно сообщите об этом всем членам команды. Назначенный редактор может обновлять рекомендации по мере изменения законов или политики компании. Этот гайд должны включать следующую информацию:

  • формы согласия и что они должны включать; 

  • правила хранения и совместного использования данных участников; 

  • инструкция по удалению данных после завершения исследования; 

  • план на случай утечки данных.

2. Разработайте план сбора данных для сохранения конфиденциальности участников

Прежде чем приступать к сбору данных, изучите законы и правила о конфиденциальности данных. Законы различаются в зависимости от места жительства, но хорошей отправной точкой послужит Общий регламент ЕС по защите данных (GDPR), который считается самым строгим законом о конфиденциальности и безопасности в мире. Законы и правила сложны, но они призваны свести к минимуму риск утечки данных и киберугроз. Исследователи должны следовать закону и использовать его в качестве ориентира при разработке плана сбора данных. Ваш план должен включать, какие данные будут собираться, как они будут использоваться и кому они потенциально будут переданы. Для разработки плана сбора данных исследователи должны задать себе следующие вопросы:

  • Нужны ли идентифицирующие данные? Повлияют ли эти данные на результаты? Исследователю необходимо уметь обосновать необходимость собирать идентифицируемые данные. Хороший способ сделать это — составить список признаков (идентификаторов), которые вы собираете, и описать, зачем они нужны и как они будут использоваться. Эта информация также будет полезна для создания форм согласия участников.

  • Какие инструменты следует использовать для безопасного и надежного сбора данных? Когда исследования проводят несколько человек, часто используется несколько инструментов и, как следствие, несколько способов хранения данных. Прежде чем приступить к сбору данных, команды должны решить, какие инструменты использовать, чтобы избежать хранения в нескольких местах и, таким образом, иметь возможность управлять рисками, связанными с утечкой данных.

3. Подготовьте информированное согласие

Информированное согласие — это улица с двусторонним движением между исследователем и участником. Исследователи информируют участников о том, что влечет за собой их участие в исследовании, какие данные будут собираться и как они будут использоваться. Затем участникам дают возможность принять решение об участии на основе этой информации. Это сообщение обычно представляется в виде формы согласия, которая должна включать следующее:

  • информация об исследовании и других активносях, связанных с ним; 

  • какие данные будут собираться; 

  • как будут использоваться собранные данные; 

  • шаги, которые предпримут исследователи для защиты полученных данных.

В процессе и после сбора данных

4. Обеспечьте анонимность участников

Анонимность следует сохранять при ведении заметок, при очистке данных и подготовке их к хранению или при распространении результатов. Качественные исследователи должны уделять пристальное внимание тому, как они представляют личные данные участников. Даже если они не используют имена и другие ключевые идентификаторы, личную информацию все равно можно вывести на основе индивидуальных или групповых характеристик. Поэтому исследователи должны следовать этим практикам:

  • Заранее обдумайте, какие данные необходимо собрать, и запрашивайте у участников только ту информацию, которая действительно нужна.

  • Не используйте имена участников или любые другие ключевые идентификаторы (например, номер социального страхования, дату рождения) в примечаниях и именах файлов. 

  • При юзабилити-тестировании приостановите запись, пока участники вводят имена пользователей, пароли, адреса или другую идентифицирующую информацию. Можно использовать поддельные учетные данные, если это необходимо для исследования. 

  • Если, несмотря на меры предосторожности, видео- или аудиозапись содержит идентифицирующую информацию, обязательно удалите эту часть записи или размойте ее как можно скорее.

5. Делитесь файлами безопасным способом только с теми людьми, которым они нужны

В целом исследователи должны контролировать, кто и когда имеет доступ к данным. Доступ должен быть предоставлен только тем людям, которые действительно в нем нуждаются. Исследователи не должны собирать и обмениваться данными в облачных сервисах хранения, таких как Google Drive, Dropbox и One Drive. Они не смогут обеспечить полный контроль над данными, и в случае, если облачный провайдер не работает или его взломают, у вас не будет возможности решить эту проблему. Хотя использование облачных сервисов упрощает обмен информацией, исследователи не имеют полного контроля над данными, хранящимися в облаке, и подвергают участников исследования утечке данных и киберугрозам. Вместо этого следует рассмотреть возможность использования внешнего диска для хранения зашифрованных данных и найти более безопасные способы обмена данными (например, с помощью служб безопасной передачи файлов, таких как Hightail).

6. Удалите данные, которые больше не нужны

Идея сохранить данные заманчива, но один из лучших способов защитить данные — это удалить их, как только вы закончите с ними работать. Эта практика снижает риски утечки данных. Также возможны случаи, когда заказчик или участник хочет, чтобы данные были удалены навсегда. Чтобы сделать это как можно проще, исследователи должны:

  • Иметь четкий способ идентификации и извлечения персональных данных участника. Можно использовать стандартный формат наименования файлов и папок с данными. Это упрощает переход к соответствующей папке со всеми данными участника. Если вы включаете данные участников в презентацию или другие результаты, вы можете использовать теги в файлах, чтобы указать, в каких внешних материалах использовалась эта часть данных.

  • Избегать дублирования данных в нескольких местах.

  • Использовать консистентный (единообразный) способ хранения данных, чтобы их можно было легко найти, а не искать по всем файлам, если нужно быстро удалить данные. Непротиворечивость помогает исследователям эффективно и действенно отслеживать данные.

Как применять практики

Применение этих методов не должно требовать дополнительных усилий. Наоборот, они должны органично вписываться в 5 шагов процесса исследования пользователей:

  1. Разработать план исследования.

  2. Отобрать участников.

  3. Провести исследование.

  4. Синтезировать данные.

  5. Поделиться данными.

Как интегрировать лучшие практики обеспечения конфиденциальности и безопасности в 5-этапный процесс исследования пользователей
Как интегрировать лучшие практики обеспечения конфиденциальности и безопасности в 5-этапный процесс исследования пользователей

Чтобы повысить ценность и влияние конфиденциальности и безопасности участников исследований при масштабировании, эти передовые методы следует внедрить в существующий процесс исследования (ResearchOps). ResearchOps упрощает управление операционными аспектами, связанными с конфиденциальностью и безопасностью. Внедрение этих практик и поиск способов их практического применения позволяет исследователям тратить больше времени на проведение исследований и масштабирование информации безопасным и надежным способом.

Вывод 

Обеспечение конфиденциальности и безопасности данных участников должно быть приоритетом для всех исследователей. Поскольку исследователи продолжают разрабатывать новые технологии и работать над этим с большим количеством участников, следование этим передовым методам является важным отправным пунктом.

Ссылки

Кайзер К., 2009 г. Защита конфиденциальности респондентов в качественных исследованиях. [электронная книга] Чикаго: качественные исследования в области здравоохранения. (ноябрь 2009 г.)

Комментарии (0)