Datensicherheit

• Bei der Verwendung von personenbezogenen Daten in der Forschung m¨¹ssen die betroffenen Personen ¨¹ber die Verwendung ihrer Daten informiert werden und sie m¨¹ssen ihr Einverst?ndnis damit erkl?ren (informed consent). Dies gilt auch bei der Erhebung von biologischem Material.
• Das Erheben von personenbezogenen Daten nach einem Schnee?ball?system ist grunds?tzlich unzul?ssig. Das heisst, man darf Personen nicht nach Informationen ¨¹ber Dritte befragen.

• Forschungsdaten m¨¹ssen gem?ss den Richtlinien f¨¹r Integrit?t in der Forschung und gute wissenschaftliche Praxis an der ETH Z¨¹rich aufbewahrt werden, um die wissenschaftliche Nachpr¨¹fbarkeit der Forschungsergebnisse zu gew?hrleisten.
• Wer gesundheitsbezogene Personendaten oder biologisches Material f¨¹r die Forschung aufbewahrt, muss diese Daten durch geeignete betriebliche und organisatorische Massnahmen besonders sch¨¹tzen. Dazu geh?ren zum Beispiel die zur¨¹ckhaltende Gew?hrung des Zugangs zu den Daten (nur wo n?tig), die Verschl¨¹sselung oder die Anonymisierung (Art. 5 HFV; Art. 18 KlinV). Ausk¨¹nfte erteilt die Ethikkommission der ETH Z¨¹rich.
• Wenn keine besonderen L?schfristen bestehen, m¨¹ssen Personendaten (z.B. Forschungsdaten nach externe SeiteHumanforschungsgesetzcall_made) dann endg¨¹ltig archiviert oder gel?scht werden, wenn sie f¨¹r ihren Zweck nicht mehr erforderlich sind.
  

Eigentum der ETH Z¨¹rich
Prim?rdaten, die im Rahmen von Forschungsprojekten an der ETH Z¨¹rich erarbeitet werden, bleiben grunds?tzlich Eigentum der ETH Z¨¹rich. Forschende der ETH Z¨¹rich sind nicht verpflichtet, die Daten ausserhalb des Projektteams zug?nglich zu machen, bevor sie diese nicht selber verarbeitet, ausgewertet oder publiziert haben.

Wenn Sie nicht mehr zum Projektteam geh?ren
In jedem Forschungsprojekt wird durch einen Professor/eine Professorin in Absprache mit der jeweiligen Projektleitung bestimmt und schriftlich festgehalten, welche Teilnehmer nach ihrem Ausscheiden aus dem Projektteam Zugang zu den Prim?rdaten behalten sollen und zu welchen Zwecken sie diese Daten und Materialien verwenden d¨¹rfen.

Prim?rdaten zug?nglich machen
Nach Projektabschluss und Ergebnispublikation sollen die Forschungs?ergebnisse und die entsprechenden Ausgangsdaten der ?ffentlichkeit zug?nglich gemacht werden (soweit keine Geheimhaltungsinteressen oder vertragliche Verpflichtungen entgegenstehen): Open-Access-Policy der ETH Z¨¹rich

Planung und Struktur

Definieren Sie innerhalb Ihrer Forschungs- oder Projektgruppe klare Regeln zum Umgang mit Daten und halten Sie sie in einem Datenmanagementplan fest. Die Data Management Checklist liefert wichtige Hinweise zum Thema.

• Daten (auch Prim?rdaten) sollen geordnet und mit Metadaten versehen, abgelegt werden.
  
• Klassifizieren Sie die Daten bez¨¹glich Vertraulichkeit, Integrit?t und Verf¨¹gbarkeit.
  • Einstufungen der ETH Z¨¹rich bzgl. Vertraulichkeit sind: ?ffentlich, intern, vertraulich
  • Weitere Informationen finden Sie in der Weisung Informationssicherheit.
    
• Legen Sie die Zugriffsrechte fest, geben Sie jeder Rolle (Forscherin, Administrator, Supervisor, etc) nur die wirklich notwendigen Rechte.
• Wenn n?tig, legen Sie ein Verschl¨¹sselungsverfahren fest.
  
• Legen Sie ein Versionskontrollsystem fest.
• Legen Sie ein Namensgebungsschema fest.
  
• Speicherung
  
  • Verwenden Sie DOIs f¨¹r die permanente Speicherung und Identifikation von Daten. DOI = Digital Object Identifier (deutsch: ?Digitaler Objektbezeichner?) ist ein Seriencode f¨¹r Objekte, wie zum Beispiel elektronische Dokumente.
    
  • Die seri?se Nachnutzung fremder Forschungsdaten ist nur m?glich, wenn die Daten vollst?ndig mit ihrem Kontext dokumentiert sind. Sorgen Sie deshalb daf¨¹r, dass solche Kontextinformationen zusammen mit Ihren Daten gespeichert sind und nicht an unterschiedlichen Orten verstreut liegen.
  • Vermeiden Sie es, Daten auf Offline-?Medien (CDs, DVDs, USB-?Sticks, Band) zu speichern, die verloren oder kaputtgehen oder vergessen werden k?nnen.
  • Programme und Fileformate ver?ndern sich im Laufe der Zeit, sodass alte Dateien m?glicherweise nicht mehr zuverl?ssig gelesen werden k?nnen. Die Fachstelle Forschungsdatenmanagement und Datenerhalt gibt Empfehlungen zur Archivtauglichkeit von Dateiformaten.
    

Umsetzung

• Halten Sie sich an den Datenmanagementplan.
• Dokumentieren Sie, wie Daten aufbereitet wurden beziehungsweise was sie enthalten und zu welchem Zweck sie verwendet werden k?nnen.
• F¨¹hren Sie ein Laborjournal. Schreiben Sie ReadMes.
  
• Dokumentieren Sie die Urheberrechte und die intellektuelle Eigentumssituation, um zu pr¨¹fen, wer die intellektuellen Eigentumsrechte an den Daten h?lt.
• Kontrollieren und verwalten Sie Ihre Zugriffsrechte auf Daten und Systeme. Halten Sie diese stets aktuell.
  

Aufr?umen nach Projektende

Sorgen Sie daf¨¹r, dass Daten und Materialien nach Abschluss des Projektes w?hrend der f¨¹r das Fachgebiet massgebenden Frist aufbewahrt und innerhalb der gesetzlich vorgegeben Frist ordnungsgem?ss vernichtet werden.

Datenklassifikation beachten
Beachten Sie die Klassifikationen der Datenbest?nde (bzgl. Vertraulichkeit, Verf¨¹gbarkeit und Integrit?t), mit denen Sie arbeiten. Wurden die Daten von Dritten ¨¹bergeben, sind ebenfalls deren Einstufungen zu beachten.

Dokumente wegschliessen
Halten Sie sensitive physische Dokumente und Datentr?ger unter Verschluss.

Verschl¨¹sseln sensitiver Daten und Dokumente
Speichern Sie sensitive Daten verschl¨¹sselt ab, wenn Sie sicherstellen wollen, dass ausschliesslich die Personen im Besitz des Schl¨¹ssels sich Zugriff auf die Daten verschaffen k?nnen.

Sorgf?ltiger Umgang
Lassen Sie bei der Datenablage (physisch oder Cloud-basiert), bei der Datenl?schung oder beim Hochladen von Daten auf Websites Vorsicht walten. So verhindern Sie, dass selbst erstellte oder genutzte Daten unbeabsichtigt verteilt oder publiziert werden.

Sensitive Daten nur verschl¨¹sselt ¨¹bermitteln
Besondere Personendaten, vertrauliche Daten und andere sensitive Daten d¨¹rfen nur verschl¨¹sselt ¨¹bermittelt werden.

Achten Sie darauf,

• dass die Daten¨¹bertragung zum Zielsystem verschl¨¹sselt erfolgt (https://)
  oder
  
• die Daten zu verschl¨¹sseln, z.B. mit WinZip
  oder
• die Daten mit einer verschl¨¹sselten E-Mail zu versenden.

Sensitive Daten nur mit vertrauensw¨¹rdigen Computern bearbeiten
Wenn Sie nicht sicher sein k?nnen, ob auf einem System alle aktuellen Security Patches installiert sind, ob der Virenscanner l?uft und ob er ebenfalls aktuell ist, ob nur vertrauensw¨¹rdige Personen Zugriff hatten, dann sollten Sie nicht mit dem System arbeiten, schon gar nicht, wenn sie sensitive Daten bearbeiten wollen.  

Speicher-?Service nutzen
Nutzen einen professionell verwalteten Speicher-?Service (von den Informatik?diensten oder Ihrer Informatiksupportgruppe). Dies ist die beste und zuver?l?ssigste Art und Weise, um Ihre Daten aufzubewahren.

Selbstverwalteter Speicher
Falls Sie Ihre Speicherung selbst verwalten m¨¹ssen (oder wollen), verwenden Sie ein Network-Attached-Storage (NAS), das RAID-?Festplatten verwendet. Stellen Sie sicher, dass Sie immer die j¨¹ngsten Sicherheitsaktualisierungen installieren und das NAS an einem verschlossenen und sicheren Ort aufbewahren.

Externe Festplatten
Verwenden Sie externe Festplatten nur, sofern Sie ¨¹ber zus?tzliche Sicherheitskopien verf¨¹gen. Beim Speichern von Daten auf einer externen Festplatte riskieren Sie einen Datenverlust, da diese physisch entfernt oder verloren gehen k?nnen.

Privater Cloud-?Speicher
Nehmen Sie nur ein von der ETH gehostetes privates Cloud-?Storage-System (z.B. polybox) in Anspruch.

Externe Cloud-?Services
Falls keine andere L?sung zur Verf¨¹gung steht, k?nnen externe Cloud-?Services f¨¹r nicht sensible Daten in Anspruch genommen werden, sofern alle ¨¹bergeordneten Compliance-Anforderungen eingehalten werden. Es wird dringend empfohlen, den Rechtsdienst der ETH Z¨¹rich beizuziehen.

Unterst¨¹tzung
Ihr IT-Support kann Sie bez¨¹glich der Aufbewahrung Ihrer Daten unterst¨¹tzen.

Backups durchf¨¹hren

Vergewissern Sie sich, dass Backups durchgef¨¹hrt werden und informieren Sie sich ¨¹ber die Aufbewahrungsfristen.

Wiederherstellung pr¨¹fen

Pr¨¹fen Sie sporadisch, ob Sie die Daten aus dem Backup wiederherstellen und nutzen k?nnen.

Backup-Service nutzen

• Nutzen Sie einen professionell verwalteten Backup-??Service (von den Informatikdiensten oder Ihrer Informatiksupportgruppe). Dies ist die beste und zuverl?ssigste Art und Weise, um Ihre Daten zu sichern.
• T?glich werden an der ETH Z¨¹rich ca. 150 Terabyte Daten gesichert. Tendenz steigend. Wenn Sie grosse Datenmengen erwarten, nehmen Sie mit dem f¨¹r Ihre Gruppe zust?ndigen IT-?Support Kontakt auf, damit die notwendigen Ressourcen geplant werden k?nnen.

Selbstverwaltete Backups

Falls Sie sich entscheiden, Ihre Backups selbst zu verwalten, halten Sie bitte an die folgenden Aspekte:

• H?ufigkeit des Backups 
  
• Aufbewahrungsfristen
  
• R?umliche Trennung zwischen den jeweiligen Kopien der Daten
• Aufbewahrung der Backup-Medien an einem sicheren Ort

Vorgesetzte, Entscheidungstr?ger
Legen Sie ein Verfahren fest, wie Daten bei Austritten oder internen Wechseln geordnet ¨¹bergeben werden.

Austretende
?bergeben Sie vor Wechsel der Arbeitsstelle oder des Projekts alle gesch?fts?relevanten Daten und Forschungsdaten an Ihre Nachfolgenden oder an die vorgesetzte Person.

Verschl¨¹sselte Daten m¨¹ssen entweder mit dem zugeh?rigen Private Key ¨¹bergeben werden oder entschl¨¹sselt und mit dem Key Private Key des Nachfolgenden neu verschl¨¹sselt werden.