Wie man die FERPA-Compliance gewährleistet und gleichzeitig virtuelles Lernen ermöglicht
Teilen
Die Pandemie und das virtuelle Lernen haben Bildungseinrichtungen einem größeren Compliance-Risiko ausgesetzt. Hier erfahren Sie, wie Sie die FERPA-Vorschriften in einer virtuellen Welt einhalten können.
Der Family Educational Rights and Privacy Act (FERPA) ist ein Bundesgesetz der Vereinigten Staaten, das Eltern das Recht auf Zugang zu den Bildungsunterlagen ihrer Kinder, das Recht, Änderungen dieser Aufzeichnungen zu beantragen, und das Recht auf eine gewisse Kontrolle über die Offenlegung von persönlich identifizierbaren Informationen aus den Bildungsaufzeichnungen einräumt. Diese Rechte gehen auf den Schüler über, wenn dieser das 18. Lebensjahr vollendet oder eine weiterführende Schule besucht, unabhängig vom Alter.
Zu den Schülerdaten gehören unter anderem Noten, Abschriften, Klassenlisten, Kurspläne, Finanzdaten der Schüler, Disziplinarakten und Gesundheitsdaten für die Stufen K-12, einschließlich persönlicher COVID-Daten. Gemäß FERPA müssen Bildungseinrichtungen die persönlich identifizierbaren Informationen (PII) schützen, die sich in den Aufzeichnungen der einzelnen Schüler befinden.
Das Gesetz gilt für alle Bildungsagenturen und -einrichtungen, die im Rahmen eines vom US-amerikanischen Secretary of Education verwalteten Programms Mittel erhalten. Wenn eine Behörde oder Einrichtung gegen die FERPA-Bestimmungen verstößt, riskiert sie die vollständige Streichung von staatlichen Fördermitteln. Das FERPA-Statut finden Sie unter 20 USC § 1232g und die FERPA-Bestimmungen unter 34 CFR Part 99.
Remote-Lehrkräfte, Mitarbeiter und Studenten erhöhen Risiken bezüglich der FERPA-Einhaltung
Es ist nicht überraschend, dass die Pandemie Bildungseinrichtungen einem größeren Risiko bei der Einhaltung von Vorschriften aussetzt. Doch viele sind nicht gut vorbereitet, um nicht gegen Datenschutzgesetze, einschließlich FERPA, zu verstoßen.
Nehmen wir den Fall der University of California (UC). Am 24. Dezember 2020 wurde die Accellion File Transfer Appliance (FTA) der Universität durch einen gezielten Cyberangriff kompromittiert, was zu einer erheblichen Datenpanne führte. Laut einer von der UC veröffentlichten FAQ umfassten die PII der Studenten, die bei der Datenpanne gestohlen wurden, wahrscheinlich „vollständige Namen, Adressen, Telefonnummern, Sozialversicherungsnummern, Führerscheindaten, Passdaten, Finanzdaten einschließlich Bankleitzahlen und Kontonummern, Gesundheitsdaten und damit zusammenhängende Leistungsdaten, Behinderteninformationen und Geburtsdaten sowie andere persönliche Daten, die der UC zur Verfügung gestellt wurden“.
Leider teilte die UC den Studenten (und der gesamten UC-Gemeinschaft) mit, dass ein Teil der personenbezogenen Daten bereits am 29. März 2021 im Internet veröffentlicht worden war.
Zusätzlich zu den gestohlenen und veröffentlichten personenbezogenen Daten der derzeitigen Studenten erhielten auch neue Bewerber für das UC-System eine schlechte Nachricht: „Informationen aus eingereichten Bewerbungen für die Universität von Kalifornien für das Schuljahr 2020-2021 waren davon betroffen. Diese Informationen können Geburtsdatum, Geschlechtsidentität, Familienhaushaltseinkommen, ethnische Zugehörigkeit und/oder Stammeszugehörigkeit und erste Sprache, sexuelle Orientierung, akademische Informationen (GPA, Testergebnisse) und die Angabe, ob Sie Pflegeleistungen erhalten haben, umfassen“, heißt es in den FAQ der UC.
In einem Versuch, einen solchen zukünftigen Verlust von personenbezogenen Daten von Studenten (und personenbezogenen Daten anderer) zu verhindern, gab die UC bekannt, dass sie vier wichtige Schritte unternommen habe:
Außerbetriebnahme der Accellion-Technologie
Beginn der Umstellung auf eine sicherere Lösung
Zusammenarbeit mit dem FBI
Beauftragung externer Cybersicherheitsexperten mit weiteren Untersuchungen
In einem späteren Abschnitt derselben häufig gestellten Fragen erklärte die UC auch, dass die Universität die Sicherheitskontrollen, -prozesse und -verfahren verbessere.
Die Kosten einer unzureichenden Vorbereitung bezüglich der Einhaltung von FERPA
Sicherlich hätte die Möglichkeit des Entzugs von Bundesmitteln die UC und andere Institutionen/Behörden dazu motivieren müssen, sich besser auf den Angriff im Dezember 2020 vorzubereiten. Wenn das nicht ausreichend war, ziehen Sie die anderen Kosten in Betracht, die der UC infolge der Datenschutzverletzung entstanden sind. Die zusätzlichen Kosten umfassten mindestens Folgendes:
Honorare für teure Berater für Cybersicherheit und Forensik
IT-Kosten für den kurzfristigen Austausch einer oder mehrerer technologischer Lösungen
Anwaltskosten im Zusammenhang mit möglichen Klagen der Opfer
Ressourcen, die für die schnelle Entwicklung neuer Sicherheitskontrollen, -prozesse und -verfahren aufgewendet werden
Verlorene Studiengebühren von Studenten und Bewerbern, die sich gegen die UC entschieden haben
Langfristiger Schaden für den Ruf der UC
Fazit ist, dass Ihre Bildungseinrichtung besser vorbereitet sein muss, um die personenbezogenen Daten von Schülern und Studenten zu schützen, insbesondere angesichts der in den letzten Jahren sprunghaft angestiegenen Zahl von Cyberangriffen.
FERPA-Compliance in einer virtuellen Welt
Splashtop bietet seit zwei Jahrzehnten Fernzugriff, Fernsupport und Zusammenarbeit für die besten Bildungseinrichtungen. Daher sind wir bestens qualifiziert, Sie mit den besten Praktiken für die Einhaltung von FERPA zu versorgen, während Sie eine virtuelle Lernumgebung für Studenten, Lehrkräfte und Mitarbeiter einrichten. Befolgen Sie diese 4 bewährten Praktiken, um die PII Ihrer Studenten sicherer zu machen.
Best Practice Nr. 1: Ihre Cybersicherheitsrichtlinie aktualisieren, um die Realität der „Remote-Arbeit“ widerzuspiegeln
Viele Menschen sind mit Fragen der Datensicherheit nicht vertraut und erkennen einfach nicht, wie ihre Handlungen zu einer Datenschutzverletzung führen können. Jeder in Ihrer Einrichtung muss informiert und sensibilisiert sein, um die Offenlegung personenbezogener Daten von Schülern zu verhindern.
Sie können Ihre Mitarbeiter am besten informieren, indem Sie eine Cybersicherheitsrichtlinie einrichten und teilen, die ihnen Anweisungen dazu gibt, wie sie die Daten von Studierenden schützen können. Die IT-Sicherheitsrichtlinie kann ein einfaches Dokument sein. Darin sollten die Gründe für ihre Existenz erläutert werden und die spezifischen Sicherheitsprotokolle (in nicht technischer Sprache) dargelegt werden, die alle Mitarbeiter befolgen sollten. Sie sollte auch eine Kontaktquelle (E-Mail-Adresse oder Telefonnummer) für Mitarbeiter bereitstellen, die zusätzliche Hilfe beim Verständnis benötigen.
Wie Splashtop dieser Best Practice folgt
Bei Splashtop haben wir zum Beispiel „Sicherheitsrichtlinien“ als Untergruppe unserer technischen und organisatorischen Maßnahmen (TOMs) entwickelt. Diese beschreiben die Sicherheitsmaßnahmen und -kontrollen, die Splashtop zum Schutz und zur Sicherung der von uns gespeicherten und verarbeiteten Daten implementiert und aufrechterhält.
Unsere IT-Sicherheitsexperten überprüfen und ergänzen regelmäßig unsere IT-Sicherheitsrichtlinien. Die Mitarbeiter von Splashtop absolvieren jährlich ein Informationssicherheitstraining und halten sich an die in unserem „Verhaltenskodex“ dargelegten Richtlinien für ethisches Geschäftsverhalten, Vertraulichkeit und Sicherheit.
Wenn Sie eine Richtlinie haben, diese aber nicht aktualisiert haben, seit Sie die Remote-Arbeit zugelassen haben, können Sie schnell eine Richtlinie für die Remote-Arbeit erstellen, die Regeln und Tipps für die Remote-Arbeit enthält. Konzentrieren Sie sich darauf, wie Remote-Mitarbeiter handeln sollten, um persönliche Informationen und Unternehmensdaten zu schützen, insbesondere wenn sie von zu Hause aus arbeiten.
Best Practice Nr. 2: Mitarbeiter schulen und sicherstellen, dass die IT sie unterstützen kann
Wie oben erwähnt, absolvieren die Mitarbeiter von Splashtop jährlich ein Informationssicherheitstraining und halten sich an die Splashtop-Richtlinien für ethisches Geschäftsverhalten, Vertraulichkeit und Sicherheit, wie sie im Verhaltenskodex von Splashtop festgelegt sind.
Wir bereiten unser IT-Team darauf vor, Remote-Mitarbeiter auf folgende Weise zu unterstützen:
Konto- und Passwortrichtlinien:
Splashtop weist allen Benutzern ihre eigenen Anmeldedaten zu und gewährt Zugriff über starke Passwörter und Zwei-Faktor-/Multi-Faktor-Authentifizierung.
Datensicherheitskontrolle:
Die Datensicherheitskontrollen von Splashtop umfassen den rollenbasierten Zugriff nach dem Prinzip der geringsten Rechte, die Zugriffsüberwachung und die Protokollierung. Das bedeutet, dass alle Benutzer von Splashtop am Anfang ein minimales Maß an Datenzugriff haben.
Zugangskontrolle:
Splashtop hat Zugangskontrollen eingeführt, um den elektronischen Zugang zu Daten und Systemen zu verwalten. Unsere Zugangskontrollen basieren auf Berechtigungsstufen, wichtigen Parametern und einer klaren Aufgabentrennung für Personen, die auf das System zugreifen.
Security Incident Response:
Splashtop hat „Security Incident Response“-Verfahren eingerichtet, die es Splashtop ermöglichen, Ereignisse im Zusammenhang mit Splashtop-Diensten und -Informationsbeständen zu untersuchen, darauf zu reagieren, sie abzumildern und zu melden.
Best Practice Nr. 3: Daten während der Übertragung und im Ruhezustand verschlüsselt halten
Die beiden Schlüssel zur Aufrechterhaltung des Datenschutzes, wenn Ihre Mitarbeiter aus der Ferne arbeiten, sind Verschlüsselung und Zugangskontrolle.
Verschlüsselung:
Splashtop verschlüsselt alle Benutzerdaten während der Übertragung und im Ruhezustand und alle Benutzersitzungen werden sicher mit TLS eingerichtet. Die Inhalte, auf die innerhalb jeder Sitzung zugegriffen wird, werden immer mit 256-Bit-AES verschlüsselt.
Zugangskontrolle:
Splashtop hat Zugangskontrollen eingeführt, um den elektronischen Zugang zu Daten und Systemen zu verwalten. Unsere Zugriffskontrollen basieren auf Berechtigungsstufen, Wissensbedarfsstufen und Aufgabentrennung für die Personen, die auf das System zugreifen.
Zusätzlicher Tipp: Splashtop vermeidet bewusst das übermäßige Sammeln von Daten – etwas, das zu viele Unternehmen ohne legitimen Grund tun. Wir passen uns leichter an die Vorschriften an, indem wir KEINE sensiblen Daten/Informationen sammeln. Wir sammeln, speichern und verarbeiten nur begrenzte PII, wie Benutzername (E-Mail), Passwort und Sitzungsprotokolle (für Kunden zur Überprüfung, Fehlerbehebung usw.), und Splashtop verkauft keine Kundeninformationen gemäß GDPR- und CCPA-Richtlinien.
Best Practice Nr. 4: Einen sicheren Fernzugriff verwenden
Die Fernzugriffslösung von Splashtop folgt einem Zero-Trust-Ansatz. Wenn Mitarbeiter aus der Ferne auf ihren Bürocomputer oder ihre Workstation zugreifen, gehen sie über eine spezielle Splashtop-Verbindung. Eine Verbindung, die nicht Teil des Unternehmensnetzwerks ist. Das bedeutet, dass sie die Daten (z. B. Word-Dokumente) nur auf ihrem Remote-Desktop anzeigen und bearbeiten können. Daten reisen nie außerhalb des Unternehmensnetzwerks. IT-Sicherheitsverantwortliche haben bei Splashtop auch die Optionen, sowohl Dateiübertragungs- als auch Druckfunktionen zu aktivieren oder zu deaktivieren, die für die Einhaltung der Vorschriften dringend empfohlen werden.
Der Fernzugriff von Splashtop bieten noch mehr Sicherheitsfunktionen, wie Geräteauthentifizierung, Zwei-Faktor-Authentifizierung (2FA), Single Sign-On (SSO) und mehr.Diese modernen Sicherheitsmaßnahmen gibt es in der VPN-Architektur nicht.
Fazit: Beginnen Sie jetzt mit der Sicherung der personenbezogenen Daten von Lernenden
Die vier bewährten Verfahren sind einfache, vernünftige Schritte, die nicht nur die personenbezogenen Daten Ihrer Schüler schützen, sondern auch Ihre Einrichtung als Ganzes. Darüber hinaus verhindern sie eine weit verbreitete Datenpanne, die durch einen Verstoß gegen FERPA verursacht wurde. Ein kleines bisschen Vorbeugung kann Sie vor Wiedergutmachungskosten und Markenschädigung bewahren.
Besuchen Sie unsere Seite Remote Desktop for Distance, Remote & Hybrid Learning, um mehr darüber zu erfahren, wie Splashtop den Fernunterricht verbessert.
