Wie man die FERPA-Konformität einhält und gleichzeitig virtuelles Lernen ermöglicht

Die Pandemie und das virtuelle Lernen haben Bildungseinrichtungen einem größeren Risiko ausgesetzt, die Vorschriften einzuhalten. Erfahren Sie, wie Sie die FERPA-Vorschriften in einer virtuellen Welt einhalten können.

Der Family Educational Rights and Privacy Act (FERPA) ist ein US-Bundesgesetz, das den Eltern das Recht gibt, Zugang zu den Bildungsunterlagen ihrer Kinder zu erhalten, Änderungen zu beantragen und ein gewisses Maß an Kontrolle über die Offenlegung persönlich identifizierbarer Informationen aus den Bildungsunterlagen zu haben. Diese Rechte werden auf Schüler übertragen, die das 18. Lebensjahr vollendet haben oder in jedem Alter eine postsekundäre Einrichtung besuchen.

Zu den Schülerdaten gehören unter anderem Noten, Abschriften, Klassenlisten, Kurspläne, Finanzdaten der Schüler, Disziplinarakten und Gesundheitsdaten für die Stufen K-12, einschließlich persönlicher COVID-Daten. Gemäß FERPA müssen Bildungseinrichtungen die persönlich identifizierbaren Informationen (PII) schützen, die sich in den Aufzeichnungen der einzelnen Schüler befinden.

Das Gesetz gilt für alle Bildungsbehörden und -einrichtungen, die Mittel aus einem vom Bildungsministerium verwalteten Programm erhalten. Wenn eine Behörde oder Einrichtung gegen die FERPA-Vorschriften verstößt, riskiert sie den vollständigen Entzug von Bundesmitteln. Das FERPA-Gesetz finden Sie unter 20 U.S.C. § 1232g und die FERPA-Vorschriften unter 34 CFR Part 99.

 

Remote-Lehrkräfte, Mitarbeiter und Studenten erhöhen Risiken bezüglich der FERPA-Einhaltung

Es ist nicht überraschend, dass die Pandemie Bildungseinrichtungen einem größeren Risiko bei der Einhaltung von Vorschriften aussetzt. Doch viele sind nicht gut vorbereitet, um nicht gegen Datenschutzgesetze, einschließlich FERPA, zu verstoßen.

Nehmen wir den Fall der University of California (UC). Am 24. Dezember 2020 wurde die Accellion File Transfer Appliance (FTA) der Universität durch einen gezielten Cyberangriff kompromittiert, was zu einer erheblichen Datenpanne führte. Laut einer von der UC veröffentlichten FAQ umfassten die PII der Studenten, die bei der Datenpanne gestohlen wurden, wahrscheinlich „vollständige Namen, Adressen, Telefonnummern, Sozialversicherungsnummern, Führerscheindaten, Passdaten, Finanzdaten einschließlich Bankleitzahlen und Kontonummern, Gesundheitsdaten und damit zusammenhängende Leistungsdaten, Behinderteninformationen und Geburtsdaten sowie andere persönliche Daten, die der UC zur Verfügung gestellt wurden“.

Leider teilte die UC den Studenten (und der gesamten UC-Gemeinschaft) mit, dass ein Teil der personenbezogenen Daten bereits am 29. März 2021 im Internet veröffentlicht worden war.

Zusätzlich zu den gestohlenen und veröffentlichten personenbezogenen Daten der derzeitigen Studenten erhielten auch neue Bewerber für das UC-System eine schlechte Nachricht: „Informationen aus eingereichten Bewerbungen für die Universität von Kalifornien für das Schuljahr 2020-2021 waren davon betroffen. Diese Informationen können Geburtsdatum, Geschlechtsidentität, Familienhaushaltseinkommen, ethnische Zugehörigkeit und/oder Stammeszugehörigkeit und erste Sprache, sexuelle Orientierung, akademische Informationen (GPA, Testergebnisse) und die Angabe, ob Sie Pflegeleistungen erhalten haben, umfassen“, heißt es in den FAQ der UC.

In dem Bemühen, den Verlust personenbezogener Daten von Studenten (und anderen Personen) in Zukunft zu verhindern, hat die UC die Öffentlichkeit darüber informiert, dass sie vier wichtige Schritte unternommen hat:

  1. Außerbetriebnahme der Accellion-Technologie
  2. Beginn des Übergangs zu einer sichereren Lösung
  3. Hat mit dem FBI zusammengearbeitet
  4. Beauftragung externer Experten für Cybersicherheit mit weiteren Untersuchungen

In einem späteren Abschnitt derselben FAQ erklärte UC außerdem, dass es die Sicherheitskontrollen, Prozesse und Verfahren verbessert hat.

 

Die Kosten einer unzureichenden Vorbereitung bezüglich der Einhaltung von FERPA

Sicherlich hätte der mögliche Entzug von Bundesmitteln die UC und andere Einrichtungen/Behörden motivieren müssen, sich vor dem Angriff im Dezember 2020 besser vorzubereiten. Als ob das noch nicht genug wäre, sollten Sie sich die anderen Kosten vor Augen halten, die der UC durch die Datenpanne entstanden sind. Zu den zusätzlichen Kosten gehörten mindestens die folgenden:

  • Honorare für teure Berater für Cybersicherheit und Forensik
  • IT-Kosten für den kurzfristigen Austausch einer oder mehrerer technischer Lösungen
  • Rechtskosten im Zusammenhang mit möglichen Klagen der Opfer
  • Ressourcen für die rasche Entwicklung neuer Sicherheitskontrollen, Prozesse und Verfahren
  • Entgangene Studiengebühren von Studenten und Bewerbern, die auf die UC verzichtet haben
  • Langfristige Schädigung des Rufs der Marke UC

Fazit ist, dass Ihre Bildungseinrichtung besser vorbereitet sein muss, um die personenbezogenen Daten von Schülern und Studenten zu schützen, insbesondere angesichts der in den letzten Jahren sprunghaft angestiegenen Zahl von Cyberangriffen.

 

FERPA-Einhaltung in einer virtuellen Welt

Splashtop bietet seit zwei Jahrzehnten Fernzugriff, Fernsupport und Zusammenarbeit für die besten Bildungseinrichtungen. Daher sind wir bestens qualifiziert, Sie mit den besten Praktiken für die Einhaltung von FERPA zu versorgen, während Sie eine virtuelle Lernumgebung für Studenten, Lehrkräfte und Mitarbeiter einrichten. Befolgen Sie diese 4 bewährten Praktiken, um die PII Ihrer Studenten sicherer zu machen.

 

Bewährte Praxis Nr. 1: Aktualisieren Sie Ihre Cybersicherheitsrichtlinien, um der Realität der "Fernarbeit" Rechnung zu tragen.

Viele Menschen sind mit Fragen der Datensicherheit nicht vertraut und erkennen einfach nicht, wie ihre Handlungen zu einer Datenschutzverletzung führen können. Jeder in Ihrer Einrichtung muss informiert und sensibilisiert sein, um die Offenlegung personenbezogener Daten von Schülern zu verhindern.

Am besten informieren Sie Ihre Mitarbeiter, indem Sie eine Cybersicherheitsrichtlinie aufstellen und weitergeben, die ihnen vorgibt, wie sie die Daten von Schülern und Studenten schützen können. Die IT-Sicherheitsrichtlinie kann ein einfaches Dokument sein. Sie sollte die Gründe für ihre Existenz erläutern und die spezifischen Sicherheitsprotokolle (in nicht-technischen Begriffen) enthalten, die alle Mitarbeiter befolgen sollten. Es sollte auch eine Kontaktadresse (E-Mail oder Telefonnummer) für Mitarbeiter enthalten, die zusätzliche Hilfe zum Verständnis der Richtlinie benötigen.

Wie Splashtop diese bewährte Praxis anwendet

Bei Splashtop haben wir zum Beispiel „Sicherheitsrichtlinien“ als Untergruppe unserer technischen und organisatorischen Maßnahmen (TOMs) entwickelt. Diese beschreiben die Sicherheitsmaßnahmen und -kontrollen, die Splashtop zum Schutz und zur Sicherung der von uns gespeicherten und verarbeiteten Daten implementiert und aufrechterhält.

Unsere IT-Sicherheitsexperten überprüfen und ergänzen regelmäßig unsere IT-Sicherheitsrichtlinien. Die Mitarbeiter von Splashtop absolvieren jährlich ein Informationssicherheitstraining und halten sich an die in unserem „Verhaltenskodex“ dargelegten Richtlinien für ethisches Geschäftsverhalten, Vertraulichkeit und Sicherheit.

Wenn Sie zwar eine Richtlinie haben, diese aber seit der Zulassung der Fernarbeit nicht aktualisiert haben, können Sie schnell eine Richtlinie für die Fernarbeit erstellen, die Regeln und Tipps für die Fernarbeit enthält. Legen Sie den Schwerpunkt darauf, wie sich Fernmitarbeiter verhalten sollten, um persönliche Informationen und Unternehmensdaten zu schützen, insbesondere wenn sie von zu Hause aus arbeiten.

 

Best Practice #2: Mitarbeiter schulen und sicherstellen, dass die IT sie unterstützen kann

Wie bereits erwähnt, absolvieren die Mitarbeiter von Splashtop jährlich ein Informationssicherheitstraining und halten sich an die im Verhaltenskodex von Splashtop niedergelegten Grundsätze für ethisches Geschäftsverhalten, Vertraulichkeit und Sicherheit von Splashtop.

Wir bereiten unser IT-Team auf die Unterstützung von Remote-Mitarbeitern auf folgende Weise vor:

  • Konto- und Passwortrichtlinien: Splashtop weist allen Nutzern eigene Logins zu und gewährt den Zugang über starke Passwörter und Zwei-/Multifaktor-Authentifizierung.
  • Datensicherheitskontrolle: Die Datensicherheitskontrollen von Splashtop umfassen rollenbasierten Zugriff nach dem Least-Privilege-Prinzip, Zugriffsüberwachung und Protokollierung. Das bedeutet, dass alle Benutzer einen minimalen Datenzugriff haben, wenn sie mit der Nutzung des Splashtop-Systems beginnen.
  • Zugangskontrolle: Splashtop hat Zugangskontrollen eingeführt, um den elektronischen Zugang zu Daten und Systemen zu verwalten. Unsere Zugangskontrollen basieren auf Berechtigungsstufen, wichtigen Parametern und einer klaren Aufgabentrennung für Personen, die auf das System zugreifen.
  • Security Incident Response: Splashtop hat „Security Incident Response“-Verfahren eingerichtet, die es Splashtop ermöglichen, Ereignisse im Zusammenhang mit Splashtop-Diensten und -Informationsbeständen zu untersuchen, darauf zu reagieren, sie abzumildern und zu melden.

 

Bewährte Praxis Nr. 3: Daten während der Übertragung und im Ruhezustand verschlüsseln

Die beiden Schlüssel zum Datenschutz bei der Fernarbeit Ihrer Mitarbeiter sind Verschlüsselung und Zugangskontrolle.

  • Verschlüsselung: Splashtop verschlüsselt alle Benutzerdaten bei der Übertragung und im Ruhezustand, und alle Benutzersitzungen werden sicher mit TLS aufgebaut. Der Inhalt, auf den innerhalb jeder Sitzung zugegriffen wird, wird immer mit 256-Bit-AES verschlüsselt.
  • Zugangskontrolle: Splashtop hat Zugangskontrollen eingeführt, um den elektronischen Zugang zu Daten und Systemen zu verwalten. Unsere Zugangskontrollen basieren auf Autoritätsebenen, wichtigen Ebenen und der Trennung von Aufgaben für diejenigen, die auf das System zugreifen.

Zusätzlicher Tipp: Splashtop vermeidet bewusst das übermäßige Sammeln von Daten – etwas, das zu viele Unternehmen ohne legitimen Grund tun. Wir passen uns leichter an die Vorschriften an, indem wir KEINE sensiblen Daten/Informationen sammeln. Wir sammeln, speichern und verarbeiten nur begrenzte PII, wie Benutzername (E-Mail), Passwort und Sitzungsprotokolle (für Kunden zur Überprüfung, Fehlerbehebung usw.), und Splashtop verkauft keine Kundeninformationen gemäß GDPR- und CCPA-Richtlinien.

 

Bewährte Praxis Nr. 4: Verwenden Sie einen sicheren Fernzugriff

Die Fernzugriffslösung von Splashtop verfolgt einen Zero-Trust-Ansatz. Wenn Mitarbeiter aus der Ferne auf ihren Bürocomputer oder ihre Workstation zugreifen, gehen sie über eine spezielle Splashtop-Verbindung. Eine Verbindung, die nicht Teil des Unternehmensnetzwerks ist. Das bedeutet, dass sie nur die Daten (z. B. Word-Dokumente) auf ihrem Remote-Desktop anzeigen und bearbeiten können. Die Daten werden niemals außerhalb des Unternehmensnetzes übertragen. IT-Sicherheitsverantwortliche haben mit Splashtop auch die Möglichkeit, sowohl den Dateitransfer als auch die Druckfunktionen zu aktivieren oder zu deaktivieren, was aus Gründen der Compliance dringend empfohlen wird.

Splashtop Remote Access bietet noch mehr Sicherheitsfunktionen, wie Geräteauthentifizierung, Zwei-Faktor-Authentifizierung (2FA), Single Sign-On (SSO) und mehr. Diese modernen Sicherheitsmaßnahmen sind in der VPN-Architektur nicht vorhanden.

 

Schlussfolgerung: Beginnen Sie jetzt damit, die PII von Schülern zu schützen

Die vier bewährten Verfahren sind einfache, vernünftige Schritte, die nicht nur die personenbezogenen Daten Ihrer Schüler schützen, sondern auch Ihre Einrichtung als Ganzes. Darüber hinaus verhindern sie eine weit verbreitete Datenpanne, die durch einen Verstoß gegen FERPA verursacht wurde. Ein kleines bisschen Vorbeugung kann Sie vor Wiedergutmachungskosten und Markenschädigung bewahren.

 

Besuchen Sie unsere Seite Remote Desktop for Distance, Remote & Hybrid Learning, um mehr darüber zu erfahren, wie Splashtop den Fernunterricht verbessert.

 

 

Verwandter Inhalt

Splashtop wird zu einer der 10 besten Lösungen für die Einbindung von Schülern im Jahr 2021 gewählt

So stellen Sie sicher, dass Ihre Remote-Mitarbeiter HIPAA-konform sind

Verwaltung der GDPR- und CCPA-Compliance für Mitarbeiter im Außendienst

 

Banner zur kostenlosen Testversion auf dem Blog unten