De pandemie en virtueel leren stellen onderwijsinstellingen bloot aan meer compliance-risico's. Leer hoe u uw weg vindt in FERPA-compliance in een virtuele wereld.
De Family Educational Rights and Privacy Act (FERPA) is een Amerikaanse federale wet die ouders het recht geeft op toegang tot de onderwijsdossiers van hun kinderen, het recht om wijzigingen in de dossiers te vragen en het recht op een zekere mate van controle over de openbaarmaking van persoonlijk identificeerbare informatie uit de onderwijsdossiers. Deze rechten gaan over op een student als die 18 jaar wordt of op welke leeftijd dan ook naar een postsecundaire instelling gaat.
Studentendossiers omvatten (maar zijn niet beperkt tot) cijfers, transcripties, klaslijsten, cursusroosters van studenten, financiële informatie van studenten, dossiers over studentendiscipline en gezondheidsdossiers voor basisonderwijsniveaus - inclusief persoonlijke COVID-gerelateerde gegevens. De FERPA schrijft voor dat onderwijsinstellingen de persoonlijk identificeerbare informatie (PII), die zich in de dossiers van de studenten bevindt, moeten beschermen.
De wet is van toepassing op alle onderwijsinstellingen en -instellingen die geld ontvangen in het kader van een programma dat wordt beheerd door de Minister van Onderwijs. Wanneer een agentschap of instelling de FERPA-regels schendt, riskeert deze een volledige intrekking van federale financieringssteun. U vindt het FERPA-statuut op 20 USC § 1232g en de FERPA-voorschriften op 34 CFR Part 99.
Faculteit, personeel en studenten op afstand vormen een risico voor de naleving van de FERPA
Het is geen verrassing dat de pandemie onderwijsinstellingen heeft blootgesteld aan meer nalevingsrisico's. Toch zijn veel instellingen niet goed voorbereid om te voorkomen dat ze in overtreding raken met de privacywetgeving, waaronder de FERPA.
Neem het geval van de Universiteit van Californië (UC). Op 24 december 2020 werd de Accellion file transfer applicatie (FTA) van de universiteit gecompromitteerd in een gerichte cyberaanval, waardoor een aanzienlijk datalek ontstond. Volgens een FAQ gepubliceerd door UC, bevatten de PII bestanden die tijdens de inbraak werden gestolen waarschijnlijk “volledige namen, adressen, telefoonnummers, burgerservicenummers, rijbewijsinformatie, paspoortinformatie, financiële informatie inclusief bankgegevens en rekeningnummers, gezondheid en gerelateerde informatie over uitkeringen, informatie over arbeidsongeschiktheid en geboortedata van de studenten, evenals andere persoonlijke informatie die aan UC wordt verstrekt."
Helaas moest de UC aan studenten (en de rest van de UC-gemeenschap) mededelen dat een deel van de PII al op 29 maart 2021 op internet was geplaatst.
Naast het feit dat de PII van de reeds ingeschreven studenten werd gestolen en gepost, ontvingen nieuw aangemelde studenten ook slecht nieuws: "Informatie van ingediende aanvragen voor de Universiteit van Californië voor het schooljaar 2020-2021 bleek ook betrokken bij het lek. Deze informatie kon bestaan uit geboortedatum, geslacht, gezinsinkomen, etniciteit en/of stamverband en eerste taal, seksuele geaardheid, academische informatie (GPA, testscores) en of je pleegzorg hebt gekregen”, aldus de UC. FAQ.
In een poging om een dergelijk verlies van de PII van studenten (en van anderen) in de toekomst te voorkomen, informeerde UC de gemeenschap dat het vier belangrijke stappen had gezet:
Het ontmantelen van de Accellion-technologie
Een begin met de overgang naar een veiligere oplossing
Samenwerking met de FBI
Het inschakelen van externe cybersecurity-experts om verder onderzoek te doen
In een extra sectie van dezelfde FAQ verklaarde UC ook dat het de controles, processen en de procedures op het gebied van beveiliging zou verbeteren.
De Kosten Van Onvoorbereid Zijn Op FERPA-compliance
De kans op intrekking van federale financiering zou de UC en andere instellingen/agentschappen zeker moeten hebben gemotiveerd om zich beter voor te bereiden op de aanval van december 2020. Als dat nog niet genoeg was, kijk dan eens naar de andere kosten die de UC als gevolg van het datalek moest maken. Die extra kosten bestonden in ieder geval uit volgende posten:
Tarieven voor dure cybersecurity- en forensische adviseurs
IT-kosten om een of meer technologische oplossingen op korte termijn te 'ontmantelen en te vervangen'
Juridische kosten in verband met mogelijke juridische acties van de slachtoffers
Kosten voor snelle ontwikkeling van nieuwe controles, processen en procedures op het gebied van beveiliging
Gedorven collegegeld en vergoedingen van studenten en aanvragers die besloten af te zien van de UC
Langdurige schade aan de reputatie van het merk UC
Het komt erop neer dat uw onderwijsinstelling beter voorbereid moet zijn om de PII van studenten veilig te houden, vooral nu het aantal cyberaanvallen de afgelopen jaren enorm is toegenomen .
FERPA-naleving in een virtuele wereld
Splashtop biedt al twintig jaar software voor remote access, remote support en samenwerking aan de beste onderwijsinstellingen. Dat maakt ons bij uitstek geschikt om u best practices voor FERPA-compliance te bieden, wanneer u een virtuele leeromgeving mogelijk maakt voor studenten, docenten en personeel. Volg deze 4 bewezen best practices om de PII van uw leerlingen veiliger te houden.
Best Practice #1: Update uw cybersecuritybeleid, zodat het aangepast is voor het huidige werken op afstand
Veel mensen zijn niet bekend met databeveiliging en beseffen eenvoudigweg niet hoe hun handelingen tot een datalek kunnen leiden. Iedereen in uw instelling moet op de hoogte en alert zijn om te voorkomen dat PII van studenten op straat komt te liggen.
De beste manier om werknemers te informeren, is door een cyberbeveiligingsbeleid op te stellen dat hen leert hoe ze de gegevens in studentendossiers veilig kunnen houden. Het IT-beveiligingsbeleid hoeft geen ingewikkeld document te zijn. Het moet uitleggen waarom het bestaat en de specifieke beveiligingsprotocollen bieden (in niet-technische termen) die alle werknemers moeten volgen. Het moet ook een mogelijkheid voor contact (e-mail of telefoonnummer) bieden voor werknemers die extra hulp nodig hebben om het te begrijpen.
Hoe Splashtop deze best practice volgt
Bij Splashtop hebben we bijvoorbeeld 'Beveiligingsbeleid' ontwikkeld als een subset van onze technische en organisatorische maatregelen (TOM's). Deze beschrijven de beveiligingsmaatregelen en -controles die door Splashtop zijn geïmplementeerd en onderhouden, om de gegevens die we opslaan en verwerken te beschermen en te beveiligen.
Onze IT-beveiligingsexperts evalueren en wijzigen regelmatig ons IT-beveiligingsbeleid. Medewerkers van Splashtop volgen jaarlijks een training voor informatie security en voldoen aan Splashtop's ethische gedrags-, vertrouwelijkheids- en beveiligingsbeleid zoals uiteengezet in onze "Gedragscode".
Als u een beleid heeft, maar dit niet heeft bijgewerkt sinds u werken op afstand toestaat, kunt u snel een beleid voor werken op afstand maken met regels en tips op dat gebied. Focus op hoe externe medewerkers moeten handelen om persoonlijke informatie en bedrijfsgegevens veilig te houden, vooral wanneer ze vanuit huis werken.
Best Practice #2: Train medewerkers en zorg dat IT hen kan ondersteunen
Zoals hierboven vermeld, volgen Splashtop-medewerkers jaarlijks een training voor informatie security en voldoen ze aan het ethische zakelijke gedrag, de vertrouwelijkheid en het beveiligingsbeleid van Splashtop, zoals uiteengezet in de gedragscode van Splashtop.
We bereiden ons IT-team voor om externe medewerkers op de volgende manieren te ondersteunen:
Account- en wachtwoordbeleid:
Splashtop wijst alle gebruikers hun eigen logins toe en verleent toegang via sterke wachtwoorden en tweefactor-/multifactorauthenticatie.
Data securitycontrole:
De datasecuritycontroles van Splashtop omvatten op rollen gebaseerde toegang op basis van het principe met de minste bevoegdheden, toegangsbewaking en logregistratie. Dit betekent dat alle gebruikers een minimaal niveau van gegevenstoegang hebben wanneer ze het Splashtop-systeem gaan gebruiken.
Toegangscontrole:
Splashtop heeft toegangscontroles geïmplementeerd om elektronische toegang tot gegevens en systemen te beheren. Onze toegangscontroles zijn gebaseerd op autorisatieniveaus, 'need-to-know'-parameters en een duidelijke scheiding van taken voor mensen die toegang hebben tot het systeem.
Security Incident Respons:
Splashtop heeft "Security Incident Response" procedures opgesteld die Splashtop in staat stellen om gebeurtenissen met betrekking tot Splashtop-services en informatiemiddelen te onderzoeken, erop te reageren, ze te beperken en ze te melden.
Best Practice #3: Houd gegevens versleuteld tijdens doorgifte en in rust
De twee sleutels tot het beschermen van data, wanneer uw medewerkers op afstand werken, zijn encryptie en toegangscontrole.
Encryptie:
Splashtop versleutelt alle gebruikersgegevens 'in transit' en 'at rest', en alle gebruikerssessies worden veilig opgezet met TLS. De inhoud waartoe binnen elke sessie toegang wordt verkregen is altijd versleuteld via 256-bit AES.
Toegangscontrole:
Splashtop heeft toegangscontroles geïmplementeerd om elektronische toegang tot gegevens en systemen te beheren. Onze toegangscontroles zijn gebaseerd op autorisatieniveaus, need-to-know-niveaus en de scheiding van taken voor degenen die toegang hebben tot het systeem.
Extra tip: Splashtop vermijdt met opzet het overmatig verzamelen van gegevens - iets wat te veel bedrijven zonder legitieme reden doen. We voldoen gemakkelijker aan regelgeving door GEEN gevoelige gegevens/informatie te verzamelen. We verzamelen, bewaren en verwerken alleen beperkte PII, zoals gebruikersnaam (e-mail), wachtwoord en sessielogs (die klanten kunnen bekijken, problemen oplossen, enz.), en Splashtop verkoopt in naleving van AVG- en CCPA-richtlijnen geen klantinformatie.
Best Practice #4: Gebruik veilige remote access
De remote access-oplossing van Splashtop volgt een Zero Trust-aanpak. Wanneer medewerkers op afstand toegang krijgen tot hun kantoorcomputer of werkstation, komen ze binnen via een speciale Splashtop-verbinding. Een verbinding die geen deel uitmaakt van het bedrijfsnetwerk. Dit betekent dat ze alleen de gegevens (bv Word-documenten) op hun externe desktop kunnen bekijken en ermee kunnen werken. Gegevens komen nooit buiten het bedrijfsnetwerk. IT-securitymanagers hebben met Splashtop ook de keuze om zowel bestandsoverdracht- als afdrukfuncties in of uit te schakelen, wat ten zeerste wordt aanbevolen voor naleving.
Splashtop remote access introduceert nog meer beveiligingsfuncties, zoals apparaatverificatie, tweefactorauthenticatie (2FA), single sign-on (SSO) en meer. Deze moderne beveiligingsmaatregelen bestaan niet in de VPN-architectuur.
Conclusie: Begin Nu Om De PII Van Studenten Veilig Te Houden
De vier best practices bestaan uit eenvoudige, verstandige stappen die niet alleen de PII van uw studenten beschermt, maar ook uw instelling als geheel. Bovendien voorkomen ze een groot datalek veroorzaakt door een FERPA-overtreding. Goede preventie kan u grote herstelkosten en merkschade besparen.