Hur man navigerar FERPA-efterlevnad samtidigt som virtuellt lärande möjliggörs

Pandemin och virtuellt lärande har utsatt utbildningsinstitutioner för större efterlevnadsrisk. Lär dig hur du navigerar efter FERPA-efterlevnad i en virtuell värld.

Family Educational Rights and Privacy Act (FERPA) är en amerikansk federal lag som ger föräldrar rätten att få tillgång till sina barns utbildningsregister, rätten att begära ändringar i dem och rätten att ha viss kontroll över avslöjandet av personligt identifierbara uppgifter från utbildningsjournalerna. Dessa rättigheter övergår till en student som fyller 18 år eller går in på en eftergymnasial institution oavsett ålder.

Studentposter inkluderar (men är inte begränsade till) betyg, utskrifter, klasslistor, studentkursscheman, studentekonomisk information, studentdisciplinfiler och hälsojournaler för grund- och gymnasienivåer – inklusive personlig covid-relaterad data. Enligt FERPA måste utbildningsinstitutioner skydda den personligt identifierbara informationen (PII) som finns i varje elevs register.

Lagen gäller för alla utbildningsbyråer och institutioner som får medel under något program som administreras av utbildningsministern. När en byrå eller institution bryter mot FERPA-reglerna riskerar det ett fullständigt indragning av federalt finansieringsstöd. Du kan hitta FERPA-stadgan i 20 USC § 1232g och FERPA-bestämmelserna i 34 CFR Part 99.

 

Fjärrlärare, personal och studenter ökar FERPA-efterlevnadsrisken

Det är ingen överraskning att pandemin har utsatt utbildningsinstitutioner för större efterlevnadsrisk. Ändå är många inte väl förberedda för att undvika att gå i konflikt med dataskyddslagar, inklusive FERPA.

Tänk på fallet med University of California (UC). Den 24 december 2020 komprometterades universitetets Accellion filöverföringsapparat (FTA) i en riktad cyberattack, vilket orsakade ett betydande dataintrång. Enligt en FAQ publicerad av UC inkluderade elevernas PII som stals i intrånget sannolikt "fullständiga namn, adresser, telefonnummer, personnummer, körkortsinformation, passinformation, ekonomisk information inklusive bankdirigering och kontonummer, hälsa och relaterad förmånsinformation, information om funktionshinder och födelsedatum, såväl som annan personlig information som lämnas till UC."

Tyvärr avslöjade UC för studenter (och det större UC-samhället) att en del av PII redan hade lagts ut på Internet den 29 mars 2021.

Förutom att dåvarande studenters PII stulits och publicerades fick nya sökande till UC-systemet också dåliga nyheter: "Information från inlämnade ansökningar till University of California för läsåret 2020-2021 påverkades. Denna information kan inkludera födelsedatum, könsidentitet, familjehushållsinkomstnivå, etnicitet och/eller stamtillhörighet och modersmål, sexuell läggning, akademisk information (GPA, testresultat) och om du har fått fosterhem, säger UC FAQ.

I ett försök att förhindra sådan framtida förlust av student-PII (och PII från andra), informerade UC samhället om att det hade tagit fyra viktiga steg:

  1. Avvecklade Accellion-tekniken
  2. Började gå över till en säkrare lösning
  3. Samarbetade med FBI
  4. Anlitade externa cybersäkerhetsexperter för att undersöka vidare

I ett efterföljande avsnitt av samma FAQ uppgav UC också att det förbättrade säkerhetskontroller, processer och procedurer.

 

Kostnaderna för att vara oförberedd på FERPA-efterlevnad

Visst borde potentialen för indragning av federal finansiering ha motiverat UC och andra institutioner/byråer att bättre förbereda sig inför attacken i december 2020. Om det inte räckte, överväg de andra kostnaderna som UC ådrog sig till följd av dataintrånget. Ytterligare kostnader inkluderade åtminstone följande:

  • Arvoden för dyra cybersäkerhets- och kriminaltekniska konsulter
  • IT-kostnader att "rippa och ersätta" en eller flera tekniklösningar med kort varsel
  • Juridiska avgifter i samband med potentiella rättsliga åtgärder från offren
  • Resurser spenderas på den snabba utvecklingen av nya säkerhetskontroller, processer och procedurer
  • Förlorad undervisning och avgifter från studenter och sökande som beslutat att avstå från UC
  • Långvarig skada på UC-varumärkets rykte

Summan av kardemumman är att din utbildningsinstitution måste vara bättre förberedd för att hålla student-PII säker, särskilt med frekvensen av cyberattacker som skjutit i höjden under de senaste åren.

 

FERPA-efterlevnad i en virtuell värld

Splashtop har tillhandahållit fjärråtkomst, fjärrsupport och samarbete till bästa utbildningsinstitutioner i två decennier. Det gör oss unikt kvalificerade att ge dig bästa praxis för efterlevnad av FERPA samtidigt som du möjliggör en virtuell inlärningsmiljö för studenter, lärare och personal. Följ dessa fyra beprövade bästa metoder för att hålla dina elevers PII säkrare.

 

Bästa praxis #1: Uppdatera din cybersäkerhetspolicy för att återspegla verkligheten för "fjärrarbete".

Många människor är obekanta med datasäkerhetsproblem och inser helt enkelt inte hur deras handlingar kan leda till ett dataintrång. Alla i din institution måste vara informerade och medvetna för att förhindra exponering av student PII.

Ditt bästa sätt att informera anställda är att upprätta och dela en cybersäkerhetspolicy som instruerar dem hur de ska hålla studentuppgifter säkra. IT-säkerhetspolicyn kan vara ett enkelt dokument. Den bör förklara skälen till att den finns och tillhandahålla de specifika säkerhetsprotokoll (i icke-tekniska termer) som alla anställda bör följa. Det bör också tillhandahålla en kontaktkälla (e-post eller telefonnummer) för anställda som behöver ytterligare hjälp att förstå det.

Hur Splashtop följer denna bästa praxis

På Splashtop, till exempel, utvecklade vi "Security Policies" som en delmängd av våra tekniska och organisatoriska åtgärder (TOMs). Dessa beskriver de säkerhetsåtgärder och kontroller som implementeras och underhålls av Splashtop för att skydda och säkra den data vi lagrar och behandlar.

Våra IT-säkerhetsexperter granskar och ändrar regelbundet våra IT-säkerhetspolicyer. Splashtops anställda genomför informationssäkerhetsutbildning årligen och följer Splashtops etiska affärsuppförande, konfidentialitet och säkerhetspolicyer som anges i vår "Code of Conduct."

Om du har en policy men inte har uppdaterat den sedan du tillåtit distansarbete kan du snabbt skapa en distansarbetspolicy som innehåller regler och tips för distansarbete. Fokusera på hur distansanställda bör agera för att hålla personlig information och företagsdata säkra, särskilt när de arbetar hemifrån.

 

Bästa praxis #2: Utbilda anställda och se till att IT kan stödja dem

Som nämnts ovan genomför Splashtops anställda informationssäkerhetsutbildning årligen och följer Splashtops etiska affärsuppförande, konfidentialitet och säkerhetspolicyer som anges i Splashtops uppförandekod.

Vi förbereder vårt IT-team för att stödja distansanställda på följande sätt:

  • Konto- och lösenordspolicyer: Splashtop tilldelar alla användare sina egna inloggningar och ger åtkomst via starka lösenord och två-/multifaktorautentisering.
  • Datasäkerhetskontroll : Splashtops datasäkerhetskontroller inkluderar rollbaserad åtkomst baserad på minsta privilegieprincipen, åtkomstövervakning och loggning. Detta innebär att alla användare har en minimal nivå av dataåtkomst när de börjar använda Splashtop-systemet.
  • Åtkomstkontroll : Splashtop har implementerat åtkomstkontroller för att hantera elektronisk åtkomst till data och system. Våra åtkomstkontroller är baserade på auktoritetsnivåer, parametrar som behöver veta och en tydlig arbetsuppdelning för personer som har tillgång till systemet.
  • Respons på säkerhetsincidenter: Splashtop har etablerat procedurer för "Security Incident Response" som gör det möjligt för Splashtop att undersöka, svara på, mildra och meddela händelser relaterade till Splashtops tjänster och informationstillgångar.

 

Bästa praxis #3: Håll data krypterad under överföring och vila

De två nycklarna för att upprätthålla dataskyddet när dina anställda arbetar på distans är kryptering och åtkomstkontroll.

  • Kryptering: Splashtop krypterar all användardata under överföring och vila, plus att alla användarsessioner är säkert etablerade med TLS. Innehållet som nås inom varje session är alltid krypterat via 256-bitars AES.
  • Åtkomstkontroll : Splashtop har implementerat åtkomstkontroller för att hantera elektronisk åtkomst till data och system. Våra åtkomstkontroller är baserade på behörighetsnivåer, behovsnivåer och åtskillnad av arbetsuppgifter för dem som har tillgång till systemet.

Ytterligare tips: Splashtop undviker medvetet överinsamling av data – något som alltför många företag gör utan legitim anledning. Vi anpassar oss lättare till regelverk genom att INTE samla in känslig data/information. Vi samlar bara in, lagrar och bearbetar begränsad PII, såsom användarnamn (e-post), lösenord och sessionsloggar (för kunder att granska, felsökning, etc.), och Splashtop säljer inte kundinformation enligt GDPR och CCPA-riktlinjer.

 

Bästa praxis #4: Använd säker fjärråtkomst

Splashtops fjärråtkomstlösning följer en Zero Trust-strategi. När anställda fjärransluter till sin kontorsdator eller arbetsstation kommer de in via en speciell Splashtop-anslutning. En anslutning som inte är en del av företagets nätverk. Detta innebär att de bara kan se och arbeta med data (dvs. Word-dokument) på sitt fjärrskrivbord. Data färdas aldrig utanför företagets nätverk. IT-säkerhetsledare har också valet med Splashtop att aktivera eller inaktivera både filöverförings- och utskriftsfunktioner, vilket starkt rekommenderas för efterlevnad.

Splashtop fjärråtkomst introducerar ännu fler säkerhetsfunktioner , såsom enhetsautentisering, tvåfaktorsautentisering (2FA), enkel inloggning (SSO) och mer. Dessa moderna säkerhetsåtgärder finns inte i VPN-arkitektur.

 

Slutsats: Börja nu för att hålla student-PII säker

De fyra bästa metoderna representerar enkla, sunt förnuftiga steg som inte bara skyddar dina elevers PII, utan också din institution som helhet. Dessutom förhindrar ett omfattande dataintrång orsakat av en FERPA-överträdelse. Ett uns av förebyggande kan rädda dig från saneringskostnader och varumärkesskador.

 

Besök vår sida för fjärrskrivbord för distans-, fjärr- och hybridinlärning för att lära dig mer om hur Splashtop förbättrar distansundervisning.

 

 

Relaterat innehåll

Splashtop utsågs till en av EdTechs 10 bästa lösningar för studentengagemang 2021

Hur du säkerställer att dina distansanställda är HIPAA-kompatibla

Hantera GDPR och CCPA-efterlevnad för en fjärranställd arbetsstyrka

 

Gratis provbanner på bloggbotten