З кожним роком кількість даних, які збирають навчальні заклади, продовжує зростати. Хоча в цьому немає нічого поганого, є деякі пов'язані з цим ризики, що потребують суворішого регулювання та нагляду.
Освітні заклади повинні підтримувати певний рівень конфіденційності та забезпечувати надійний захист даних своїх учнів. І тут на допомогу приходить FERPA. Що цей акт означає для студентів, і які особливості він має порівняно з HIPAA? І, що важливіше, як забезпечити відповідність FERPA?
Що таке акт FERPA і кого він захищає?
FERPA – це абревіатура Закону про сімейну освіту та конфіденційність (The Family Educational Rights and Privacy Act). Основна роль цього закону — захистити конфіденційність записів про навчання студентів. Він дає змогу студентам перевіряти та переглядати свої записи про освіту та змінювати оманливі або неточні дані.
Згідно з FERPA такі аспекти, як бали та оцінки на іспитах, неуспішність в окремих предметних областях та загальний прогрес визначаються як особиста інформація. Батьки можуть отримати доступ до цієї захищеної інформації лише з письмової згоди учня.
На рівні після середньої освіти батьки не мають права перевіряти документи про освіту дітей. Це право стає суворо обмеженим студентом, до якого відноситься інформація.
Чи є FERPA федеральним законом?
Так, FERPA є федеральним законом. Це означає, що він поширюється на всі штати США однаково, без будь-яких винятків. Це стосується будь-якої державної чи приватної початкової, середньої чи вищої школи, яка отримує кошти від Міністерства освіти США.
Коли було прийнято FERPA?
FERPA був прийнятий 21 серпня 1974 року тодішнім президентом Фордом. Цей акт набув чималої значущості одразу ж після того, як він був підписаний, і змінив ставлення коледжів та університетів до вищої освіти. Згодом це призвело до першої поправки лише через кілька місяців після рийняття закону, у грудні 1974 року.
Поправки, ухвалені в грудні 1974 року, в основному уточнювали неоднозначні формулювання та більш точно визначали деякі правила та положення. Вони ще більше посилили права студентів і надали їм деякі інструменти для оскарження змісту та виправлення оманливої чи недостовірної інформації.
Протягом наступних десятиліть було внесено кілька серйозних поправок, насамперед у 1998, 2008 та 2013 роках. З початком пандемії COVID-19 FERPA до також були включені деякі винятки щодо записів про загальні щеплення та медичні дані.
Якщо бути більш точним, було додано виняток «надзвичайний стан здоров’я та безпеки», який змінює правило загальної згоди. Цей виняток дозволяє навчальним закладам та агентствам розкривати особисту інформацію без попередньої згоди особи.
Права студентів FERPA
Щоб сповна зрозуміти важливість FERPA для студентів, ми повинні розглянути всі права, які студенти та батьки мають відповідно до цього закону. Ось перелік прав студентів FERPA:
- Прозорий контроль за освітніми записами
- Виправлення та поправки до існуючих записів
- Встановлення правил щодо того, хто може переглядати записи
Коли дитині виповнюється 18 років, усі ці права переходять від батьків до учня. Звичайно, крім прав, важливо обговорити обмеження, які FERPA накладає на батьків та учнів. З огляду на це інколи навчальному закладу дозволяється оприлюднювати інформацію без згоди. Це включає такі сценарії, як:
- Законна освітня зацікавленість шкільних службовців
- Надзвичайні ситуації у сфері охорони здоров'я
- Провадження системи ювенальної юстиції
- Перехід з однієї школи в іншу
HIPAA vs FERPA
Хоча HIPAA та FERPA представлені найважливіші федеральні закони, які захищають конфіденційність та безпеку осіб, HIPAA та FERPA мають деякі помітні відмінності, на які варто звернути увагу. Основна відмінність полягає в тому, що HIPAA застосовується до галузі охорони здоров’я, а FERPA – до галузі освіти.
По-друге, ці два акти також мають різні правила відповідності. FERPA поширюється на будь-які початкові, середні або вищі державні чи приватні школи. Це також стосується будь-яких державних чи місцевих освітніх агентств, які отримують кошти від Міністерства освіти США.
Для порівняння, правила відповідності HIPAA застосовуються до постачальників медичних послуг, закладів охорони здоров’я, інформаційних центрів у сфері охорони здоров’я та інших ділових партнерів, які діють від імені будь-яких організацій у галузі охорони здоров’я.
Розглядаючи види захищеної інформації, FERPA захищає записи про освіту студентів. Це включає будь-яку інформацію, яка безпосередньо стосується будь-якого студента. У цьому сенсі HIPAA також знаходиться у тій самій ніші з точки зору захищеної інформації, зосереджуючись на ній лише з точки зору охорони здоров’я. Точніше, він захищає персональну інформацію про здоров’я.
Зрештою, ми повинні порівняти HIPAA та FERPA щодо дозволеного розкриття інформації двома актами. Ми вже обговорювали дозволене розкриття інформації відповідно до FERPA. У контексті HIPAA, розкриття інформації фізичній особі дозволяється для лікування, оплати та медичних операцій, суспільних інтересів та інших обмежених можливостей.
Як забезпечити відповідність HIPAA / FERPA
Для IT-відділів навчальних закладів важливо чітко розуміти правила відповідності FERPA, оскільки вони відповідають за зберігання та захист усієї цінної інформації про студентів. За даними Інституту Infosec, найкращі методи для ІТ-відділів для забезпечення відповідності FERPA / HIPAA включають:
- Забезпечення шифрування даних на фізичних пристроях
- Виявлення та усунення будь-яких потенційних недоліків в ІТ-інфраструктурі установи
- Регулярний моніторинг для запобігання зовнішнім порушенням та внутрішнім помилкам користувача
- Іти в курсі останніх поправок і оновлень FERPA/HIPAA
Відповідність як HIPAA, так і FERPA потребує досить багато часу та досліджень. Вам потрібно проконсультуватися з юридичним радником, з’ясувати, що стосується вашої установи, створити політику та ознайомити своїх співробітників з останніми вимогами HIPAA / FERPA.
Як Hideez може допомогти забезпечити відповідність FERPA
Якщо ваша мета – підтримувати відповідність останнім стандартам FERPA, служба аутентифікації Hideez надає вам усі інструменти для цього. Вона складається з чотирьох основних компонентів і може захистити вашу організацію та студентів від будь-яких ризиків конфіденційності. Ось чотири основні елементи служби аутентифікації Hideez:
- Сервер Hideez - дозволяє ІТ-адміністраторам надавати або обмежувати доступ особам без шкоди для даних користувачів. Забезпечує зручну та безпечну безпарольну аутентифікацію FIDO2 та безпарольну двофакторну аутентифікацію.
- Hideez Authenticator – безкоштовний мобільний додаток, доступна для Android та iOS, який перетворює мобільний пристрій користувача на особистий токен безпеки. Це дозволяє студентам/викладачам використовувати біометричні дані або одноразові QR-коди для швидкого входу в свої облікові записи.
- Ключі Hideez Key - необов'язковий елемент служби аутентифікації Hideez, це фізичний ключ безпеки з кількома корисними функціями. Він має такі функції, як керування паролями та автозаповнення, генерація одноразового пароля, можливості блокування/розблокування на основі віддаленості користувача та властивості RFID-мітки.
- Hideez Client — надійне клієнтське програмне забезпечення для ПК з Windows з повною функцією аутентифікації без пароля.
Отже, беручи до уваги вищесказане, ми можемо сказати, що служба аутентифікації Hideez приносить ряд явних переваг. Усі дані зберігаються на фізичних пристроях у вигляді ключа безпеки Hideez Key або Hideez Authenticator, які ви налаштували на своєму мобільному пристрої. Це дозволяє контролювати віддалений доступ і керувати привілейованим доступом.
Більше того, ваші співробітники отримують доступ до новітніх технологій, які заощаджують час у вигляді швидкого і безпечного безпарольного входу. З точки зору безпеки, Hideez захищає вас від фішингових електронних листів, спуфінгу та атак «человік посередині».
І найголовніше, у контексті цієї статті ви отримуєте відповідність сучасним стандартам безпеки та конфіденційності, таким як FERPA, CIPA, NIST та FIPS 140-2. Заплануйте персональний демонстраційний дзвінок з нашим експертом або одразу подайте заявку на безкоштовну 30-денну пробну версію!
.