Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Wettelijke naleving > Wat is FERPA-naleving?
Wat is FERPA-naleving?

Wat is FERPA-naleving?

by Danielle Barbour updated december 6, 2022 Wettelijke naleving
Reading Time: 5 minutes

Wat is FERPA-naleving? FERPA-naleving verwijst naar de vereiste waar academische instellingen zich aan moeten houden bij het omgaan met gevoelige studentgegevens, waaronder onderwijsinformatie en persoonlijk identificeerbare informatie (PII). Deze vereisten omvatten cyberbeveiliging, administratieve privacymaatregelen en het informeren van ouders en studenten over hun rechten.

Wat is de Family Educational Rights and Privacy Act (FERPA)?

In 1974 diende senator James Buckley een amendement in om incidenten (onderbouwd met bewijs) aan te pakken waarbij studentendossiers in het hele land werden misbruikt. FERPA ontstond in een tijd van algemeen wantrouwen jegens de overheid na het Watergate-schandaal en werd gezien als een bescherming tegen het misbruiken van academische en institutionele informatie voor kwaadaardige doeleinden door anderen.

Het idee was dat bepaalde onderwijsdossiers persoonlijk identificeerbare informatie (PII) bevatten. Daarom bouwt FERPA specifieke rechten en beschermingen in de wet in, die allemaal aansluiten op overkoepelende naleving van regelgeving:

  • Toestemming: Studenten of hun ouders/wettelijke voogden kunnen op elk moment hun onderwijskundige documenten opvragen. Instellingen moeten aan deze verzoeken voldoen binnen 45 dagen. Deze partijen kunnen ook verzoeken om aanpassing van specifieke dossiers.

    Belanghebbenden kunnen afstand doen van dit recht, maar studenten mogen dit alleen doen met begeleiding en advies. Studenten moeten schriftelijk toestemming geven voordat instellingen documenten aan anderen mogen verstrekken.

  • Training: Leraren, beheerders en externe leveranciers moeten getraind zijn om ervoor te zorgen dat dossiers niet zonder toestemming worden gedeeld. Daarnaast moeten ouders/voogden en studenten jaarlijks schriftelijk op de hoogte worden gebracht van hun rechten onder FERPA.

  • Beveiliging: Alle privégegevens die onder FERPA vallen, moeten worden beschermd om vertrouwelijkheid, integriteit en beschikbaarheid te waarborgen. 

Welke dossiers worden beschermd door FERPA?

FERPA 34 § 99.3 definieert onderwijsdossiers waarover de wet rechtsbevoegdheid heeft als volgt:

  • Onderwijsinformatie: Alle dossiers met betrekking tot cijfers, cijferlijsten, financiële of leninggegevens, studentbeoordelingen, opdrachten of aanwezigheid.

  • Directory-informatie: Deze dossiers verwijzen naar PII die wordt gebruikt om de student te identificeren voor administratieve doeleinden en omvatten adressen, telefoonnummers, data met betrekking tot aanwezigheid of inschrijving, enz. Volgens FERPA blijven deze dossiers alleen privé op verzoek van de student.

In beide gevallen moet de gereguleerde informatie herleidbaar zijn tot de student via bijvoorbeeld een uniek kenmerk, studentnummer of burgerservicenummer.

Welke dossiers worden niet beschermd door FERPA?

Er worden tijdens de school- of universiteitstijd van een student diverse soorten informatie aangemaakt die niet gerelateerd zijn aan onderwijs. Deze dossiers zijn uitgezonderd van FERPA-regelgeving en omvatten:

  • Alle dossiers met betrekking tot wetshandhaving van de onderwijsinstelling
  • Arbeidsdossiers van studenten die door de instelling zijn aangenomen
  • Medische dossiers van professionals die in die hoedanigheid voor de instelling werken (counseling, gezondheidskliniek, enz.) voor studenten van 18 jaar of ouder
  • Dossiers die de instelling heeft aangemaakt nadat de student de instelling heeft verlaten
  • Beoordelingen die tijdens peer review zijn gemaakt voordat ze door studenten of beheerders zijn verzameld

Belangrijk om te weten is dat zodra studenten 18 jaar worden of onderwijs volgen na het voortgezet onderwijs, hun ouders of voogden niet langer het recht hebben om beschermde documenten onder FERPA-naleving in te zien zonder toestemming van de student.

Wie zijn uitgesloten van FERPA-rechtsbevoegdheid?

FERPA-regelgeving bepaalt over het algemeen dat leraren, beheerders en externe leveranciers die verbonden zijn aan een onderwijsinstelling zich aan wet bescherming persoonsgegevens 2018 moeten houden. Er zijn echter aanvullende uitzonderingen voor personeel dat aan bepaalde criteria voldoet. 

Deze uitzonderingen omvatten:

  • Leraren en functionarissen met een legitiem onderwijsbelang bij de dossiers van de student
  • Contractanten die door de instelling zijn ingehuurd voor onderwijsondersteuning
  • Andere instellingen waar de student zich wil inschrijven (bijv. overdracht van academische dossiers voor prestatieverificatie)
  • Partijen die betrokken zijn bij studiefinanciering
  • Organisaties die instellingbrede beoordelingen, studentenhulpprogramma’s of onderwijsontwikkeling creëren, implementeren of onderhouden
  • Accreditatieorganisaties
  • Afdelingen of instellingen die verplicht zijn informatie te verstrekken op basis van een dagvaarding of gerechtelijk bevel
  • Belanghebbenden die verbonden zijn aan noodhulpdiensten voor gezondheid of veiligheid
  • Staats- en lokale autoriteiten die verbonden zijn aan jeugdstrafrechtsystemen

Wat zijn de beste practices om FERPA-naleving te waarborgen?

Het handhaven van praktijken die data compliance met FERPA garanderen, vereist een duidelijk inzicht in wanneer en waar medewerkers en studenten omgaan met beschermde dossiers. In de basis combineren beste practices aandacht voor IT-cyberbeveiligingsmaatregelen met de implementatie van monitoring en training. 

Enkele beste practices zijn onder meer:

  • Encryptie: Om ongeautoriseerde openbaarmaking tijdens gebruik of overdracht te voorkomen, moeten alle beschermde dossiers versleuteld zijn tijdens opslag of verzending.

  • Perimeterbeveiliging en interne controles: Instellingen met IT-systemen die beschermde dossiers bevatten, moeten firewallbeveiliging en anti-malwaresoftware implementeren om ongeautoriseerde toegang tot gegevens te voorkomen.

  • Beheer van toegangscontrolebeleid: Beheerders moeten duidelijke toegangscontroles implementeren om openbaarmaking van informatie tot geautoriseerde partijen te beperken. Deze toegangsrechten moeten rolgebaseerd zijn, met duidelijke procedures voor het toekennen en intrekken van toegang bij bijvoorbeeld promotie of ontslag van medewerkers.

  • Monitoring en logging: Om ongeautoriseerde toegang te voorkomen, moeten IT-systemen met gevoelige gegevens gebeurtenissen op dossier- en gebruikersniveau monitoren en loggen om beveiliging en integriteit te waarborgen.

  • Informatie aan belanghebbenden: Ouders/voogden en studenten moeten jaarlijks updates ontvangen over hun rechten onder FERPA. Daarnaast moeten belanghebbenden de mogelijkheid krijgen om zich af te melden voor optionele functies met betrekking tot hun gegevens, waaronder software- of platformpersonalisatie.

  • Voortdurende training: Administratief personeel, leraren en contractanten moeten worden geïnformeerd over hun FERPA-verplichtingen. 

Wat zijn de sancties bij het niet naleven van FERPA?

Net als bij veel andere soorten regelgeving zijn er sancties voor het niet naleven van FERPA. Daarnaast komt het vaak voor dat instellingen per ongeluk informatie delen met ongeautoriseerde partijen als medewerkers niet goed zijn geïnformeerd over hun verplichtingen. 

Enkele manieren waarop een onderwijsinstelling FERPA-regelgeving kan schenden zijn:

  • Het delen van aanbevelingsbrieven met niet-onderwijsinstellingen (zoals privébedrijven)
  • Het niet beveiligen van systemen met vertrouwelijke informatie door een leverancier
  • Per ongeluk e-mails met academische informatie sturen naar ongeautoriseerde partijen
  • Cijfers openbaar maken op een prikbord en deze koppelen aan identificeerbare studentgegevens
  • Academische of directory-informatie telefonisch verstrekken aan een ongeautoriseerde partij

Volgens FERPA mogen getroffen studenten of ouders echter geen instelling aanklagen die hun informatie heeft blootgesteld. Alleen het Amerikaanse ministerie van Onderwijs kan juridische stappen ondernemen tegen deze instellingen als handhavingsmaatregel. Deze handhavingsmaatregelen kunnen inclusief (maar tot nu toe niet) financiële sancties zijn. 

Individuele medewerkers die FERPA schenden kunnen het volgende ondervinden:

  • Verboden worden om toegang te krijgen tot institutionele middelen die verband houden met hun functie, waaronder toegang tot onderwijsplatforms of studentendossiers

  • Strafrechtelijk vervolgd worden op individuele basis onder strafrechtelijke bepalingen met betrekking tot diefstal of fraude

  • Ontslagen worden uit hun functie bij de instelling

Bovendien kan een instelling die FERPA-naleving niet volgt en geen stappen onderneemt om dit te doen, het volledige verlies van federale financiering riskeren.

Ondersteun uw FERPA-nalevingsverplichtingen met het Kiteworks Private Content Network

FERPA, net als elke andere industriestandaard, verwacht dat instellingen hun verplichtingen nakomen om privégebruikersgegevens te beschermen. Dit betekent het implementeren van beveiligde platforms, privécommunicatiesystemen en regelmatige monitoring- en onderhoudspraktijken. 

Voor de onderwijssector die onder FERPA valt, is het vertrouwelijk houden van privégegevens cruciaal. Maar cybercriminelen en malafide staten maken dit niet eenvoudig. Eerder dit jaar ontdekte SentinelOne dat onderwijsinstellingen de meest aangevallen sector zijn als het gaat om cyberaanvallen en het aantal aanvallen jaar op jaar met 44% is gestegen. Dit brengt onderwijsinstellingen in gevaar—zowel qua cyberaanvallen als qua niet-naleving zoals FERPA. 

Om deze uitdagingen aan te pakken, verenigt, volgt, controleert en beveiligt het Kiteworks Private Content Network elke verzending en deling van gevoelige inhoud zoals student-PII en beschermde gezondheidsinformatie (PHI). Het Kiteworks-platform hanteert een zero-trust contentbeleid voor het volgen en beheren van wie toegang heeft tot inhoud, wie het kan bekijken en bewerken, en aan wie het kan worden verzonden. Governance- en beveiligingsmogelijkheden in Kiteworks omvatten krachtige encryptie, onveranderlijke audit logging en beveiligde hardware. 

Een van de aspecten die voor bepaalde instellingen bijzonder nuttig kan zijn, is single-tenant cloudhosting op de Infrastructure-as-a-Service (IaaS)-bronnen van een organisatie, of gehost als een privé single-tenant instantie door Kiteworks in de cloud via de Kiteworks Cloud-server.

Dit betekent geen gedeelde runtime, gedeelde databases of repositories, gedeelde bronnen of risico op cross-cloud datalekken of aanvallen. 

Onderwijsinstellingen die hulp nodig hebben bij het beschermen van privégegevens en het waarborgen van naleving van regelgeving zoals FERPA kunnen een aangepaste demo van het Kiteworks Private Content Network aanvragen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks