Melindungi Privasi Data Siswa: Panduan untuk Kepatuhan terhadap FERPA

/ Compliance / Oleh

Anda harus tahu bahwa privasi data siswa adalah hal yang sangat penting yang perlu dilindungi oleh institusi pendidikan Anda. Itulah sebabnya, penting bagi institusi Anda untuk mengikuti kepatuhan FERPA yang dapat membantu Anda mengamankan data siswa Anda.

Kepatuhan terhadap FERPA

Apa yang dimaksud dengan Kepatuhan FERPA?

FERPA sendiri merupakan hukum federal di Amerika Serikat yang digunakan untuk melindungi privasi catatan pendidikan siswa khususnya terkait akses dari entitas yang bersifat publik seperti pemerintah asing, sekolah negeri, dan pemberi kerja.

Dengan FERPA, hak orang tua juga dijamin sehingga mereka dapat mengambil keputusan yang tepat untuk pendidikan anak hingga anak berusia 18 tahun atau bersekolah di sekolah yang lebih tinggi dari SMA.

Jika hal itu terjadi, maka mereka akan menjadi siswa yang tidak memenuhi syarat untuk FERPA. Namun, hak FERPA tidak selalu terjadi secara bersamaan untuk siswa dan orang tua dan transfer dari orang tua ke siswa dapat terjadi pada saat yang ditentukan.

Persyaratan FERPA dan Hak Pendidikan

Ada beberapa hak pendidikan yang dimiliki oleh siswa yang memenuhi syarat dan orang tua mereka menurut FERPA, yaitu

  • Siswa yang memenuhi syarat dan orang tua mereka memiliki hak untuk melihat dan mengakses catatan siswa kapan saja mereka inginkan secara gratis. Namun, pihak sekolah sendiri sebenarnya tidak diwajibkan untuk memberikan salinan untuk catatan siswa dan jika orang tua ingin mendapatkan salinannya, maka pihak sekolah dapat mengenakan biaya.
  • Siswa yang memenuhi syarat dan orang tua mereka memiliki hak untuk meminta koreksi atas catatan siswa yang mereka anggap menyesatkan atau tidak akurat. Jika sekolah tidak memenuhi permintaan tersebut, maka siswa yang memenuhi syarat atau orang tua mereka dapat mengajukan permohonan untuk audiensi formal. Jika hal ini masih belum memuaskan, maka siswa yang memenuhi syarat atau orang tua mereka juga memiliki hak untuk menambahkan pernyataan penjelasan mereka sendiri ke dalam catatan.
  • Institusi pendidikan hanya dapat merilis catatan pendidikan selama mereka memiliki izin tertulis secara langsung dari siswa yang memenuhi syarat atau orang tua mereka untuk privasi data siswa.

Namun dalam FERPA, ada beberapa contoh di mana institusi pendidikan diperbolehkan untuk merilis informasi catatan pendidikan tanpa harus mendapatkan persetujuan tertulis selama informasi tersebut dirilis untuk pihak-pihak tertentu.

Sebagai contoh, mereka diizinkan untuk memberikan informasi tentang siswa kepada lembaga lain di mana siswa akan pindah dan pejabat yang terlibat dalam mengelola keadaan darurat keselamatan dan kesehatan.

Berikut ini adalah daftar lengkap pihak-pihak yang diizinkan oleh institusi pendidikan untuk merilis informasi catatan pendidikan tanpa harus mendapatkan persetujuan tertulis:

  • Institusi pendidikan lain selama ada alasan yang sah terkait dengan pendidikan siswa
  • Pejabat untuk tujuan audit khusus atau evaluasi lainnya
  • Lembaga yang memberikan bantuan keuangan untuk mahasiswa
  • Organisasi yang memberikan akreditasi
  • Pejabat dari pemerintah yang memiliki panggilan pengadilan atau perintah pengadilan yang sesuai
  • Pejabat yang menangani keselamatan dan kesehatan selama keadaan darurat
  • Otoritas lokal dan negara bagian untuk peradilan anak

Lebih lanjut tentang Catatan Pendidikan Siswa

Catatan pendidikan siswa didefinisikan oleh FERPA sebagai:

  • Catatan yang berhubungan langsung dengan siswa
  • Catatan yang dikelola oleh lembaga, institusi pendidikan atau pihak ketiga yang bertindak atas nama mereka
  • Rekaman dapat berupa media dan format apa pun, termasuk format audio, video, dan kertas.

Pengecualian untuk catatan ini adalah catatan yang dibuat untuk keperluan pribadi serta catatan siswa yang dikelola dan dibuat oleh penegak hukum.

Pentingnya Kepatuhan FERPA bagi Institusi Pendidikan

Peretas sering kali menargetkan informasi siswa, oleh karena itu, hukum federal mengharuskan institusi pendidikan untuk memiliki keamanan privasi data siswa yang baik sesuai dengan standar tertentu yang dapat digunakan untuk melindungi kepentingan siswa.

Jika lembaga pendidikan Anda gagal memenuhi persyaratan mereka, maka hal tersebut dapat mengakibatkan berbagai hukuman dengan nilai yang signifikan seperti pemutusan hubungan kerja atau penangguhan karyawan, kehilangan dana federal, denda, dan bahkan tindakan disipliner langsung dari US ED.

Namun, FERPA sendiri tidak secara eksplisit menjelaskan hal-hal yang harus dilakukan oleh institusi pendidikan untuk menerapkan privasi informasi dan data. Jadi, ini berarti bahwa undang-undang federal ini sebenarnya dirancang untuk fokus pada perlindungan privasi siswa dengan cara apa pun.

Peraturan FERPA sendiri berlaku untuk semua institusi pendidikan yang didanai oleh publik dan menerima dana dari program pendidikan Amerika Serikat yang berlaku, seperti:

  • Institusi pendidikan dasar atau sekolah dasar negeri
  • Institusi pendidikan menengah atau menengah serta tinggi
  • Institusi pendidikan pascasarjana serta lembaga pendidikan tinggi, universitas dan perguruan tinggi

Penting untuk dicatat bahwa lembaga pendidikan parokial atau swasta yang berada di bawah tingkat postsecondary umumnya dikecualikan dari peraturan FERPA karena mereka biasanya juga tidak menerima dana dari federal.

Baca Lebih Lanjut Apa itu GDPR: Panduan Komprehensif Untuk Perlindungan Data

Panduan untuk Mematuhi FERPA untuk Melindungi Privasi Data Siswa

Mengikuti kerangka kerja keamanan siber

Untuk setiap institusi pendidikan yang ingin mematuhi FERPA, maka lebih baik bagi Anda untuk mengikuti kerangka kerja keamanan siber yang telah ditetapkan dan dirancang untuk privasi data seperti:

  • Kontrol CIS
  • COBIT
  • ISO 27001
  • NIST CSF

Kerangka kerja keamanan siber ini biasanya digunakan oleh industri lain untuk memenuhi standar keamanan privasi data sehingga dapat membantu menciptakan peta jalan yang diperlukan untuk institusi pendidikan yang dapat digunakan untuk memenuhi kepatuhan FERPA serta peraturan privasi data lainnya, termasuk FTC COPPA 1998 dan CIPA 2000.

Gunakan perangkat lunak anti-malware, antivirus, dan firewall

Untuk garis pertahanan pertama terhadap serangan dan peretas yang mencoba mendapatkan akses ke dalam sistem institusi pendidikan Anda, Anda perlu menggunakan perangkat lunak anti-malware, antivirus, dan firewall.

Ini adalah perlindungan dasar yang bisa Anda terapkan pada sistem Anda untuk melindungi privasi data siswa. Dengan menggunakan perangkat lunak anti-malware dan antivirus maka sistem institusi Anda dapat memiliki perlindungan tambahan yang dapat membantu melindungi Anda dari program jahat yang digunakan untuk mencuri data.

Firewall dapat membantu mengatur lalu lintas keluar dan masuk di dalam jaringan Anda menggunakan pengaturan yang ditentukan oleh administrator jaringan Anda. Jika jaringan Anda tidak memiliki firewall yang tepat maka sistem Anda dan perangkat di dalam sistem akan terekspos sepenuhnya yang bisa membuat seluruh sistem institusi pendidikan Anda berpotensi diserang.

Melakukan penilaian risiko

Untuk audit keamanan siber, Anda perlu melakukan penilaian risiko untuk membantu mengidentifikasi kesenjangan yang terjadi pada keamanan TI, proses, dan kontrol di dalam sistem. Anda juga harus meninjau kebijakan keamanan yang Anda buat untuk privasi data siswa dan bagaimana data tersebut ditangani secara berkala.

Selain itu, Anda juga perlu memastikan bahwa semua staf dan guru Anda memiliki pemahaman yang tepat tentang betapa pentingnya privasi data siswa dan bahwa mereka menangani data tersebut dengan cara yang aman.

Banyak pelanggaran kepatuhan FERPA terjadi karena kurangnya pemahaman tentang undang-undang privasi dan karena institusi pendidikan tidak mengkomunikasikan kebijakan privasi data siswa mereka. Dengan demikian, melakukan penilaian ini dapat membantu Anda mengidentifikasi masalah-masalah tersebut dan mengatasinya dengan tepat.

Menggunakan teknologi enkripsi data

Penting bagi Anda untuk menggunakan teknologi enkripsi data. Bahkan, ini dapat dianggap sebagai perlindungan pertama yang harus diterapkan oleh lembaga pendidikan Anda untuk kepatuhan FERPA. Dengan enkripsi, data siswa dapat terlindungi dari pihak yang tidak berkepentingan dan peretas sehingga mereka tidak dapat mengakses data penting karena tidak memiliki kunci dekripsi.

Semua catatan pendidikan siswa harus dienkripsi ketika disimpan, digunakan dan dalam perjalanan terutama ketika Anda menggunakan perangkat fisik dalam jumlah besar untuk melakukan aktivitas tersebut.

Gunakan kontrol akses

Penting bagi Anda untuk memiliki kebijakan kontrol akses pada institusi pendidikan Anda untuk membatasi akses sehingga data siswa hanya dapat diakses oleh pihak yang berwenang. Dengan begitu, jika ada pejabat atau staf sekolah yang tidak memiliki alasan yang sah atau jelas bagi mereka untuk mendapatkan akses ke data siswa, maka mereka akan diblokir dan tidak dapat melihat data tersebut.

Untuk membuat kebijakan, Anda perlu mendefinisikan akses mereka menggunakan izin yang diberikan berdasarkan peran orang di dalam institusi pendidikan. Dengan begitu, hal ini dapat membantu mencegah berbagi data antara pihak-pihak di dalam institusi Anda

Mencatat, mengaudit, dan memantau aktivitas jaringan

Anda perlu mencatat semua aktivitas pengguna yang dilakukan di dalam jaringan sekolah sehingga Anda dapat memiliki catatan semua jenis data yang diakses, seberapa sering data tersebut dilihat, waktu ketika data tersebut dilihat, dan juga orang yang mengakses data tersebut.

Hal ini juga berguna saat terjadi pembobolan data sehingga departemen TI dapat mendeteksi sumber kapan dan di mana entri dilakukan. Hal ini termasuk kapan data disusupi, dan di mana titik masuk yang digunakan. Dengan begitu, hal ini dapat membantu mereka dalam mempersiapkan pengendalian kerusakan.

Melakukan pembaruan tahunan untuk tetap mematuhi FERPA

Peraturan FERPA menyatakan bahwa institusi pendidikan harus memberikan informasi terbaru setiap tahun kepada para pemangku kepentingan mengenai hak-hak FERPA mereka serta pilihan bagi mereka untuk tidak ikut serta dalam pengungkapan data jika mereka menginginkannya. Pemangku kepentingan dalam hal ini adalah siswa yang memenuhi syarat dan orang tua mereka.

Kesimpulan

Seperti yang Anda lihat, privasi data siswa adalah hal yang sangat penting yang harus dilindungi oleh institusi pendidikan Anda. Jika Anda gagal melakukannya, maka akan ada konsekuensi besar yang harus dihadapi oleh institusi Anda. Oleh karena itu, Anda harus mengikuti panduan kepatuhan FERPA yang kami miliki di sini untuk melindungi data siswa.

Tags: privasi data siswa, kepatuhan FERPA, keamanan privasi data siswa, peraturan kepatuhan FERPA, panduan kepatuhan FERPA

Hubungi Paireds

Human Security and Compliance Platform

Tertarik dengan otomatisasi compliance dan human focus cyber security? Hubungi kami untuk membahas kebutuhan cyber security dan compliance Anda. Kita akan bekerja sama untuk mencari tahu apa yang Anda butuhkan dan bagaimana memulainya.

Let’s talk

%d blogger menyukai ini: