Family Educational Rights and Privacy Act (FERPA) on Yhdysvaltain liittovaltion laki, jota sovelletaan opiskelijoiden opintotietojen saantiin ja hallintaan. FERPA myöntää opiskelijoille ja heidän vanhemmilleen tiettyjä oikeuksia näiden tietojen yksityisyyteen liittyen, mukaan lukien oikeus tarkastaa ja tarkistaa opiskelijan koulutusasiakirjat, oikeus pyytää vanhemman tai oikeutetun opiskelijan mielestä virheellisten tietojen muuttamista ja oikeus koulutusasiakirjoissa olevien henkilökohtaisten tunnistetietojen (PII) tietynasteiseen luovutuksen hallintaan.
Koulutuslaitokset käyttävät Esrin ArcGIS-tuotteita ja -palveluja eri tarkoituksiin, mm. tutkimukseen, ohjeistamiseen ja hallinnon hoitamiseen. Koulutuslaitokset eivät käytä ArcGIS-palveluja usein opintotietojen käsittelyyn, ja ArcGIS voidaan määrittää minimoimaan FERPA-säännöstenmukaisuuden vaatimukset. Kun näitä tuotteita ja palveluja käytetään opintotietojen tallentamiseen, käsittelyyn tai lähettämiseen, ne voivat kuitenkin kulua FERPA-lain piiriin. Siksi on asiakkaan vastuulla määrittää, vastaako asiakkaan työnkulku FERPA-vaatimuksia vai ei.
Esrin sitoutumus asiakkaidensa tietojen tietoturvan ja -suojan suojaamiseen sisältää seuraavat:
- Tietosuojakäytäntöjen toimittaminen itsenäisesti arvioitavaksi ja sertifioitavaksi
- Valtuutetun riippumattoman kolmannen osapuolen suorittamaan FedRAMP-vuositarkastukseen osallistuminen
- Haavoittuvuustarkastuksien suorittaminen vähintään 30 päivän välein ja testaus tietoturvatoimien toiminnan arviointiin ja uusien uhkien tunnistamiseen.
- Alle 12-vuotiaiden opiskelijoiden tietosuojan suojaaminen poistamalla kohdennusevästeet käytöstä
Usein kysyttyjä kysymyksiä FERPA-laista
Onko olemassa FERPA-sertifiointiohjelmia?
- Ei. Tällä hetkellä ei ole mitään erityistä FERPA-sertifiointiohjelmaa kolmannen osapuolen säännöstenmukaisuuden arviointia varten. Koulutuslaitoksen on suoritettava oma arviointinsa, jotta se voi määrittää, vaikuttaako jokin tuote tai palvelu sen säännöstenmukaisuuteen.
Mitkä ArcGIS Onlinen tietoturva- ja tietosuojatoimenpiteet edistävät FERPA-säännöstenmukaisuutta?
- Käyttäjille tarjotaan erilaisia ArcGIS Online -tuotteen tietoturvaominaisuuksia, kuten roolipohjainen käytönvalvonta.
- Siirrettävät tiedot suojataan TLS 1.2 -protokollalla ja muut tiedot suojataan 256-bittisellä Advanced Encryption Standard (AES-256) -salausstandardilla.
- Pilvipalveluntarjoajiemme fyysisen ja ympäristön suojauksen hyödyntäminen: Esrin isännöintitoimipisteiden henkilöstö tarkkailee ja valvoo turvallisuutta viikon jokaisena päivänä, jokaisena vuorokauden tuntina useiden eri fyysisen turvallisuusvalvonnan kerrosten avulla; näitä ovat mm. turva-aidat, miehitetyt aulat, valvontakamerat (CCTV), ansat, lukitut häkit, liiketunnistimet ja biometriset pääsyvaatimukset.
- Asiakkaiden ei-julkista sisältöä ArcGIS Onlinessa ei katsella muutoin kuin osana tietoturvaongelmiin reagointia tai asiakastukitapausta asiakkaan hyväksynnällä.
- Asiakastietoja ei jaeta kolmansien osapuolien kanssa.
- Asiakastiedot ”jäädytetään” (ne kirjoitussuojataan) lainmukaista säilyttämistä varten, jos tekninen tuki niin pyytää.
- Asiakastietoja, joissa on sähköpostiosoite ja käyttäjänimi, ei tallenneta tilitietoja lukuun ottamatta.
- Tilit säilytetään enintään 60 päivän ajan niiden lopettamisen jälkeen tuotteiden uudelleenaktivoinnin helpottamiseksi (jos asiakas niin pyytää): tili poistetaan pysyvästi tämän ajanjakson lopussa.
Miten voin määrittää ArcGIS Online -organisaation minimoimaan kerättävät henkilökohtaiset tunnistetiedot?
- Organisaation ylläpitäjät voivat estää valinnaisten käyttäjäprofiilin kenttien (kuten etu- ja sukunimen, yrityksen nimen, puhelinnumeron ja profiilikuvan) käytön, jotta henkilökohtaisia tunnistetietoja siirretään mahdollisimman vähän.
- Jos haluat kattavampia tietosuojaohjeita tuotteidemme käytöstä koulutuslaitoksissa, tutustu ArcGIS Onlinen Ohje kouluille -raporttiin ja ArcGIS-sijainnin jakamisen tietoturvan parhaat käytännöt -raporttiin, jotka ovat saatavilla alla resursseissa.
Mitä säännöstenmukaisuusseurauksia COPPA aiheuttaa ArcGIS Onlinessa?
- Children's Online Privacy Protection Act (COPPA) -laki on lasten yksityisyydensuojasta määräävä laki. Se ei kuitenkaan koske suoraan ArcGIS Onlinea. Children's Online Privacy Protection Act (COPPA) on Yhdysvaltain liittovaltion laki, joka on säädetty alle 13-vuotiaiden lasten tietojen suojaamiseksi. Sitä hallinnoi Federal Trade Commission (FTC).
- COPPA-lakia sovelletaan lapsille suunnattuihin verkkosivustoihin ja verkkopalveluihin. Laissa säädetään, että tällaisten sivustojen ja palvelujen pitää pyytää vanhemmalta hyväksyntä lapselle kuuluvien henkilötietojen keräämistä ja käyttöä varten.
- Asiakkaiden pitää tarvittaessa itse pyytää vanhemmilta suostumus kaikkeen loppukäyttäjän suorittamaan tällaisten tietojen käyttöön ArcGIS Onlinessa.
- ArcGIS Onlinea ei ole erityisesti tarkoitettu alle 13-vuotiaille lapsille, mutta tämän ikäiset lapset voivat käyttää sitä, todennäköisimmin osana koulupohjaista koulutusohjelmaa. Noudattamalla alla olevaa ArcGIS Onlinen Ohje kouluille -ohjetta koulutuslaitokset voivat noudattaa paremmin yleisiä opiskelijoiden tietosuojaa koskevia säännöksiä, joita ovat mm. COPPA, FERPA ja jopa GDPR.
- Alaikäisten tietosuojan varmistamiseksi Esri poistaa automaattisesti käytöstä opiskelijoiden kohdennusevästeet ArcGIS for Schools Bundle -tilien avulla.
Resurssit
- ArcGIS Onlinen ohje kouluille (julkinen)
- HECVAT Lite (julkinen Luottamuskeskus-asiakirja)
- ArcGIS Security Advisor -varmistustyökalu (julkinen Luottamuskeskus-sivu)
- ArcGIS Onlinen ja Enterprisen parhaiden käytäntöjen tarkistuslista (julkinen)
- Esrin tuotteiden ja palveluiden täydentävä tietosuojalausunto (julkinen)
- ArcGIS-sijainnin jakamisen parhaat käytännöt (julkinen Luottamuskeskus-asiakirja)