TSplus Advanced Security Logo

Wilt u de site in een andere taal bekijken?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Taal wijzigen
Inhoudsopgave
Banner for article "FERPA US education law: Guide to Securing Remote Access", with illustration, TSplus Advanced Security logo and website.

FERPA is ook een kwestie van toegangscontrole leveranciersbeheer en gegevensprivacy.

Wat is de FERPA US Onderwijswet?

FERPA staat voor de Familiewet op Onderwijsrechten en Privacy Het is een Amerikaanse federale wet op de privacy van onderwijs die de privacy van studentendossiers beschermt. Het Amerikaanse ministerie van Onderwijs publiceert FERPA-regels onder 34 CFR Deel 99 van de Algemene Onderwijsvoorzieningenwet (GEPA). Ze definiëren rechten, openbaarmakingsregels en nalevingsverplichtingen voor gedekte onderwijsinstellingen. Met andere woorden, deze Amerikaanse federale wet uit 1974 regelt de toegang tot onderwijsinformatie en -dossiers door openbare entiteiten zoals ouders, studenten en instellingen.

Waar staat FERPA voor?

FERPA betekent Familiewet op Onderwijsrechten en Privacy In de praktijk geeft FERPA ouders en in aanmerking komende studenten rechten over onderwijsrecords. Een in aanmerking komende student is over het algemeen een student die 18 jaar of ouder is of een postsecundaire instelling bezoekt, op welk moment de FERPA-rechten van de ouder naar de student overgaan.

Voor IT-teams is het belangrijkste punt eenvoudig: FERPA is van toepassing wanneer een systeem persoonlijke identificerende informatie uit onderwijsrecords opslaat, weergeeft, verzendt of toegang geeft.

Aan wie is FERPA van toepassing?

FERPA is van toepassing op onderwijsinstellingen en instellingen die middelen ontvangen onder de toepasselijke programma's van het Amerikaanse ministerie van Onderwijs. Dit omvat veel K-12 scholen, schooldistricten, hogescholen en universiteiten.

FERPA is niet van toepassing op elk bedrijf dat onderwijsgegevens gebruikt. Een softwareleverancier kan echter betrokken raken bij FERPA-verplichtingen wanneer deze optreedt als schoolfunctionaris, aannemer, consultant of uitbestede dienstverlener voor een gedekte instelling. Onder de uitzondering voor schoolfunctionarissen mag een aannemer alleen toegang krijgen tot onderwijsrecords wanneer deze een institutionele dienst verleent, onder directe controle van de school blijft en de FERPA-limieten voor gebruik en herpublicatie volgt.

Welke studentgegevens beschermt FERPA?

Onderwijsrecords

FERPA beschermt onderwijsrecords die direct verband houden met een student en worden beheerd door een onderwijsinstantie, instelling of partij die namens die instantie of instelling handelt. In omgevingen voor remote access kan beschermde informatie onder andere cijfers, transcripties, aanwezigheidsregistraties, disciplinaire dossiers, studentidentificaties, klassenlijsten, financiële hulpregistraties en gegevens binnen een studentinformatiesysteem omvatten.

Andere persoonlijk identificeerbare informatie

FERPA dekt ook persoonlijk identificeerbare informatie uit onderwijsdossiers. Dit is belangrijk omdat remote access-tools mogelijk geen studentendossiers direct opslaan, maar ze kunnen nog steeds studentgegevens blootstellen via schermen, bestanden, knipbordinacties, afdruktaken, logboeken, screenshots of ondersteuningssessies.

Waarom is FERPA belangrijk voor Remote Access?

Remote access breidt zich uit waar onderwijssystemen kan worden gebruikt. Docenten kunnen vanuit huis verbinding maken, beheerders kunnen toegang krijgen tot studentinformatiesystemen vanaf buiten de campus, en IT-teams kunnen problemen oplossen met apparaten die in klaslokalen, laboratoria of programma's voor afstandsonderwijs worden gebruikt.

Zo'n flexibiliteit roept een FERPA-vraag op: wie kan toegang krijgen tot studentendossiers, van waar, via welk hulpmiddel en voor welk doel?

Onderwijsrecords in externe sessies

Identificatie van de belangrijkste route van risico en controle

Een externe desktop sessie kan dezelfde gevoelige gegevens weergeven als een werkstation op de campus. Als een docent een cijferlijst opent via een externe sessie, kan de sessie informatie blootstellen die beschermd is onder FERPA. Als een beheerder een rapport downloadt naar een niet-beheerd apparaat, verschuift het risico van gecontroleerde servertoegang naar lokale gegevensverspreiding.

Minimale privilege frameworks

FERPA vereist dat scholen redelijke methoden gebruiken om partijen te identificeren en te authentiseren die toegang krijgen tot persoonlijk identificeerbare informatie uit onderwijsrecords. Het vereist ook redelijke methoden om ervoor te zorgen dat schoolfunctionarissen alleen toegang hebben tot records waarin zij legitieme educatieve belangen hebben.

Authenticatie en Toegang Afstemmen om het Risico op Onthulling te Beperken

Bewustzijn en preventie

Beveiligingsproblemen bij externe toegang komen meestal voort uit zwakke authenticatie, brede machtigingen, onbeheerde eindpunten en blootgestelde diensten. Directe blootstelling van externe desktopdiensten aan het internet kan ook het risico op brute-force en credential-stuffing verhogen.

Bij twijfel, kies voor het minste privilege

Voor FERPA-bewuste implementaties moeten school-IT-teams de externe toegang afstemmen op het principe van de minste privileges. Gebruikers moeten alleen toegang hebben tot de applicaties, desktops en bestandslocaties die nodig zijn voor hun rol.

Opzettelijk groeps- en gebruikerstoewijzingen definiëren

Beheerders moeten ook de toegangsprofielen voor docenten, registrars, financiën, IT-ondersteuning en studenten scheiden. Deze verschillende groepen kunnen verschillende niveaus en gebieden van toegang ontvangen, en binnen elk profiel moeten de autorisaties nog steeds worden aangepast aan behoefte, gebruik en verantwoordelijkheid.

Remote Support en IT-beheer

Remote support kan FERPA-blootstelling creëren, zelfs wanneer de ondersteuningsmedewerker niet van plan is om studentendossiers te bekijken. Een technicus kan een studentendossier zien terwijl hij een medewerker helpt, of een onbeheerde onderhoudsessie kan een desktop openen waar gevoelige gegevens al zichtbaar zijn. Gevolg hiervan:

  • Om die reden moeten ondersteuningsworkflows worden ontworpen rond toestemming, doelbeperking en minimale zichtbaarheid.
  • Wanneer gebruikers van een interventie op de hoogte kunnen worden gesteld, moet dit gebeuren zodat ze gevoelige documenten, bestanden en applicaties kunnen sluiten.
  • Evenzo, wanneer mogelijk, moeten IT-teams studentinformatiesystemen sluiten voordat de ondersteuning begint, tenzij anders voorgeschreven, onnodige schermopnames vermijden en de toegang tot ondersteuning documenteren in het geval dat onderwijsrecords zichtbaar zijn.

TSplus Remote Support Gratis Proefperiode

Kosteneffectieve Begeleide en Onbegeleide Externe Ondersteuning van/naar macOS en Windows-pc's.

Start een gratis proefperiode

FERPA-verantwoordelijkheden voor scholen en leveranciers

FERPA-naleving is een institutionele verantwoordelijkheid. Software kan controles ondersteunen, maar de school bepaalt het beleid, de gebruikersrollen, contracten, toegangsregels en acceptabel gebruik.

Verantwoordelijkheden voor IT-teams op scholen

School IT-teams moeten FERPA vertalen naar operationele controles. In omgevingen voor remote access betekent dat sterke authenticatie, rolgebaseerde toegang, veilige transport, monitoring, gebruikersopleiding en leveranciersbeheer.

FERPA vereist dat scholen records bijhouden van verzoeken om toegang en openbaarmaking van persoonlijk identificeerbare informatie uit onderwijsrecords, inclusief de betrokken partijen en hun legitieme belangen. Dit maakt controleerbaarheid belangrijk voor elk systeem dat met studentenrecords te maken heeft.

Verantwoordelijkheden voor softwareleveranciers

Leveranciers moeten FERPA niet beschouwen als een productlabel. Het Amerikaanse ministerie van Onderwijs biedt richtlijnen specifiek voor externe dienstverleners, leveranciers en aannemers die onderwijsgegevens voor scholen verwerken.

Een leverancier die gebruik ondersteunt dat in overeenstemming is met FERPA, zou klanten moeten helpen bij het configureren van veilige toegang, het beperken van onnodige gegevensverwerking, het beschermen van inloggegevens, het documenteren van relevante controles en het vermijden van ongeautoriseerde herpublicatie. Contracten moeten definiëren toegestane gebruik, vertrouwelijkheid, onderaannemers, verwijdering of teruggave van gegevens, ondersteunings toegang en incidentmelding.

Neem de controle over uw nalevingsbeslissingen

Dit artikel biedt technische en operationele richtlijnen voor IT-teams en heeft als doel u te voorzien van de basis om systemen met betrekking tot studenteninformatie te beveiligen. Het kan op geen enkele manier worden opgevat als juridisch advies. Scholen, districten en universiteiten dienen de FERPA-regelgeving zorgvuldig te valideren, interpretaties te verduidelijken, leveranciersovereenkomsten te verfijnen en openbaarmakingspraktijken te definiëren met gekwalificeerde juridische adviseurs of een privacyfunctionaris.

Andere privacyregelingen voor studenten en kinderen om te kennen

US-regelgeving met een breder online bereik:

Hoewel FERPA zich op de VS richt, opereren IT-teams in het onderwijs vaak binnen bredere privacykaders. COPPA is van toepassing op exploitanten van websites of online diensten die gericht zijn op kinderen onder de 13 jaar, of op exploitanten die daadwerkelijk weten dat ze persoonlijke informatie van kinderen onder de 13 jaar verzamelen.

De Protection of Pupil Rights Amendment, of PPRA, is een andere Amerikaanse wet op de privacy van studenten die wordt beheerd door het Amerikaanse Ministerie van Onderwijs. Het Ministerie identificeert FERPA en PPRA als wetten op de privacy van studenten die het beheert en handhaaft.

Global directives van UNICEF:

In 2024 publiceerde het regionale kantoor van UNICEF voor ECA een praktische vierdelige rapport over gegevensbescherming op scholen , beschikbaar als een PDF. Deel 1 schetst de situatie en deel 2 houdt zich wereldwijd bezig met gegevensbescherming en privacy bij het verzamelen en verwerken, en zorgt tijdens het proces voor naleving. Ze omvatten verplichtingen, richtlijnen en stappen die zijn vastgesteld rond belangrijke overwegingen en gerelateerde acties.

Ondertussen richten delen 3 en 4 zich op technologie-ondersteund onderwijs en leren en op cyberbeveiligingsmaatregelen. De laatste gebieden hebben direct betrekking op het op afstand toegang krijgen tot en verwerken van gegevens, met ook aandachtspunten en acties die worden benadrukt.

Europa en de GDPR

Voor wereldwijde onderwijsprogramma's bevat de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie specifieke waarborgen voor de persoonlijke gegevens van kinderen. De Europese Commissie legt uit dat ouderlijke of voogdijtoestemming vereist kan zijn tot een leeftijdsgrens die varieert tussen de 13 en 16, afhankelijk van de lidstaat.

Regelgeving per land

In de landen over de hele wereld stellen online-specifieke regelgeving kaders vast voor diensten die gericht zijn op een jong publiek. Twee voorbeelden:

  • De ICO Age Appropriate Design Code van het VK, die 15 normen vaststelt voor online diensten die waarschijnlijk door kinderen worden gebruikt. De code benadrukt ingebouwde bescherming en het belang van het kind in het ontwerp van de dienst.
  • De publicaties van het Franse ministerie van Onderwijs met betrekking tot stappen om pesten tegen te gaan of richtlijnen ter bescherming van studentgegevens te midden van dagelijkse schoolactiviteiten.

FERPA Remote Access Checklist voor Scholen

Voordat de externe toegang tot systemen die mogelijk studentendossiers bevatten wordt uitgebreid, moeten de IT-teams van de school de volgende controles bevestigen.

  1. Zorg ervoor dat kennis wordt verspreid over essentiële zaken zoals het gebruik van pseudoniemen, acroniemen en andere middelen voor identificatie waar mogelijk, evenals complexe conforme wachtwoorden.
  2. Identificeer welke externe applicaties en desktops onderwijsrecords kunnen weergeven.
  3. Vet applicaties en derde partijen en gebruik diegene die als het meest veilig zijn goedgekeurd.
  4. Koppel gebruikersgroepen aan legitieme educatieve belangen.
  5. Handhaaf multi-factor authenticatie voor personeel, beheerders en externe ondersteuningsgebruikers.
  6. Plan en voer regelmatig audits uit van groepen, gebruikers, hun behoeften en toegestane apps of toegangsgebieden.
  7. Publiceer alleen de applicaties die elke gebruikersgroep nodig heeft.
  8. Schakel onnodige functies voor klembord, bestandsoverdracht en afdrukken uit waar mogelijk.
  9. Beperk externe toegang op basis van IP-adres, land, rol of werkpatroon (tijden) wanneer dat nodig is.
  10. Vermijd onnodige lokale downloads van studentenrecords naar persoonlijke apparaten.
  11. Log toegang tot systemen met studentgegevens.
  12. Beoordeel leveranciersovereenkomsten voor FERPA-gebruik, herpublicatie en verwijderingsclausules.
  13. Train docenten, personeel en ondersteuningsteams in veilig gedrag voor externe toegang.
  14. Verhoog regelmatig het bewustzijn van gebruikers over cyberrisico's en hoe ze gegevens veilig kunnen houden.

Deze checklist vervangt geen FERPA-nalevingsprogramma. In plaats daarvan biedt het IT-teams een praktische basislijn voor het verminderen van vermijdbare blootstelling in workflows voor remote access en remote support.

Hoe TSplus FERPA-conforme Remote Access ondersteunt

TSplus biedt een veilig platform voor externe toegang en infrastructuurbeveiliging dat scholen helpt bij het implementeren van FERPA-conforme controles. Het zou echter misleidend zijn om te denken dat alleen software een instelling compliant maakt. Correct geïmplementeerd en gebruikt, helpt software zoals de TSplus-suite scholen bij het handhaven van de toegang, authenticatie, monitoring en versterking van controles ter ondersteuning van FERPA-bewuste operaties.

TSplus Geavanceerde Beveiliging

360° cyberbescherming voor appservers

TSplus Advanced Security is ons voornaamste beveiligingsproduct. Inderdaad, voor een deel hangt FERPA remote access af van serverbescherming en toegangsbeperkingen. TSplus Advanced Security is ontwikkeld voor de beveiliging van applicatieservers en is daarom een 360° bewaker aan de frontlinie tegen bedreigingen. Brute Force Bescherming bijvoorbeeld, is een functie die mislukte Windows-inlogpogingen monitort en automatisch kwaadwillende IP-adressen blokkeert na herhaalde mislukkingen.

Robuuste beveiligingsfuncties

Voor onderwijsomgevingen helpt dit het risico op ongeautoriseerde toegangspogingen tegen blootgestelde remote access-infrastructuur te verminderen. Scholen kunnen ook Geografische Bescherming gebruiken om remote access alleen toe te staan vanuit geselecteerde landen of IP-beperkingen gebruiken om toegang te beperken tot privé- en whitelisted IP-adressen.

Configuraties om aan FERPA te voldoen

Aanbevolen FERPA-bewuste configuraties omvatten het inschakelen van Brute Force Protection, het geografisch beperken van toegang waar nodig, het onderhouden van IP-whitelists voor administratieve toegang en het gebruik van Ransomware Bescherming als onderdeel van bredere serververharding.

TSplus Remote Access

Onderwijsgebruik

TSplus Remote Access helpt scholen bij het publiceren van Windows-applicaties en desktops voor docenten, studenten en IT-personeel. Als een onderwijsoplossing biedt het veilige, multi-user Remote Desktop Access en Application Delivery voor onderwijs- en academische omgevingen.

Toepassen van controles aangepast aan FERPA

Vanuit een FERPA-oogpunt is de waarde gecontroleerde toegang. In plaats van elke gebruiker brede toegang te geven tot een volledige werkstation of netwerk, kunnen IT-teams alleen de vereiste applicaties publiceren. Een leraar kan toegang krijgen tot een cijferboekapplicatie, terwijl een registrar toegang krijgt tot software voor studentenrecords en een student alleen toegang krijgt tot een laboratoriumapplicatie. Groepen en gebruikers zijn configureerbaar op een gedetailleerd niveau, zelfs tot hun tijden en apparaten.

MFA en inlogbeveiliging

De software ondersteunt ook tweefactorauthenticatie voor het webportaal, inclusief HTML5- en RemoteApp-verbindingen. Voor gebruikers met MFA ingeschakeld, benadrukt onze documentatie dat standaard Microsoft Remote Desktop-clientverbindingen worden geweigerd, wat veiligere webgebaseerde toegangsmodellen ondersteunt.

TSplus Server Monitoring

FERPA gaat niet alleen over het blokkeren van toegang. Het gaat ook om het behouden van zicht op systemen waar studentgegevens mogelijk worden verwerkt. TSplus Server Monitoring biedt historische en realtime gegevens over servers, websites, applicaties en gebruikers, met realtime rapporten en waarschuwingen voor infrastructuur voor remote work.

Voor IT-teams in het onderwijs kan monitoring helpen bij het detecteren van overbelaste servers, ongebruikelijke gebruikspatronen, prestatieproblemen en beschikbaarheidsproblemen die van invloed zijn op afstandsonderwijs of administratieve systemen. Monitoring bewijst op zichzelf geen naleving van FERPA, maar ondersteunt wel verantwoordelijkheid en operationele veerkracht.

TSplus Remote Support

TSplus Remote Support biedt begeleide en onbegeleide externe ondersteuning voor teams en klanten. TSplus ondersteunt externe desktopbediening, schermdeling, begeleide assistentie, onbegeleide onderhoud en externe training.

Voor FERPA-bewuste ondersteuning moeten scholen ondersteuningsworkflows configureren zodat technici toegang hebben tot alles wat nodig is, maar alleen tot wat ze nodig hebben. Begeleide sessies kunnen de voorkeur hebben wanneer studentinformatie zichtbaar kan zijn. Onbeheerde toegang moet beperkt blijven tot beheerde apparaten, gedocumenteerde doeleinden en geautoriseerde onderhoudsvensters.

TSplus Ontwikkelingsethiek en Positionering

FERPA-naleving behoort tot de onderwijsinstelling, ondersteund door juridische overeenkomsten, interne beleidslijnen en technische waarborgen. TSplus-software helpt deze waarborgen te bieden via zijn producten en diensten: veilige externe toegang, serververharding, netwerkbewaking en gecontroleerde ondersteuning.

Vanuit een ontwikkelingsethiek perspectief zijn privacy by design, dataminimalisatie en klantcontrole centraal. Remote access software moet onnodige toegang tot studentinhoud vermijden, beheerders configuratiekeuzes bieden, veilige standaardinstellingen ondersteunen en het voor scholen gemakkelijker maken om het principe van de minste privileges toe te passen.

Door middel van robuuste, zorgvuldig ontwikkelde producten streeft TSplus ernaar school-IT-beheerders en teams in het hoger onderwijs te helpen het FERPA-risico te verminderen, terwijl de toegang op afstand praktisch blijft.

Conclusie

FERPA, de Amerikaanse onderwijswet, beschermt de onderwijsrecords van studenten en heeft directe invloed op hoe scholen omgaan met remote access, remote support en software van derden. Voor IT-teams vertaalt FERPA zich in authenticatie, het principe van de minste privilege, veilige sessies, controleerbaarheid, leveranciersbeheer en gedisciplineerde ondersteuningsworkflows.

TSplus Geavanceerde Beveiliging en inderdaad het hele TSplus softwareaanbod kan scholen helpen veiligere omgevingen voor remote access te creëren, terwijl instellingen de ruimte krijgen om elke opstelling aan te passen aan hun specifieke behoeften en gebruik. De uiteindelijke naleving van FERPA hangt af van het beleid, de configuratie, contracten en juridische beoordeling van elke instelling. Probeer TSplus gratis en ontdek hoe de acties voor FERPA-naleving sterk worden ondersteund door zulke eenvoudige veelzijdige tools als TSplus software.

TSplus Gratis proefversie voor externe toegang

Ultimate Citrix/RDS-alternatief voor desktop/app-toegang. Veilig, kosteneffectief, on-premises/cloud

Start een gratis proefperiode

Delen:

Facebook Twitter LinkedIn

Jouw TSplus Team

Verder lezen

back to top of the page icon