COPPA-vägledning för Ed Tech-företag och skolor under coronaviruset

“Social distansering”, “skydd på plats”, “virtuell happy hour” – det här är några av de nya uttrycken på allas läppar de senaste veckorna. För många, lägg till “fjärrinlärning” till listan. På grund av nedläggningar av skolor använder nu miljoner elever online-tjänster inom utbildningsteknologi (eller “ed tech”) för att engagera sig i distansundervisning hemifrån. Och även om detta fyller ett viktigt behov, är det viktigt att komma ihåg att många av dessa avancerade tekniska tjänster samlar in och använder elevers personliga information. Så det är ett bra tillfälle att påminna tekniska leverantörer och skolor om det fortsatta behovet av att skydda elevernas integritet och skydda deras personliga data. För att hjälpa dig, här är några vanliga frågor.

Vad är Children’s Online Privacy Protection Act (COPPA)? Viktigt är att COPPA inte ålägger skolor skyldigheter. Istället, COPPA anger vad operatörer av kommersiella webbplatser och onlinetjänster, inklusive vissa ed tech-tjänster, måste göra för att skydda barns integritet och säkerhet online. Om ditt företag till exempel omfattas av COPPA måste du ha viss information i din integritetspolicy och få föräldrarnas samtycke innan du samlar in vissa typer av information från barn under 13 år. Dessutom måste företag som omfattas av COPPA också upprätthålla rimliga rutiner för datasäkerhet för att till exempel skydda hackare från att komma åt studentkonton.

Gäller COPPA ed tech-tjänster som används för distansutbildning? Till att börja med vill vi betona att COPPA inte är ett hinder för skolor som erbjuder robusta möjligheter för distansutbildning genom ed tech-tjänster. COPPA kräver generellt att företag som samlar in personlig information online från barn under 13 år informerar om sin datainsamling och användningsmetoder och skaffar verifierbart samtycke från föräldrarna. I utbildningssammanhang kan dock skolor på föräldrars vägnar samtycka till insamling av elevers personuppgifter — men endast om sådan information används för ett skolauktoriserat utbildningsändamål och för inget annat kommersiellt syfte. Detta gäller oavsett om inlärningen sker i klassrummet eller hemma i riktning mot skolan.

Hur kan ed tech-tjänster få samtycke från en skola? För att ed tech-tjänsten ska få samtycke från skolan istället för från föräldern, måste tjänsten ge skolan det nödvändiga COPPA-krävda meddelandet om dess praxis för datainsamling och användning. Vill du veta hur notisen ska se ut? Läsa Avsnitt C i FTC:s COPPA FAQs. Som en bästa praxis, ed tech services bör göra COPPA-meddelandet tillgängligt för föräldrar och, där det är möjligt, låta föräldrar granska den personliga information som samlas in. Dessutom bör ed tech-tjänster använda ett vanligt språk som elever, föräldrar och lärare lätt kan förstå.

Vad händer om ed tech-tjänsterna är för studenter över 13 år? Även för studenter som är 13 år eller äldre och som inte omfattas av COPPA, bör ed tech-tjänster inte använda mindre omsorg eller engagera sig i olika metoder helt enkelt för att en elev är engagerad i distansutbildning snarare än att använda ed tech-tjänsten i klassrummet.

Finns det andra lagar som ed tech-leverantörer bör vara medvetna om? Förutom COPPA bör ed tech-tjänster se över Family Educational Rights and Privacy Act (FERPA) och den Skydd av elevrättigheter (PPRA) — lagar som administreras av US Department of Educations Student Privacy Policy Office (SPPO) — samt någon av de statliga lagarna som skyddar integriteten för elever i grund- och gymnasieskolor. Kolla också in US Department of Educations nya information om FERPA och virtuellt lärande. SPPO:s webbplats innehåller bästa praxis och potentiella tjänstevillkor som kan vara bra att inkludera i ett avtal mellan skolor och ed tech-leverantörer. Och naturligtvis förbjuder avsnitt 5 i FTC-lagen alla företag att delta i orättvisa eller vilseledande metoder.

Finns det några råd till skolor som använder ed tech-tjänster? Tänk på att eftersom COPPA endast gäller operatörer av kommersiella webbplatser och tjänster, ålägger den i allmänhet inte skyldigheter direkt för skolor. Men när skolor och skoldistrikt går över till distansutbildning bör de rådgöra med sina advokater och informationssäkerhetsspecialister för att granska integritets- och säkerhetspolicyerna för de tekniska tjänster de använder. Skolor eller skoldistrikt bör avgöra om en viss webbplats eller tjänsts sekretess- och informationspraxis är lämplig, snarare än att delegera det beslutet till läraren. Skolan eller skoldistriktet bör också meddela föräldrarna de webbplatser och onlinetjänster vars insamling de har samtyckt till på förälderns vägnar. När en skola bestämmer vilken onlineteknik som ska användas med elever, bör en skola vara noga med att förstå hur en operatör kommer att samla in, använda och avslöja personlig information från sina elever. Bland de frågor som en skola bör ställa potentiella operatörer är:

  • Vilka typer av personlig information kommer du att samla in från elever?
  • Hur använder du denna personliga information?
  • Använder eller delar du informationen för kommersiella ändamål som inte är relaterade till tillhandahållandet av de onlinetjänster som efterfrågas av skolan? Använder du till exempel studenters personliga information i samband med att skapa riktad reklam eller bygga användarprofiler för kommersiella ändamål som inte är relaterade till tillhandahållandet av onlinetjänsten? Om så är fallet kan skolan inte ge sitt samtycke på uppdrag av föräldern.
  • Låter du skolan granska och har raderat de personuppgifter som samlats in från sina elever? Om inte kan skolan inte ge sitt samtycke på uppdrag av föräldern.
  • Vilka åtgärder vidtar du för att skydda säkerheten, sekretessen och integriteten för den personliga information som du samlar in?
  • Vilka är dina policyer för datalagring och radering av barns personliga information?

För mer vägledning om skolor och COPPA, läs Avsnitt M i FTC:s COPPA FAQs.

Var kan jag lära mig mer? För mer specifik information om hur COPPA fungerar och vem som omfattas, läs Vanliga frågor om COPPA och Children’s Online Privacy Protection Rule: En sexstegsplan för efterlevnad för ditt företag.

Leave a Comment

Your email address will not be published.