Сотрудник по вопросам конфиденциальности в кампусе (CPO) - это должность в высшем учебном заведении, которая обеспечивает сохранение конфиденциальности учащихся, преподавателей и родителей. Роль CPO была создана из-за растущей озабоченности по поводу конфиденциальности в кампусах колледжей. [1] Обязанности CPO варьируются в зависимости от конкретных потребностей сообщества университетского городка. [1] В их повседневные задачи могут входить составление новой политики конфиденциальности для кампуса соответствующего колледжа, создание учебной программы, которая информирует учителей и студентов о конфиденциальности, помощь в расследовании любых нарушений конфиденциальности в университете и обеспечение соблюдения университетом текущего состояния и федеральные законы о конфиденциальности. [1]CPO также несут ответственность за связь с группами студентов и преподавателей по всему университетскому городку, чтобы понимать проблемы конфиденциальности в кампусе. [1] Роль CPO - это расширяющаяся профессия в Соединенных Штатах и других странах, таких как Канада и Южная Африка. [2] [3] Существует множество организаций, которые проводят обучение для CPO и поддерживают их.
История
Трудно определить дату, когда была создана первая роль сотрудника по вопросам конфиденциальности в кампусе, однако одно из первых официальных упоминаний об особой роли сотрудника по вопросам конфиденциальности в кампусе содержится в указе от 2005 года канцлера системы государственного университета Калифорнии . Приказ конкретно требует, чтобы университеты в системе «[p] предоставляли имя, должность и контактную информацию для сотрудника по вопросам конфиденциальности университетского городка, если кампус является юридическим лицом, на которое распространяется действие HIPAA ». [4]
За несколько лет до этого первого упоминания о сотруднике по вопросам конфиденциальности в кампусе аббревиатура CPO чаще относилась к начальнику отдела конфиденциальности , руководителю высшего звена в растущем числе глобальных корпораций, отвечающих за управление рисками, связанными с законами и постановлениями о конфиденциальности информации . [5] По мере того, как в эпоху Интернета проблемы конфиденциальности продолжали расти, роль главного сотрудника по вопросам конфиденциальности начала расширяться в государственный сектор [6], а также в высшее образование.
Первым высшим учебным заведением, нанявшим директора по конфиденциальности, стал Пенсильванский университет в 2002 году. [7] Поскольку роль директора по конфиденциальности продолжала расширяться, охватывая весь спектр сложных проблем управления данными, с которыми могут столкнуться современные образовательные и исследовательские круги. учреждение, [8] Кампус Privacy Officer роль, в некоторых случаях, дифференцируются от главного Privacy Officer быть более сосредоточены на конфиденциальность проблем изо дня в день на кампусе жизни, такие как последствия конфиденциальности использование видеонаблюдения и других мер безопасности. [9] В других учреждениях, однако, звания директора по конфиденциальности и сотрудника по вопросам конфиденциальности кампуса стали взаимозаменяемыми. [10]
Обязанности
Создание обучения конфиденциальности
Политика конфиденциальности кампуса влияет как на администрацию университета, которая помогает создавать политики, так и на студентов в университете. CPO отвечают за создание учебной программы, которая помогает студентам информировать студентов о том, как они должны этично использовать данные; [11] для того, чтобы студенты могли изучать этот навык, университеты должны предоставить учебную программу, которая направлена на обучение их этому навыку. [11] Были конкретные случаи, когда профессионалы в области ИТ принимали неэтичные решения, опираясь на данные, касающиеся других. CPO помогают внедрять и разрабатывать курсы, которые учат студентов тому, как практиковаться в принятии этических решений в отношении данных. [11]
Обеспечение соблюдения университетом существующих федеральных законов и законов штата о конфиденциальности.
Должностные лица университетского городка, работающие с данными о студентах, должны понимать действующие федеральные нормы и правила штата, обеспечивающие защиту этих данных. [12] Например, медицинское страхование Портативность и Акт об ответственности и правах семьи на образование и Закон о конфиденциальности и воздействия , как данные студента обрабатывается на кампусах. [12] Департамент образования США всегда обновление и изменение этих законов. [12] Сотрудник по вопросам конфиденциальности в кампусе отвечает за понимание обновленных версий всех федеральных законов о конфиденциальности и доведение до сведения школы любых изменений в политике данных. Крайне важно, чтобы администрация кампуса постоянно соблюдала федеральные законы о защите данных. [12] Невыполнение этого требования может привести к потере государственным учреждением федерального финансирования. [12]
Разработка новой политики конфиденциальности
Офицеры по вопросам конфиденциальности в кампусе также помогают университетам разрабатывать новые политики, которые обеспечивают сбор данных о студентах в соответствии с этическими нормами, обеспечивающими сохранение конфиденциальности студента. [13] Из-за прогресса в последних технологиях сбор новых данных и их анализ резко возросли в университетских городках за последнее десятилетие. Например, такие технологии, как обучающая аналитика , собирают данные об обучении студентов и преподавателя для анализа эффективности стратегий обучения. При использовании этой технологии должны быть установлены правила, гарантирующие доверие между учеником и преподавателем. CPO могут помочь облегчить создание этих политик. Эти политики направлены на институциональную подотчетность и прозрачность, а также на контроль и право студента на доступ к своим данным. [13] Офицеры кампуса также отвечают за встречи с администрацией школы, чтобы обсудить недавно разработанную политику конфиденциальности и убедиться, что школа ее понимает. CPO могут способствовать укреплению чувства конфиденциальности, разъясняя учащимся и школьным должностным лицам важность конфиденциальности в образовании, включая конфиденциальность документов, конфиденциальность поведения и т. Д. Это можно сделать с помощью мероприятий по обеспечению конфиденциальности и встреч с различными заинтересованными сторонами школьной системы.
Примеры проблем с политикой
Обучающая аналитика
Аналитика обучения влечет за собой сбор данных о студентах и мониторинг конкретных аспектов студента в образовательной среде. Эти аспекты могут включать в себя успеваемость учащихся на тестах, данные об удержании, данные о зачислении и количество выпускников. Массовый сбор данных о студентах делает их безопасность крайне уязвимой. Высшие учебные заведения несут ответственность за обеспечение конфиденциальности информации о студентах. [14] Студенты должны предоставить свою информацию, чтобы поступить в высшее учебное заведение. Чтобы студенты не подвергались эксплуатации, должна существовать политика университетского городка, которая требует, чтобы студенты играли активную роль в процессе анализа обучения. [14] При разработке политики, которая направляет обучение аналитике, CPO должны принимать во внимание культуру, технологические возможности и поведение учебного заведения. [15]
Чтобы свести к минимуму риск утечки данных, также должна быть установлена политика, которая помогает администрации распознать лучшие способы безопасного обмена данными. [16]
Законы, которые должны отслеживать сотрудники Campus Privacy Officer
Международное право
Общие правила защиты данных
Общие правила защиты данных - это закон, принятый Европейским Союзом, который признает определенные права жителей ЕС на конфиденциальность данных и налагает различные требования на то, как организации могут обрабатывать персональные данные. [17] GDPR призван регулировать организации, которые: [17]
- Действовать в пределах ЕС и собирать личные данные резидентов ЕС;
- Работать за пределами ЕС и собирать личные данные жителей ЕС; или же,
- Предоставлять резидентам ЕС онлайн-услуги, связанные с личными данными.
Несоблюдение требований GDPR может привести к штрафам в размере до 20 миллионов евро или 4% от общемирового годового дохода организации, в зависимости от того, какая сумма больше. [18] Таким образом, риски конфиденциальности, связанные с потенциальным воздействием GDPR, вероятно, будут важным компонентом обязанностей CPO.
Одним из примечательных аспектов GDPR является положение, которое при определенных обстоятельствах может потребовать назначения сотрудника по защите данных (DPO). В частности, в статье 37 GDPR указаны факторы, которые могут потребовать назначения DPO. [17] DPO в организации может показаться аналогом роли CPO в университете, однако DPO отличается по ряду существенных аспектов, и эти две роли не следует путать или смешивать. [19] [20]
Федеральные законы США
Закон о семейных правах на образование и неприкосновенность частной жизни
Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA), принятый в 1974 г., гарантирует, что университеты предоставляют студентам и родителям соответствующие документы об образовании. Студенты колледжа имеют право запросить свои академические и личные записи в своем университете и оспорить утверждения в этих записях, если они являются ложными. [21] FERPA также запрещает университетам передавать данные о студентах, в частности личную информацию , сторонним организациям без явного согласия студента. [21]
CPO несут ответственность за то, чтобы помочь своему университету соблюдать руководящие принципы FERPA. Если студент или родитель считает, что его университет не соответствует стандартам FERPA, им разрешается подать жалобу в Управление по соблюдению семейной политики (FPCO) Министерства образования США . [22] Если Управление расследует жалобу на университет и обнаруживает, что школа нарушает FERPA, Управление свяжется с университетом и объяснит шаги, которые необходимо предпринять для его соблюдения. [22]
Медицинское страхование Портативность и Акт об ответственности
Закон о переносимости и подотчетности медицинского страхования (HIPAA) был принят в 1996 году. Этот закон защищает всю «индивидуально идентифицируемую медицинскую информацию». [23] Это напрямую влияет на то, как университет использует информацию о здоровье студентов. В большинстве случаев информация о здоровье студентов по-прежнему регулируется FERPA. CPO отвечают за создание образовательных инструментов, обеспечивающих надлежащую подготовку сотрудников кампуса, работающих с данными о состоянии здоровья студентов. [23] Несоблюдение законов HIPAA может привести к сокращению финансирования университета.
Организации, которые помогают сотрудникам кампуса по конфиденциальности
Основная цель этих организаций - предоставить CPO образовательные ресурсы, чтобы помочь им оставаться в курсе текущей политики конфиденциальности. Кроме того, эти организации предоставляют CPO сеть других профессионалов в области конфиденциальности, с которыми можно связываться и учиться. Ниже приведены примеры известных организаций, поддерживающих CPO:
Международная ассоциация профессионалов в области конфиденциальности
Международная ассоциация профессионалов в области конфиденциальности (IAPP) - крупнейшее глобальное сообщество профессионалов в области конфиденциальности. Эта некоммерческая организация, основанная в 2000 году, помогает профессионалам в области конфиденциальности лучше понимать политику конфиденциальности. IAPP предоставляет учебные ресурсы, чтобы помочь профессионалам в области конфиденциальности бороться с такими рисками, как утечка данных и выявление краж. [24] Он также связывает профессионалов в области конфиденциальности с сетью других сотрудников в их области. IAPP также предлагает три программы сертификации для профессионалов в области конфиденциальности, в том числе Certified Information Privacy Professional (CIPP), Certified Information Privacy Manager (CIPM) и Certified Information Privacy Technologist (CIPT). Их члены также проводят исследования по политике конфиденциальности и публикуют свои выводы через исследовательский центр IAPP Westin. [25]
Educause
Educause - это некоммерческая ассоциация, цель которой - помочь лидерам информационных технологий (ИТ) в образовании решать вопросы, касающиеся защиты данных и политики конфиденциальности информации. [26] До создания компании Educase CAUSE и Educom были двумя основными ассоциациями информационных технологий в сфере высшего образования. [27] Обе организации были созданы в 1960-х годах. В 1986 году с появлением компьютера Macintosh компанией Apple стало возможным выполнение административных и академических вычислений на одном устройстве. Это побудило две организации к сотрудничеству и выпуску тренингов, которые помогают подготовить специалистов высшего образования к использованию этой технологии. Увеличение числа пользователей Интернета в 1990-х годах также привело к созданию CAUSE ресурсов, которые помогают своим членам ориентироваться в политике, связанной с использованием Интернета. [27] CAUSE и Educom официально объединились в 1998 году, чтобы создать Educause.
Текущая миссия Educause - помочь предоставить профессионалам в области конфиденциальности ресурсы и обучение, которые им необходимы для успешной работы. Это также позволяет профессионалам в области конфиденциальности связываться друг с другом и обмениваться информацией о политике конфиденциальности. Более 99 000 членов входят в более чем 2 300 организаций по всему миру. Внутри организации члены формируют комитеты, которые помогают Educause планировать конференции по вопросам конфиденциальности или разрабатывать стратегии, направленные на обеспечение конфиденциальности. Специальным комитетом, нацеленным на сотрудников по вопросам конфиденциальности кампуса, является консультативный комитет Совета по информационной безопасности высшего образования (HEISC). Работа и исследования участников Educause публикуются в Educase Review . В публикации представлена информация о последних достижениях в области технологий и их потенциальном влиянии на высшее образование.
Общество корпоративного соответствия и этики
Общество корпоративного соответствия и этики (SCCE) - это организация по обеспечению конфиденциальности, в которую входят более 7000 членов. [28] Члены в основном состоят из сотрудников по комплаенсу, таких как CPO, как в частном, так и в государственном секторе. Члены SCCE работают в самых разных областях, таких как образование, аэрокосмическая промышленность, банковское дело, строительство, развлечения, правительство, финансовые услуги, продукты питания и производство, страхование, газ и нефть. SCCE помогает своим членам быть в курсе законов, касающихся конфиденциальности и этики, проводя мероприятия или предоставляя обучающие видео и книги. Это гарантирует, что офицеры соблюдают действующие правила. Помимо предоставления участникам образовательных ресурсов, организация также предоставляет возможность сотрудникам отдела нормативно-правового соответствия встречаться и общаться с другими участниками своей отрасли. Члены также могут получить сертификат специалиста по корпоративному соответствию и этике (CCEP) и сертификат международного специалиста по корпоративному соответствию и этике (CCEP-I).
Роль CPO в разных странах
Канада
Закон о свободе информации и защите конфиденциальности (FIPPA) устанавливает правила конфиденциальности для канадских университетов. Этот закон был создан на основе существующей политики конфиденциальности в университетах. [2] Исследование, проведенное со студентами из двух университетов Онтарио, показывает, что ни преподаватели, ни студенты не знают о FIPPA и других действующих в их странах политиках конфиденциальности. [2] Преподаватели не знали о существовании сотрудника по вопросам конфиденциальности в университете или о способах связи с ним. И преподаватели, и студенты в этом исследовании подчеркнули необходимость создания образовательных инструментов, объясняющих существующую политику конфиденциальности. [2] Специалисты по конфиденциальности в кампусе помогают создавать эти инструменты для студентов и преподавателей и заполнять информационные пробелы среди студентов и преподавателей в кампусе.
Южная Африка
Закон о защите личной информации (POPIA) защищает сбор данных об учащихся. [3] Этот закон гарантирует, что высшие учебные заведения остаются прозрачными, информируя студентов, почему их данные собираются, и явно указывая предполагаемое использование этих данных. [3] Однако исследование южноафриканских университетов, проведенное в 2016 году, показало, что высшие учебные заведения еще не оборудованы для безопасного управления данными о студентах. [3] В настоящее время в университетах нет системы управления, которая бы описывала, как следует обрабатывать данные о студентах.
Примеры сотрудников по конфиденциальности в кампусе
Роль сотрудника по вопросам конфиденциальности в кампусе подпадает под различные должности в кампусах в США и по всему миру. [1] Вот несколько примеров ролей по обеспечению конфиденциальности, которые присутствуют в высшем образовании:
Страна | Название университета | Должность сотрудника по конфиденциальности |
---|---|---|
США | Обернский университет | Директор по институциональному соответствию и конфиденциальности |
США | Университет Дьюка | Директор по соблюдению конфиденциальности |
США | Университет Индианы Блумингтон | Директор по конфиденциальности |
США | Колледж Монтгомери | Директор по информационной безопасности и конфиденциальности |
США | Государственный университет Нью-Мексико | Специалист по соблюдению требований ИТ |
США | Рутгерс, Государственный университет Нью-Джерси | Директор по конфиденциальности |
США | Университет Майами | AVP (заместитель вице-президента) и директор по информационной безопасности |
США | Калифорнийский университет в Беркли | Сотрудник по вопросам конфиденциальности в кампусе [29] |
США | Мичиганский университет в Анн-Арборе | Сотрудник Университета по конфиденциальности |
США | Университет Нью-Мексико | Сотрудник по информационной безопасности и конфиденциальности |
США | Университет Северной Каролины в Чапел-Хилл | Директор по конфиденциальности |
США | Система Техасского университета | Сотрудник по конфиденциальности |
США | Вашингтонский университет | Сотрудник по институциональной конфиденциальности |
США | Пенсильванский университет | Сотрудник Университета по конфиденциальности |
США | Роуэнский университет | Директор по информационной безопасности |
США | Стэндфордский Университет | Директор по конфиденциальности |
США | Университет Западной Вирджинии | Директор по конфиденциальности |
Канада | Королевский университет | Директор по конфиденциальности |
Канада | Университет Манитобы | Сотрудник по доступу и конфиденциальности |
Япония | Токийский университет | Директор по информационной безопасности [30] |
Рекомендации
- ^ a b c d e "Учебник по CPO высшего образования, часть 1: Приветственный набор для руководителей по вопросам конфиденциальности в высшем образовании" (PDF) . Август 2016 г.
- ^ а б в г Даудинг, Мартин. «Интерпретация конфиденциальности в кампусе: свобода информации и неприкосновенность частной жизни и университеты Онтарио». Канадский журнал коммуникации . 36 (1): 11–30.
- ^ а б в г Сингх, Д., и Рамутшели, депутат (2016). «Защита данных студентов в контексте южноафриканского университета ODL: риски, проблемы и уроки сравнительных юрисдикций». Дистанционное обучение . 37 (2): 164–179. DOI : 10.1080 / 01587919.2016.1184397 .
- ^ «Политика университетских медицинских услуг - Указ № 943» . Система университетов штата Калифорния. 28 апреля 2005 . Дата обращения 3 июня 2019 .
- ^ «Новая терминология конфиденциальности» . Нью-Йорк Таймс . Проверено 23 мая 2019 .
- ^ Жюстин Браун (30 мая 2014 г.). «Повышение директора по конфиденциальности» . Правительственные технологии . Дата обращения 23 мая 2019 .
- ^ «Назван первый директор по вопросам конфиденциальности» . Пенн сегодня . Пенсильванский университет. 28 марта 2002 . Дата обращения 2 июня 2019 .
- ^ Джонсон, Сидней (25 марта 2019 г.). «Директора по конфиденциальности: небольшой, но растущий флот в высшем образовании» . EdSurge . Дата обращения 2 июня 2019 .
- ^ Массара, Г. Хейли (13 июля 2014 г.). «Должность сотрудника по вопросам конфиденциальности в кампусе создана для защиты информационной безопасности» . Ежедневный калифорнийский . Независимый Беркли Студенты Publishing Company, Inc . Дата обращения 2 июня 2019 .
Позиция, опубликованная во вторник в виде списка вакансий, потребует уравновешивания конфиденциальности данных о лицах, содержащихся в кампусе (так называемая конфиденциальность информации), и способности людей действовать без наблюдения или автономной конфиденциальности ...
- ^ Фогель, Валери (11 мая 2015 г.). «Директор по конфиденциальности в высшем образовании» . EDUCAUSE Обзор . Дата обращения 2 июня 2019 .
- ^ а б в Брукс, Рошель (2010). «Разработка этического кодекса: подход онлайн-класса к установлению связи между этическими основами и проблемами, создаваемыми информационными технологиями». Американский журнал бизнес-образования . 3 (10): 1–14.
- ^ а б в г д Роу, Линда (2005). «Что судебные должностные лица должны знать о правиле конфиденциальности HIPAA». Журнал НАСПА . 42 (4): 498–512.
- ^ а б Пардо, Абелардо и др. Др. (2014). «Принципы этики и конфиденциальности для обучения аналитике». Британский журнал образовательных технологий . 45 (3): 438–450. DOI : 10.1111 / bjet.12152 .
- ^ а б Принслоо, Пол и Шэрон Слэйд (2016). «Уязвимость студентов, активность и обучающая аналитика: исследование». Журнал обучающей аналитики . 3 (1): 159–182.
- ^ Макфадьен, Л.П., Доусон, С., Пардо, А. и Гашевич (2014). «Использование больших данных в сложных образовательных системах: императив обучающей аналитики и политическая задача». Исследования и практика в оценке . 9 : 17–28.
- ^ Горофф Д., Жюль П. и Омер Т. (2018). «Исследование по защите конфиденциальности: Содействие этически ответственному доступу к административным данным». Летопись Американской академии политических и социальных наук . 675 (1): 46–66. DOI : 10,1177 / 0002716217742605 .
- ^ а б в Клиза, Марта-Клаудиа и Спатару-Негура, Лаура-Кристиана (2018). «Общие правила защиты данных: что государственные органы и органы должны знать и делать? Повышение уровня офицера по защите данных» (PDF) . 8 (2): 489–501. Цитировать журнал требует
|journal=
( помощь ) - ^ «Административные штрафы» . GDPR EU.org . Архивировано из оригинального 12 апреля 2018 года . Дата обращения 4 июня 2019 .
- ^ Козелья, Джаред (3 января 2019 г.). "Coffee with Privacy Pros: DPO vs. CPO. Адвокат против Техника. Двойственность конфиденциальности" . Журнал CPO . Конфиденциальность данных Asia Pte. Ltd . Проверено 26 мая 2019 .
- ^ «Руководители по вопросам конфиденциальности могут не иметь права выполнять функции сотрудников по защите данных в соответствии с GDPR, - говорит эксперт» . Out-Law.com . ТОО «Пинсент Масоны». 7 сентября 2017 . Проверено 26 мая 2019 .
- ^ а б Шталь, Уильям М. и Джоанн Каргер (2016). «Конфиденциальность данных учащихся, цифровое обучение и специальное образование: проблемы на стыке политики и практики» (PDF) . Журнал лидерства в специальном образовании . 29 (2): 79–88.
- ^ а б «Общее руководство FERPA для родителей» . ed.gov . 26 июня 2015.
- ^ а б Роу, Линда (2005). «Что судебные должностные лица должны знать о правиле конфиденциальности HIPAA». Журнал НАСПА . 42 : 4 - через 498-512.
- ^ «О IAPP» . 2018 . Проверено 1 ноября 2018 года .
- ^ «Миссия и предыстория IAPP» . Проверено 4 ноября 2020 .
- ^ «Просвещение: миссия и организация» . Ноябрь 2018.
- ^ а б «История ПРИЧИНЫ» . 2018 . Проверено 1 ноября 2018 года .
- ^ «Об Обществе корпоративного соответствия и этики» . 2018 . Проверено 1 ноября 2018 года .
- ^ «Соблюдение конфиденциальности HIPAA | UCOP» . www.ucop.edu . Проверено 17 апреля 2021 .
- ^ «Токийский университет» . Токийский университет . Проверено 17 апреля 2021 .