ONC BOCES更新
周四,9月10日按计划NCOC将亲自指令启动。

由于奥尼昂坦近期激增covid-19的情况下,oaoc将开始学年带遥控指令,通过9月23日。在人的指令将于周四,9月24日。 点击这里阅读家长的信。



X

数据隐私和安全

信息安全漏洞,并通知

           

教育委员会 承认关于身份盗窃的上升以及需要关注 当安全漏洞出现安全networksprompt通知。

该板采用了国家研究所 标准和技术的网络安全架构1。1版(NIST CSF)的 数据安全和保护。网络管理员负责 确保BOCES’系统遵循NIST CSF和采用的技术,保障措施 和做法,整它。这将包括的评估 BOCES目前的网络安全状态,他们的目标未来的网络安全状态, 改进的机会,朝着目标状态进步, 关于网络安全风险交流。

董事会将指定数据保护官员负责在教育法§2-d和与之配套的法规所要求的政策和程序的执行情况,并作为数据安全和隐私BOCES的接触点。这一任命将在每年组织的会议上作出。

为此,板 引导区长,按照适当的业务 和技术人员, 和数据保护官员 至 制定规章,其 地址:

=     学生和教师/下教育法§2-d和教育专员的部分121主要的“个人身份信息”的保护;

=   根据国家技术法规“个人信息”§208和纽约屏蔽行为的保护;和

= 程序通知受影响的人 违反或受保护的信息未经授权的访问。

 

一世。学生和教师/校长“个人身份信息”下的教育法§2-d

 

一个。 一般规定

 

适用于学生数据的PII在家庭教育权利和隐私法案(5500政策),其中包括某些类型的,可以识别学生信息,并在附带的调控8635-R上市规定。 PII适用于教师和校长的数据,每年专业演出条评论识别个别教师和校长,这是根据教育法§§3012-C和3012-d的保密手段的结果,除非需要根据国家法律予以披露,并法规。

 

该 数据保护官员将看到的个人,每一个使用和披露 识别信息(PII)由BOCES好处学生和BOCES (例如,提高学习成绩,使父母与学生 信息和/或提前高效和有效的学校运作)。 然而,PII将不包括在公开报告或其他文件。

 

该 BOCES将保护学生和教师/校长PII的保密性 而存储或传输采用业界标准的保障和最佳 做法,如加密,防火墙和密码。该BOCES会 监控其数据系统,制定事件响应计划,限制访问PII 到BOCES员工和第三方承包商谁需要这样的访问履行 他们的职业责任或者合同义务,并摧毁PII 当它不再需要。

 

某些 联邦法律和法规提供关于其他权利 保密和获得学生档案,以及允许 披露未经同意,这是在政策和法规5500处理, 学生记录。

 

下 任何情况下,BOCES卖PII。它不会透露PII任何 营销或商业目的,帮助其使用或披露任何其他 党的任何营销或商业用途,或允许另一方做 所以。此外,BOCES将采取措施,尽量减少收集, 处理,和PII的传输。

 

除 按法律规定或注册数据的情况下,BOCES不会报告 下面的学生数据,以国家教育主管部门:

1。         未成年人犯罪记录;

2。         犯罪记录;

3。         医疗和健康记录;和

4。         学生的生物特征信息。

该 BOCES创造和采用的权利父母的账单数据和隐私安全 安全(见图表8635-E)。已公布的BOCES’网站上 在  www.oncboces.org并且可以从BOCES书记员要求。

 

湾        第三方承包商

 

该 BOCES将确保与第三方承包商合同反映 任何学生和/或教师或校长PII的保密性维持在 根据联邦和州法律和BOCES数据安全和隐私 政策。

 

每 第三方承包商将接收学生数据或老师或校长 数据必须:

1。         采用的技术,保障措施和做法与NIST CSF对齐;

2。         遵守BOCES’数据安全和隐私政策和适用 

法律影响的BOCES;

3。         仅限制于那些雇员或分包商,为PII内部访问

需要访问提供签约服务;

4。         不要使用未明确授权在其合同中的任何目的的PII;

5。         不透露任何个人身份信息给任何其他方未经事先书面同意

父或资格的学生(即, 学生谁是十八岁或以上):

一个。除了 第三方承包商的授权代表

它们的范围内 执行合同;要么

湾         除非相关法规或法院命令和第三方

承包商提供披露通知 在BOCES,除非明确禁止。

6。         保持合理的行政,技术和物理安全措施

保护PII的安全性,保密性和完整性  在其保管;

7。         使用加密来在其保管保护PII;和

8。         不得出售,使用或披露任何营销或商业目的PII,

方便他人的使用或披露用于营销或 广告

目的,或允许其他方这样做。第三方 承包商可能

发布PII给分包商从事执行 承包商 

义务,但这样的分包商必须通过数据保护遵守

州和联邦法律,以及与合同义务 BOCES。

 

如果 第三方承包商具有PII的违反或擅自发布,它会 及时通知的最便捷的方式可能没有BOCES 不合理的延迟,但之后不超过七个日历日内违约的 发现。

 

C。        第三方承包商的数据安全和隐私规划

 

该 BOCES将确保与所有第三方承包商合同包括 第三方承包商的数据安全和隐私计划。这个计划必须是 由BOCES接受。

 

在 最低限度,每个计划将:

1。         概述如何所有的州,联邦和本地数据的安全性和私密性合同

在合同期内要求 见面会,与此政策相一致;

2。         指定它来保护PII的保障措施和做法;

3。         证明它与第121。3(c)中规定的要求

这部分;

4。         指定如何那些谁可以得到学生和/或老师或校长

数据接收或将在联邦和各州接受培训 适用法律

接收接入之前这些数据的机密性;

5。         如果指定的第三方承包商将利用分包商,以及它如何

将管理这些关系和合同,以确保 亲自

身份信息保护;

6。         指定第三方承包商将如何管理数据的安全性和

隐私事件牵连那个人身份 信息

包括指定的任何计划,以确定违规和 擅自

披露,并及时通知BOCES;

7。         如果描述,如何以及何时将数据返回给BOCES,转变

给后继承包商,在BOCES’方向,删除或 销毁 

由第三方承包商在合同终止或 到期。

 

d。       训练

 

该 BOCES将提供有关数据隐私和安全意识的年度培训 谁有权访问学生和教师/校长PII的所有员工。

 

即         报告

 

任何 违反BOCES’信息存储或这损害了计算机化的数据的 安全性,保密性,或学生或教师/校长PII的完整性 由BOCES维持将及时上报数据保护 官,区长和教育委员会。

 

F。         通知

 

该 数据隐私官将报告违反每发现或报告或 学生,教师或校长的PII擅自发布到该州的首席 隐私官不得无故拖延,但最长不超过10个日历天 经过这样的发现。 

 

该 BOCES将通知受影响的家长,符合条件的学生,教师和/或 校长的最便捷的方式可能和不得无故拖延, 但违反的发现后不超过60天或 擅自发布或第三方承包商通知。

 

然而, 如果通知将与正在进行的执法查处干扰, 或者通过公开的未定影的安全造成PII的进一步的公开内容 漏洞,该BOCES会通知家长,符合条件的学生,教师 和/或在七个日历日内校长的安全漏洞后 已被纠正,或干扰与执法风险 调查结束。

 

该 区管理者,与数据保护官员协商, 建立程序,以提供违反或未经授权的通知 释放学生,教师或校长PII,树立和沟通 家长,符合条件的学生和工作人员BOCES对提出申诉的过程 有关违反或学生和教师/校长PII的未授权版本。

II。 “私人信息”状态下的科技法律§208

“个人信息”被国家技术法规§208定义,包括某些类型的信息,在随附的调控概述,这将使一个人在危险中为身份盗窃或允许访问私人账户。 “私人信息”并不包括可以合法地提供给广大市民根据联邦或州的法律或法规的信息。

任何 违反BOCES’信息存储或这损害了计算机化的数据的 安全性,保密性,或“私人信息”诚信维护 由BOCES要及时上报区管理者和 教育委员会。

 

该 板引导区管理者,按照适当的 业务和技术人员,建立法规,其中:

  •      识别和/或定义的类型的要保持安全的私人信息。这项政策的目的,“私人信息”并不包括可以合法地提供给广大市民根据联邦或州的法律或法规的信息;
  •     包括程序,以查明导致私人信息的发布任何违反安全的;和
  •      包括程序,通知受影响的人 通过安全漏洞的法律要求。

III。员工的“个人身份信息”根据劳动法§203-d

另外,根据劳动法§203-d,该BOCES不会沟通的员工“个人身份信息”向公众开放。这包括社会保障号码,个人电子邮箱地址,网络标识名或密码,父母的婚前姓,或驾驶执照号码。此外,BOCES将保护员工的社会保险号码,这种号码不得:被公开张贴或显示任何ID徽章,卡或时间卡上打印,放置在文件的无限制访问,或用于职业许可目的。访问这些信息的员工应通知这些禁令和义务的。

任何违反 BOCES者的信息存储orcomputerized这会危及到安全数据, 保密性,或个人信息的完整性保持在BOCES 应及时上报区管理者和董事会 教育。

交叉引用:        

1120,区记录

5500,学生记录

8630,计算机 资源和数据管理

参考:    

国家科技法§§201-208

劳动法§203-d

教育法§2-d

8 NYCRR部121

采纳日期:  2008年1月23日

修订日期:  2015年10月14日;

 

 

基于文本的浏览网站