DISTRITO ESCOLAR NORTE DE SANPETE

Crear condiciones para el aprendizaje para que todos los estudiantes puedan tener éxito

traducción al español

DISTRITO ESCOLAR NORTE DE SANPETE

Crear condiciones para el aprendizaje para que todos los estudiantes puedan tener éxito

Destinatarios del premio Lucky Duck

VII-38: Plan de gobernanza de datos


Distrito Escolar North SanpeteDeclaración de .............

Política de la Junta Directiva con Directrices

Número de póliza: VII-38 Fecha de vigencia: 20/06/2017 Fecha de revisión: 21/04/2020

Descargar PDF


Asunto: Plan de Gobernanza de Datos


1. Principios rectores


El DISTRITO ESCOLAR NORTH SANPETE (en adelante, LEA) asume con seriedad su responsabilidad respecto de los datos de los estudiantes. Este plan de gobierno incorpora los siguientes Principios de información generalmente aceptados (GAIP):

  • Riesgo: existe un riesgo asociado con los datos y el contenido. El riesgo debe reconocerse formalmente, ya sea como una responsabilidad o mediante la incursión de costos para gestionar y reducir el riesgo inherente.
  • Due Diligence: Si se conoce un riesgo, se debe informar de él. Si es posible, se debe confirmar.
  • Auditoría: La exactitud de los datos y del contenido está sujeta a auditorías periódicas por parte de un organismo independiente.
  • Responsabilidad: Una organización debe identificar a las partes que son en última instancia responsables de los activos de datos y contenido.
  • Responsabilidad: Los riesgos en la información significan que existe una responsabilidad financiera inherente a todos los datos o contenidos que se basen en un mal uso o mala gestión regulatoria y ética.


2. Política de conservación y protección de datos


La LEA reconoce que existen riesgos y responsabilidades al mantener los datos de los estudiantes y otros datos relacionados con la educación e incorporará las mejores prácticas razonables de la industria de datos para mitigar este riesgo.


2.1 Proceso

De conformidad con R277-487, la LEA deberá hacer lo siguiente:

  • Designar a una persona como Oficial de Seguridad de la Información
  • Adoptar los controles del CIS o comparables
  • Informar a la USBE antes del 1 de octubre de cada año sobre el estado de la adopción de los controles del CIS o planes comparables y futuros de mejora.


3. Política de funciones y responsabilidades


La LEA reconoce la necesidad de identificar a las partes que son responsables en última instancia de los activos de datos y contenido. Estas personas y sus responsabilidades son las siguientes:


3.1 Funciones y responsabilidades del administrador de datos

  • Autorizar y gestionar el intercambio, fuera de la entidad educativa del administrador de datos de estudiantes, de datos de identificación personal de los estudiantes para la entidad educativa como se describe en esta sección
  • Proporcionar asistencia técnica, capacitación y apoyo necesarios
  • Actuar como el principal punto de contacto local para el oficial de datos estudiantiles del estado.
  • Asegúrese de que los siguientes avisos estén disponibles para los padres:
  • aviso anual de FERPA (ver 34 CFR 99.7),
  • política de información de directorio (ver 34 CFR 99.37),
  • política y aviso de la encuesta (ver 20 USC 1232h y 53E-9-203),
  • Aviso de recopilación de datos (consulte 53E-9-305)


3.2 Responsable de seguridad de la información

  • Supervisar la adopción de los controles del CIS
  • Proporcionar asistencia técnica, capacitación y apoyo necesarios en relación con la seguridad de TI.


4. Política de formación y apoyo


La LEA reconoce que capacitar y apoyar a los educadores y al personal con respecto a las leyes federales y estatales de privacidad de datos es un control necesario para garantizar el cumplimiento legal.


4.1 Procedimiento

  1. El administrador de datos garantizará que los educadores que tengan acceso a los registros de los estudiantes reciban una capacitación anual sobre la confidencialidad de los datos de los estudiantes y todos los empleados con acceso a los datos de los estudiantes. El contenido de esta capacitación se basará en la Política de intercambio de datos.
  2. El 1 de octubre de cada año, el administrador de datos informará a USBE sobre el estado de finalización de la capacitación anual sobre confidencialidad y proporcionará una copia de los materiales de capacitación utilizados.
  3. El administrador de datos deberá mantener una lista de todos los empleados que estén autorizados a acceder a los registros educativos de los estudiantes después de haber completado una capacitación que cumpla con los requisitos de 53E-9-204.


5. Política de auditoría


De acuerdo con las prioridades de gestión de riesgos de la LEA, esta llevará a cabo una auditoría de:

  • La eficacia de los controles utilizados para seguir este plan de gobernanza de datos; y
  • Contratistas externos, según lo permita el contrato descrito en 53E-9-309(2).


6. Política de intercambio de datos


Existe el riesgo de que se vuelva a divulgar información cuando se comparten datos de estudiantes. La LEA deberá seguir los controles adecuados para mitigar el riesgo de que se vuelva a divulgar información y garantizar el cumplimiento de las leyes federales y estatales.


6.1 Procedimiento

  1. El administrador de datos deberá aprobar todo intercambio de datos o designar a otras personas que hayan recibido capacitación sobre los requisitos de cumplimiento de la FERPA.
  2. Para la investigación externa, el administrador de datos deberá asegurarse de que el estudio cumpla con los requisitos de la excepción de estudio de FERPA descrita en 34 CFR 99.31(a)(6).
  3. Después de compartir los registros de los estudiantes, el administrador de datos debe asegurarse de que se realice una entrada en el Diccionario de metadatos de LEA para registrar que se realizó el intercambio.
  4. Luego de compartir los registros de los estudiantes, el administrador de datos deberá hacer una nota en el registro del estudiante sobre el intercambio de conformidad con 34 CFR 99.32.


7. Política de solicitud de eliminación de antecedentes penales

La LEA reconoce el riesgo asociado con el seguimiento de un estudiante año tras año que podría utilizarse para maltratarlo. La LEA revisará todas las solicitudes de eliminación de antecedentes presentadas por los padres y tomará una decisión en función del siguiente procedimiento.


7.1 Procedimiento

Los siguientes registros no pueden eliminarse: calificaciones, transcripciones, un registro de la inscripción del estudiante, información de evaluación.

El procedimiento de eliminación de antecedentes penales deberá coincidir con el procedimiento de modificación de antecedentes que se encuentra en 34 CFR 99, Subparte C de FERPA.

  1. Si un padre cree que un registro es engañoso, inexacto o viola la privacidad del estudiante, puede solicitar que se elimine el registro.
  2. La LEA decidirá si elimina los datos dentro de un tiempo razonable después de la solicitud.
  3. Si la LEA decide no borrar el registro, informará a los padres sobre su decisión y también sobre su derecho a una audiencia de apelación.
  4. La LEA celebrará la audiencia dentro de un plazo razonable después de recibir la solicitud de audiencia.
  5. La LEA deberá proporcionar a los padres un aviso de la fecha, hora y lugar antes de la audiencia.
  6. La audiencia podrá ser conducida por cualquier individuo que no tenga un interés directo en el resultado de la audiencia.
  7. La LEA debe brindarles a los padres una oportunidad plena y justa de presentar pruebas pertinentes. A elección y a expensas de los padres, estos pueden estar representados por una persona de su elección, incluido un abogado.
  8. La LEA tomará su decisión por escrito dentro de un tiempo razonable después de la audiencia.
  9. La decisión debe basarse exclusivamente en la evidencia presentada en la audiencia e incluir un resumen de la evidencia y las razones de la decisión.
  10. Si la decisión es borrar el registro, la LEA lo sellará o lo hará no disponible para otros miembros del personal y educadores.


8. Política de respuesta ante violaciones de datos


La LEA deberá seguir las mejores prácticas de la industria para proteger la información y los datos. En caso de una violación de datos o una divulgación involuntaria de información personal identificable, el personal de la LEA deberá seguir las mejores prácticas de la industria para responder a la violación.


8.1 Procedimientos

  1. El Superintendente trabajará con el oficial de seguridad de la información para designar personas que serán miembros del equipo de respuesta a incidentes cibernéticos (CIRT).
  2. Al comienzo de una investigación, el oficial de seguridad de la información comenzará a rastrear el incidente y registrará toda la información y evidencia relacionada con la investigación.
  3. El responsable de seguridad de la información llamará al CIRT a la acción una vez que haya evidencia razonable de que se ha producido un incidente o una infracción.
  4. El responsable de seguridad de la información se coordinará con otro personal de TI para determinar la causa raíz de la infracción y cerrarla.
  5. El CIRT se coordinará con el asesor legal para determinar si el incidente cumple con la definición legal de una infracción significativa según se define en R277-487 y determinar qué entidades e individuos deben ser notificados.
  6. Si se notifica a las autoridades policiales y se inicia una investigación, el CIRT consultará con ellas antes de notificar a los padres o al público para que no interfieran con la investigación policial.


9. Política de publicación



La LEA reconoce la importancia de la transparencia y publicará esta política en el sitio web de la LEA.


Share by: