Hanya beberapa tahun yang lalu, sebelum pandemi, menemukan distrik sekolah dengan posisi kepemimpinan khusus yang berfokus pada privasi data seperti menemukan “unicorn”—sesuatu yang sangat langka sehingga bisa dibilang mitos.
Distrik mungkin secara teoritis tertarik untuk mempekerjakan Chief Privacy Officer yang bertugas menjaga agar data siswa tidak disalahgunakan dengan melakukan hal-hal seperti menyiapkan kebijakan privasi, melatih staf tentang masalah privasi, dan memastikan bahwa data dikumpulkan dan digunakan dengan aman. Tetapi sebagian besar tidak memiliki sumber daya atau keinginan untuk menciptakan peran tersebut.
Tidak seperti unicorn mitos, beberapa petugas privasi sekolah ini benar-benar ada. Misalnya: Baltimore County Public Schools menciptakan posisi direktur inovasi dan keamanan digital, padanan terdekatnya, sekitar tahun 2016. Distrik membentuk posisi tersebut secara proaktif, menurut kepemimpinannya, karena masyarakat di sekitar distrik tersebut semakin khawatir dengan adopsi yang meningkat. teknologi membawa risiko privasi ekstra. Sebagai salah satu distrik besar di negara ini, ia bekerja dengan ratusan penyedia teknologi.
Terlepas dari upayanya, distrik tersebut mengalami serangan ransomware besar-besaran pada tahun 2020.
Bertahun-tahun sejak serangan itu, distrik dan negara bagian telah mencurahkan lebih banyak sumber daya untuk privasi. Distrik Baltimore, misalnya, telah meningkatkan anggaran untuk departemen TI-nya sebesar $12,5 juta—dan, tahun lalu, Maryland mempekerjakan seorang kepala petugas data dan kepala petugas privasi untuk distrik-distrik di negara bagian tersebut. Privasi data telah menjadi bagian dari “inti dan akar” dari apa yang dilakukan sistem sekolah, kata Jim Corns, direktur eksekutif teknologi informasi untuk Sekolah Umum Baltimore County.
Negara bagian juga telah mendorong sumber daya lain untuk meningkatkan privasi: Maryland mengesahkan persyaratan tata kelola data untuk distrik, dan departemen pendidikan negara bagian menyusun pedoman tentang cara pendekatan distrik terhadap masalah tersebut. Itu adalah sinyal dari tingkat kepemimpinan tertinggi yang mengatakan bahwa ini penting, kata Corns.
Hancur berantakan
Kebutuhan distrik untuk mencurahkan sumber daya dan personel secara khusus untuk privasi data telah menjadi jelas selama beberapa tahun terakhir, karena serangan ransomware tingkat tinggi dan pelanggaran data telah menjadi berita utama. Dan pandemi COVID membawa gelombang teknologi baru dan peningkatan penggunaan teknologi di sekolah-sekolah di seluruh negeri.
Tetapi apakah Baltimore merupakan tanda bahwa banyak hal telah berubah secara mendasar? Apakah sekolah memiliki posisi staf yang didedikasikan terutama untuk menjaga privasi?
Ya dan tidak. Tapi kebanyakan tidak.
Sejumlah negara bagian telah mengamanatkan petugas privasi data sebagai komponen undang-undang privasi siswa mereka yang lebih besar, atau sedang mempertimbangkan untuk melakukannya, kata Cody Venzke, penasihat senior Pusat Demokrasi dalam Kesetaraan Teknologi dalam Proyek Teknologi Sipil. (Organisasi Venzke menerbitkan laporan pada tahun 2019 yang memperdebatkan kepala petugas privasi di sekolah dan memberikan deskripsi pekerjaan template.)
Namun upaya tersebut belum menghasilkan perubahan bagi sebagian besar sekolah, kata Linnette Attai, pakar privasi data dan presiden perusahaan konsultan PlayWell, LLC. Di seluruh negeri, masih jarang distrik sekolah memiliki orang yang berdedikasi untuk privasi data, katanya.
Itu karena bahkan di negara bagian seperti California dan Illinois—di mana posisi seperti itu diwajibkan oleh undang-undang—sekolah tidak selalu menindaklanjuti, kata Attai. Pekerjaan sering diberikan sebagai tugas tambahan kepada staf yang sudah sibuk, misalnya. “Dalam praktiknya, itu cenderung berantakan,” kata Attai. Meskipun undang-undang membuat distrik mempekerjakan posisi tersebut, itu tidak serta merta menawarkan sumber daya untuk melakukan itu. Itu bisa berarti negara bagian mengatakan “berbuat lebih baik” tanpa menjelaskan kepada distrik bagaimana atau seperti apa bentuknya, katanya. Dalam beberapa kasus, undang-undang negara bagian bahkan tidak jelas tentang definisi pekerjaan petugas privasi, tambahnya.
Hasilnya adalah orang-orang yang berada dalam posisi melindungi data siswa seringkali tidak memiliki banyak pelatihan, dan mereka mungkin secara bersamaan melakukan pekerjaan lain.
Itu pasti lebih baik daripada tidak sama sekali, kata Attai. Namun tantangan saat ini untuk meningkatkan penggunaan teknologi di sekolah lebih besar daripada yang dapat ditangani oleh satu peran khusus saja, tambahnya. Lagi pula, sekolah saat ini berurusan dengan semakin banyak vendor, dan harus menavigasi kontrak dan undang-undang yang membingungkan yang sulit diurai.
Corns, dari Baltimore County, mengatakan bahwa distriknya cukup berhasil membuat semua orang memahami hal yang sama. Satu hal yang dilakukan distrik, misalnya, adalah menempatkan guru melalui pelatihan kepatuhan dan privasi data wajib, sehingga mereka mengetahui cara menangani data siswa dengan cepat.
Dan pejabat bekerja untuk menekankan tidak hanya keamanan data tetapi juga pengelolaan data—untuk memastikan praktik terbaik diikuti oleh siapa pun yang bekerja dengan data.
Dengan cara itu, Corns berharap untuk membuat privasi data menjadi pekerjaan semua orang, bukan hanya orang atau unit yang sendirian. “Kami telah membangun ini ke dalam jalinan organisasi sehingga individu membantu kami,” katanya. “Kami sedang berupaya membuat semua orang di tim yang sama dan halaman yang sama.”