Bezpieczeństwo danych w e-dziennikach

Coraz więcej szkół używa dzienników elektronicznych. Rozwiązania te posiadają tyle zalet i udogodnień zarówno dla szkół, jak i rodziców, że dzisiaj do ich wprowadzania nie trzeba nikogo przekonywać. Jednakże w dobie szerzącej się przestępczości internetowej, wielu rodziców zadaje sobie pytanie – czy dane mojego dziecka przechowywane w szkolnym e-dzienniku są bezpieczne? Jakie wymagania prawne i techniczne powinny spełniać dzienniki elektroniczne, by były bezpieczne pod względem ochrony danych? Co powinna zrobić szkoła, by spełnić wymagania ustawowe dotyczące bezpieczeństwa? Odpowiedzi na te pytania udzielamy w poniższym poradniku dotyczącym bezpieczeństwa danych w dziennikach elektronicznych.

Zgodnie z przepisami szkolne dzienniki mogą być prowadzone w formie elektronicznej, ale powinien zostać zapewniony odpowiedni poziom bezpieczeństwa. Dotyczy to przede wszystkim zachowania selektywności dostępu do danych, zabezpieczenia danych przed dostępem osób nieuprawnionych oraz przed zniszczeniem lub kradzieżą. Dziennik powinien umożliwiać rejestrowanie historii zmian wraz z informacją, kto te zmiany wprowadzał.

Ponadto system informatyczny służący do prowadzenia dzienników powinien umożliwiać eksport danych do formatu XML. Co ważne, jak przyznawał sam Generalny Inspektor Ochrony Danych Osobowych w wywiadach prasowych, zgodnie z ustawą o ochronie danych osobowych, to dyrektor szkoły jako ich administrator ma obowiązek należytego zabezpieczenia danych. Ponadto na podstawie innych rozporządzeń, dyrektor musi zadbać o stworzenie odpowiedniej dokumentacji opisującej zasady przetwarzania danych osobowych w szkole, ze szczególnym uwzględnieniem polityki bezpieczeństwa.

Zobacz również:

Przepisy obligują kierownictwo szkół do wprowadzania takich e-dzienników, które zapewnią dostęp do danych dziecka jedynie jego prawnym opiekunom. Nie może być możliwe przeglądanie konta danego ucznia przez osoby nieuprawnione. Ponadto e-dzienniki muszą zapewniać ochronę danych przed wykasowaniem, kradzieżą lub utratą w inny sposób. Dodatkowo każdy system musi umożliwiać rejestrację historii zdarzeń, tzn. każda zmiana danych musi być rejestrowana wraz z informacją, kto tej zmiany dokonał.

Przegląd rozwiązań stosowanych przez firmy oferujące e-dzienniki

E-dziennik (prymus.info)

Firma przyznaje, że gromadzone dane są zapisywane na serwerach „u jednego z największych dostawców usług internetowych w Europie”. Dane także w obrębie samego systemu są szyfrowane certyfikatem SSL. Aby spełnić wymagania ministerialne dotyczące przetwarzania danych osobowych, zawierane są ze szkołami umowy powierzania przetwarzania danych. Na ich podstawie dane uczniów i rodziców można składować na serwerach. Umowa ma być też gwarancją dla szkoły i rodziców, że dane osobowe nie wyciekną z dziennika.

Aby jeszcze mocniej zagwarantować rodzicom poczucie bezpieczeństwa, zwrócono się do kancelarii prawnej Lex Artist, która wykonała audyt bezpieczeństwa i przyznała e-dziennikowi i stosowanym procedurom certyfikat zgodności z ustawą o ochronie danych osobowych.

Dzienniki UONET+ firmy Vulcan

Dziennik elektroniczny UONET+ został już wdrożony w ponad tysiącu szkół w całej Polsce. Przy jego udoskonalaniu brali udział doświadczeni pedagodzy i menedżerowie oświaty. Dzięki temu e-dziennik doskonale sprawdza się w realizacji codziennych szkolnych obowiązków.

Od nowego roku szkolnego dziennik ten zastąpi wcześniejsze aplikacje uczniowskie firmy Vulcan (programy Sekretariat Optivum, Dziennik Lekcyjny Optivum oraz Świadectwa Optivum).

W kwestii bezpieczeństwa UONET+ charakteryzuje się nowatorskim podejściem do zarządzania serwerami. Dzięki temu, że dane będą przechowywane na kilku serwerach, zarówno komfort pracy, jak i bezpieczeństwo danych będą zagwarantowane. Ponadto dużym udogodnieniem jest fakt, że w ramach systemu będzie możliwa skuteczna komunikacja uprawnionych osób w ramach zespołu szkół, a nawet kilku szkół zlokalizowanych w tej samej gminie czy powiecie. Ponadto w systemie wdrożono mechanizmy zabezpieczenia danych zgodnie z wymogami GIODO.

E-Dziennik firmy Librus.pl

Z e-Dziennika firmy Librus korzysta obecnie ponad 2500 szkół w Polsce. Funkcjonalność tego rozwiązania doczekała się niedawno wprowadzenia rozwiązań na urządzenia mobilne, dzięki czemu rodzic może sprawdzać wszelkie informacje dotyczące swojego dziecka w dowolnym czasie i w każdym miejscu. Przyjrzyjmy się podstawowym technologiom zapewniającym bezpieczeństwo danych w tym e-Dzienniku.

Zastosowano tu technologię Keystroke. To zabezpieczenie, które ma na celu uchronienie użytkownika przed włamaniem się na jego konto w sytuacji, gdy ktoś np. podpatrzy, jak ten wpisuje swoje hasło. Można się domyślać, że w warunkach szkolnych tego rodzaju sytuacje nie muszą należeć do rzadkości. Aby móc zalogować się do dziennika, poza wpisaniem hasła i loginu, uczeń lub rodzic musi także wpisać ustalone wcześniej przez siebie słowo-klucz. System sprawdza nie tylko wzorzec samego słowa, ale także poprawność sposobu jego wpisywania. Dopiero poprawne wpisanie tych trzech elementów zabezpieczających powoduje możliwość wejścia na swoje konto. Firma ocenia, że metoda ta jest mocno zbliżona do sposobów logowań za pomocą danych biometrycznych, takich jak skanowania siatkówki czy odcisku palca. Obecnie jednak metoda KeyStroke jest możliwa do zastosowania przez dyrektorów, administratorów i nauczycieli. Po zainstalowaniu e-dziennika w szkole KeyStroke jest domyślnie wyłączona. Aby ją aktywować, należy (po zalogowaniu) przejść do sekcji konfiguracji konta, załączyć moduł KeyStroke i postępować zgodnie z instrukcjami pojawiającymi się na ekranie.

Warto zdać sobie sprawę, że w sytuacji, gdy hasło lub wzorzec jego zapisania wyleci nam z pamięci, wówczas nie będziemy mogli zalogować się na koncie. Dlatego w procesie aktywizacji KeyStroke należy podać adres e-mail, który w takim przypadku może być pomocny do jej wyłączenia.

Dodatkowo e-dziennik stosuje metodę weryfikacji CAPTCHA. Jest to znany i sprawdzony system weryfikacji użytkownika, który polega na tym, że w czasie logowania (lub po nieudanej próbie zalogowania się) należy wpisać wygenerowany losowo ciąg znaków (liter, cyfr lub kombinacji obu). Dopiero po prawidłowym przepisaniu możliwe jest zalogowanie się. Pamiętajmy jednak, że chociaż CAPTCHA jest skuteczną i bezpieczną metodą, to na świecie już zdarzały się przypadki ataków na system.