Penyelesaian Kasus PowerSchool Senilai $17,25 Juta Terkait Pelacakan Siswa di Naviance

Penyelesaian Kasus PowerSchool Senilai $17,25 Juta Terkait Pelacakan Siswa di Naviance

Penyelesaian gugatan class action senilai $17,25 juta terhadap PowerSchool kembali menarik perhatian pada praktik yang tidak pernah diketahui banyak keluarga: pengawasan diam-diam dan terus-menerus terhadap siswa melalui platform yang justru ditugaskan sekolah untuk mereka gunakan. Gugatan ini berpusat pada Naviance, alat bantu kesiapan kuliah dan karier yang digunakan secara luas, dan menduga bahwa platform tersebut menyematkan perangkat lunak pelacak pihak ketiga yang mengumpulkan ketikan, klik, dan komunikasi pribadi siswa tanpa persetujuan dari tahun 2021 hingga 2026. Kasus ini merupakan salah satu contoh paling jelas tentang bagaimana kegagalan privasi edtech dalam pelacakan data siswa dapat berlangsung bertahun-tahun sebelum ada pihak yang dimintai pertanggungjawaban.

Apa yang Sebenarnya Dikumpulkan Naviance — dan Selama Berapa Lama

Naviance bukanlah alat khusus. Digunakan oleh jutaan siswa sekolah menengah di seluruh Amerika Serikat, platform ini menjadi pusat pelacakan pendaftaran kuliah, penilaian karier, dan perencanaan akademik. Karena sekolah mewajibkannya, siswa dan keluarga biasanya tidak punya pilihan selain menggunakannya.

Menurut gugatan, pelacakan yang tertanam di Naviance jauh melampaui analitik standar. Perangkat lunak pihak ketiga diduga menangkap data pada level ketikan, artinya setiap karakter yang diketik siswa dapat direkam. Klik, pola navigasi, dan komunikasi pribadi juga dilaporkan turut dipanen. Pengumpulan data semacam ini tidak pasif. Ia terperinci, bersifat perilaku, dan dalam banyak kasus, jauh lebih mengungkap daripada sekadar catatan login biasa.

Mungkin yang paling mencolok adalah garis waktunya. Dugaan pelacakan berlangsung dari 2021 hingga 2026, jendela waktu lima tahun di mana jutaan siswa mungkin telah dikumpulkan informasi sensitifnya tanpa sepengetahuan mereka atau orang tua/wali. Tidak ada persetujuan yang diperoleh. Tidak ada pengungkapan yang jelas. Pengawasan ini, secara desain, tidak terlihat.

Mengapa Platform yang Dikeluarkan Sekolah Menjadi Titik Buta Privasi Siswa

Ketika sebuah perusahaan menjual aplikasi konsumen dan menyematkan pelacak, pengguna setidaknya memiliki opsi teoretis untuk menolak. Ketika sekolah mewajibkan platform, opsi itu lenyap. Siswa harus menggunakan alat tersebut untuk menyelesaikan tugas, mengirimkan pendaftaran, atau mengakses sumber daya. Hal ini menciptakan masalah persetujuan mendasar yang masih sulit diatasi sepenuhnya oleh undang-undang yang ada.

Kerangka kerja federal seperti FERPA (Undang-Undang Hak dan Privasi Pendidikan Keluarga) dan COPPA (Undang-Undang Perlindungan Privasi Online Anak) memberikan perlindungan dasar, tetapi keduanya tidak dirancang dengan mempertimbangkan kompleksitas ekosistem edtech modern. Sekolah dapat berkontrak dengan vendor. Vendor tersebut dapat menyematkan kode pihak ketiga. Pihak ketiga itu dapat mengumpulkan data. Setiap langkah mungkin secara teknis mematuhi aturan yang ada sambil tetap mengakibatkan data siswa mengalir ke entitas yang belum pernah didengar oleh keluarga.

Dinamika inilah yang membuat kasus PowerSchool signifikan di luar jumlah uangnya. Ini adalah contoh terdokumentasi tentang kesenjangan antara kepatuhan hukum dan transparansi sejati. Fakta bahwa pelacakan diduga berlanjut selama lima tahun tanpa pemberitahuan publik menegaskan betapa sedikitnya visibilitas yang biasanya dimiliki orang tua dan siswa tentang apa yang sebenarnya dilakukan platform sekolah.

Masalah ini tidak terbatas pada pelacakan pasif. Seperti yang ditunjukkan oleh pelanggaran ShinyHunters terhadap Canvas, paparan data siswa mencakup pengawasan terselubung dan serangan siber aktif. Ketika hampir 275 juta catatan siswa berisiko melalui insiden tersebut, hal itu menegaskan bahwa sektor edtech menghadapi kerentanan dari berbagai arah secara bersamaan.

Bagaimana Cara Kerja Pelacakan Ketikan dan Komunikasi Tersembunyi

Bagi pembaca yang tidak terbiasa dengan mekanisme teknisnya, penting untuk memahami bagaimana jenis pelacakan ini bekerja dalam praktiknya. Skrip pelacakan pihak ketiga biasanya disematkan oleh pengembang platform selama proses pembuatan. Ketika pengguna memuat halaman, skrip tersebut berjalan secara otomatis di latar belakang. Pengguna tidak melihat apa pun yang mencurigakan.

Skrip pencatat ketikan dapat merekam input secara real-time, menangkap apa yang diketik seseorang bahkan sebelum mereka menekan kirim. Alat perekam ulang sesi dapat merekam gerakan mouse, perilaku menggulir, dan pola klik untuk merekonstruksi persis apa yang dilakukan pengguna selama sesi. Intersepsi komunikasi dapat terjadi ketika pesan yang dikirim melalui sistem internal platform melewati infrastruktur pihak ketiga sebelum mencapai tujuannya.

Tak satu pun dari ini memerlukan akses khusus ke perangkat. Semua terjadi di dalam peramban, di dalam platform itu sendiri. Perangkat lunak antivirus standar tidak menandainya. Kontrol orang tua tidak memblokirnya. Bahkan ekstensi peramban yang berfokus pada privasi mungkin tidak menangkapnya jika skrip tersebut terintegrasi secara mendalam ke dalam kode platform itu sendiri.

Inilah mengapa persetujuan dan pengungkapan pada tingkat kontrak, antara sekolah dan vendor, sangat penting. Pada saat seorang siswa membuka Naviance, jalur pipa data sudah terbentuk.

Apa yang Dapat Dilakukan Keluarga untuk Membatasi Pengawasan Edtech

Penyelesaian kasus PowerSchool tidak akan menjadi yang terakhir. Adopsi edtech terus meluas, dan insentif finansial untuk memonetisasi data perilaku tetap kuat. Meski begitu, keluarga tidak sepenuhnya tanpa jalan keluar.

Minta inventaris data. Berdasarkan FERPA, orang tua siswa di bawah 18 tahun memiliki hak untuk meminta akses ke catatan pendidikan. Sekolah juga harus dapat memberikan daftar vendor pihak ketiga yang dengannya mereka berbagi data siswa. Meminta daftar ini memberi tahu sekolah bahwa keluarga sedang memperhatikan.

Tinjau kebijakan teknologi sekolah setiap tahun. Banyak distrik memperbarui kebijakan penggunaan yang dapat diterima dan privasi data mereka pada setiap awal tahun ajaran. Membaca dokumen-dokumen ini, bahkan pada level ringkasan, dapat mengungkapkan platform mana yang digunakan dan praktik data apa yang diungkapkan.

Gunakan perlindungan tingkat peramban jika memungkinkan. Meskipun keluarga tidak selalu dapat menyisih dari platform yang ditugaskan sekolah, siswa yang menggunakan perangkat pribadi untuk pekerjaan sekolah dapat memanfaatkan peramban atau ekstensi yang berfokus pada privasi yang membatasi eksekusi skrip pihak ketiga, selama alat tersebut tidak mengganggu fungsionalitas platform yang diperlukan.

Libatkan dewan sekolah dan administrator. Perlindungan jangka panjang yang paling efektif berasal dari akuntabilitas institusional. Pertanyaan yang diajukan orang tua dalam rapat dewan sekolah tentang kontrak vendor dan audit data menciptakan tekanan untuk pengawasan yang lebih kuat.

Tetap terinformasi tentang insiden edtech. Kasus PowerSchool dan pelanggaran Canvas oleh ShinyHunters adalah bagian dari pola yang lebih luas. Memahami bahwa pelanggaran data siswa dan pengawasan adalah masalah berulang, bukan peristiwa terisolasi, merupakan dasar untuk menuntut perlindungan yang lebih baik.

Penyelesaian kasus senilai $17,25 juta terhadap PowerSchool adalah hasil yang berarti, tetapi signifikansi sebenarnya adalah apa yang diungkapkannya tentang praktik industri standar. Jika platform yang digunakan oleh jutaan siswa selama lima tahun dapat menyematkan perangkat lunak pelacak yang tidak diungkapkan, pertanyaan yang patut diajukan bukan hanya apa yang dilakukan Naviance, tetapi apa yang mungkin dilakukan platform edtech lainnya saat ini. Keluarga, pendidik, dan pembuat kebijakan semuanya memiliki peran dalam menuntut jawaban sebelum penyelesaian kasus berikutnya, bukan setelahnya.