PowerSchool'un Naviance Öğrenci Takibi İçin Yaptığı 17,25 Milyon Dolarlık Anlaşma

PowerSchool'un Naviance Öğrenci Takibi İçin Yaptığı 17,25 Milyon Dolarlık Anlaşma

PowerSchool'a karşı açılan 17,25 milyon dolarlık toplu dava anlaşması, birçok ailenin varlığından hiçbir zaman haberdar olmadığı bir uygulamaya yeniden dikkat çekiyor: okulların kullanmaları için atadığı platformlar aracılığıyla öğrencilerin sessiz ve sürekli gözetimi. Dava, yaygın olarak kullanılan bir üniversite ve kariyer hazırlık aracı olan Naviance'a odaklandı ve platformun, 2021'den 2026'ya kadar öğrencilerin tuş vuruşlarını, tıklamalarını ve özel iletişimlerini izinsiz olarak toplayan üçüncü taraf izleme yazılımları yerleştirdiğini iddia etti. Bu dava, öğrenci verisi izleme ve eğitim teknolojisi gizlilik ihlallerinin, herhangi biri sorumlu tutulmadan önce yıllarca nasıl sürebileceğinin şimdiye kadarki en net örneklerinden biri.

Naviance Gerçekte Neleri Topluyordu — ve Ne Kadar Süredir

Naviance niş bir araç değildir. Amerika Birleşik Devletleri genelinde milyonlarca lise öğrencisi tarafından kullanılır ve üniversite başvuru takibi, kariyer değerlendirmeleri ve akademik planlama için bir merkez görevi görür. Okullar tarafından zorunlu tutulduğu için, öğrencilerin ve ailelerin genellikle onu kullanmaktan başka seçeneği yoktur.

Davaya göre, Naviance'a yerleştirilen izleme mekanizması standart analitiğin çok ötesine geçiyordu. Üçüncü taraf yazılımların, tuş vuruşu düzeyinde veri yakaladığı, yani bir öğrencinin yazdığı her karakterin kaydedilebildiği iddia edildi. Tıklamaların, gezinme modellerinin ve özel iletişimlerin de toplandığı bildirildi. Bu tür veri toplama pasif değildir. Ayrıntılıdır, davranışsaldır ve çoğu durumda basit bir giriş kaydından çok daha fazlasını ifşa eder.

Belki de en çarpıcı olanı zaman çizelgesidir. İddia edilen izleme 2021'den 2026'ya kadar, beş yıllık bir süreyi kapsadı ve bu süre zarfında milyonlarca öğrencinin hassas bilgileri, kendilerinin veya ebeveynlerinin ya da vasilerinin bilgisi olmadan toplanmış olabilir. Hiçbir izin alınmadı. Açık bir bilgilendirme yapılmadı. Gözetim, tasarım gereği görünmezdi.

Okul Tarafından Sağlanan Platformlar Neden Öğrenci Gizliliği İçin Kör Noktadır

Bir şirket tüketiciye yönelik bir uygulama satıp izleyiciler yerleştirdiğinde, kullanıcılar en azından teorik olarak reddetme seçeneğine sahiptir. Bir okul bir platformu zorunlu kıldığında, bu seçenek ortadan kalkar. Öğrenciler ödevleri tamamlamak, başvuruları göndermek veya kaynaklara erişmek için aracı kullanmak zorundadır. Bu, mevcut yasaların tam olarak ele almakta zorlandığı temel bir izin sorunu yaratır.

FERPA (Aile Eğitim Hakları ve Gizlilik Yasası) ve COPPA (Çocukların Çevrimiçi Gizliliğini Koruma Yasası) gibi federal çerçeveler bazı temel korumalar sağlar, ancak bunlar modern eğitim teknolojisi ekosistemlerinin karmaşıklığı düşünülerek tasarlanmamıştır. Bir okul bir tedarikçiyle sözleşme yapabilir. Bu tedarikçi üçüncü taraf kodu yerleştirebilir. Bu üçüncü taraflar veri toplayabilir. Her adım teknik olarak mevcut kurallara uygun olabilirken, sonuç olarak öğrenci verileri ailelerin adını bile duymadığı kuruluşlara akabilir.

PowerSchool davasını dolar miktarının ötesinde önemli kılan da bu dinamiktir. Bu, yasal uyumluluk ile gerçek şeffaflık arasındaki boşluğun belgelenmiş bir örneğidir. İzlemenin, kamuya açık bir bildirim olmaksızın beş yıl boyunca devam ettiği iddiası, ebeveynlerin ve öğrencilerin okul platformlarının gerçekte ne yaptığına dair tipik olarak ne kadar az görünürlüğe sahip olduğunun altını çizmektedir.

Bu sorun pasif izlemeyle sınırlı değildir. ShinyHunters'ın Canvas ihlalinin gösterdiği gibi, öğrenci verilerinin ifşası hem gizli gözetimi hem de aktif siber saldırıları kapsar. Bu olayda yaklaşık 275 milyon öğrenci kaydı risk altına girdiğinde, eğitim teknolojisi sektörünün aynı anda birden fazla yönden gelen güvenlik açıklarıyla karşı karşıya olduğu teyit edildi.

Gizli Tuş Vuruşu ve İletişim Takibi Nasıl Çalışır?

Teknik mekanizmalara aşina olmayan okuyucular için, bu tür bir izlemenin pratikte nasıl işlediğini anlamak faydalı olacaktır. Üçüncü taraf izleme betikleri genellikle platform geliştiricileri tarafından yapım sürecinde yerleştirilir. Bir kullanıcı bir sayfayı yüklediğinde, bu betikler arka planda otomatik olarak çalışır. Kullanıcı olağandışı bir şey görmez.

Tuş vuruşu kaydı betikleri, birisi gönder tuşuna basmadan önce bile yazılanları gerçek zamanlı olarak kaydedebilir. Oturum tekrarı araçları, bir kullanıcının oturum sırasında tam olarak ne yaptığını yeniden oluşturmak için fare hareketlerini, kaydırma davranışını ve tıklama modellerini kaydedebilir. İletişim yakalama, bir platformun dahili sistemi üzerinden gönderilen mesajlar hedeflerine ulaşmadan önce üçüncü taraf altyapısından geçtiğinde meydana gelebilir.

Bunların hiçbiri cihaza özel erişim gerektirmez. Tarayıcının içinde, platformun kendisi dahilinde gerçekleşir. Standart antivirüs yazılımları bunu işaretlemez. Ebeveyn kontrolleri engellemez. Gizlilik odaklı tarayıcı eklentileri bile, betikler platformun kendi koduna derinlemesine entegre edilmişse bunları yakalayamayabilir.

Bu nedenle, okullar ve tedarikçiler arasındaki sözleşme düzeyinde izin ve bilgilendirme çok önemlidir. Bir öğrenci Naviance'ı açtığında, veri hattı çoktan kurulmuş durumdadır.

Ailelerin Eğitim Teknolojisi Gözetimini Sınırlamak İçin Yapabilecekleri

PowerSchool anlaşması türünün son örneği olmayacak. Eğitim teknolojisi kullanımı yaygınlaşmaya devam ediyor ve davranışsal verilerden para kazanma yönündeki mali teşvikler hâlâ güçlü. Bununla birlikte, aileler tamamen çaresiz değildir.

Veri envanterini isteyin. FERPA kapsamında, 18 yaşından küçük öğrencilerin ebeveynleri, eğitim kayıtlarına erişim talep etme hakkına sahiptir. Okullar ayrıca, öğrenci verilerini paylaştıkları üçüncü taraf tedarikçilerin bir listesini de sağlayabilmelidir. Bu listeyi talep etmek, ailelerin dikkat ettiğine dair okulları uyarır.

Okul teknoloji politikalarını yıllık olarak gözden geçirin. Birçok bölge, kabul edilebilir kullanım ve veri gizliliği politikalarını her öğretim yılının başında günceller. Bu belgeleri özet düzeyinde bile okumak, hangi platformların kullanıldığını ve hangi veri uygulamalarının açıklandığını ortaya çıkarabilir.

Mümkün olduğunda tarayıcı düzeyinde koruma kullanın. Aileler okul tarafından atanan platformlardan her zaman çıkamasa da, okul çalışmaları için kişisel cihaz kullanan öğrenciler, gerekli platform işlevselliğine müdahale etmedikleri durumlarda, üçüncü taraf betiklerinin çalışmasını sınırlayan gizlilik odaklı tarayıcılardan veya eklentilerden faydalanabilirler.

Okul yönetim kurulları ve yöneticilerle iletişime geçin. En etkili uzun vadeli koruma, kurumsal hesap verebilirlikten gelir. Okul yönetim kurulu toplantılarında tedarikçi sözleşmeleri ve veri denetimleri hakkında ebeveynler tarafından yöneltilen sorular, daha güçlü gözetim için baskı oluşturur.

Eğitim teknolojisi olayları hakkında bilgi sahibi olun. PowerSchool davası ve ShinyHunters Canvas ihlali daha geniş bir modelin parçasıdır. Öğrenci veri ihlallerinin ve gözetiminin münferit olaylar değil, tekrar eden sorunlar olduğunu anlamak, daha iyi korumalar talep etmenin temelidir.

PowerSchool'a karşı verilen 17,25 milyon dolarlık anlaşma anlamlı bir sonuçtur, ancak gerçek önemi, standart endüstri uygulamaları hakkında neyi ifşa ettiğidir. Milyonlarca öğrenci tarafından beş yıl boyunca kullanılan bir platform açıklanmayan izleme yazılımları yerleştirebildiyse, sorulmaya değer soru sadece Naviance'ın ne yaptığı değil, diğer eğitim teknolojisi platformlarının şu anda ne yapıyor olabileceğidir. Ailelerin, eğitimcilerin ve politika yapıcıların hepsinin, bir sonraki anlaşmadan sonra değil, önce cevapları talep etmede oynayacakları bir rol vardır.