Sjekkliste for DPA for AI-leverandører: Hva du bør se etter før distriktet ditt signerer noe

AI governance vendor DPA checklist

De fleste generelle AI-verktøy er ikke automatisk FERPA-kompatible. Før noen AI-leverandør berører elevdata, trenger distriktet ditt en signert databehandleravtale – og ikke alle databehandleravtaler er skrevet på samme måte.

Denne sjekklisten veileder IT-direktører, personvernansvarlige og distriktsadministratorer gjennom alle viktige klausuler: hva som kreves i henhold til føderal lov, hva som er sterk praksis og hvilke røde flagg man bør unngå.

Hva er inni:

9 seksjoner. Hver klausul som teller.

Parter og omfang
Bekrefter at leverandøren er navngitt som databehandler, spesifiserer nøyaktig hvilke studentdata de skal håndtere, og definerer hva som utgjør en utdanningsjournal under FERPA. Vagt språk er ikke nok.

Tillatt bruk av data
Den viktigste delen for spesifikt AI-verktøy. Dekker forbud mot salg av studentdata, reklame for profilering og – klausulen de fleste generiske databehandlere overser – bruk av studentdata til å trene AI-modeller uten distriktets uttrykkelige samtykke.

Datasikkerhet
Krypteringskrav, tilgangskontroller, tidsfrister for varsling av brudd og tredjeparts revisjonssertifiseringer. Beste praksis er et 72-timers varslingsvindu for brudd; alt vagt eller ubegrenset er et rødt flagg.

Dataoppbevaring og sletting
Definerer maksimale oppbevaringsperioder, krever sletting ved kontraktsopphør (maksimalt 30–60 dager), og – kritisk for AI-verktøy – tar for seg om AI-genererte resultater utledet fra studentdata også kan slettes.

Underdatabehandlere og tredjeparter
AI-verktøy kjører ofte på store leverandører av skytjenester og AI-infrastruktur. Denne delen krever full offentliggjøring av underdatabehandlere, tilsvarende databeskyttelse nedover i kjeden og varsling til distriktet før nye underdatabehandlere legges til.

COPPA-samsvar
Påkrevd for alle verktøy som brukes med elever under 13 år. Dekker skolegodkjenningsspråk, dataminimering og begrensninger for offentlig tilgjengelighet.

Overholdelse av statlig personvernlovgivning
Føderal lov er gulvet, ikke taket. Denne delen dekker statsspesifikke krav – inkludert CA SOPIPA, TX HB 4 og NY Ed Law 2-d – og flagg der mange databeskyttelseslover ikke oppfyller kravene.

Revisjon og ansvarlighet
Revisjonsrettigheter, åpenhetsrapportering, cyberansvarsforsikring og konsekvenser av manglende overholdelse utover bare oppsigelse.

AI-spesifikke klausuler
Avsnittet de fleste eldre databehandleravtaler ikke har. Dekker hvordan AI/ML-modeller samhandler med studentdata, forbud mot modellopplæring, behandling av AI-genererte utdata og offentliggjøring av underdatabehandlere for AI-leverandørene som driver produktet.

Hvis en leverandør ikke vil signere, er det svaret ditt

En leverandør som ikke er villig til å oppfylle de nødvendige punktene, er en leverandør du ikke kan stole på med elevdata. Denne sjekklisten er laget for å gjøre den avgjørelsen raskt – før et verktøy når et enkelt klasserom.

Last ned sjekklisten for AI-leverandørers DPA

Gå gjennom den før du signerer en avtale med en leverandør av AI-verktøy.

Last ned gratis, umiddelbart: