Mag een school de VPN app van mijn dochter automatisch wissen?

Photo by Arthur Lambillotte on Unsplash

Een lezer vroeg me:

De middelbare school waar mijn dochter op zit verbiedt een VPN programma te hebben op haar iPad. Via het beheersysteem van school wordt deze app verwijderd. Thuis is het niet toegestaan wegens werkomstandigheden van mij een iPad te gebruiken zonder VPN. Hoe kan ik dit het beste oplossen met de school?
Dit wist ik ook niet, maar er zijn vele scholen die in hun reglement bij het beschikbaar stellen van een iPad de eis stellen dat er geen VPN app op wordt gebruikt.
Voorbeeldje van een school in Heerenveen: Installatie van illegaal verkregen software, het zogenaamde “jailbreaken” en het gebruik van VPN apps is nadrukkelijk verboden. … Installatie van en het gebruik van VPN applicaties of VPN Apps is nadrukkelijk verboden;
Hier lijkt het verbod gerelateerd aan illegale zaken, via een VPN kun je anoniem internet op en dat zal wel voor rare dingen gebeuren.

Een andere school, uit Wijk bij Duurstede, geeft een andere reden:

Het is niet toegestaan om een VPN-verbinding te gebruiken op het schoolnetwerk, omdat hiermee de werking van Apple Klaslokaal wordt beïnvloed. VPN-apps worden daarom actief geblokkeerd op het netwerk en leerlingen zullen worden aangesproken op het gebruik van een dergelijke app, mocht deze (nog) niet geblokkeerd zijn.
Dat “beïnvloeden van de werking” blijkt te gaan om de monitoringfunctie: de tool van Apple kan dan niet meer aan de docent laten zien wat je aan het doen bent. Ook kun je dan geblackliste websites bezoeken en ga zo maar door.

Deze redenen lijken me zeer legitiem om te handhaven tijdens de les – want dat is met het smartphoneverbod eigenlijk het enige moment dat je nog een tablet bedient op school. Ik snap dat de school daar dan proactief in wil zijn en dergelijke apps dus wist als ze toch worden geïnstalleerd.

Dit blijkt echter thuisgebruik van die tablet te hinderen, want kennelijk is het in die situatie nodig dat de scholier een VPN app gebruikt om internet op te kunnen. Wat moet er dan winnen, de wens van de school om de hierboven beschreven issues te regelen of de thuissituatie?

De wet biedt hier geen expliciete regels over. Het komt neer op een afweging van belangen, en dat vereist in discussie gaan met elkaar. Het zou bij een school vast mogelijk moeten zijn een uitzondering wegens persoonlijke omstandigheden te maken (whitelist één specifieke vpn app op deze iPad). Misschien is er ook iets in het thuisnetwerk aan te passen, bijvoorbeeld een apart subnet voor de kinderen zodat ze geen last hebben van de streng beveiligde baan van hun ouder(s).

Als dit bij de rechter zou komen (wat je écht zou willen vermijden) dan denk ik dat die de school gelijk geeft. Die heeft een toezichtplicht op gebruik van ict-middelen op school, en de school kan vast onderbouwen dat leraren niet handmatig kunnen scannen op VPN apps op de tablets die men op school gebruikt. Dan is ze automatisch wissen een logische stap. De ouders hebben een ongebruikelijke netwerksetup, en dat zal in zo’n geval voor hun rekening moeten komen.

Arnoud

27 reacties

  1. Dat de baas een VPN verplicht stelt voor het hele thuisnetwerk lijkt mij een beetje overkill. Desnoods na de meterkast een extra router ertussen, en twee netwerken aanmaken is dan een prima oplossing.

    Dat de school een VPN verbiedt tijdens de lessen is iets voor te zeggen (ik denk dat het ook overkill is, en dat het constant monitoren van scholieren ook niet zomaar door de beugel kan: scholen hebben echter al snel de neiging zich als echte dictaturen te gedragen), maar ook dat los je eenvoudig op door de tablet alleen voor school te gebruiken, en een ander apparaat voor alle andere zaken. Ik doe ook niet al mijn privé dingen op de laptop van de zaak.

    1. De vraag is natuurlijk of er thuis budget is voor twee tablets voor één kind. Maar ik begrijp de technische achtergrond ook niet helemaal van de thuissituatie. Ik denk dat het erop neerkomt dat de moeder een VPN nodig heeft om te werken op die tablet, en dat de dochter de tablet mee naar school neemt waar de VPN eraf gehaald wordt. Dat los je dus alleen op door een tweede apparaat óf een uitzondering op school.

        1. De casus is andersom. De niet door de werkgever verstrekte iPad gaat mee naar school en wordt thuis gebruikt. Het lijkt er zelfs op dat de school de iPad heeft verstrekt, wat doet de beheerder anders op haar iPad ?!?

          1. Ah, Maar dan is de vraag, moeten ALLE devices die op het prive netwerk zitten een VPN hebben. Dat lijkt me wel enorme inbreuk op privacy want baas ziet al het verkeer van de hele familie.

            Of moet deze werknemer een verplicht VPN hebben op devices die hij in zijn prive netwerk gebruikt voor zijn werk en die geeft hij doodleuk ook mee met zijn dochter naar school. Daar zou ik als bedrijf wel moeite mee hebben.

            Blijft vaag 😀

      1. Als de school eisen aan de iPad stelt, mag ik er dan ook vanuit gaan dat zij die beschikbaar stellen?

        Bij een eerdere werkgever van mij waren ze wel redelijk: je mocht je eigen telefoon gebruiken, maar dan werd die gemonitord en had je restricties. Ging je niet akkoord kreeg je een telefoon, maar liep je met twee telefoons rond.

        Ik zou er veel moeite mee hebben als een school verplicht om dure ipads aan te schaffen, die voor onderwijs echt niet nodig zijn. De kinderen in mijn familie hebben een apparaat met browser nodig en de school blokkeert vpn niet, om te werken moet je met school vpn verbinden. Buiten vpn om is er geen internet toegang.

        En dat laatste is hoe een school het netjes organiseert, zonder bijwerkingen in de prive sfeer.

        Ik snap dan ook niet dat je zo makkelijk de kant van de school lijkt te kiezen. De school in dit voorbeeld heeft net zo goed bijzondere keuze voor hun ict gemaakt.

    2. Het zomaar monitoren en eenzijdig regels veranderen van school is iets wat bij ons constant gebeurt. Waar zijn de leraren met een goed klasse management en interessante lessen???? Hier worden na het zomaar invoeren van de telefoonverbod (ja ik noem het maar zo) nu bepaalde apps afgeschermd wanneer je op school bent. Je kan niet meer in het buitenland leren want dat is ook afgeschermd voor de leerlingen (lees niet voor de leraren!!!) en dat allemaal op een device wat door de leerling zelf wordt aangeschaft wordt en dus niet eigendom is van school!!! Er onstaat een soort dictator schap!!! En als ouder sta je aan de zijlijn en ook de MR heeft geen invloed want de leraren vinden het allemaal “goed”…..

  2. Uit de vraag blijkt niet van wie de iPad is. Als deze door de school ter beschikking is gesteld lijkt dit mij niet meer dan normaal dat ze bepaalde eisen stellen. Als de iPad van de ouder zelf is dan lijkt me dat dit absoluut niet de bedoeling is dat een school beheerrechten eist voor een eigen iPad. Even los daarvan zou een apparaat dat voor het werk door de ouder wordt gebruikt niet mee moeten worden gegeven naar school lijkt mij…

    1. Waarom is het “absoluut niet de bedoeling” dat een school eisen stelt aan spullen die op school worden gebruikt?

      Zoals ik in de blog motiveer mag een school prima vanuit onderwijsredenen eisen en verboden stellen aan de spullen die je meeneemt. Als een VPN goed onderwijs verstoort, dan mag de school eisen dat de VPN app thuis blijft. De eigendomsvraag is daarbij irrelevant, de school mag ook bepaalde (redelijke) eisen aan kleding of sieraden stellen.

      1. Dat de school gebruik verbiedt lijkt me een prima zaak. Maar de school dermate veel toegang geven dat de school naar eigen inzicht apps kan verwijderen van een eigen apparaat gaat mij wel heel ver.

        Zijn er geen minder ingrijpende manieren om hetzelfde resultaat te bereiken? Er vanuitgaande dat de school überhaupt al actief VPNs moet verbieden om te voorkomen dat het een zooitje wordt in de les (ik betwijfel het), zouden ze de VPN niet op netwerkniveau kunnen blokkeren?

    1. Wat is voor de overwerkte parttime ict-erbij-doende docent natuurkunde de makkelijkste handeling, in de beheersoftware een lijstje met de top 20 vpn apps uit de appstore blacklisten, of op de router poorten blokkeren in een ingewikkelde interface? Waarbij de kans bestaat dat internet stuk gaat omdat je per abuis 80 blokkeerde vorig jaar.

  3. @Arnoud,

    Bij de scholengemeenschap uit Heerenveen is het beheer zo ingesteld dat de iPad alleen beheerd is als deze gebruik maakt van de wifi van onze scholen. Zodra de leerling naar huis gaat vervalt het beheer. Daarnaast worden er geen apps gewist, maar het gebruik ervan in de beheerde situatie niet toegestaan. Dit, in combinatie met het mobieltjesbeleid “thuis of in de kluis”, geeft een redelijk goede en werkbare leeromgeving voor onze leerlingen.

      1. Dan wordt het dus voor de dochter een probleem om met de leentablet thuis het internet op te gaan (voor haar huiswerk) omdat die leentablet niet de benodigde VPN-software bevat die thuis noodzakelijk is vanwege de strenge beveiligingseisen van de werkgever van de ouder(s).

        1. Daar zeg je wat!

          Ik heb twee jaar geleden via een hulp organisatie een bijstand gezin mijn ‘oude’ computer gegeven voor hun schoolgaande kind. Ik hoorde eind vorig jaar dat die hun internet verbinding hebben opgezegd omdat ze moesten bezuinigen om de huur te betalen!

          Hoe gaat een kind thuis huiswerk maken als er daar geen internet is?

            1. Oké, als het alternatief is dat dochter ’s avonds in de bibliotheek gaat zitten om zonder ouderlijke hulp huiswerk te maken, dan vind ik dat het werk onredelijk is met haar eis voor een VPN op alle apparaten. Misschien moet mama dan niet meer op die ipad thuis werken.

  4. Ik zou graag wat meer duidelijkheid willen over het thuisnetwerk en de daadwerkelijke eisen van de werkgever, want ik ben vast niet de enige IT-er die zijn wenkbrauwen fronst terwijl hij dit leest. Normaal gesproken zetten we de beveiliging op het endpoint en gaan we er van uit dat het netwerk niet te vertrouwen is.

    Ik zie maar 2 plausibele opties: De vraagsteller heeft de instructies van de werkgever veel te ruim geïnterpreteerd (vpn op alle apparaten in plaats van alleen op de werk apparaten) of de vraagsteller is ZZP-er en wil dat hij/zij al het verkeer van de dochter kan controleren en gebruikt de “regels van de werkgever” om dat voor elkaar te krijgen.

    In het eerste geval is een mailtje naar de it-afdeling de juiste stap, in het tweede geval is een pedagoog waarschijnlijk de aangewezen persoon om een gesprek mee te voeren.

    1. Die onduidelijkheid kan ik helaas niet opheffen want dat ontbreekt in de vraag. Mag ik een suggestie doen: de VPN app is alleen nodig als de ouder wil werken op de tablet. De dochter kan vrij het internet op, ook zonder VPN. Echter, de VPN app wordt elke schooldag automatisch gedeïnstalleerd (MDM policy) en dat is vervelend voor de ouder want die moet deze dan weer herinstalleren en authenticeren met de werkgever.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.