Begin 2022 is SIVON gestart met een onderzoek naar mogelijke privacyrisico’s binnen het besturingssysteem ChromeOS en de internetbrowser Chrome. Google heeft inmiddels in een publiek statement aangegeven een verwerkersversie te ontwikkelen die een breed gebruik in het onderwijs toestaat. Met deze belangrijke koerswijziging behouden onderwijsinstellingen volledige controle over de persoonsgegevens die binnen ChromeOS door Google worden verwerkt. Belangrijk om te vermelden is dat deze verwerkersversie van ChromeOS alleen beschikbaar is voor Chromebooks die centraal worden beheerd via een Workspace account. Maar wat betekent dit precies? We zetten het op een rijtje voor je in deze blog.
Gemak versus veilig
Het lijkt zo eenvoudig. Een Chromebook voor de leerlingen zelf aanschaffen, leasen of huren via een goedkope tussenpartij of leverancier. Leerlingaccounts aanmaken en vervolgens kan de leerling aan de slag. Na het inloggen op het Chromebook komt de leerling op een startpagina via de Chromebrowser. Via de SSO kan de leerling eenvoudig aan de slag met het digitale lesmateriaal, Classroom en Microsoft 365 zonder extra in te loggen. Iedereen blij. De leerling kan overal bij, kan apps installeren en is zelf verantwoordelijk voor het apparaat als het misgaat. Als school heb je geen omkijken naar het device, lesmateriaal en eventueel support. 100% gemak, betaalbaar, eenvoudig. Maar of het echt werkbaar is in de praktijk, merk je pas als het (helaas) te laat is.
Waar loop je als school zoal tegen aan?
Onbeheerde chromebooks (en laptops) van leerlingen zijn doorgaans apparaten waar leerlingen beheerdersrechten hebben. Deze geven zoals gezegd veel gemak en vrijheid. Zo kan een leerling in de Google Play Store alle apps downloaden die hij of zij maar wil. Alle websites bezoeken of extensies en plugins toevoegen. Een VPN gebruiken en daarmee zich onttrekken aan de beperkingen die via een DNS-server aan het schoolnetwerk worden meegegeven. Uiteraard kunnen hier principiële overwegingen aan ten grondslag liggen, zeker als het apparaat eigendom is (of wordt) van de leerling of ouder.
Maar aan de andere kant, een school is een publieke omgeving waar publieke middelen worden ingezet om het leren te bevorderen. Een Chromebook of laptop in de klas is zo bezien een leermiddel dat bijna wel ingezet moet worden en waarop interactie tussen leraar en leerling plaatsvindt. Het kan dan niet de bedoeling zijn dat dit leermiddel, vanwege principiële bezwaren, gebruikt wordt om tijdens schooltijd en in de klas te gamen, tiktokken of andere niet-wenselijke dingen te doen. Vervelende voorbeelden genoeg.
Spelletjes, chatten en lummelen, daarvoor heeft de leerling een eigen telefoon met databundel en de restricties en afspraken vanuit huis. Voor de telefoon heeft de school vaak wel een duidelijke afspraak (kluisje, telefoontas of helemaal niet), terwijl dit voor een Chromebook of laptop ontbreekt. Vervolgens wil de school wel dat het klimaat veilig en verantwoord is en hebben we publiek-private afspraken zoals een privacy convenant of Edu-V afsprakenstelsel. Is dat niet een beetje vreemd?
Welke vormen van centraal beheer zijn er?
Een veilige omgeving vraagt dus om beheer. Precies waarom Google met een aangepaste verwerkersversie komt die alleen voor beheerde apparaten geldt. Een beheerde omgeving biedt de enige zekerheid om een veilige situatie te creëren. Onderstaand een aantal voorbeelden die alleen voor beheerde Chromebooks geldt.
- Via de Beheerdersconsole kan de school meer dan 100 beleidsregels en instellingen afdwingen die worden toegepast als leerlingen beheerde apparaten gebruiken. Je kunt onder andere wifi- en proxyopties instellen, automatisch apps en extensies installeren en de toegang beperken tot alleen geautoriseerde gebruikers.
- Als school kun je URL’s blokkeren of toestaan, zodat gebruikers niet alle websites kunnen bezoeken. Als de internettoegang van gebruikers wordt beperkt, kan dit de productiviteit verhogen en wordt je organisatie beschermd tegen virussen en schadelijke content die op sommige websites worden aangetroffen. Feitelijk een extra slot op de deur.
- Leerlingen kunnen in de Chrome-browser (optioneel) als gast of in de incognitomodus werken, tenzij je beleid gebruikt om die uit te zetten. Door het uitzetten van de incognitomodus kunnen anonieme leerlingen de instellingen van de school niet omzeilen of als gast allerlei andere zaken sites bekijken of leerlingen lastig vallen (denk aan anoniem pesten).
- Als beheerder kun je verificatie in 2 stappen (of varianten hierop) binnen de school implementeren en afdwingen dat gebruikers regelmatig inloggen op hun ChromeOS-apparaten.
- Als Chrome-beheerder kun je gebruikers privé laten browsen op internet. Zo kunnen meerdere gebruikers hetzelfde apparaat gebruiken zonder dat ze de browsergeschiedenis en Chrome-profielgegevens van andere gebruikers kunnen zien. Het apparaat krijgt zo een schoolfunctie maar ook op open dagen kun je de devices gebruiken.
Conclusie
Hoewel er nog veel meer voordelen zitten aan het centraal beheren van Chromebooks, mag het duidelijk zijn dat onbeheerde apparaten ongewenst zijn in het onderwijs. Apparaten beheren voorkomt gedoe en problemen. Het stimuleert verantwoord gebruik, zorgt voor veiligheid en geeft de mogelijkheid om snel te reageren als er een incident plaatsvindt (zoals een datalek) of als er centraal aanpassingen nodig zijn door nieuwe afspraken.
Een hybride vorm, waarbij er onderscheid is tussen school- en privé/gastaccounts, heeft het beste van de beide werelden in zich. Dat maakt het beheer van devices tot een no-brainer. De licentiekosten voor de school (rond de 34,- euro per device) kunnen nauwelijks een argument zijn om af te zien van beheer.
Als een leerling de school verlaat, kun je eenvoudig het Chromebook weer ‘teruggeven aan de leerling’. Door een simpele toetsencombinatie wordt het Chromebook teruggeplaatst naar de oorspronkelijke fabrieksinstellingen en kan de leerling gewoon het apparaat blijven gebruiken. Net zo makkelijk.
