# Compliance-basis voor kleine bedrijven met Workspace

De compliance-basis voor kleine bedrijven met Workspace is geen luxe maar een verplichting, zeker met de AVG. Je hoeft geen juridisch team te hebben om de kern goed te regelen. Met een paar gerichte instellingen in Workspace toon je aan dat je zorgvuldig met gegevens omgaat. In dit artikel lees je welke stappen het belangrijkst zijn.

[[TOC]]

## Wat compliance praktisch betekent

Compliance betekent dat je aantoonbaar voldoet aan wetten en afspraken, zoals de AVG voor persoonsgegevens. Voor een klein bedrijf draait het vooral om drie dingen: alleen de juiste mensen bij gegevens, gegevens niet langer bewaren dan nodig, en kunnen aantonen wat er met gegevens gebeurt.

:::info title="De AVG vraagt om maatregelen, geen software"
De AVG verplicht je passende technische en organisatorische maatregelen te nemen. Veel daarvan regel je met instellingen die Workspace standaard biedt, zonder extra software.
:::

## Toegang beperken tot wie het nodig heeft

Het principe van minimale toegang is de kern van databeveiliging. Geef mensen alleen toegang tot wat ze voor hun werk nodig hebben, en niets meer.

:::howto title="Toegangsbeheer op orde brengen"
1. Breng in kaart welke gevoelige gegevens je hebt en waar die staan.
2. Bepaal per rol wie welke toegang nodig heeft.
3. Regel toegang via **groepen**, niet per persoon.
4. Verplicht **tweestapsverificatie** voor alle gebruikers.
5. Controleer periodiek wie toegang heeft en verwijder wat niet meer nodig is.
:::

:::warn title="Te ruime toegang is een veelgemaakte fout"
Een veelvoorkomende oorzaak van een datalek is dat te veel mensen toegang hadden. Beperk toegang strikt en ruim oude rechten op, zeker bij vertrekkende medewerkers.
:::

## Bewaarbeleid en gegevens opschonen

De AVG vraagt dat je gegevens niet langer bewaart dan nodig. Een bewaarbeleid bepaalt hoe lang je e-mail, bestanden en chat bewaart. Met Google Vault stel je die regels centraal in. Vault zit zonder meerprijs in Business Plus en de Enterprise-edities; in Business Starter en Business Standard zit het niet en moet je upgraden of een Vault-licentie als add-on bijkopen.

Kies een aanpak die past bij de omvang en gevoeligheid van je data:

| Aanpak | Wanneer passend |
| --- | --- |
| Handmatig opschonen | Zeer kleine teams met weinig gevoelige data |
| Vault-bewaarregels | Automatisch bewaren en verwijderen volgens jouw termijn |
| Per datatype apart beleid | Strenger voor persoonsgegevens, soepeler voor de rest |

:::tip title="Leg je bewaartermijnen vast"
Schrijf per soort gegeven op hoe lang je het bewaart en waarom. Zo kun je bij een vraag onderbouwen dat je niet langer bewaart dan nodig, ongeacht of je handmatig of via Vault opschoont.
:::

## Aantoonbaarheid met logging

Kunnen aantonen wat er is gebeurd hoort bij compliance. Workspace houdt logs bij van inlogpogingen, gedeelde bestanden en beheeracties. Met die audit-informatie laat je zien dat je grip hebt en kun je incidenten onderzoeken.

:::tip title="Controleer regelmatig de auditlogs"
Loop periodiek de beveiligings- en auditrapporten in de Admin-console na. Zo zie je ongebruikelijke inlogpogingen of breed gedeelde bestanden voordat ze een probleem worden.
:::

## De vijf stappen op een rij

Houd deze volgorde aan om de basis stap voor stap neer te zetten:

1. **Inventariseren**: bepaal welke gevoelige data je hebt en waar die staat.
2. **Toegang regelen**: beperk toegang en zet tweestapsverificatie aan.
3. **Bewaren**: stel een bewaarbeleid in dat past bij je data.
4. **Loggen**: zet logging aan en controleer de rapporten.
5. **Evalueren**: herzie je naleving periodiek.

## Verwerkersovereenkomsten en leveranciers

Compliance gaat niet alleen over je eigen instellingen, maar ook over de partijen met wie je samenwerkt. Gebruik je Google Workspace om persoonsgegevens te verwerken, dan is Google een verwerker en hoort daar een verwerkersovereenkomst bij die de afspraken over gegevensbescherming vastlegt. Hetzelfde geldt voor andere leveranciers die namens jou met persoonsgegevens werken, zoals een boekhoudpakket of een nieuwsbriefdienst. Houd een overzicht bij van welke partijen welke gegevens verwerken en of de bijbehorende afspraken op orde zijn. Bij een vraag van een klant of een toezichthouder kun je dan laten zien dat je weet waar je gegevens zijn en hoe ze beschermd worden.

## Een datalek herkennen en melden

Ondanks goede maatregelen kan er iets misgaan. Het is belangrijk dat je een datalek herkent en weet wat je dan moet doen. Een datalek is bijvoorbeeld een mailbox die gehackt is, een gevoelig bestand dat per ongeluk breed gedeeld is, of een verloren toestel met onbeschermde gegevens. De AVG verplicht je een datalek met risico voor betrokkenen binnen 72 uur na ontdekking te melden bij de Autoriteit Persoonsgegevens. Spreek vooraf af wie het aanspreekpunt is, hoe medewerkers een vermoeden melden en welke stappen je dan zet. Door dit van tevoren te regelen, reageer je snel en correct op het moment dat het telt, in plaats van te improviseren onder druk.

:::warn title="Meld bij twijfel, en houd een register bij"
Twijfel je of iets een meldplichtig datalek is, meld dan toch. Te laat melden moet je achteraf onderbouwen. Houd daarnaast een intern datalekregister bij van alle incidenten, ook die je niet meldt.
:::

:::faq
### Voldoe ik met Workspace automatisch aan de AVG?
Nee. Workspace geeft je de gereedschappen, maar je moet ze zelf goed instellen en je processen op orde hebben. Toegangsbeheer, bewaarbeleid en logging zijn jouw verantwoordelijkheid.

### Heb ik Google Vault nodig?
Vault is handig voor centraal bewaarbeleid en e-discovery. Het zit in Business Plus en de Enterprise-edities; in Business Starter en Standard moet je upgraden of een add-on kopen. Voor een heel klein team met weinig gevoelige data kun je in het begin ook handmatig opschonen.

### Wat regel ik het eerst?
Beperk toegang tot wie het echt nodig heeft en verplicht tweestapsverificatie. Dat zijn de twee maatregelen met de grootste impact op je beveiliging en naleving.

### Hoe toon ik aan dat ik compliant ben?
Met je auditlogs, je vastgelegde toegangsbeleid en je bewaarregels. Leg je keuzes en instellingen vast, zodat je bij een vraag of incident kunt laten zien wat je hebt geregeld.

### Binnen hoeveel tijd moet ik een datalek melden?
Een datalek met risico voor betrokkenen meld je binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens. Lukt dat niet, dan moet je de vertraging onderbouwen.

### Geldt dit ook voor heel kleine bedrijven?
Ja. De AVG kent geen ondergrens op basis van bedrijfsgrootte. Verwerk je persoonsgegevens, dan gelden de regels, ook voor een eenmanszaak of een team van een paar mensen.
:::

## Grip op je gegevens

Met toegangsbeheer, bewaarbeleid en logging heb je de compliance-basis op orde. Wil je dataverlies daarbovenop voorkomen, lees dan [[workspace-backup-strategie|Backupstrategie voor Google Workspace data]].