# Zijn e-mails in Google Workspace versleuteld

E-mail is een gevoelig kanaal: er gaat vaak vertrouwelijke informatie overheen. Een logische vraag is daarom of berichten in Google Workspace versleuteld zijn. Het korte antwoord is ja, met meerdere lagen. In dit artikel leggen we uit welke vormen van versleuteling Google standaard toepast, waar de grenzen liggen en welke extra opties je hebt voor strengere eisen.

## Versleuteling onderweg met TLS

De basisbescherming heet TLS, Transport Layer Security. Terwijl een bericht onderweg is van verzender naar ontvanger, wordt het via TLS versleuteld. Iemand die het verkeer onderschept, ziet zo geen leesbare inhoud. Dit is de meest gangbare en basale vorm van e-mailversleuteling en gebeurt automatisch.

:::warn title="TLS werkt alleen aan beide kanten"
TLS beschermt het bericht uitsluitend zolang het tussen servers reist die TLS ondersteunen. Ondersteunt de mailserver van de ontvanger geen TLS, dan kan het bericht zonder die bescherming worden afgeleverd. Je hebt geen garantie zodra het bericht de mailserver van de ander bereikt.
:::

## Versleuteling in rust

Naast bescherming onderweg slaat Google de e-mails versleuteld op zijn servers op. Ook als data stilstaat in de opslag, is die dus niet zonder meer leesbaar. Deze versleuteling in rust gebeurt automatisch en vereist geen instellingen van jouw kant.

## Extra lagen voor strengere eisen

Voor organisaties met hogere eisen biedt Workspace aanvullende mogelijkheden bovenop de standaardversleuteling.

:::info title="Vertrouwelijke modus"
Met de vertrouwelijke modus in Gmail bepaal je dat ontvangers een bericht niet kunnen doorsturen, kopieren, downloaden of afdrukken. Je stelt ook een vervaldatum in, waarna het bericht niet meer te openen is. Let op: dit is vooral een beheersmaatregel tegen verspreiding, geen volledige end-to-end versleuteling.
:::

### S/MIME

S/MIME, Secure Multipurpose Internet Mail Extensions, voegt versleuteling toe op basis van gebruikersspecifieke sleutels. Zowel verzender als ontvanger moet S/MIME ondersteunen en de sleutels vooraf uitwisselen. Een met S/MIME beveiligd bericht herken je aan een slotje. S/MIME is beschikbaar voor betaalde Workspace-accounts en is vooral bedoeld voor zakelijke beveiligingseisen. Voor gratis Gmail-accounts is het niet beschikbaar.

### Client-side versleuteling

Voor de strengste eisen biedt Google client-side versleuteling, ook wel CSE. Daarbij worden gegevens al op het apparaat van de gebruiker versleuteld voordat ze naar Google gaan, met sleutels die jouw organisatie zelf beheert. Zo houdt jouw organisatie de controle over de sleutels. Deze optie wordt door de beheerder ingesteld en is bedoeld voor sectoren met zware compliance-eisen.

:::tip title="Controleer de versleuteling van een bericht"
In Gmail kun je per bericht de versleutelstatus bekijken. Open de berichtdetails: standaard TLS-versleuteling staat daar vermeld, en bij S/MIME zie je een slotje. Zo controleer je snel hoe een specifiek bericht is beveiligd.
:::

## Wat betekent dit voor jou

Voor de meeste dagelijkse communicatie is de standaardcombinatie van TLS onderweg en versleuteling in rust voldoende. Werk je met bijzonder gevoelige gegevens, zoals medische of juridische informatie, overweeg dan de vertrouwelijke modus, S/MIME of client-side versleuteling. Stem dit af met de beheerder van je organisatie, want de extra lagen vragen om configuratie en soms om een specifiek abonnement.

:::faq
### Zijn mijn e-mails standaard versleuteld?
Ja. Workspace versleutelt e-mail standaard met TLS onderweg en in rust op de servers van Google, zonder dat je iets hoeft in te stellen.

### Beschermt TLS mijn bericht altijd volledig?
Nee. TLS werkt alleen als ook de ontvangende mailserver TLS ondersteunt. Ontbreekt die ondersteuning, dan kan het bericht zonder die bescherming worden afgeleverd.

### Wat is het verschil tussen de vertrouwelijke modus en versleuteling?
De vertrouwelijke modus voorkomt vooral doorsturen, kopieren, downloaden en afdrukken en kent een vervaldatum. Het is een beheersmaatregel en geen vervanging voor end-to-end versleuteling zoals S/MIME of CSE.

### Heb ik S/MIME nodig?
Dat hangt af van je eisen. S/MIME is bedoeld voor zakelijke beveiliging, vereist een betaald account en dat beide partijen sleutels uitwisselen. Voor gewone communicatie is het meestal niet nodig.

### Wie stelt client-side versleuteling in?
De beheerder van je organisatie configureert client-side versleuteling. Het is bedoeld voor strenge compliance-eisen, waarbij je organisatie de sleutels zelf beheert.
:::