# DLP-regels voor Google Drive instellen om datalekken te voorkomen

Data Loss Prevention (DLP) voor Google Drive helpt je voorkomen dat gevoelige gegevens je organisatie ongewild verlaten. Je stelt regels in die de inhoud van bestanden in Drive scannen, en die ingrijpen zodra een bestand bijvoorbeeld een creditcardnummer, BSN of een eigen gevoelig trefwoord bevat. DLP werkt automatisch op de achtergrond, zodat je niet afhankelijk bent van wat medewerkers zelf onthouden. De regels gelden zowel voor Mijn Drive als voor gedeelde Drives.

## Voorwaarden en rechten

DLP voor Drive is beschikbaar in een aantal hogere Google Workspace-edities, waaronder Enterprise Standard en Enterprise Plus, Frontline Standard en Frontline Plus, Enterprise Essentials Plus en diverse Education-edities (Fundamentals, Standard en Plus). De Business-edities ondersteunen DLP voor Drive niet. Controleer in de Admin-console of jouw editie het ondersteunt.

Om regels te beheren heb je de juiste rechten nodig:

- Een **supergebruiker**, of
- Een gedelegeerd beheerder met zowel het recht **DLP-regels bekijken** als **DLP-regels beheren** (beide moeten aanstaan voor volledige toegang).

:::info title="DLP scant de inhoud, niet alleen de naam"
DLP kijkt naar de inhoud van bestanden, niet alleen naar de bestandsnaam. Een regel kan dus ook aanslaan op gevoelige gegevens die ergens midden in een document of spreadsheet staan.
:::

## Waar je DLP-regels maakt

In de [Google Admin-console](https://admin.google.com) ga je naar **Beveiliging** > **Toegangs- en gegevensbeheer** > **Gegevensbescherming**. Klik daar op **Regels beheren** en kies **Regel toevoegen** > **Nieuwe regel** om te beginnen.

:::howto title="Een eerste DLP-regel voor Drive opzetten"
1. Open de **Admin-console** en ga naar **Beveiliging** > **Toegangs- en gegevensbeheer** > **Gegevensbescherming**.
2. Klik op **Regels beheren** en kies **Regel toevoegen** > **Nieuwe regel**.
3. Geef de regel een duidelijke **naam en omschrijving** en bepaal het **bereik** (heel domein, of specifieke organisatie-eenheden en groepen).
4. Kies bij **App** voor **Google Drive** en daarna **Drive-bestanden**.
5. Stel de **voorwaarden** in: een vooraf gedefinieerd gegevenstype of een woordenlijst, met een waarschijnlijkheidsdrempel en een minimaal aantal treffers.
6. Kies bij **Acties** eerst alleen **Controleren** (audit-only), zet de regel op **Actief** en sla op.
:::

## Een DLP-regel opbouwen

Een regel bouw je op uit een paar logische onderdelen:

1. **Naam en omschrijving** geven aan waar de regel voor dient, zodat collega's de regel later begrijpen.
2. **App** kies je op Google Drive en vervolgens Drive-bestanden, zodat de regel op Drive-inhoud werkt.
3. **Voorwaarden** bepalen waar DLP naar zoekt. Je kunt kiezen voor een **vooraf gedefinieerd gegevenstype** (de aanbevolen optie, met ingebouwde detectoren) of voor **woorden uit een woordenlijst**. Bij gegevenstypen stel je een waarschijnlijkheidsdrempel en een minimaal aantal treffers in, zodat je niet bij elke losse match al alarm slaat.
4. **Acties** bepalen wat er gebeurt bij een treffer.
5. **Status** zet je op actief of inactief.

:::tip title="Begin met alleen rapporteren"
Begin een nieuwe regel met een audit-only (alleen controleren) werking en bekijk de meldingen een tijdje. Zo zie je hoeveel terechte en onterechte treffers de regel oplevert voordat je hem extern delen laat blokkeren.
:::

## Welke acties zijn mogelijk

Voor Drive-bestanden kun je onder andere de volgende acties instellen:

- **Extern delen blokkeren**, zodat een bestand met gevoelige inhoud niet buiten je organisatie kan worden gedeeld.
- **Downloaden, printen en kopiëren uitschakelen**, eventueel alleen voor mensen met lees- of reactierechten.
- **Alleen controleren** (audit-only), waarbij de regel wel registreert maar niets blokkeert.

Daarnaast stel je een **ernst** in (laag, gemiddeld of hoog) en kun je meldingen naar het waarschuwingscentrum laten sturen, zodat je beheerteam op de hoogte blijft van wat de regel signaleert.

## Eigen detectoren maken

Dekken de vooraf gedefinieerde gegevenstypen je situatie niet, dan maak je een eigen detector via **Detectoren beheren**. Dat kan op twee manieren:

- Met een **reguliere expressie** voor een vast patroon, bijvoorbeeld een intern projectnummer of klantnummer.
- Met een **woordenlijst** van termen, waarbij hoofdletters worden genegeerd.

Een eigen detector koppel je daarna als voorwaarde aan je regel.

## Het bereik bepalen

Je kiest of een regel geldt voor je hele domein of alleen voor specifieke **organisatie-eenheden** en **groepen**. Zo kun je strenge regels toepassen op afdelingen die met gevoelige gegevens werken, zoals HR of finance, zonder de hele organisatie te beperken.

:::warn title="Rol blokkades gefaseerd uit"
Een regel die meteen domeinbreed extern delen blokkeert, kan legitieme samenwerking verstoren. Rol strikte blokkades gefaseerd uit en communiceer vooraf met de betrokken afdelingen.
:::

## Aan de slag in het kort

1. Controleer of je editie DLP ondersteunt en dat je de juiste beheerdersrechten hebt.
2. Maak een eerste regel die alleen rapporteert, om vals-positieven in beeld te krijgen.
3. Verfijn de voorwaarden, eventueel met een eigen detector.
4. Activeer pas daarna blokkerende acties, en begin bij de organisatie-eenheden met de meeste gevoelige gegevens.

:::faq
### Werkt DLP voor Drive ook op gedeelde Drives?
Ja. DLP-regels voor Drive gelden zowel voor Mijn Drive als voor gedeelde Drives binnen je organisatie.

### Welke Workspace-editie heb ik nodig voor DLP voor Drive?
DLP voor Drive zit in onder meer Enterprise Standard en Enterprise Plus, Frontline Standard en Frontline Plus, Enterprise Essentials Plus en de Education-edities Fundamentals, Standard en Plus. De Business-edities ondersteunen het niet.

### Wat is een audit-only regel?
Een audit-only regel (alleen controleren) slaat wel aan en schrijft de treffer naar het auditlog en de onderzoekstool, maar onderneemt geen blokkerende actie. Ideaal om de impact van een nieuwe regel te testen zonder gebruikers te hinderen.

### Kan ik een eigen patroon laten detecteren?
Ja. Via Detectoren beheren maak je een eigen detector met een reguliere expressie voor een vast patroon, zoals een intern project- of klantnummer, of met een woordenlijst van termen.

### Geldt een DLP-regel meteen voor mijn hele domein?
Alleen als je dat zo instelt. Je kunt het bereik beperken tot specifieke organisatie-eenheden en groepen, zodat strenge regels alleen gelden voor afdelingen die met gevoelige gegevens werken.

### Hoeveel rechten heeft een gedelegeerd beheerder nodig?
Een gedelegeerd beheerder heeft zowel het recht DLP-regels bekijken als DLP-regels beheren nodig. Beide moeten aanstaan om regels te kunnen maken en bewerken.
:::

Wil je gegevens niet alleen beschermen tegen lekken, maar ook gestructureerd bewaren en doorzoeken voor compliance, lees dan onze gids over [[compliance-google-vault-retentie-en-bewaarbeleid|retentiebeleid en bewaarplichten in Google Vault]].