# DLP-regels instellen voor Gmail om dataverlies te voorkomen

Eén verkeerd geadresseerde mail met een klantenbestand erin, en je hebt een datalek. Data Loss Prevention (DLP) voor Gmail is de vangrail die dat voorkomt. Het scant berichten op gevoelige informatie en grijpt in voordat de mail je organisatie verlaat. In dit artikel zie je hoe je effectieve DLP-regels bouwt zonder de dagelijkse mailstroom te verstikken.

## Wat DLP voor Gmail doet

DLP inspecteert de inhoud van mail, inclusief onderwerp, berichttekst en bijlagen, op patronen die je als gevoelig markeert. Je kiest of een regel afgaat op verzonden berichten (uitgaand verkeer) of op ontvangen berichten (inkomend verkeer). Vindt het een match, dan voert het de actie uit die jij koppelde: het bericht blokkeren, in quarantaine plaatsen voor beoordeling, of de afzender waarschuwen.

DLP voor Gmail is sinds begin 2025 algemeen beschikbaar en verhuisde naar de centrale gegevensbescherming-omgeving, waar je met dezelfde regels ook Drive, Chat en Chrome kunt afdekken. De oude weg via Gmail Compliance is daarmee achterhaald voor nieuwe regels.

:::info title="Detectoren"
DLP werkt met content-detectoren. Google levert vooraf gedefinieerde detectoren voor veelvoorkomende gevoelige data zoals creditcardnummers, BSN of IBAN. Daarnaast maak je eigen detectoren met trefwoorden, reguliere expressies of woordenlijsten voor organisatiespecifieke gegevens. Niet elk type data is even betrouwbaar te herkennen: een creditcardnummer matcht met hoge zekerheid dankzij patroon plus checksum, terwijl losse cijferreeksen vaker vals alarm geven.
:::

## Een regel opbouwen

Een DLP-regel bestaat uit vier delen: de scope (op wie en welke organisatie-eenheden de regel slaat), de trigger (verzonden of ontvangen Gmail-bericht), de voorwaarde (welke detector en hoeveel matches), en de actie. Begin met een duidelijke use-case, bijvoorbeeld voorkomen dat creditcardnummers naar buiten gaan, en bouw de regel daar omheen.

:::howto title="Een DLP-regel voor Gmail maken"
1. Ga in de Admin Console naar **Beveiliging > Toegang tot en beheer van gegevens > Gegevensbescherming**.
2. Klik op **Regels beheren** en daarna op **Regel toevoegen**.
3. Geef de regel een naam en stel de scope in (organisatie-eenheid of groep).
4. Kies bij **Apps** de optie **Gmail** en selecteer de trigger: **Bericht verzonden** voor uitgaand verkeer of **Bericht ontvangen** voor inkomend verkeer.
5. Stel de voorwaarde in: kies een vooraf gedefinieerde of eigen content-detector en de drempel, dus bij hoeveel matches de regel afgaat.
6. Kies de actie: **Alleen registreren** (monitoren), **Gebruikers waarschuwen**, **Bericht in quarantaine** of **Bericht blokkeren**.
7. Maak de regel eerst als inactief of in alleen-registreren-modus, evalueer de matches en verscherp daarna naar blokkeren.
:::

## Eerst monitoren, dan blokkeren

De grootste valkuil is direct hard blokkeren. Dat levert gegarandeerd false positives op die legitieme mail tegenhouden en gebruikers frustreren. Zet een nieuwe regel eerst op **Alleen registreren** of **Gebruikers waarschuwen**, bekijk een paar weken welke berichten matchen, en stap pas over op blokkeren als de regel zuiver is.

:::warn title="Test voor je blokkeert"
Een te brede DLP-regel die direct blokkeert, kan kritieke bedrijfsmail tegenhouden, bijvoorbeeld facturen met IBAN-nummers. Test elke regel grondig in alleen-registreren-modus en stem de drempel en detectoren af voordat je hem laat blokkeren. Let er ook op dat de strengste actie wint: als twee regels matchen en één blokkeert, dan wordt geblokkeerd.
:::

## Detectoren verfijnen

De kunst zit in de drempel en de context. Eén cijferreeks die op een creditcard lijkt, is vaak vals alarm; meerdere matches in combinatie met bepaalde trefwoorden is veel betrouwbaarder. Stel drempels in op het aantal matches en combineer detectoren om de nauwkeurigheid te verhogen.

:::tip title="Combineer patroon en trefwoord"
Combineer een patroon-detector met een trefwoord-vereiste. Een regel die alleen afgaat bij een IBAN-patroon plus woorden als `vertrouwelijk` of `klantbestand` levert veel minder false positives dan een IBAN-detector alleen.
:::

## Acties en afhandeling

Kies de actie die past bij de gevoeligheid. Voor zeer gevoelige data is blokkeren passend. Voor grensgevallen is quarantaine prettig, want dan beoordeelt een beheerder voor vrijgave. Een waarschuwing aan de afzender werkt goed als bewustwordingsmaatregel bij minder kritieke gevallen. Richt vooraf een proces in voor het beoordelen van quarantaine, zodat berichten niet dagenlang blijven hangen.

## Onderzoeken en bijhouden

DLP-regels zijn niet klaar na het instellen. Met sensitive content snippets in de onderzoekstool zie je precies welk fragment een regel deed afgaan, zodat je snel onderscheidt tussen een echt incident en vals alarm. Nieuwe datatypes, nieuwe processen en feedback uit false positives vragen om bijstelling. Evalueer periodiek welke regels veel matchen, welke vals alarm geven, en of er gevoelige datastromen zijn die je nog niet afdekt.

:::faq
### Scant DLP ook bijlagen?
Ja. DLP inspecteert het onderwerp, de berichttekst en de inhoud van bijlagen op de patronen die je in je detectoren definieert.

### Geldt DLP voor Gmail alleen voor uitgaande mail?
Nee. Je kiest per regel een trigger: een verzonden bericht scant uitgaand verkeer, een ontvangen bericht scant inkomend verkeer. Je kunt voor beide aparte regels maken.

### Kan ik eigen gevoelige gegevens detecteren?
Ja. Naast de vooraf gedefinieerde detectoren maak je eigen detectoren met trefwoorden, reguliere expressies of woordenlijsten voor organisatiespecifieke data.

### Hoe voorkom ik dat DLP legitieme mail blokkeert?
Begin in de modus alleen registreren of waarschuwen, verfijn de drempels en combineer detectoren met trefwoorden. Stap pas over op blokkeren als de regel zuiver matcht.

### Wat is het verschil tussen quarantaine en blokkeren?
Blokkeren weigert het bericht direct en stuurt de gebruiker een melding. Quarantaine houdt het bericht vast voor beoordeling door een beheerder, die het kan vrijgeven of weigeren. Quarantaine is geschikt voor grensgevallen.

### Waar vind ik DLP voor Gmail in de Admin Console?
Onder Beveiliging > Toegang tot en beheer van gegevens > Gegevensbescherming. Daar beheer je alle gegevensbeschermingsregels, ook voor Drive en Chat. Het oudere pad via Gmail Compliance is voor nieuwe DLP-regels achterhaald.
:::