Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Workspace-governancebeleid opstellen

Een goed governancebeleid zorgt voor consistente afspraken over hoe Workspace wordt beheerd, beveiligd en gebruikt. Leer hoe je een governancedocument opstelt dat werkt voor zowel IT als medewerkers.

schedule6 min lezen event1 Jun 2026 updateBijgewerkt 15 wkn open_in_new data_object

Waarom governance essentieel is

Workspace is krachtig, maar zonder afspraken leidt vrijheid tot chaos: iedereen maakt zijn eigen mapstructuur, bestanden worden buiten de organisatie gedeeld zonder beleid, en beheerders worden aangesteld zonder duidelijke verantwoordelijkheden.

Een governancebeleid maakt expliciete keuzes over hoe de organisatie Workspace gebruikt en beheert. Het is geen technisch document maar een besluitvormingsdocument: wie is verantwoordelijk, welke rechten gelden, welke data mag waar staan, en hoe wordt Workspace beheerd bij wijzigingen in de organisatie.

info

Governance is geen eenmalig document

Het is een levend beleidsstuk dat minimaal jaarlijks wordt gereviewd en aangepast wordt bij organisatorische of technische wijzigingen.

Domein 1: Identiteits- en toegangsbeheer

Gebruikersprovisioning. Wie mag een Workspace-account aanvragen? Via welk proces (bijvoorbeeld een HR-trigger bij indiensttreding)? Wat zijn de standaardinstellingen voor een nieuw account?

Rol- en rechtenbeheer. Welke beheerdersrollen worden gebruikt? Wie is superadmin? Wie heeft beperkte adminrechten, bijvoorbeeld gebruikersbeheer zonder domeinconfiguratie?

Offboarding. Wat gebeurt er met een account bij uitdiensttreding? Wat is de tijdlijn: direct na vertrek of na een transitieperiode? Wie is verantwoordelijk? Welke data wordt bewaard, overgedragen of verwijderd?

Externe gebruikers. Mogen medewerkers documenten buiten het domein delen? Met welke beperkingen? Zijn gastaccounts toegestaan?

Domein 2: Databeheer

Naamgeving en mapstructuur. Stel een organisatiebrede naamgevingsconventie vast voor Drive-mappen en -bestanden, bijvoorbeeld [AFDELING]_[JAAR]_[ONDERWERP]. Definieer de standaard mapstructuur voor Gedeelde Drives per afdeling.

Eigenaarschap van bestanden. Wie is eigenaar van bestanden die zijn aangemaakt door een vertrokken medewerker? Hoe wordt eigenaarschap overgedragen? Gedeelde Drives helpen hier, omdat bestanden daar van de organisatie zijn en niet van een individu.

Retentiebeleid. Hoe lang worden bestanden bewaard? Via Google Vault kun je retentieregels instellen die data automatisch bewaren of verwijderen na een bepaalde periode (van 1 tot 36.500 dagen, of onbepaald). Stem dit af met de juridische en compliance-afdeling.

Classificatie van informatie. Welke informatiecategorieën zijn er (openbaar, intern, vertrouwelijk, strikt vertrouwelijk)? Welke Workspace-instellingen passen bij elke categorie? Voor strikt vertrouwelijk bijvoorbeeld geen extern delen en strikte DLP-regels.

Domein 3: Beveiligingsbeleid

Behandel beveiliging in vier vaste onderdelen, zodat geen enkel aspect wordt vergeten.

Authenticatie

Tweestapsverificatie (2SV/MFA) is verplicht voor alle medewerkers. Welke tweede factor is toegestaan: een passkey, een hardware security key, Google Authenticator of een Google-prompt? Sms wordt afgeraden vanwege simswapping-risico. Hoe snel moeten medewerkers MFA instellen na accountcreatie?

Apparaatbeheer

Mogen medewerkers Workspace gebruiken op privéapparaten? Zo ja, welk beleid geldt dan (basisinstellingen, MDM-enrollment, wipe-beleid bij verlies)? Zijn er vereisten voor OS-versie of beveiligingsupdates?

DLP-regels

Zijn er Data Loss Prevention-regels ingesteld die het delen van gevoelige informatie (BSN, financiële data) buiten het domein voorkomen? In Workspace gelden DLP-regels inmiddels uniform over Drive, Gmail en Chat, dus stem ze daar op af. Wie beheert die regels?

Audit en monitoring

Worden audit-logboeken bewaard? Hoe lang? Wie heeft toegang? Wat zijn de triggers voor een security-review?

Domein 4: Gebruiksbeleid

Aanvaardbaar gebruik. Mag Workspace voor persoonlijk gebruik worden ingezet? Zo ja, in welke mate? Welke handelingen zijn niet toegestaan, bijvoorbeeld het opslaan van illegale content of ongeautoriseerd extern delen van bedrijfsdata?

Privacybeleid voor medewerkers. Welke gegevens worden gelogd via de Admin Console? Voor welk doel? Worden die gegevens individueel bekeken of alleen in aggregaat? Wie heeft toegang?

Communicatienormen. Zijn er afspraken over responstijden in Gmail en Chat? Over bereikbaarheid buiten werktijd? Over taalgebruik in professionele kanalen?

Domein 5: Beheerstructuur

RACI-model. Leg per governance-domein vast wie Responsible (uitvoerend), Accountable (eindverantwoordelijk), Consulted (geraadpleegd) en Informed (geïnformeerd) is. Een eenvoudige tabel helpt:

Domein Responsible Accountable Consulted Informed
Toegangsbeheer IT-beheer IT-manager HR, juridisch Directie
Databeheer Data-eigenaar IT-manager Compliance Medewerkers
Beveiliging Security-officer IT-manager Juridisch Directie
Gebruiksbeleid HR Directie OR, juridisch Medewerkers
Beheerstructuur IT-manager Directie Alle leads Organisatie

Escalatieprocedure. Hoe worden beleidsafwijkingen gemeld en behandeld? Wat zijn de consequenties?

Wijzigingsbeheer. Via welk proces worden wijzigingen in de Workspace-configuratie doorgevoerd? Wie moet goedkeuren voordat een grote wijziging live gaat?

lightbulb

Begin klein en groei mee

Probeer niet alle vijf domeinen in één keer perfect dicht te timmeren. Schrijf eerst een werkbare basisversie, koppel een vaste reviewdatum, en verdiep ieder domein bij de jaarlijkse herziening. Een gedragen beleid van vijf pagina's is meer waard dan een ongelezen handboek van vijftig.

Zo stel je het governancebeleid op

  1. Vorm een werkgroep met IT-lead, HR, juridisch, compliance en een directielid.
  2. Schrijf een eerste concept op basis van de vijf domeinen in een Docs-document in de projectdrive.
  3. Deel het concept met alle stakeholders voor input via een commentaarronde in Docs.
  4. Verwerk de feedback en stel een definitieve versie op.
  5. Laat het beleid goedkeuren door directie en OR.
  6. Publiceer het op de interne kennisbank als officieel beleidsdocument.
  7. Plan een jaarlijkse reviewdatum in de gedeelde kalender.
warning

Vergeet de OR niet

Beleid dat raakt aan monitoring, privacy of arbeidsomstandigheden vereist in Nederland vaak instemming van de ondernemingsraad. Sla deze stap niet over, anders kan het beleid achteraf onrechtmatig blijken.

Moet het governancebeleid door de OR worden goedgekeurd?

In de meeste gevallen ja, voor zover het raakt aan arbeidsomstandigheden, privacybescherming en monitoring van medewerkers. Raadpleeg je OR-adviseur of juridische afdeling.

Hoe gedetailleerd moet het beleid zijn?

Gedetailleerd genoeg om eenduidige beslissingen mogelijk te maken, maar niet zo gedetailleerd dat elke uitzondering erin staat. Vijf tot tien pagina's is ideaal. Technische details horen in beheer-runbooks, niet in het beleidsdocument.

Wat als bestaande medewerkers het beleid niet kennen?

Communiceer het beleid actief bij publicatie en bij de jaarlijkse review. Voeg het toe aan de onboarding van nieuwe medewerkers en laat mensen via een korte Forms-registratie bevestigen dat ze het gelezen hebben.

Hoe ga ik om met conflicten tussen het beleid en wensen van afdelingsmanagers?

Het governancebeleid is goedgekeurd door de directie en is leidend. Uitzonderingen zijn mogelijk, maar vereisen een expliciet goedkeuringsproces via de beheerstructuur. Documenteer uitzonderingen altijd.

Welke tools heb ik nodig om dit beleid te handhaven?

De Admin Console voor rollen en instellingen, Google Vault voor retentie en e-discovery, DLP-regels voor het beschermen van gevoelige data, en de beveiligingsdashboards voor monitoring. Het beleid beschrijft de afspraken, deze tools voeren ze af.

Hoe vaak moet ik het beleid herzien?

Minimaal jaarlijks, en daarnaast bij elke grote organisatorische of technische wijziging, zoals een reorganisatie, een fusie of de invoering van nieuwe Workspace-functies.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Auditlogs instellen voor Vertex AI

Auditlogs leggen vast wie wat wanneer deed in Vertex AI. Leer hoe je Admin Activity en Data Access logging inschakelt, veilig bewaart en gebruikt.

schedule7 min label3 gedeelde tags
Lees verder arrow_forward

Acceptable Use Policy opstellen voor Workspace

Een Acceptable Use Policy legt vast wat wel en niet mag met je Google Workspace. Leer welke onderwerpen je behandelt, hoe je de policy opbouwt en hoe je hem echt laat leven binnen je organisatie.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

Beheerderswaarschuwingen instellen in Google Workspace

Met beheerderswaarschuwingen ontvang je automatisch een melding bij beveiligingsincidenten, verdacht gedrag of systeemwijzigingen, zodat je proactief reageert zonder handmatig logs te controleren.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

Client-side encryptie activeren in Google Workspace

Met client-side encryptie (CSE) versleutel je gevoelige bestanden in Drive, Gmail, Meet en Agenda voordat ze Google bereiken. Jij beheert de sleutels via een externe sleuteldienst, zodat Google de inhoud niet kan lezen. Geschikt voor organisaties met strenge compliance-eisen.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward

Domain-wide delegation instellen in Google Workspace

Domain-wide delegation (DWD) laat een service account namens elke gebruiker in je organisatie handelen. Krachtig, maar je moet het zorgvuldig inrichten en bewaken om misbruik te voorkomen.

schedule6 min label2 gedeelde tags
Lees verder arrow_forward