# Privacy by design implementeren in Google Workspace

[[TOC]]

## Privacy by design: de zeven principes

Privacy by design (PbD) is een aanpak waarbij privacy niet achteraf wordt toegevoegd, maar vanaf het begin in systemen en processen wordt ingebouwd. Voor Google Workspace betekent dit dat je actief kiest voor de instellingen die privacy waarborgen in plaats van de standaardinstellingen klakkeloos te accepteren.

De zeven principes van privacy by design:

1. Proactief, niet reactief.
2. Privacy als standaardinstelling.
3. Privacy ingebouwd in het ontwerp.
4. Volledige functionaliteit (privacy en functie zijn geen tegenpolen).
5. End-to-end beveiliging gedurende de hele levenscyclus.
6. Zichtbaarheid en transparantie.
7. Respect voor de privacy van de gebruiker.

:::info
Privacy by design is niet alleen een best practice, maar ook een wettelijke verplichting onder de AVG (artikel 25). Je moet passende technische en organisatorische maatregelen treffen om gegevensbescherming standaard te waarborgen.
:::

## Stap 1: Dataclassificatie implementeren

### Wat is dataclassificatie?

Dataclassificatie is het labelen van data naar gevoeligheid. Zonder te weten welke data gevoelig is, kun je geen gerichte bescherming implementeren.

Vier niveaus die voor de meeste organisaties werken:

| Niveau | Beschrijving | Voorbeelden |
|---|---|---|
| Openbaar | Geen beperkingen | Persberichten, productbrochures |
| Intern | Alleen voor medewerkers | Procedures, vergadernotities |
| Vertrouwelijk | Beperkte groep | Klantdata, contracten |
| Geheim | Strikte toegang | Salarisdata, juridische adviezen |

In Workspace kun je deze niveaus koppelen aan Drive-labels (geclassificeerde labels), zodat je DLP-regels en toegangsbeleid op een label kunt baseren.

### DLP-beleid instellen in Workspace

Met Data Loss Prevention (DLP) scan je Gmail, Drive en Chat automatisch op gevoelige inhoud en blokkeer of waarschuw je voordat data je organisatie verlaat.

:::howto title="DLP-regel aanmaken in de Admin Console"
1. Ga naar de Admin Console en open **Beveiliging > Toegangs- en gegevensbeheer > Gegevensbescherming**.
2. Klik op **Beheer regels** en vervolgens op **Regel aanmaken**.
3. Kies het bereik: alle gebruikers of specifieke organisatie-eenheden of groepen.
4. Selecteer de apps waarop de regel geldt (Gmail, Drive of Chat).
5. Definieer de conditie met een vooraf gedefinieerde detector (BSN, creditcardnummer, IBAN) of een eigen detector op basis van een patroon.
6. Stel de actie in: blokkeren, waarschuwen of alleen registreren (`audit only`).
7. Geef de regel een duidelijke naam, sla op en activeer de regel.
:::

:::tip title="Begin met loggen, niet met blokkeren"
Zet een nieuwe DLP-regel eerst op alleen registreren. Na een paar weken zie je in de logs hoeveel terechte en onterechte treffers er zijn. Pas daarna schakel je over op waarschuwen of blokkeren, zodat je medewerkers niet onnodig blokkeert.
:::

## Stap 2: Retentiebeleid via Google Vault

### Vault configureren

:::howto title="Bewaarbeleid instellen in Google Vault"
1. Open Google Vault via [vault.google.com](https://vault.google.com).
2. Ga naar **Bewaarbeleid**.
3. Klik op **Nieuw bewaarbeleid** (standaardbeleid voor de hele organisatie of aangepast beleid).
4. Kies de service: Gmail, Drive, Chat, Meet of Groups.
5. Stel de bewaartermijn in, bijvoorbeeld 3 jaar voor contracten of 7 jaar voor financiele documenten.
6. Bepaal wat er na de bewaartermijn gebeurt: permanent verwijderen of bewaren.
7. Sla het beleid op en controleer het effect op een testaccount.
:::

### Retentieperiodes afstemmen op wetgeving

Nederlandse wettelijke bewaartermijnen die relevant zijn:

- Financiele administratie: 7 jaar (fiscale bewaarplicht).
- Personeelsdossiers: doorgaans 2 jaar na uitdiensttreding, sommige onderdelen langer.
- AVG-gerelateerde gegevensoverdrachten: documenteer en bewaar de verwerkingsgrondslag.
- E-mailcommunicatie: geen vaste wettelijke termijn, maar leg een intern beleid vast.

:::warn
Een bewaarbeleid in Vault kan data ook langer vasthouden dan een gebruiker zelf zou willen verwijderen. Controleer dat je geen persoonsgegevens langer bewaart dan nodig is, want overmatige bewaring is zelf een AVG-overtreding (beginsel van opslagbeperking).
:::

## Stap 3: Toegangscontrole minimaliseren

Het principe van **dataminimalisatie** vereist dat gebruikers alleen toegang hebben tot de data die ze nodig hebben voor hun werk.

### Organisatie-eenheden gebruiken

Maak organisatie-eenheden (OE's) aan per afdeling en stel toegangsrechten in op OE-niveau:

- Finance-OE: toegang tot de financiele Shared Drive, niet tot de HR-drive.
- HR-OE: toegang tot HR-bestanden, niet tot klantdata.
- Sales-OE: toegang tot klantdata, niet tot interne financiele procedures.

### Shared Drive-toegang beperken

Stel per Shared Drive in wie welke rol heeft:

- Managers: volledige beheer- en bewerktoegang.
- Medewerkers: bewerken van specifieke mappen.
- Externen: alleen lezen of commentaar, en alleen waar dat echt nodig is.

## Stap 4: Datalocatie en digitale soevereiniteit

Voor veel Nederlandse en Europese organisaties is de opslaglocatie van data een kernvraag. Google Workspace biedt hiervoor meerdere lagen:

- **Data regions:** je kunt gedekte data laten opslaan en verwerken in Europa of de Verenigde Staten. Binnen de EU kies je een regio, geen specifiek land.
- **Assured Controls en EU-toegangsbeheer:** je kunt beperken vanuit welke locatie Google-supportteams data mogen benaderen.
- **Client-side encryption (CSE):** hiermee versleutel je gevoelige categorieen persoonsgegevens met je eigen sleutels, zodat ook Google de inhoud niet kan lezen.

Google Workspace heeft daarnaast in Nederland een DPIA/DTIA-goedkeuring ontvangen voor de publieke sector, wat de onderbouwing van een eigen gegevensbeschermingsbeoordeling vereenvoudigt.

:::tip title="Documenteer je keuze, niet alleen je instelling"
Het instellen van een EU-data region is niet genoeg. Leg in je verwerkingsregister vast welke regio je hebt gekozen, waarom, en welke aanvullende maatregelen (zoals CSE) je voor de gevoeligste data inzet. Bij een controle telt de onderbouwing net zo zwaar als de instelling zelf.
:::

## Stap 5: Verwerkingsregister opstellen

De AVG vereist een register van verwerkingsactiviteiten. Voor Workspace-gerelateerde verwerkingen documenteer je:

- Welke categorieen persoonsgegevens worden verwerkt.
- Het doel van de verwerking.
- De rechtsgrond.
- Eventuele doorgifte aan derde landen.
- De bewaartermijnen.

Google biedt een verwerkersovereenkomst (Data Processing Agreement, DPA) inclusief Standard Contractual Clauses, die je via de Admin Console accepteert. Dit is de verwerkersovereenkomst die vereist is onder de AVG, maar de eindverantwoordelijkheid voor naleving blijft bij jouw organisatie als verwerkingsverantwoordelijke.

:::faq
### Is Google Workspace AVG-compliant?
Google levert de contractuele basis (DPA en Standard Contractual Clauses) en de technische maatregelen die nodig zijn voor AVG-naleving. De eindverantwoordelijkheid voor naleving ligt bij jouw organisatie als verwerkingsverantwoordelijke, dus je moet de juiste instellingen ook echt configureren.

### Moet ik voor elke werknemer toestemming vragen om hun data te verwerken?
Nee. Voor personeelsdata is de rechtsgrond meestal het uitvoeren van de arbeidsovereenkomst of een wettelijke verplichting, niet toestemming. Informeer werknemers via een privacyverklaring in plaats van per geval toestemming te vragen.

### Hoe ga ik om met verzoeken van betrokkenen, zoals inzage of verwijdering?
Via de Admin Console en Google Takeout kun je data van een specifieke gebruiker exporteren voor een inzageverzoek. Voor een verwijderingsverzoek verwijder je het account of gebruik je de tools in Vault, met inachtneming van eventuele wettelijke bewaarplichten.

### Kan ik mijn data laten opslaan in Nederland?
Met data regions kun je kiezen voor opslag en verwerking binnen de EU, niet voor een specifiek land. Binnen de EU voldoet dit aan de AVG-vereisten voor datalocatie. Voor extra controle kun je client-side encryption inzetten.

### Wat zijn de gevolgen als ik geen privacy by design implementeer?
Bij een datalek of een handhavingsactie van de Autoriteit Persoonsgegevens kan het ontbreken van PbD-maatregelen leiden tot hogere boetes, tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, afhankelijk van wat hoger is.

### Waar begin ik als ik nog niets heb ingericht?
Begin met dataclassificatie en een verwerkingsregister, want die bepalen waar je je inspanning op richt. Zet daarna een DLP-regel op alleen registreren, beperk toegang via organisatie-eenheden, en voer als laatste je retentiebeleid in Vault in.
:::