Workspace kan AVG-conform worden ingezet, maar de software doet dat niet vanzelf. De AVG (in het Engels GDPR) legt de eindverantwoordelijkheid bij jou als verwerkingsverantwoordelijke. Google is de verwerker en levert de tools en garanties, maar de keuzes en het beleid zijn aan jou. Dit artikel zet op een rij wat je concreet moet regelen.
De rolverdeling begrijpen
Onder de AVG ben jij de verwerkingsverantwoordelijke: jij bepaalt waarom en hoe persoonsgegevens worden verwerkt. Google is de verwerker: het verwerkt data in jouw opdracht. Dit onderscheid bepaalt wie waarvoor aansprakelijk is, en het betekent dat naleving niet iets is dat je aan Google overlaat.
Verwerkersovereenkomst (CDPA)
Google biedt de Cloud Data Processing Addendum (CDPA), voorheen bekend als de Data Processing Amendment (DPA). Die maakt onderdeel uit van de Workspace-voorwaarden en bevat de standaard contractuele bepalingen voor internationale doorgifte. Controleer dat de CDPA voor jouw organisatie van toepassing is en bewaar hem in je verwerkingsregister. Zonder geldige verwerkersovereenkomst sta je zwak bij een controle.
Dataresidentie en doorgifte
De AVG stelt eisen aan waar data staat en wat er gebeurt bij doorgifte buiten de Europese Economische Ruimte (EER). Met de Data Regions-functie kun je instellen dat data in rust in de regio Europa wordt opgeslagen en verwerkt. Let op: deze functie zit in Workspace Enterprise Plus, niet in de instapabonnementen.
Voor internationale doorgifte leunt Google op meerdere mechanismen tegelijk: de Standard Contractual Clauses (SCC's) in de CDPA en, sinds 2023, het EU-VS Data Privacy Framework (DPF) als alternatieve doorgiftegrond. De AVG verplicht je niet om alle data binnen de EU te houden, maar veel organisaties kiezen bewust voor EU-residentie om naleving eenvoudiger en aantoonbaar te maken.
Leg doorgifte vast in je register
Leg in je verwerkingsregister per categorie persoonsgegevens vast waar die staat en op welke grondslag eventuele doorgifte buiten de EER plaatsvindt. Bewaar daarnaast je transfer impact assessment, zodat je ook bij twijfel over de stabiliteit van het Data Privacy Framework op de SCC's kunt terugvallen. Bij een audit of een vraag van een toezichthouder heb je dit dan direct paraat.
Bewaren en minimaliseren
De AVG eist dataminimalisatie en het niet langer bewaren dan nodig. Gebruik Vault-retentieregels om bewaartermijnen af te dwingen en data na afloop op te ruimen. Combineer dat met dataminimalisatie in je processen: verzamel alleen wat je nodig hebt.
Onbeperkt bewaren is een overtreding
Persoonsgegevens onbeperkt bewaren is een AVG-overtreding, ook als het technisch makkelijk is. Stel bewaartermijnen in en ruim op. Een datalek met jaren aan onnodige gegevens is veel ernstiger dan met alleen de strikt benodigde data.
Betrokkenenrechten afhandelen
Betrokkenen hebben rechten: inzage, correctie, verwijdering en dataportabiliteit. Zorg dat je processen hebt om die binnen de wettelijke termijn af te handelen. Vault en Takeout helpen bij het vinden en exporteren van iemands data, maar het proces eromheen moet je zelf inrichten.
GDPR-basis inrichten in Workspace
- Controleer en bewaar de verwerkersovereenkomst (CDPA) van Google.
- Stel dataresidentie in via Data Regions waar jouw eisen dat vragen (Enterprise Plus).
- Configureer bewaartermijnen via Vault-retentieregels.
- Beperk toegang strikt via organisatie-eenheden, groepen en het least-privilege-principe.
- Richt processen in voor betrokkenenrechten (inzage, verwijdering, portabiliteit).
- Maak een datalek-procedure met de 72-uurs meldplicht voor de toezichthouder.
Toegang en beveiliging
De AVG eist passende technische en organisatorische maatregelen. Dat vertaalt zich naar least-privilege toegang, 2-staps-verificatie, logging en monitoring. Veel van wat je voor security doet, telt direct mee voor AVG-naleving. Documenteer deze maatregelen, want aantoonbaarheid is een AVG-vereiste.
Is Google verantwoordelijk voor mijn AVG-naleving?
Nee. Google is verwerker en levert garanties en tools, maar jij blijft verwerkingsverantwoordelijke. De keuzes, het beleid en de aantoonbaarheid liggen bij jou.
Heb ik een verwerkersovereenkomst nodig?
Ja. Google biedt de Cloud Data Processing Addendum (CDPA) als onderdeel van de voorwaarden. Controleer dat die geldt voor jouw organisatie en bewaar hem in je verwerkingsregister.
Hoe regel ik het recht op verwijdering?
Richt een proces in om verzoeken te ontvangen en binnen de termijn af te handelen. Vault en Takeout helpen bij het vinden en exporteren van data, maar de afhandeling organiseer je zelf.
Mag data buiten de EER staan?
Alleen onder voorwaarden. Workspace gebruikt de SCC's en het EU-VS Data Privacy Framework voor doorgifte en biedt met Data Regions de optie om data in Europa te houden. Leg vast welke gegevens waar staan en op welke grondslag.
Houdt Data Regions al mijn data automatisch in de EU?
Niet automatisch en niet alles. Je moet de functie expliciet instellen, ze is beschikbaar in Enterprise Plus, en ze dekt data in rust voor de ondersteunde diensten. Controleer per dienst welke gegevens onder de regio-keuze vallen.
Telt mijn securitybeleid mee voor de AVG?
Ja. Maatregelen als least-privilege, 2-staps-verificatie, logging en monitoring zijn precies de passende technische en organisatorische maatregelen die de AVG vraagt. Documenteer ze, want je moet ze kunnen aantonen.