Workspace in een advocatenpraktijk
Advocaten werken met vertrouwelijke informatie: clientcommunicatie, procesdocumenten, contracten en strategische adviezen. Dit stelt bijzondere eisen aan de IT-infrastructuur. Google Workspace biedt een solide basis, maar vereist bewuste configuratie om te voldoen aan de Advocatenwet en de beroepsregels van de Nederlandse Orde van Advocaten (NOvA).
Het fundament is het beroepsgeheim: informatie die een advocaat in het kader van de uitoefening van zijn beroep ontvangt, is vertrouwelijk. Dit geldt onverkort voor digitale communicatie en opgeslagen documenten.
Raadpleeg altijd de actuele NOvA-richtsnoeren
De NOvA heeft richtsnoeren over cloud- en AI-gebruik door advocaten. Eind 2025 publiceerde de orde een AI-aanbeveling die aansluit op de Europese lijn, en sinds 2026 is er structureel toezicht op AI-gebruik in de advocatuur. Controleer de meest recente versie op advocatenorde.nl, want deze eisen worden regelmatig bijgewerkt.
Wettelijk kader voor advocaten
De volgende kaders bepalen samen hoe je Workspace mag inrichten:
- Advocatenwet: legt het beroepsgeheim vast en regelt de tuchtrechtelijke verantwoordelijkheid. Schending van het beroepsgeheim is een tuchtrechtelijk vergrijp.
- AVG: advocatenpraktijken verwerken persoonsgegevens van clienten, wederpartijen en getuigen. Een verwerkingsregister en een verwerkersovereenkomst met Google zijn verplicht.
- NOvA-gedragsregels en AI-aanbeveling: bevatten specifieke vereisten voor de omgang met vertrouwelijke informatie, ook in digitale en AI-omgevingen. Anonimisering, pseudonimisering of dataminimalisatie zijn essentieel zodra je gevoelige clientgegevens door AI laat verwerken.
- Wwft: advocaten moeten in bepaalde gevallen identiteitsverificatie uitvoeren en ongebruikelijke transacties melden. Sla de benodigde identificatiedocumenten beveiligd op.
Verwerkersovereenkomst met Google
Sluit de verwerkersovereenkomst van Google af, de Data Processing Amendment (DPA). Je accepteert die via Admin Console > Account > Account-instellingen > Juridisch en compliance. Beoordeel of de overeenkomst voldoet aan de NOvA-eisen voor cloud-verwerking:
- Google mag de data niet gebruiken voor eigen doeleinden.
- Subverwerkers zijn contractueel gebonden aan dezelfde beveiligingseisen.
- De datalocatie is instelbaar op de EU.
Bewaar een kopie van de verwerkersovereenkomst als onderdeel van je verwerkingsregister.
Technische beveiligingseisen
Voor een advocatenpraktijk zijn de volgende technische maatregelen minimaal vereist.
Toegangsbeveiliging:
- Tweestapsverificatie verplicht voor alle accounts.
- Hardware-beveiligingssleutels (FIDO2 of passkeys) aanbevolen voor accounts met toegang tot clientdossiers.
- Contextbewuste toegang om toegang te beperken tot beheerde apparaten. Let op: deze functie vereist minimaal de editie Enterprise Standard of Enterprise Plus.
Encryptie:
- Workspace versleutelt data standaard tijdens transport en in rust.
- Voor maximale controle: client-side encryptie (CSE), waarbij de sleutels door de advocatenpraktijk worden beheerd en Google de inhoud niet kan ontsleutelen. CSE vereist de editie Enterprise Plus (of een Education-editie) en een externe sleuteldienst.
Audit en monitoring:
- Activeer de relevante auditlogboeken in de Admin Console.
- Bewaar logs en mailboxen conform je kantoorarchief-beleid; gebruik Google Vault voor bewaarregels en e-discovery.
- Stel meldingen in voor verdachte activiteit via het regelcentrum.
Edities bepalen wat je kunt afdwingen
Contextbewuste toegang en client-side encryptie zitten niet in elke Workspace-editie. Controleer voor de aanschaf welke editie je kantoor nodig heeft, zodat je de beveiligingsmaatregelen die je belooft aan clienten ook echt kunt afdwingen.
Minimale beveiligingsinrichting voor een advocatenkantoor
- Accepteer de verwerkersovereenkomst via Admin Console > Account > Account-instellingen > Juridisch en compliance.
- Stel de datalocatie in op de EU via Admin Console > Account > Datalocaties.
- Schakel tweestapsverificatie in als verplichting voor alle gebruikers.
- Activeer contextbewuste toegang: alleen toegang vanaf beheerde apparaten (vereist Enterprise Standard of Plus).
- Maak Gedeelde Drives aan per praktijkgebied met strikte toegangscontrole.
- Stel bewaarregels in via Google Vault, afgestemd op je wettelijke bewaartermijnen.
- Stel DLP-regels in voor uitgaande e-mail die ongewenste deling van persoonsgegevens onderscept.
Dossierbeheer in Workspace
Gebruik Gedeelde Drives als centrale opslagplaats voor clientdossiers. Maak een mapstructuur die overeenkomt met je dossiernummeringssysteem.
Toegangsrechten per dossier:
- Behandelend advocaat: bewerktoegang.
- Secretariaat: beperkte bewerktoegang, zonder de meest gevoelige stukken.
- Partner of vennoot: leestoegang voor toezicht.
- Client: geen directe Drive-toegang. Gebruik een beveiligde deellink voor specifieke documenten.
Stel een archiveringsprocedure in voor afgeronde zaken: verplaats het dossier naar een archiefmap met alleen-leestoegang en bewaar conform de wettelijke bewaartermijnen.
| Rol | Toegang tot dossier | Doel |
|---|---|---|
| Behandelend advocaat | Bewerken | Dagelijks dossierwerk |
| Secretariaat | Beperkt bewerken | Administratie en correspondentie |
| Partner of vennoot | Lezen | Toezicht en kwaliteitsborging |
| Client | Alleen specifieke deellinks | Inzage in eigen stukken |
Houd clienttoegang gescheiden van je interne Drive
Deel met clienten nooit een hele Gedeelde Drive. Werk met losse, tijdelijke deellinks per document en zet de link uit zodra de zaak is afgerond. Zo voorkom je dat een client per ongeluk meekijkt in andere dossiers.
Mag een advocaat clientcommunicatie opslaan in Gmail?
Ja, mits de mailbox is beveiligd met tweestapsverificatie, de verwerkersovereenkomst is geaccepteerd en de data in de EU blijft. Gebruik labels en filters om clientcommunicatie georganiseerd te houden.
Zijn er specifieke NOvA-eisen voor cloud- en AI-gebruik?
Ja. De NOvA heeft richtsnoeren en sinds eind 2025 een AI-aanbeveling die aangeven aan welke eisen verwerking moet voldoen. Google Workspace voldoet in de standaardconfiguratie grotendeels, maar je moet de verwerkersovereenkomst actief accepteren, de datalocatie op de EU zetten en de beveiligingsinstellingen correct inrichten.
Welke editie heb ik nodig voor client-side encryptie?
Client-side encryptie vereist de editie Enterprise Plus of een geschikte Education-editie, plus een externe sleuteldienst. Contextbewuste toegang heeft minimaal Enterprise Standard nodig. Controleer je editie voordat je deze maatregelen aan clienten toezegt.
Hoe bescherm ik de vertrouwelijkheid bij samenwerking met externe advocaten?
Gebruik Gedeelde Drives met gastgebruikers voor externe advocaten, of deel specifieke documenten met een beveiligde link. Zorg dat externe advocaten een eigen Google-account hebben en dat de toegang tijdelijk is en wordt ingetrokken na de samenwerking.
Wat doe ik bij een datalek waarbij clientgegevens betrokken zijn?
Beoordeel of melding nodig is en meld het zo nodig binnen 72 uur bij de Autoriteit Persoonsgegevens. Informeer de betrokken clienten bij een hoog risico. Documenteer het incident voor je tuchtrechtelijke dossierverplichting en raadpleeg eventueel de NOvA-helpdesk.