Vrijwel elke e-mail bevat persoonsgegevens: een naam, een adres, soms gevoelige inhoud. Daarmee valt e-mailcommunicatie volledig onder de AVG, de Europese privacywetgeving. Voor organisaties betekent dat concrete verplichtingen rond grondslag, bewaring, beveiliging en de rechten van mensen. Google Workspace biedt de bouwstenen, maar de naleving organiseer je zelf.
Waarom e-mail onder de AVG valt
Een e-mailadres is een persoonsgegeven, want het identificeert een persoon. De inhoud van berichten bevat vaak meer: namen, telefoonnummers, soms gezondheids- of financiele informatie. Zodra je zulke gegevens verwerkt, en dat doe je bij elke e-mail, ben je gebonden aan de AVG.
Dat betekent niet dat e-mail verboden is, maar wel dat je een rechtmatige grondslag nodig hebt, zorgvuldig moet bewaren en de gegevens moet beschermen. Het raakt zowel je interne mail als je communicatie met klanten.
Google is verwerker, jij blijft verantwoordelijk
Google treedt op als verwerker voor de gegevens in je Workspace, en jij blijft de verwerkingsverantwoordelijke. Google biedt een verwerkersovereenkomst die deze rolverdeling vastlegt, sinds 2026 de Cloud Data Processing Addendum (CDPA) genoemd, voorheen de Data Processing Amendment. Die overeenkomst is een bouwsteen van je naleving, maar ontslaat je niet van je eigen verantwoordelijkheden rond grondslag en bewaring.
De rollen op een rij
Voordat je naleving inricht, helpt het om de rollen scherp te hebben. Wie bepaalt wat, en wie is waarvoor aanspreekbaar?
| Rol | Wie | Verantwoordelijkheid |
|---|---|---|
| Verwerkingsverantwoordelijke | Jouw organisatie | Bepaalt doel en middelen, eindverantwoordelijk voor naleving. |
| Verwerker | Verwerkt de gegevens namens jou onder de verwerkersovereenkomst. | |
| Functionaris gegevensbescherming | Aangewezen persoon of rol | Bewaakt naleving, aanspreekpunt voor betrokkenen en toezichthouder. |
| Betrokkene | De persoon achter de gegevens | Heeft recht op inzage, correctie en verwijdering. |
Grondslag en toestemming
Voor elke verwerking heb je een rechtmatige grondslag nodig. Voor zakelijke correspondentie is dat vaak een gerechtvaardigd belang of de uitvoering van een overeenkomst. Voor marketingmail ligt het strenger: daarvoor heb je doorgaans expliciete toestemming nodig.
Marketingmail zonder toestemming is een dubbele overtreding
Marketingmail sturen zonder geldige toestemming overtreedt zowel de AVG als de e-privacyregels. Een vooraf aangevinkt vakje is geen geldige toestemming, en een gekochte lijst al helemaal niet. Toestemming moet vrij, specifiek, geinformeerd en met een actieve handeling gegeven zijn. Bewaar het bewijs van toestemming, want bij een klacht moet je het kunnen aantonen.
Bewaring en retentie
De AVG eist dat je persoonsgegevens niet langer bewaart dan nodig. Onbeperkt alle mail bewaren mag niet zonder grondslag. Stel een bewaarbeleid op dat per categorie mail bepaalt hoe lang je het houdt en wanneer je het verwijdert.
Zo richt je AVG-bestendige e-mailbewaring in
- Inventariseer welke soorten persoonsgegevens je per e-mail verwerkt.
- Bepaal per categorie de rechtmatige grondslag voor verwerking.
- Stel een bewaartermijn vast die past bij het doel en de wet.
- Configureer een retentieregel in Google Vault om dit af te dwingen.
- Zorg dat je verzoeken om inzage en verwijdering kunt uitvoeren.
- Documenteer alles in je verwerkingsregister.
Een praktisch voorbeeld: voor sollicitatiemail geldt vaak een bewaartermijn van vier weken na afronding, of een jaar met toestemming van de kandidaat. Voor offertes en orders kan een fiscale bewaarplicht van zeven jaar gelden. Door per categorie een aparte retentieregel in Vault te zetten, hoef je niet handmatig op te ruimen en voorkom je dat je per ongeluk te lang bewaart.
Beveiliging als verplichting
De AVG eist passende beveiliging. Voor e-mail betekent dat versleuteling onderweg, zoals TLS afgedwongen met MTA-STS, en bescherming van de opgeslagen mail met sterke toegangscontrole en authenticatie. Een datalek via onbeschermde e-mail is meldingsplichtig en kan tot boetes leiden.
Zet de basis-beveiliging aan in de Admin-console
Schakel verplichte TLS in voor uitgaande mail naar gevoelige domeinen, publiceer een MTA-STS-beleid en zet tweestapsverificatie verplicht voor alle gebruikers. Voeg voor extra gevoelige mail een vertrouwelijke modus of S/MIME toe. Dit zijn instellingen die je eenmalig regelt maar die elk datalek-risico fors verlagen.
Rechten van betrokkenen
Mensen hebben recht op inzage in de gegevens die je over hen hebt, op correctie en op verwijdering. Voor e-mail betekent dat je moet kunnen vinden en exporteren welke mail iemands gegevens bevat. Google Vault helpt hierbij met zoeken en exporteren.
Oefen je inzageproces voordat het nodig is
Zorg dat je een werkend proces hebt om e-mail van of over een specifieke persoon terug te vinden voordat een verzoek binnenkomt. Een inzageverzoek heeft een wettelijke termijn van een maand. Als je dan pas uitzoekt hoe je in Vault zoekt en exporteert, kom je in de knel. Oefen het proces een keer zodat je voorbereid bent.
Veelgestelde vragen
Valt interne mail ook onder de AVG?
Ja. Ook interne mail bevat persoonsgegevens van medewerkers en derden en valt dus onder de AVG.
Mag ik een gekochte e-maillijst gebruiken voor marketing?
Nee. Voor zo'n lijst ontbreekt geldige toestemming van de ontvangers, en dat is een overtreding van zowel de AVG als de e-privacyregels.
Hoe lang mag ik e-mail bewaren?
Niet langer dan nodig is voor het doel. Leg per categorie een bewaartermijn vast in je bewaarbeleid en dwing die af met een retentieregel in Vault.
Helpt de verwerkersovereenkomst van Google mij voldoen aan de AVG?
Die helpt, maar dekt alleen de verwerkersrol van Google. De Cloud Data Processing Addendum legt de afspraken met Google vast; jij blijft als verwerkingsverantwoordelijke zelf verantwoordelijk voor grondslag, bewaring en betrokkenenrechten.
Welke beveiliging verwacht de AVG bij e-mail?
Passende maatregelen, waaronder versleuteling onderweg (TLS, eventueel afgedwongen met MTA-STS), sterke toegangscontrole en tweestapsverificatie. Voor extra gevoelige mail kun je vertrouwelijke modus of S/MIME inzetten.
Wat moet ik doen bij een datalek via e-mail?
Beoordeel direct de aard en omvang. Een datalek met risico voor betrokkenen meld je binnen 72 uur bij de toezichthouder, en bij hoog risico ook aan de betrokkenen zelf. Leg elk datalek vast in je register, ook als melding niet nodig is.
GDPR-naleving voor e-mail is geen eenmalige klus maar een doorlopende discipline. Zorg voor een grondslag, vraag echte toestemming voor marketing, bewaar niet langer dan nodig, beveilig je mail en wees voorbereid op verzoeken van betrokkenen. Google Workspace levert de gereedschappen, maar de naleving regel en documenteer je zelf.