Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

GDPR-checklist voor Google Workspace-beheerders

Deze AVG-checklist vertaalt de privacyregels naar concrete instellingen in Google Workspace, van verwerkersovereenkomst en dataminimalisatie tot DLP, Vault-bewaartermijnen, data-regio's, betrokkenenrechten en de 72-uurs datalekmelding.

schedule5 min lezen event1 Jun 2026 updateBijgewerkt 16 wkn open_in_new data_object

De GDPR-checklist voor Google Workspace-beheerders vertaalt de Algemene Verordening Gegevensbescherming naar praktische instellingen en processen. De GDPR, in Nederland bekend als de AVG, geldt voor elke organisatie die persoonsgegevens van EU-burgers verwerkt. Google Workspace is GDPR-geschikt, maar of jij compliant bent hangt af van hoe je het inricht.

De juridische basis: verwerkersovereenkomst

Voordat je technische instellingen aanpakt, regel je de juridische basis. Google treedt op als verwerker en jij als verwerkingsverantwoordelijke. De Data Processing Amendment van Google is je verwerkersovereenkomst.

info

Eerste actie

Controleer of je de Google Workspace Data Processing Amendment hebt geaccepteerd in de Admin-console onder Account en daarna Wettelijke en compliance-instellingen. Zonder geaccepteerde verwerkersovereenkomst sta je juridisch zwak bij een controle.

Stel daarnaast je data-regio in als je opslaglocatie wilt afdwingen. Met data regions bepaal je dat data in rust binnen Europa wordt opgeslagen. Je vindt dit in de Admin-console onder Account en Wettelijke en compliance-instellingen, waar je Europa kiest als regio voor data in rust. In de geavanceerde instellingen kun je per dienst, zoals Gmail, Drive, Docs, Chat en Meet, ook niet-geregionaliseerde functies uitschakelen, zodat data de gekozen regio niet verlaat. Een data-regio is geen wettelijke verplichting, maar wel een veelgevraagde garantie.

Dataminimalisatie en bewaartermijnen

De AVG verlangt dat je niet meer gegevens verzamelt en bewaart dan nodig. In Workspace betekent dit dat je bewaartermijnen actief instelt en oude data opruimt.

Bewaartermijnen instellen met Vault

  1. Open Google Vault met een beheerdersaccount dat Vault-rechten heeft.
  2. Ga naar Bewaring en maak een standaardbewaarregel of een aangepaste regel per dienst.
  3. Stel de bewaarperiode in op basis van je wettelijke verplichting en doelbinding.
  4. Bepaal of data na afloop definitief wordt verwijderd.
  5. Documenteer per gegevenscategorie welke termijn geldt en waarom.
warning

Test elke bewaarregel eerst

Bewaarregels in Vault zijn krachtig maar kunnen onbedoeld data permanent verwijderen of juist onnodig lang vasthouden. Test elke regel op een beperkte scope, bijvoorbeeld een testorganisatie-eenheid, en leg de onderbouwing vast. Een verkeerd ingestelde verwijderregel kan leiden tot verlies van data die je wettelijk juist moest bewaren.

Toegangscontrole en beveiliging

De AVG eist passende technische en organisatorische maatregelen. Concreet betekent dat sterke toegangscontrole en beveiliging. De belangrijkste knoppen in Workspace zijn:

  • Verplichte 2FA: beschermt accounts tegen overname; zet bij voorkeur tweestapsverificatie of passkeys verplicht.
  • Least privilege: geef gebruikers en beheerders alleen de toegang en rollen die ze echt nodig hebben.
  • DLP-regels: voorkom uitlek van bijzondere persoonsgegevens zoals BSN, paspoortnummer en creditcardgegevens.
  • Audit-logging: leg vast wie wat met welke data deed, zodat je incidenten kunt reconstrueren.
  • Versleuteling: data in rust en tijdens transport is standaard versleuteld.

DLP is hierbij essentieel. Met Data Loss Prevention scan je uitgaande mail en gedeelde bestanden op gevoelige patronen zoals een BSN of creditcardnummer en blokkeer of waarschuw je. Sinds februari 2026 is DLP voor Gmail algemeen beschikbaar, naast de al langer bestaande DLP voor Drive en Chat. Zo dek je het belangrijkste lek-oppervlak af.

lightbulb

Let op AI-functies in je DLP-scope

Gemini- en AI-functies in Workspace kunnen domeindata gebruiken om antwoorden en suggesties te genereren. Neem deze functies mee in je risico-afweging en DLP-beleid, en controleer of ze binnen je gekozen data-regio blijven.

Betrokkenenrechten afhandelen

Betrokkenen hebben recht op inzage, correctie, verwijdering en dataportabiliteit. Je moet een proces hebben om deze verzoeken binnen een maand af te handelen.

Voor inzage en export gebruik je tools als Google Takeout en Vault-export. Voor verwijdering moet je weten waar persoonsgegevens van een individu staan en die gericht kunnen verwijderen. Houd er rekening mee dat back-ups en bewaarregels dit complexer maken, omdat data daar langer kan blijven staan.

Datalekken melden binnen 72 uur

Bij een datalek met risico voor betrokkenen meld je dit binnen 72 uur bij de toezichthouder, in Nederland de Autoriteit Persoonsgegevens. Daarvoor moet je datalekken snel kunnen detecteren.

lightbulb

Detecteer datalekken vroeg

Koppel je Workspace-audit-logs aan monitoring en stel waarschuwingen in voor massale downloads en extern delen van gevoelige mappen. Hoe sneller je detecteert, hoe ruimer je tijd hebt binnen de 72-uurstermijn. Zie het incidentresponsplan.

De volledige checklist

Loop de onderstaande checklist per categorie af en leg per onderdeel vast wat je hebt gedaan.

Juridisch

  • Data Processing Amendment geaccepteerd.
  • Verwerkingsregister bijgehouden.
  • Data-regio ingesteld indien gewenst.
  • Sub-verwerkers in kaart gebracht.

Technisch

  • Verplichte 2FA of passkeys actief.
  • DLP-regels voor bijzondere persoonsgegevens, inclusief Gmail.
  • Bewaartermijnen in Vault ingesteld.
  • Audit-logging actief en gemonitord.
  • Restrictief extern delen in Drive.

Procesmatig

  • Proces voor betrokkenenrechten.
  • Datalekprocedure met 72-uurs melding.
  • DPIA voor risicovolle verwerkingen.
  • Awareness-training voor medewerkers.
Is Google Workspace zelf AVG-compliant?

Google levert de bouwstenen en certificeringen, maar compliance hangt af van jouw configuratie en processen. Je blijft als verwerkingsverantwoordelijke aansprakelijk.

Moet ik per se een DPIA doen?

Een Data Protection Impact Assessment is verplicht bij verwerkingen met hoog risico, bijvoorbeeld grootschalige verwerking van bijzondere persoonsgegevens. Bij twijfel doe je er een.

Waar staat mijn data fysiek?

Standaard verdeelt Google data over meerdere regio's. Met data regions kun je opslag in rust beperken tot Europa. Dit stel je in via de Admin-console onder Account en Wettelijke en compliance-instellingen.

Hoe lang mag ik e-mail bewaren?

Dat hangt af van je doelbinding en wettelijke verplichtingen. Er is geen vaste termijn; je moet kunnen onderbouwen waarom je een bepaalde periode hanteert.

Geldt DLP ook voor Gmail?

Ja. Sinds februari 2026 is DLP voor Gmail algemeen beschikbaar, naast DLP voor Drive en Chat. Daarmee dek je het uitgaande e-mailverkeer af, dat lang een onbeschermd lek-oppervlak was.

Wat als ik een datalek niet binnen 72 uur compleet kan melden?

Je mag een eerste melding doen en die later aanvullen. Belangrijk is dat je tijdig meldt en aantoonbaar maakt welke stappen je hebt gezet, ook als nog niet alle details bekend zijn.

Werk deze checklist af en leg per onderdeel vast wat je hebt gedaan. De verantwoordingsplicht van de AVG betekent dat aantoonbaarheid net zo belangrijk is als de maatregel zelf.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

GDPR-naleving voor e-mailcommunicatie

E-mail bevat bijna altijd persoonsgegevens en valt daarmee onder de AVG. Leer welke regels gelden voor verwerking, bewaring, beveiliging en marketing via e-mail in Google Workspace.

schedule6 min label4 gedeelde tags
Lees verder arrow_forward

GDPR-naleving met Google Workspace: wat moet je regelen?

Google Workspace ondersteunt AVG-naleving, maar de verantwoordelijkheid ligt bij jou als verwerkingsverantwoordelijke: regel de verwerkersovereenkomst, dataresidentie, bewaartermijnen, toegangsbeheer en betrokkenenrechten.

schedule4 min label4 gedeelde tags
Lees verder arrow_forward

Privacy by design implementeren in Google Workspace

Implementeer privacy by design in Google Workspace met dataclassificatie, DLP-beleid, retentie via Vault, strakke toegangscontrole en een AVG-verwerkingsregister.

schedule6 min label4 gedeelde tags
Lees verder arrow_forward

E-mailjournaling instellen voor compliance

Sommige sectoren moeten elke e-mail bewaren en doorsturen naar een archief. Leer hoe je journaling inricht in Google Workspace en wanneer Google Vault al volstaat.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

Acceptable Use Policy opstellen voor Workspace

Een Acceptable Use Policy legt vast wat wel en niet mag met je Google Workspace. Leer welke onderwerpen je behandelt, hoe je de policy opbouwt en hoe je hem echt laat leven binnen je organisatie.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward