HIPAA-compliance met Google Workspace is relevant voor organisaties die in de Verenigde Staten met beschermde gezondheidsgegevens werken. HIPAA, de Health Insurance Portability and Accountability Act, stelt strikte eisen aan het beschermen van die data, aangeduid als PHI (Protected Health Information). Google Workspace kan HIPAA-compliant worden ingezet, maar dat gaat niet vanzelf. Het vraagt een juridische basis en een zorgvuldige configuratie.
De Business Associate Agreement
De juridische hoeksteen van HIPAA-compliance is de Business Associate Agreement, kortweg BAA. Google treedt op als business associate zodra jij PHI in Workspace verwerkt, en daarvoor is een ondertekende BAA verplicht. Google biedt deze aan als de Google Workspace HIPAA Business Associate Amendment, die je als superbeheerder digitaal in de Admin-console accepteert.
Geen PHI zonder ondertekende BAA
Zonder ondertekende BAA mag je geen beschermde gezondheidsgegevens in Google Workspace verwerken. Doe je dat toch, dan ben je in overtreding van HIPAA met mogelijk forse boetes als gevolg. Regel de BAA via de Admin-console voordat je ook maar één gezondheidsgegeven in Workspace zet.
HIPAA-amendment accepteren
- Log in op de Admin-console met een superbeheerdersaccount.
- Ga naar Accountinstellingen en open Wettelijke en compliance-zaken (Legal and compliance).
- Zoek de Google Workspace HIPAA Business Associate Amendment en kies Bekijken en accepteren.
- Lees de voorwaarden en accepteer de amendment namens je organisatie.
- Bewaar het bewijs van acceptatie in je compliance-dossier.
Gedekte en niet-gedekte diensten
Dit is een cruciaal detail dat veel organisaties missen. De BAA dekt niet automatisch alle Workspace-diensten. Een set kerndiensten valt onder de BAA, maar andere diensten en add-ons niet. Google publiceert de actuele set in de HIPAA Included Functionality-lijst; raadpleeg die altijd voordat je een dienst voor PHI gebruikt.
De volgende tabel geeft een richtbeeld van wat doorgaans wel en niet onder de BAA valt. Controleer de officiële lijst voor de exacte, actuele stand.
| Categorie | Voorbeelden | Onder BAA |
|---|---|---|
| Kerndiensten | Gmail, Drive en gedeelde drives, Agenda, Meet, Chat, Keep, Sites, Vault | Ja |
| Documenten | Documenten, Spreadsheets, Presentaties, Formulieren | Ja |
| AI-functies | Help me schrijven, contextuele smart replies en de Gemini-zijbalk binnen Workspace with Gemini | Ja, voor zover vermeld in de Included Functionality-lijst |
| Externe apps | Marketplace-apps en add-ons van derden | Nee |
PHI alleen in gedekte diensten
PHI mag uitsluitend in de door de BAA gedekte diensten. Plaats je gezondheidsgegevens in een niet-gedekte dienst of een externe add-on, dan val je buiten de compliance, ook al heb je een BAA. Schakel niet-gedekte diensten uit voor accounts die met PHI werken, en train medewerkers strikt over welke diensten ze wel en niet mogen gebruiken voor zorggegevens.
Diensten beperken per organisatie-eenheid
Een praktische aanpak is een aparte organisatie-eenheid (OU) voor medewerkers die met PHI werken, waarin je uitsluitend de gedekte diensten inschakelt. Zo voorkom je dat gezondheidsgegevens per ongeluk in een niet-gedekte dienst belanden.
Technische maatregelen
HIPAA vereist passende waarborgen. In Workspace vertaalt dat naar concrete beveiligingsinstellingen:
- Toegangscontrole: verplicht 2-staps-verificatie, hanteer least privilege en geef iedere medewerker een uniek account.
- Audit-logging: zorg dat toegang tot PHI traceerbaar is via de audit- en onderzoekstools.
- Versleuteling: data is in rust en tijdens transport versleuteld; bevestig dit in je waarborgen.
- DLP: stel preventieregels in tegen het ongewenst delen van PHI in Gmail en Drive.
- Bewaartermijnen: bewaar en verwijder PHI volgens je beleid, bijvoorbeeld met Vault.
Audit-logging is bij HIPAA extra belangrijk. Je moet kunnen aantonen wie toegang had tot welke PHI en wanneer. Koppel logs aan langere bewaring zoals beschreven in de SIEM-koppeling.
Organisatorische maatregelen
Techniek alleen is niet genoeg. HIPAA vraagt ook beleid, training en een risicobeoordeling. Medewerkers die met PHI werken moeten weten wat is toegestaan. Voer een risicoanalyse uit en documenteer je waarborgen, vergelijkbaar met de aanpak bij ISO 27001.
Implementatie in stappen
Werk de invoering gestructureerd af, zodat je geen schakel overslaat:
- Accepteer de BAA en bewaar het bewijs in je compliance-dossier.
- Bepaal welke diensten gedekt zijn en schakel niet-gedekte diensten uit voor de PHI-OU.
- Richt toegangscontrole, 2-staps-verificatie en audit-logging in.
- Stel DLP-regels en bewaartermijnen voor PHI op.
- Voer een risicoanalyse uit en documenteer de uitkomsten.
- Train medewerkers en borg het beleid in je organisatie.
Maak één persoon eindverantwoordelijk
Wijs een compliance-verantwoordelijke aan die de BAA, de Included Functionality-lijst en je instellingen periodiek tegen het licht houdt. Google werkt de gedekte diensten bij, dus een jaarlijkse controle voorkomt dat een nieuwe of gewijzigde dienst onbedoeld buiten de dekking valt.
Is Google Workspace standaard HIPAA-compliant?
Nee. Workspace kan HIPAA-compliant worden ingezet, maar alleen met een ondertekende BAA en de juiste configuratie. De verantwoordelijkheid voor naleving ligt bij jou als verwerkingsverantwoordelijke.
Welke diensten vallen onder de BAA?
Een set kerndiensten zoals Gmail, Drive, Agenda, Meet, Chat, Documenten en Vault, plus bepaalde Gemini-functies binnen Workspace with Gemini. Niet alle diensten en geen enkele externe add-on zijn gedekt. Raadpleeg de HIPAA Included Functionality-lijst van Google voor de actuele stand.
Vallen de AI-functies van Gemini onder de BAA?
Bepaalde Gemini-functies binnen Workspace with Gemini, zoals help me schrijven, contextuele smart replies en de zijbalk, staan in de Included Functionality-lijst en zijn gedekt. Controleer altijd de actuele lijst, want de dekking kan per functie en abonnement verschillen.
Geldt HIPAA ook buiten de Verenigde Staten?
HIPAA is Amerikaanse wetgeving voor Amerikaanse zorggegevens. Werk je in Europa, dan geldt de AVG. Verwerk je Amerikaanse PHI, dan val je onder HIPAA, ongeacht je locatie.
Mag ik externe apps of add-ons gebruiken voor PHI?
Nee. Marketplace-apps en add-ons van derden vallen buiten de Included Functionality van de BAA. Gebruik ze niet om PHI te verwerken, tenzij je met die leverancier een aparte BAA hebt.
Wat gebeurt er bij een overtreding?
HIPAA kent forse boetes en actieve handhaving. Het zonder BAA verwerken van PHI of het lekken ervan kan leiden tot aanzienlijke financiële schade en reputatieschade.
Met een ondertekende BAA, PHI strikt binnen de gedekte diensten en de juiste technische en organisatorische waarborgen zet je Google Workspace HIPAA-compliant in. De grootste valkuilen zijn een ontbrekende BAA en gezondheidsgegevens in niet-gedekte diensten of externe add-ons. Vermijd die en je staat sterk.