Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Google Workspace in de zorgsector

Een praktische introductie voor zorginstellingen die Google Workspace willen inzetten binnen de kaders van de AVG en NEN7510.

schedule6 min lezen event1 Jun 2026 updateBijgewerkt 16 wkn open_in_new data_object

Waarom Workspace in de zorg

Zorginstellingen staan voor een dubbele uitdaging: medewerkers moeten snel en effectief kunnen samenwerken, maar patiëntgegevens vallen onder strenge privacyregels. Google Workspace biedt een cloudplatform dat aan beide eisen kan voldoen, mits je het correct configureert.

De kern is de verwerkersovereenkomst die Google aanbiedt via het Cloud Data Processing Addendum (CDPA, voorheen Data Processing Amendment). Dit addendum bevat de standaardcontractbepalingen (SCC's) en is bedoeld om te voldoen aan de eisen voor beveiliging, verwerking en datatransfer onder de AVG. Voor zorginstellingen betekent dit dat je Google als verwerker kunt aanstellen voor e-mail, agenda, Drive en andere diensten, zolang jij als verwerkingsverantwoordelijke de regie houdt.

warning

Bijzondere persoonsgegevens vragen extra waarborgen

Medische dossiers vallen onder artikel 9 AVG en vereisen aanvullende maatregelen. Bespreek met je Functionaris Gegevensbescherming welke gegevens je in welke Workspace-dienst mag opslaan en onder welke voorwaarden.

Wettelijk kader voor zorg

De zorgsector heeft te maken met meerdere relevante regelkaders:

  • AVG (Algemene Verordening Gegevensbescherming): Geldt voor alle persoonsgegevens, inclusief gezondheidsgegevens. Vereist een rechtsgrondslag voor iedere verwerking, een verwerkersovereenkomst met verwerkers en passende technische en organisatorische maatregelen.
  • NEN7510: Nederlandse norm specifiek voor informatiebeveiliging in de zorg. De huidige versie NEN7510:2024 is afgestemd op ISO/IEC 27001:2022 en ISO 27799. De norm beschrijft eisen aan toegangsbeveiliging, logbeheer en incidentbeheer. Workspace kan hieraan bijdragen als je de Admin Console correct inricht.
  • WGBO (Wet op de Geneeskundige Behandelingsovereenkomst): Regelt het medisch beroepsgeheim en het recht op inzage door patiënten. Sinds 1 januari 2020 is de bewaartermijn van het medisch dossier verlengd van 15 naar 20 jaar, gerekend vanaf de laatste wijziging in het dossier.
  • BIG-register: Zorgverleners dragen een persoonlijke verantwoordelijkheid voor zorgvuldig omgaan met patiëntgegevens binnen hun werkterrein.

Verwerkersovereenkomst regelen

Google biedt het Cloud Data Processing Addendum aan als standaarddocument. In veel Workspace-overeenkomsten is het CDPA al automatisch opgenomen. Twijfel je daarover, dan kun je het alsnog expliciet accepteren in de Admin Console via Account > Accountinstellingen > Juridisch en compliance. Bewaar een vastlegging hiervan voor je verwerkingsregister.

Let op de volgende punten:

  • Subverwerkers: Google werkt met een openbare lijst van subverwerkers. Controleer of de gebruikte locaties vallen onder een adequaatheidsbesluit of onder standaardcontractbepalingen.
  • Datalocatie: Stel via de data regions in dat data in de EU blijft (zie de technische inrichting hieronder).
  • Bewaartermijnen: Configureer retentiebeleid in Google Vault dat past bij de wettelijke bewaartermijnen in de zorg, zoals de 20 jaar voor medische dossiers onder de WGBO.

Technische inrichting voor zorgcompliance

Een zorginstelling voert minimaal de volgende instellingen door in de Admin Console.

Toegangsbeveiliging: Schakel tweestapsverificatie verplicht in voor alle gebruikers. Met Google Workspace Enterprise kun je contextbewuste toegang (BeyondCorp Enterprise) inzetten, zodat je kunt eisen dat medewerkers alleen inloggen vanaf beheerde apparaten en vertrouwde netwerken.

Versleuteling: Workspace versleutelt data onderweg (TLS) en in rust (AES-256). Voor extra controle kun je client-side encryption activeren, waarbij de versleutelingssleutels buiten Google worden beheerd via een externe sleuteldienst. Dit is relevant voor bijzonder gevoelige medische data.

Auditlogging: Activeer in de Admin Console de relevante auditlogboeken. Je kunt deze koppelen aan Google Security Operations (voorheen Chronicle) of een ander extern SIEM voor langdurige opslag en anomaliedetectie.

Basisinrichting voor zorg in zeven stappen

  1. Controleer of het Cloud Data Processing Addendum al van toepassing is, of accepteer het via Account > Accountinstellingen > Juridisch en compliance.
  2. Stel de datalocatie in op Europa via de data regions onder Accountinstellingen.
  3. Activeer verplichte tweestapsverificatie via Beveiliging.
  4. Schakel inlog-uitdagingen in voor verdachte inlogpogingen.
  5. Configureer Google Vault met een bewaarbeleidsregel die past bij de wettelijke bewaartermijnen, zoals 20 jaar voor medische correspondentie.
  6. Activeer de relevante auditlogboeken en stel zo nodig exports naar je SIEM in.
  7. Stel DLP-regels in voor gegevens met medische context via Beveiliging en Gegevensbescherming.

Rollen en verantwoordelijkheden

In een zorginstelling zijn minimaal de volgende rollen relevant voor Workspace-beheer:

  • Super-admin: Heeft toegang tot alle instellingen. Beperk dit tot twee à drie personen en bewaar herstelcodes in een kluis.
  • Functionaris Gegevensbescherming: Heeft inzicht in verwerkingen, auditlogs en DLP-incidenten. Geef toegang tot Vault en de auditrapportage.
  • IT-beheerder: Beheert gebruikersaccounts, apparaten en beveiligingsinstellingen en werkt bij incidenten samen met de Functionaris Gegevensbescherming.
  • Zorgmanager: Beheert groepen en gedeelde drives binnen de eigen afdeling, zonder toegang tot instellingen daarbuiten.

Praktische tips voor implementatie

Begin met een pilot op een afdeling die minder gevoelige data verwerkt, zoals de administratie of HR. Stel een adoptietraject op met training voor medewerkers over wat wel en niet mag via Workspace.

Maak een verwerkingsregister (conform artikel 30 AVG) dat specifiek de Workspace-verwerkingen beschrijft. Documenteer welke data in Drive staat, wie toegang heeft en hoe lang data bewaard wordt.

lightbulb

Plan een jaarlijkse review

Voer minstens jaarlijks een controle uit van de geconfigureerde instellingen, DLP-regels en toegangsrechten. Gebruik hiervoor de aanbevelingen uit het Security Health-overzicht in de Admin Console, zodat je afwijkingen vroeg signaleert.

Mag ik patiëntgegevens opslaan in Google Drive?

Dat mag, mits je een geldige verwerkersovereenkomst hebt, de datalocatie op Europa staat, toegang beperkt is tot bevoegden en je de juiste bewaartermijnen hanteert. Bijzonder gevoelige gegevens vragen extra maatregelen, zoals client-side encryption.

Is Google Workspace NEN7510-gecertificeerd?

Google beschikt over onder meer ISO/IEC 27001:2022 en ISO 27701, plus controls op basis van ISO 27799, die grotendeels overlappen met NEN7510. Een formeel NEN7510-certificaat op naam van Google is er niet, maar de technische maatregelen kunnen aantoonbaar bijdragen aan compliance. De verantwoordelijkheid voor de eigen NEN7510-certificering blijft bij de zorginstelling.

Hoe lang moet ik medische dossiers bewaren?

De WGBO schrijft sinds 1 januari 2020 een bewaartermijn van 20 jaar voor, gerekend vanaf de laatste wijziging in het dossier. Voor specifieke gegevens kunnen langere termijnen gelden op grond van goed hulpverlenerschap. Stem de retentie in Vault hierop af.

Wat doe ik bij een datalek?

Meld het binnen 72 uur bij de Autoriteit Persoonsgegevens als er risico is voor betrokkenen. Gebruik de auditlogs in Vault en de Admin Console om de omvang te bepalen en informeer betrokken patiënten als het datalek hen direct raakt.

Kan ik Google Workspace combineren met een EPD-systeem?

Ja, veel EPD-leveranciers bieden koppelingen met Workspace aan. Zorg dat de koppeling via OAuth 2.0 verloopt en beoordeel de toegangsrechten van de integratie kritisch op basis van het principe van minimale rechten.

Wie is verantwoordelijk voor de configuratie?

De zorginstelling blijft als verwerkingsverantwoordelijke aansprakelijk voor een correcte inrichting. Google levert het platform en de waarborgen, maar de keuzes over toegang, retentie en DLP maak je zelf in de Admin Console.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

AVG en Workspace in de zorg

Hoe de AVG van toepassing is op Google Workspace in zorginstellingen: verwerkersovereenkomst, DPIA, DLP, datalocatie en bewaartermijnen voor bijzondere persoonsgegevens.

schedule6 min label3 gedeelde tags
Lees verder arrow_forward

E-mails zoeken en exporteren via Google Vault

Voor een onderzoek, rechtszaak of AVG-inzageverzoek moet je gericht e-mail kunnen vinden en exporteren. Leer hoe je dit doet met Google Vault, van zaak tot veilige export.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

Privacy by design implementeren in Google Workspace

Implementeer privacy by design in Google Workspace met dataclassificatie, DLP-beleid, retentie via Vault, strakke toegangscontrole en een AVG-verwerkingsregister.

schedule6 min label2 gedeelde tags
Lees verder arrow_forward

E-mailjournaling instellen voor compliance

Sommige sectoren moeten elke e-mail bewaren en doorsturen naar een archief. Leer hoe je journaling inricht in Google Workspace en wanneer Google Vault al volstaat.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

Compliance-basis voor kleine bedrijven met Workspace

Breng de compliance-basis voor je kleine bedrijf op orde met Google Workspace en de AVG: toegangsbeheer, tweestapsverificatie, bewaarbeleid en logging, met een checklist en concrete acties zonder juridisch team.

schedule6 min label2 gedeelde tags
Lees verder arrow_forward