In gereguleerde sectoren zoals financiele dienstverlening en de zorg geldt vaak een wettelijke plicht om elke e-mail te bewaren in een onveranderlijk archief. E-mailjournaling maakt dat mogelijk door van elk bericht automatisch een kopie naar een archief te sturen. Voordat je het inricht, is het verstandig om te bepalen of je het echt nodig hebt of dat Google Vault al volstaat.
Wat journaling is
Journaling betekent dat elk e-mailbericht, inkomend en uitgaand, automatisch wordt gekopieerd naar een aangewezen bestemming. Die bestemming is meestal een externe archiveringsdienst of een speciaal postvak dat als wettelijk archief dient.
Het verschil met een gewone back-up is dat journaling realtime en volledig is. Geen enkel bericht ontsnapt, en de kopie wordt bewaard op een plek die de afzender niet kan wijzigen of wissen.
Vaak is Google Vault al genoeg
Voor veel organisaties is Google Vault de eenvoudiger oplossing. Vault bewaart automatisch alle Gmail-berichten volgens je retentiebeleid, zonder dat je een aparte journaling-route hoeft te bouwen. Externe journaling is alleen nodig als specifieke regelgeving dat eist of als je een bepaald archiefsysteem buiten Workspace moet voeden.
Journaling versus Google Vault
Het is belangrijk om de twee niet te verwarren. Vault is een ingebouwde archiverings- en eDiscovery-dienst binnen Workspace. Journaling is een routingtechniek die kopieen naar buiten stuurt.
Gebruik de volgende vuistregels om te kiezen:
| Situatie | Aanbevolen aanpak |
|---|---|
| Wettelijk archief binnen Workspace volstaat | Google Vault met retentiebeleid |
| Externe archiveringsdienst verplicht door regelgeving | Journaling naar die dienst |
| Onveranderlijk extern bewijs nodig | Vault combineren met journaling naar een gespecialiseerde archiefleverancier |
| Alleen interne bewaarplicht | Vault is voldoende, journaling is overbodig |
Zorg eerst dat Vault echt alles ziet
Wil je Vault gebruiken als wettelijk archief, dan moet Vault wel daadwerkelijk elk bericht bevatten. Mail uit andere diensten, zoals uitnodigingen uit Agenda, deelmeldingen uit Drive of berichten via de SMTP-relay, belandt niet altijd standaard in een Gmail-postvak waar Vault bij kan.
Daarvoor heeft Google de instelling Volledige e-mailopslag (Comprehensive mail storage). Die zorgt dat een kopie van alle verzonden en ontvangen berichten in het domein, ook van niet-Gmail-postvakken, in het bijbehorende Gmail-postvak terechtkomt, zodat Vault er volledige toegang toe heeft.
Volledige e-mailopslag inschakelen voor Vault
- Open de Admin-console en ga naar Apps, Google Workspace, Gmail, Compliance.
- Selecteer links de juiste organisatie-eenheid (of het hele domein).
- Zoek de sectie Volledige e-mailopslag (Comprehensive mail storage).
- Vink aan dat er een kopie van alle verzonden en ontvangen mail in het bijbehorende postvak wordt bewaard.
- Klik op Opslaan.
Let op bij gewijzigde routing
Schakel volledige e-mailopslag niet zomaar in als je compliance-routingregels hebt die de ontvanger veranderen en je niet wilt dat de oorspronkelijke ontvanger alsnog een kopie krijgt. Houd ook rekening met opslagverbruik wanneer je de SMTP-relay gebruikt.
Externe journaling inrichten met routing
Heb je echt journaling naar buiten nodig, dan richt je het in met een uitgebreide routingregel die een verborgen kopie naar het archiefadres stuurt.
Journaling-routingregel aanmaken
- Open de Admin-console en ga naar Apps, Google Workspace, Gmail, Routing.
- Maak bij Routing een nieuwe regel aan.
- Stel in dat de regel geldt voor zowel inkomende als uitgaande berichten.
- Voeg een actie toe die een verborgen kopie (
Bcc) naar je archiefadres stuurt. - Beperk de regel eventueel tot bepaalde organisatie-eenheden of groepen.
- Test grondig of werkelijk elk bericht in het archief belandt, inclusief interne en automatische mail.
Vault kan ook journaling van Exchange ontvangen
Migreer je vanaf Microsoft Exchange, dan kun je bestaande Exchange-journaalberichten in Vault laten bewaren via de instelling voor inkomende e-mailjournaal-acceptatie in Vault, onder Routing. Zo houd je je oude journaling-stroom intact terwijl je naar Workspace overstapt.
Volledigheid garanderen
Het kritieke aspect van journaling is volledigheid. Een archief dat negentig procent van de berichten bevat, is waardeloos voor compliance. Controleer daarom dat je regel echt elk bericht vangt, ook interne mail en automatische berichten. Stuur een testbericht vanuit elk relevant scenario (intern, uitgaand naar buiten, automatisch systeembericht) en bevestig dat alle drie in het archief verschijnen.
Journaling valt onder de AVG
Journaling raakt persoonsgegevens en valt onder de AVG. Je bewaart immers alle communicatie van je medewerkers. Zorg voor een wettelijke grondslag, een duidelijk bewaarbeleid en informeer je medewerkers. Onbeperkt alle mail bewaren zonder grondslag is zelf een privacyovertreding.
Beveiliging van het archief
Het archief bevat al je vertrouwelijke communicatie en is een aantrekkelijk doelwit. Beveilig het daarom zwaar met beperkte toegang, sterke authenticatie (bij voorkeur met 2-stapsverificatie), versleuteling en auditlogging op wie het archief raadpleegt.
Verdeel de verantwoordelijkheden duidelijk:
- Compliance-officer: bepaalt het bewaarbeleid, de grondslag en welke berichten gearchiveerd moeten worden.
- Beheerder: richt de routingregel of Vault-retentie in en bewaakt de volledigheid.
- Auditor: raadpleegt het archief bij onderzoek en wordt daarbij zelf gelogd.
Heeft elke organisatie journaling nodig?
Nee. Externe journaling is alleen nodig voor organisaties die wettelijk verplicht zijn om alle communicatie buiten Workspace te bewaren. Voor de rest volstaat Google Vault.
Is Google Vault hetzelfde als journaling?
Nee. Vault is interne archivering en eDiscovery binnen Workspace, terwijl journaling kopieen naar een externe bestemming stuurt. Ze kunnen elkaar wel aanvullen.
Vangt journaling ook interne mail?
Alleen als je de routingregel daar expliciet op instelt. Controleer dit altijd met een interne testmail, want interne berichten worden gemakkelijk over het hoofd gezien.
Hoe zorg ik dat Vault echt alle mail ziet?
Schakel de instelling Volledige e-mailopslag in onder Gmail, Compliance. Die zorgt dat ook mail uit andere diensten en niet-Gmail-postvakken in een Gmail-postvak belandt waar Vault bij kan.
Mag ik zomaar alle mail bewaren?
Niet zonder wettelijke grondslag, een vastgelegd bewaarbeleid en het informeren van je medewerkers. Onbeperkt bewaren zonder grondslag is onder de AVG zelf een overtreding.
Journaling is een krachtig compliance-instrument dat je alleen inzet als regelgeving het vereist. Voor de meeste organisaties is Google Vault, eventueel aangevuld met volledige e-mailopslag, eenvoudiger en voldoende. Heb je echt externe journaling nodig, garandeer dan de volledigheid, respecteer de AVG en beveilig het archief grondig. Zo voldoe je aan de bewaarplicht zonder nieuwe risico's te creeren.