Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

E-mailencryptie instellen in Google Workspace

Google Workspace versleutelt mail standaard met TLS tijdens transport. Voor extra bescherming zet je verplichte TLS, S/MIME of client-side encryptie in. Deze gids legt het verschil uit en laat zien hoe je elk niveau configureert.

schedule6 min lezen event1 Jun 2026 updateBijgewerkt 16 wkn open_in_new data_object

E-mailencryptie instellen in Google Workspace is belangrijker dan veel beheerders denken. Mail reist over het internet langs servers die je niet beheert. Zonder versleuteling kan een aanvaller die meekijkt de inhoud lezen. Google Workspace biedt meerdere lagen versleuteling, van standaard tot zeer streng. De kunst is het juiste niveau kiezen voor de juiste situatie.

De vier vormen van e-mailbescherming

Het helpt om eerst te begrijpen welke vormen er zijn, want ze beschermen tegen verschillende dingen. De eerste drie zijn echte versleuteling, de vierde is een toegangsbeperking.

Vorm Wat het doet Beschermt tegen
TLS (transport) Versleutelt de verbinding tussen mailservers tijdens verzending. Standaard actief. Afluisteren onderweg. Niet tegen toegang op de server zelf.
S/MIME Versleutelt en ondertekent de inhoud met certificaten. Alleen de ontvanger met de juiste sleutel kan lezen. Meelezen en knoeien met de inhoud.
Client-side encryptie (CSE) Versleutelt inhoud al voordat die Google bereikt, met sleutels die jij beheert. Toegang door iedereen zonder jouw sleutel, inclusief Google.
Vertrouwelijke modus Beperkt doorsturen, kopiëren en printen, en kan verlopen. Gemakzuchtig delen. Dit is geen echte encryptie.
warning

Vertrouwelijke modus is geen encryptie

De vertrouwelijke modus van Gmail is geen echte end-to-end encryptie. Het beperkt acties zoals doorsturen en stelt een vervaldatum in, maar de inhoud blijft voor Google leesbaar en de bescherming is omzeilbaar via een screenshot. Gebruik het voor gemak, niet als beveiligingsgarantie voor echt gevoelige data.

TLS afdwingen

TLS staat standaard aan, maar opportunistisch: als de ontvangende server geen TLS ondersteunt, valt mail terug op onversleuteld. Voor gevoelige correspondentie kun je TLS verplichten richting specifieke domeinen via de instelling Secure transport (TLS) compliance.

Verplichte TLS instellen

  1. Open in de Admin-console het menu en ga naar Apps, dan Google Workspace, dan Gmail.
  2. Klik op Compliance (Naleving) en ga naar Secure transport (TLS) compliance.
  3. Klik op Configureren en maak een regel die TLS verplicht voor verkeer naar of van een specifiek domein of adres.
  4. Kies optioneel of je een door een CA ondertekend certificaat eist en of de hostnaam wordt geverifieerd.
  5. Bepaal of mail wordt geweigerd als TLS niet beschikbaar is.
  6. Test de regel met het betreffende domein voordat je hem breed inzet. Wijzigingen kunnen tot 24 uur duren.
lightbulb

Controleer of TLS werkt

Bij het opstellen van een bericht toont Gmail een hangslotje naast het ontvangeradres als de mail met TLS wordt verzonden. Ontbreekt het slotje, dan ondersteunt de ontvanger geen TLS en gaat het bericht onversleuteld de deur uit.

S/MIME inschakelen

S/MIME voegt digitale ondertekening en inhoudsversleuteling toe. Ondertekening bewijst dat een bericht echt van de afzender komt en niet is gewijzigd. Versleuteling zorgt dat alleen de ontvanger het kan lezen. Hiervoor zijn certificaten per gebruiker nodig.

info

Certificaten regelen

S/MIME vereist certificaten van een vertrouwde certificaatautoriteit, uitgegeven per gebruiker. Het leaf-certificaat moet het primaire Gmail-adres van de gebruiker bevatten als onderwerp of SAN-extensie. Je uploadt deze in de Admin-console en kunt root-certificaten toevoegen. Zonder geldige certificaten werkt S/MIME niet, dus regel de certificaatuitgifte voordat je de functie aanzet.

S/MIME schakel je in op organisatie-eenheidsniveau via de Gmail-instelling Enable S/MIME encryption for sending and receiving emails. Optioneel staat je gebruikers toe hun eigen certificaten te uploaden. Gebruikers kunnen daarna ondertekend en versleuteld mailen met partijen die ook S/MIME gebruiken.

Client-side encryptie voor maximale controle

Client-side encryptie gaat het verst. De inhoud wordt versleuteld voordat die Google bereikt, met sleutels die jij beheert via een externe sleutelservice. Zelfs Google kan de inhoud niet inzien. Dit is bedoeld voor organisaties met de strengste vertrouwelijkheidseisen, zoals overheid, zorg en defensie. CSE voor Gmail vereist een geschikt abonnement met de Assured Controls add-on en super-admin-rechten om domeinbrede toegang tot de Gmail API te regelen.

warning

Sleutelbeheer is je eigen verantwoordelijkheid

Client-side encryptie biedt de hoogste bescherming maar brengt complexiteit: je beheert zelf de sleutels en bent verantwoordelijk voor hun beschikbaarheid. Verlies je de sleutels, dan ben je de data definitief kwijt. Zet CSE alleen in waar de vertrouwelijkheidseis het rechtvaardigt en richt een solide, redundant sleutelbeheer in.

Welk niveau kies je

Gebruik onderstaande vuistregel om snel het passende niveau te bepalen.

  • Normale interne mail. Standaard TLS volstaat, je hoeft niets in te stellen.
  • Gevoelige externe mail naar vaste partners. Verplichte TLS richting hun domein, eventueel aangevuld met S/MIME.
  • Persoonsgegevens of bedrijfsgeheimen. S/MIME voor ondertekening en inhoudsversleuteling, of CSE als de tegenpartij meedoet.
  • Hoogst vertrouwelijke data. Client-side encryptie met sleutels in eigen beheer.
Is mail in Google Workspace standaard versleuteld?

Ja, met TLS tijdens transport en versleuteld in rust op de servers. Voor end-to-end inhoudsversleuteling heb je S/MIME of client-side encryptie nodig.

Wat is het verschil tussen S/MIME en CSE?

S/MIME ondertekent en versleutelt met certificaten, maar Google verwerkt de mail. Bij CSE versleutel je voordat data Google bereikt en beheer je zelf de sleutels via een externe sleutelservice, zodat zelfs Google niet kan meelezen.

Werkt S/MIME met externe ontvangers?

Alleen als de ontvanger ook S/MIME gebruikt en jullie elkaars certificaten hebben. Zonder ondersteuning aan beide kanten valt de versleuteling weg en gaat het bericht onversleuteld of zonder geldige handtekening.

Heb ik een speciaal abonnement nodig voor client-side encryptie?

Voor CSE in Gmail heb je een geschikt Workspace-abonnement met de Assured Controls add-on nodig, plus super-admin-rechten om de Gmail API domeinbreed te koppelen aan je externe sleutelservice.

Is de vertrouwelijke modus veilig genoeg voor gevoelige data?

Nee. Het is een gebruiksgemak-functie die acties beperkt, geen echte encryptie. De inhoud blijft voor Google leesbaar en is via een screenshot te omzeilen. Voor echt gevoelige data gebruik je S/MIME of CSE.

Hoe lang duurt het voordat een TLS-regel actief is?

Wijzigingen in de Admin-console kunnen tot 24 uur duren, maar zijn vaak sneller verwerkt. Test daarom altijd voordat je een regel als kritiek beschouwt.

Met de juiste keuze per situatie bescherm je je mailcommunicatie passend bij de gevoeligheid. Voor de meeste mail volstaat TLS, voor gevoelige correspondentie pak je verplichte TLS, S/MIME of client-side encryptie erbij.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Client-side encryptie activeren in Google Workspace

Met client-side encryptie (CSE) versleutel je gevoelige bestanden in Drive, Gmail, Meet en Agenda voordat ze Google bereiken. Jij beheert de sleutels via een externe sleuteldienst, zodat Google de inhoud niet kan lezen. Geschikt voor organisaties met strenge compliance-eisen.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Geavanceerde phishingbescherming configureren

Gmail vangt veel phishing automatisch, maar gerichte aanvallen vragen om extra instellingen. Leer welke geavanceerde phishingbescherming je als beheerder activeert.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

De security- en forensische tools van Admin Tools

Versleutel tekst en bestanden, genereer sterke wachtwoorden, controleer datalekken en lees JWT's en certificaten, allemaal lokaal in je browser.

schedule9 min label2 gedeelde tags
Lees verder arrow_forward

Phishingmails blokkeren met Gmail-beveiligingsinstellingen

Je vermindert phishing flink door in de Admin-console de geavanceerde Gmail-beveiliging aan te zetten: bescherming tegen spoofing en impersonatie, aanvullende controle op bijlagen en links, en een banner voor externe afzenders. Combineer dit met SPF, DKIM en DMARC en met training van gebruikers.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward

Verdachte bijlagen blokkeren in Google Workspace

Niet elke gevaarlijke bijlage is malware, maar wel risicovol. Leer hoe je als beheerder hele bestandstypen of patronen blokkeert voordat ze schade aanrichten.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward