# Client-side encryptie activeren in Google Workspace Client-side encryptie (CSE) zorgt ervoor dat je gevoeligste bestanden al versleuteld zijn voordat ze de servers van Google bereiken. De versleutelingssleutels beheer je zelf via een externe sleuteldienst, een KACLS (Key Access Control List Service). Het gevolg: zelfs Google kan de inhoud niet inzien. Voor organisaties in de zorg, overheid of finance is dat vaak het verschil tussen wel en niet mogen gebruiken. ## Wanneer gebruik je CSE CSE is geen vervanging voor standaard-encryptie. Google versleutelt al je data at-rest en in-transit. CSE voeg je toe wanneer je een extra eis hebt: dat de sleutel buiten Google ligt. Denk aan ITAR-data, medische dossiers of contracten die onder een streng bewaarbeleid vallen. Let op de beperkingen. CSE-bestanden zijn niet doorzoekbaar op inhoud, Gemini kan er niet bij, en sommige samenwerkingsfuncties werken beperkt. Maak dus een bewuste afweging per type document. :::warn title="Verlies van de sleutel betekent verlies van de data" Raak je de externe sleutel kwijt of valt de KACLS-provider uit, dan is de versleutelde data onherstelbaar verloren. Google kan niets herstellen. Regel een failover en back-up van je sleutelinfrastructuur voordat je CSE breed uitrolt. ::: ## Welke diensten ondersteunen CSE CSE werkt inmiddels in meerdere kerndiensten. Per dienst bepaal je zelf of je het inzet: - **Drive**: versleutelde Docs, Sheets en Slides, plus geupload bestanden zoals PDF's en afbeeldingen. - **Gmail**: versleutelde berichten versturen en ontvangen, ook naar externe ontvangers. - **Meet**: versleutelde vergaderingen, gepland via Agenda of als directe meeting. - **Agenda**: versleutelde omschrijvingen bij afspraken. ## Een KACLS-provider kiezen Je hebt een externe sleuteldienst nodig. Google ondersteunt partners zoals Thales, Fortanix, Stormshield, FlowCrypt, Futurex en Utimaco, of je gebruikt de Cloud HSM-optie. Wil je volledige controle, dan bouw je zelf een KACLS volgens de open Client-side Encryption API. De provider regelt twee dingen: het uitgeven van sleutels en het controleren wie een sleutel mag gebruiken via je identity-provider. Koppel daarnaast een identity-provider (IdP), bijvoorbeeld je bestaande SSO. De KACLS vraagt aan de IdP of de gebruiker mag ontsleutelen, los van de Google-authenticatie. :::howto title="CSE activeren stap voor stap" 1. Ga in de Admin Console naar **Security, Access and data control, Client-side encryption**. 2. Voeg onder **Key service** je KACLS-provider toe met de service-URL en test de verbinding. 3. Koppel onder **Identity provider** je IdP voor de ontsleutel-autorisatie. 4. Ga naar **Assignments** en zet CSE aan voor de gewenste organisatie-eenheden of groepen. 5. Kies per dienst (Drive, Gmail, Meet, Agenda) of CSE beschikbaar of verplicht is. 6. Test met een proefgebruiker: maak een versleuteld Drive-bestand en controleer of openen lukt. ::: ## Uitrol naar gebruikers Begin klein. Wijs CSE eerst toe aan een pilotgroep en een enkele organisatie-eenheid. Gebruikers zien dan in Drive en Gmail een extra knop om een versleuteld item te maken. Communiceer duidelijk wanneer ze CSE moeten gebruiken, want het is een bewuste keuze per document, geen automatische laag. :::tip title="Maak een korte beslisrichtlijn" Zet drie voorbeelden op papier van documenten die WEL met CSE moeten en drie die NIET hoeven. Gebruikers die twijfelen, kiezen anders of alles versleutelen (onwerkbaar) of niets (risico). ::: ## Beheer en monitoring Houd via de audit-logs in de gaten welke gebruikers CSE actief gebruiken. Controleer regelmatig of de verbinding met je KACLS gezond is, want een storing daar blokkeert direct de toegang tot versleutelde bestanden. Plan ook sleutelrotatie in volgens het beleid van je provider. :::info title="Licentievereiste" CSE is beschikbaar in een beperkt aantal edities: Frontline Plus, Enterprise Plus, en Education Standard en Education Plus. Controleer je editie voordat je begint, anders zie je de instelling niet in de Admin Console. ::: :::faq ### Kan Google de versleutelde inhoud lezen? Nee. Bij CSE wordt de data in de browser versleuteld met een sleutel die jij via je externe KACLS beheert. Google ontvangt alleen de versleutelde blob en heeft geen toegang tot de sleutel. ### Werkt zoeken op inhoud nog? Nee, niet op de versleutelde inhoud zelf. Je kunt wel op bestandsnaam en metadata zoeken, maar de tekst binnenin is voor Google onleesbaar en dus niet indexeerbaar. ### Wat gebeurt er als de KACLS offline is? Dan kunnen gebruikers hun versleutelde bestanden tijdelijk niet openen. Zorg daarom voor een hoogbeschikbare opzet van je sleuteldienst met failover. ### Is CSE hetzelfde als de standaard Google-encryptie? Nee. Google versleutelt standaard al je data, maar beheert dan zelf de sleutels. Bij CSE liggen de sleutels buiten Google, bij jou. Dat is het wezenlijke verschil. ### Heb ik er een specifieke Workspace-editie voor nodig? Ja. CSE zit alleen in Frontline Plus, Enterprise Plus, en Education Standard en Education Plus. In lagere edities verschijnt de instelling niet in de Admin Console. ### Kan Gemini werken met CSE-bestanden? Nee. Omdat de inhoud al versleuteld is voordat die Google bereikt, kunnen Gemini en andere AI-functies de tekst niet lezen of samenvatten. Houd daar rekening mee bij documenten waarvoor je AI-ondersteuning wilt. :::