# Thuiswerkbeleid opstellen voor Google Workspace

Een thuiswerkbeleid voor Google Workspace zorgt dat medewerkers veilig op afstand kunnen werken zonder dat je de boel op slot zet. Nu thuiswerken normaal is, werken mensen vanuit huis, een cafe of onderweg. Dat brengt risico's mee die je met goed beleid en de juiste instellingen beheerst. In dit artikel laten we zien hoe.

[[TOC]]

## Waarom thuiswerken om apart beleid vraagt

Op kantoor zit je achter een beheerd netwerk met firewalls en gecontroleerde apparaten. Thuis of onderweg valt die bescherming weg. Iemand logt in via openbare wifi, op een privelaptop, terwijl de buurman meekijkt. De data die door Workspace stroomt is dezelfde, maar de omgeving is onveiliger.

Een thuiswerkbeleid adresseert dit verschil. Het legt vast welke eisen gelden als je niet op kantoor werkt en welk gedrag verwacht wordt. Het mooie van Google Workspace is dat je veel van dat beleid technisch kunt afdwingen, zodat het niet afhangt van of mensen zich eraan houden.

:::info title="Zero trust als uitgangspunt"
Het uitgangspunt van modern beveiligingsbeleid is zero trust: vertrouw geen enkele verbinding standaard, ongeacht waar die vandaan komt. In plaats van te leunen op het kantoornetwerk controleer je elke toegang op identiteit, apparaat en context. Workspace ondersteunt dit met contextbewuste toegang.
:::

## Apparaten en netwerken

De twee grootste risico's bij thuiswerken zijn onveilige apparaten en onveilige netwerken. Een privelaptop zonder updates of antivirus is een open deur. Openbare wifi zonder versleuteling kan worden afgeluisterd.

**Voor apparaten** stel je eisen aan schermvergrendeling, versleuteling en updates. Met endpointbeheer in Workspace kun je afdwingen dat alleen apparaten die aan je eisen voldoen toegang krijgen tot bedrijfsdata.

**Voor netwerken** adviseer je een veilige verbinding. Moderne Workspace-beveiliging leunt minder op VPN en meer op contextbewuste toegang, waarbij je per situatie bepaalt wat is toegestaan.

:::warn title="Priveapparaten zonder controle zijn een risico"
Wees voorzichtig met het toestaan van persoonlijke apparaten zonder enige controle. Een verloren telefoon met toegang tot bedrijfsmail is een datalek in wording. Met mobiel apparaatbeheer kun je op afstand alleen de bedrijfsdata wissen zonder de persoonlijke data te raken, maar dat moet je vooraf hebben ingericht.
:::

## Toegang en tweestapsverificatie

Tweestapsverificatie is bij thuiswerken niet optioneel maar essentieel. Een gestolen wachtwoord is zonder tweede factor genoeg om binnen te komen. Dwing tweestapsverificatie af voor iedereen, het liefst met een sterke methode zoals een passkey of een security key in plaats van sms. Passkeys en security keys bieden hetzelfde niveau van phishingbescherming en zijn beide aan te bevelen, zeker voor beheerders.

Met contextbewuste toegang ga je een stap verder. Je bepaalt per situatie wie waar bij mag, op basis van het apparaat, de locatie en het beveiligingsniveau. Zo kun je toestaan dat iemand vanaf een beheerd apparaat overal werkt, maar vanaf een onbekend apparaat alleen beperkte toegang krijgt. Contextbewuste toegang vereist een Enterprise-abonnement.

:::howto title="Thuiswerkbeveiliging instellen"
1. Dwing tweestapsverificatie af voor de hele organisatie via **Beveiliging** in de Admin-console.
2. Stel een sterke methode verplicht, zoals **passkeys of security keys**, voor gevoelige rollen.
3. Richt endpointbeheer in zodat alleen veilige apparaten toegang krijgen.
4. Configureer contextbewuste toegang om toegang af te stemmen op apparaat en locatie.
5. Stel een **sessielengte** in zodat inactieve sessies automatisch verlopen.
6. Communiceer het beleid en leg uit waarom de maatregelen er zijn.
:::

## Gegevens en gedrag

Naast techniek gaat thuiswerken ook over gedrag. Werk niet met vertrouwelijke documenten op een gedeeld huisapparaat. Laat je scherm niet onbeheerd in een openbare ruimte. Sla bedrijfsdata op in Workspace en niet lokaal of in prive-clouddiensten.

:::tip title="Werk in de cloud, download niet"
Stuur aan op werken in de cloud zelf in plaats van bestanden downloaden. Als alles in Drive blijft staan en mensen daarin werken, staat er geen gevoelige data lokaal op kwetsbare apparaten. Je kunt het downloaden van bepaalde data zelfs technisch beperken met informatiebeschermingsregels.
:::

## Wie doet wat

Goed thuiswerkbeleid komt tot stand door samenwerking tussen beleid en techniek. De rollen verdelen zich als volgt.

| Rol | Verantwoordelijkheid |
| --- | --- |
| Beheerder | Vertaalt het beleid naar instellingen: tweestapsverificatie afdwingen, endpointbeheer configureren en contextbewuste toegang inrichten. Maakt het beleid technisch waar. |
| IT-manager | Stelt het beleid op, balanceert veiligheid tegen werkbaarheid en zorgt voor draagvlak. Te streng beleid wordt omzeild, te los beleid is onveilig. Vindt de balans. |

## Veelgestelde vragen

:::faq
### Hebben we nog een VPN nodig met Workspace?
Voor toegang tot Workspace zelf meestal niet, omdat het al versleutelde toegang biedt en je beveiliging via contextbewuste toegang regelt. Voor toegang tot interne systemen die niet in de cloud staan, kan een VPN of een modern alternatief nog wel nodig zijn.

### Mag iemand op een privelaptop werken?
Dat kan, maar stel dan eisen. Met endpointbeheer kun je afdwingen dat het apparaat versleuteld is, een schermvergrendeling heeft en up-to-date is. Zonder die controle is een privelaptop een risico.

### Hoe ver mag ik gaan met monitoren bij thuiswerken?
In Nederland gelden strikte privacyregels. Je mag beveiligen en in geaggregeerde vorm monitoren, maar individueel meekijken in iemands mail mag alleen onder strikte voorwaarden. Wees transparant en raadpleeg juridisch advies.

### Wat doe ik bij een verloren apparaat?
Als je apparaatbeheer hebt ingericht, kun je op afstand de bedrijfsdata wissen. Zorg dat medewerkers weten dat ze verlies direct moeten melden, en richt de procedure vooraf in zodat je snel kunt handelen.

### Welke tweestapsmethode is het sterkst?
Passkeys en hardware security keys bieden de sterkste phishingbescherming en hebben de voorkeur boven sms of pushmeldingen. Voor beheerders en gevoelige rollen zijn ze sterk aan te raden.

### Heb ik een Enterprise-abonnement nodig?
Voor basisbeveiliging zoals tweestapsverificatie en basis-endpointbeheer niet. Contextbewuste toegang en geavanceerde apparaatregels vragen wel een Enterprise-abonnement.
:::

Lees ook [[workspace-super-admin-tips|best practices voor super admins]] en [[workspace-apparaatbeheer|apparaatbeheer]] voor de technische verdieping.