De uitdaging van vertrouwelijke communicatie
Het beroepsgeheim verplicht advocaten en juristen om cliëntinformatie vertrouwelijk te houden. Digitale communicatie brengt risico's met zich mee: e-mail kan worden onderschept, accounts kunnen worden overgenomen en bestanden kunnen onbedoeld worden gedeeld. Dit artikel beschrijft de technische maatregelen die nodig zijn om communicatie in Google Workspace te beveiligen op het niveau dat het beroepsgeheim vereist.
Beveiliging is geen vrije keuze
De NOvA stelt dat advocaten technische en organisatorische maatregelen moeten nemen die passend zijn bij de gevoeligheid van de informatie. Basisbeveiligingsmaatregelen zoals sterke authenticatie en versleuteling zijn niet optioneel.
Tweestapsverificatie: de eerste verdedigingslinie
Schakel 2-stapsverificatie (2FA) verplicht in voor alle accounts via Admin Console, Beveiliging, 2-stapsverificatie. Voor professionals met toegang tot gevoelige cliëntdossiers raden we hardware-beveiligingssleutels (FIDO2) sterk aan. Waarom een hardware-sleutel boven een code-app of sms staat:
- Phishing-resistent: zelfs als je wachtwoord wordt gestolen, kan een aanvaller niet inloggen zonder de fysieke sleutel.
- Geen afhankelijkheid van sms, dat kwetsbaar is voor SIM-swapping.
- Gebaseerd op open standaarden (FIDO2 en WebAuthn), werkt met elke moderne browser.
Populaire opties zijn de YubiKey en de Google Titan Security Key, doorgaans rond de 40 tot 60 euro per sleutel. Geef elke gebruiker een tweede sleutel als reserve, zodat verlies van één sleutel niemand buitensluit.
Combineer met het Geavanceerd Beveiligingsprogramma
Voor de hoogste risicogroep (partners, bestuurders, of advocaten in gevoelige zaken) kun je het Geavanceerd Beveiligingsprogramma van Google inschakelen. Dat verplicht hardware-sleutels, blokkeert onveilige apps en beperkt account-herstel tot strikte controles.
Client-side encryption voor Drive
Voor advocaten die bijzonder gevoelige documenten in Drive bewaren, biedt Google Workspace client-side encryption (CSE). Hierbij worden bestanden versleuteld voordat ze de servers van Google bereiken, met sleutels die buiten Google worden beheerd.
Voordelen van CSE:
- Google kan de inhoud van de bestanden niet lezen.
- De sleutels blijven in eigen beheer via een externe sleuteldienst.
- Voldoet aan de strengste vereisten voor vertrouwelijkheid.
Aandachtspunten:
- CSE vereist een externe sleuteldienst (KACLS). Erkende partners zijn onder andere Thales, Stormshield, Flowcrypt en Virtru. Je kunt ook een eigen sleuteldienst bouwen met de CSE-API van Google.
- Sommige Workspace-functies werken niet op CSE-bestanden, zoals zoeken op inhoud en de meeste AI-functies.
- Houd rekening met hogere kosten door de enterprise-licentie en de sleuteldienst.
Client-side encryption instellen
- Zorg voor een geschikte editie, zoals Workspace Enterprise Plus of Education Standard. Controleer de actuele editievereisten in de Admin Console.
- Kies een externe sleuteldienst (KACLS), bijvoorbeeld Thales, Stormshield, Flowcrypt of Virtru.
- Registreer de sleuteldienst in Admin Console, Beveiliging, Client-side encryption.
- Test de koppeling met een testbestand voordat je breder uitrolt.
- Stel per organisatie-eenheid of Gedeelde Drive in waar CSE verplicht is.
- Train medewerkers in het aanmaken en openen van CSE-bestanden.
S/MIME voor versleutelde e-mail
Voor e-mail met partijen die S/MIME ondersteunen, kun je versleutelde e-mail inschakelen via gehoste S/MIME in Gmail. Berichten worden dan versleuteld en digitaal ondertekend, herkenbaar aan een groen slotje in de onderwerpregel.
Gehoste S/MIME inschakelen
- Vraag S/MIME-certificaten aan bij een erkende certificaatautoriteit, zoals Sectigo of DigiCert.
- Ga in de Admin Console naar Apps, Google Workspace, Gmail, Gebruikersinstellingen en zoek de S/MIME-instelling.
- Vink aan dat S/MIME-versleuteling voor verzenden en ontvangen wordt ingeschakeld voor de juiste organisatie-eenheid.
- Laat gebruikers Gmail opnieuw laden en, indien toegestaan, hun certificaat uploaden.
- Vraag medewerkers de geadresseerden te laten weten dat zij hun publieke certificaat moeten delen.
S/MIME werkt alleen als beide partijen het ondersteunen. Voor cliënten zonder S/MIME is dit geen optie. Overweeg in dat geval een veilig berichtenplatform of CSE-gebaseerde S/MIME, waarbij de privésleutels door een externe sleuteldienst worden beheerd.
SPF, DKIM en DMARC voor domeinbeveiliging
Bescherm je domein tegen criminelen die zich voordoen als jouw kantoor. Stel deze drie records in, in deze volgorde:
| Record | Doel | Voorbeeld |
|---|---|---|
| SPF | Bepaalt welke servers namens je domein mogen verzenden | v=spf1 include:_spf.google.com ~all |
| DKIM | Voegt een digitale handtekening toe aan uitgaande mail | Genereer in Admin Console en plaats de publieke sleutel in DNS |
| DMARC | Bepaalt wat ontvangers doen met mail die SPF of DKIM niet haalt | v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.nl |
Activeer DKIM via Admin Console, Apps, Google Workspace, Gmail, Authenticeer e-mail, en plaats de gegenereerde publieke sleutel als TXT-record in je DNS.
Voer DMARC stap voor stap op
Begin met p=none en lees enkele weken de rapporten die op je rua-adres binnenkomen. Schakel daarna over naar p=quarantine en, als alle legitieme verzendbronnen kloppen, uiteindelijk naar p=reject. Zo blokkeer je misbruik zonder per ongeluk eigen mail te verliezen.
Veilig bestanden delen met cliënten
Wanneer je documenten deelt met cliënten via Drive, beperk je het risico met deze maatregelen:
- Deel altijd met een specifiek e-mailadres, nooit via de optie "iedereen met de link".
- Stel een vervaldatum in voor de gedeelde toegang.
- Schakel downloaden, afdrukken en kopiëren uit als het document alleen ter inzage is.
- Zet bestandslimieten en deelbeperkingen op organisatieniveau, zodat externe deling standaard streng is.
- Gebruik Google Vault om bewaring en logging van deelacties vast te leggen.
Is standaard Gmail beveiligd genoeg voor cliëntcommunicatie?
Gmail gebruikt TLS-versleuteling tijdens transport en AES-256 in rust. Voor de meeste correspondentie is dat voldoende. Voor bijzonder gevoelige communicatie, zoals strategische adviezen of getuigenverklaringen, kies je beter voor S/MIME, CSE of een veilig berichtenplatform.
Hoe beveilig ik mijn Workspace-account als ik veel reis?
Activeer contextbewuste toegang, zodat je account alleen bereikbaar is vanaf bekende, beheerde apparaten. Draag een hardware-sleutel altijd bij je en houd een tweede sleutel op een veilige plek als reserve.
Mag ik wederpartij-informatie bewaren in hetzelfde Drive-systeem?
Ja, mits in aparte mappen met strikte toegangscontrole. Zorg dat medewerkers nooit toegang krijgen tot dossiers waarin hun eigen belangen of die van de wederpartij een rol kunnen spelen, om belangenverstrengeling te voorkomen.
Wat als een medewerker een laptop met Workspace-data verliest?
Via Admin Console, Apparaten kun je de Workspace-sessie op afstand intrekken. Is het apparaat beheerd via endpoint management, dan kun je het op afstand wissen. De data in Drive staat in de cloud en niet alleen op het lokale apparaat, dus verlies van het toestel betekent geen dataverlies.
Wat is het verschil tussen CSE en gehoste S/MIME?
Bij gehoste S/MIME bewaart de organisatie de privésleutels binnen Google. Bij CSE worden de sleutels beheerd door een externe sleuteldienst buiten Google, waardoor Google de inhoud niet kan lezen. CSE biedt dus een hoger niveau van vertrouwelijkheid, maar vereist meer beheer en een hogere licentie.
Welke maatregel pak ik als eerste op?
Begin met verplichte 2-stapsverificatie en hardware-sleutels voor iedereen, en richt daarna SPF, DKIM en DMARC in. Dat zijn de maatregelen met de grootste beveiligingswinst voor de minste inspanning. Versleuteling met CSE of S/MIME volgt voor de gevoeligste stromen.