Deze functie wordt ondersteund in de volgende versies: Enterprise Plus, Education Standard en Education Plus. Versies vergelijken
Hier vindt u antwoorden op veelgestelde vragen over versleuteling aan de clientzijde (VCZ) voor Google Workspace.
Gedeelte openen | Alles samenvouwen
Over versleuteling
Waar kan ik informatie vinden over de standaardversleuteling van Google?
Ga naar de site van Google Cloud voor meer informatie over de standaardversleuteling van Google.
Ga naar Versleuteling tijdens de overdracht in het Helpcentrum van Gmail voor meer informatie over standaardversleuteling voor Gmail.
Wat is het verschil tussen VCZ en end-to-end-versleuteling (e2e)?
Met end-to-end-versleuteling (e2e) vinden versleuteling en ontsleuteling altijd plaats op het bron- en bestemmingsapparaat (zoals op mobiele telefoons voor instant messaging). Versleutelingssleutels worden gemaakt op het clientapparaat. Als beheerder heeft u dus geen controle over de sleutels op deze apparaten en wie ze kan gebruiken. Daarnaast heeft u geen inzicht in welke content gebruikers hebben versleuteld.
Met versleuteling aan de clientzijde (Client Side Encryption, CSE) vindt versleuteling en ontsleuteling ook altijd plaats op het bron- en bestemmingsapparaat, in dit geval in de browsers van de clientapparaten. Bij CSE gebruiken clientapparaten echter versleutelingssleutels die worden gemaakt en opgeslagen in een cloudgebaseerde service voor sleutelbeheer, zodat u de sleutels kunt beheren en wie er toegang toe heeft. U kunt bijvoorbeeld de toegang van een gebruiker tot de sleutels intrekken, zelfs als die gebruiker ze zelf heeft gemaakt. Met VCZ kunt u bovendien de versleutelde bestanden van gebruikers controleren.
Over de gebruikerservaring met VCZ
Hoe versleutelen gebruikers gegevens met VCZ?
Gebruikers kunnen in ondersteunde services een optie kiezen om VCZ aan te zetten. Ga naar Overzicht van de gebruikerservaring met versleuteling aan de clientzijde voor meer informatie over hoe gebruikers VCZ kunnen aanzetten in web- en mobiele apps.
Gelden er beperkingen voor gebruikers als ze VCZ gebruiken?
Ja, sommige functies in Google-services zijn niet beschikbaar als VCZ aanstaat. Ga naar Overzicht van de gebruikerservaring met versleuteling aan de clientzijde voor meer informatie.
VCZ instellen
Wat zijn versleutelingssleutels en hoe haal ik die op?
Een versleutelingssleutel wordt gebruikt om gegevens om te zetten in een onleesbare, willekeurige indeling. Zo blijven de gegevens privé voor alles en iedereen die geen goedkeuring heeft om ze te lezen. Een persoon of app die de versleutelde gegevens wil lezen, heeft een sleutel nodig om de gegevens terug te zetten naar de oorspronkelijke indeling.
Als u versleutelingssleutels wilt gebruiken om een versleutelingslaag toe te voegen aan de Google Workspace-gegevens van uw organisatie, moet u een service voor sleutelbeheer gebruiken die samenwerkt met Google of een eigen sleutelservice maken met de VCZ API van Google. Voor Gmail kunt u ook versleuteling via hardwaresleutels gebruiken, waarbij de versleutelingssleutel van een gebruiker zich op een smartcard bevindt.
Welke partnerservices voor sleutelbeheer kan ik gebruiken met VCZ?
Google werkt samen met verschillende services voor sleutelbeheer voor gebruik met VCZ. Ga naar Uw sleutelservice instellen voor versleuteling aan de clientzijde voor een lijst met services.
Kan ik Google gebruiken als mijn service voor sleutelbeheer?
Nee, u moet een externe service voor sleutelbeheer gebruiken om versleuteling aan de clientzijde in te stellen voor Google Workspace. Met VCZ beheert u uw eigen versleutelingssleutels. Google heeft geen toegang tot deze sleutels om uw gegevens te ontsleutelen.
Kan ik meerdere sleutelservices gebruiken?
Ja, u kunt meerdere sleutelservices gebruiken en kiezen welke service u wilt gebruiken voor een organisatie-eenheid of groep. U kunt ook versleutelde content van de ene service naar de andere migreren.
Opmerking: In de Beheerdersconsole kunt u één sleutelservice instellen voor versleuteling aan de clientzijde voor Gmail. Kom meer te weten over andere opties voor sleutelbeheer via Google Workspace Client-side Encryption API.
Kan ik smartcards gebruiken met VCZ?
Ja. Als uw organisatie smartcards gebruikt om toegang te verlenen tot faciliteiten en systemen, kunt u versleuteling via hardwaresleutels instellen voor Gmail VCZ. Requires having the Assured Controls or Assured Controls Plus add-on. Gebruikers kunnen hun e-mailberichten versleutelen met een smartcard die hun privésleutelsleutel bevat. Ga naar Alleen Gmail: Versleuteling via hardwaresleutels instellen en beheren voor versleuteling aan de clientzijde voor meer informatie.
Kan ik zowel een sleutelservice als versleuteling via hardwaresleutels gebruiken voor Gmail?
Ja, u kunt zowel een sleutelservice als versleuteling via hardwaresleutels instellen voor Gmail VCZ. Requires having the Assured Controls or Assured Controls Plus add-on. U wijst ook zowel de sleutelservice als versleuteling via hardwaresleutels toe aan dezelfde gebruikers. Een gebruiker kan echter maar één type versleuteling gebruiken voor Gmail. Dit hangt af van hoe u de privéversleutelingsleutel heeft ingesteld voor Gmail. Ga naar Alleen Gmail: Versleutelingssleutels uploaden voor versleuteling aan de clientzijde voor meer informatie.
Kan ik overstappen naar een andere sleutelservice?
Ja, u kunt overstappen naar een andere sleutelservice. Als u dit doet, raden we u aan content die is versleuteld met uw huidige sleutelservice te migreren naar de nieuwe service. Ga naar Als u wilt overstappen naar een nieuwe sleutelservice voor meer informatie.
Hoe beperk ik welke gebruikers of groepen toegang hebben tot mijn externe sleutelservice?
U beheert de toegangscontrolelijst voor sleutels (Key Access Control List, KACL) via uw externe sleutelservice. De KACL moet alle gebruikers bevatten die content moeten versleutelen of ontsleutelen (bekijken of bewerken). Neem contact op met uw versleutelingsprovider voor meer informatie.
Daarnaast moet u VCZ aanzetten voor gebruikers die gegevens moeten kunnen versleutelen. Ga naar Versleuteling aan de clientzijde aan- of uitzetten voor gebruikers voor meer informatie.
Kan ik het gebruik van VCZ afdwingen voor specifieke gebruikers?
Voor Gmail, Google Drive en Google Agenda kunt u opgeven dat VCZ standaard aanstaat voor specifieke organisatie-eenheden. Requires having the Assured Controls or Assured Controls Plus add-on.
Als u opgeeft dat VCZ standaard aanstaat, kunnen gebruikers VCZ zo nodig nog steeds uitzetten.
Ga naar Versleuteling aan de clientzijde aan- of uitzetten voor gebruikers voor meer informatie.
Hoe stel ik VCZ in voor gedeelde Drives?
U hoeft CSE niet specifiek in te stellen voor gedeelde Drives. De externe sleutelservice die u instelt in de Beheerdersconsole werkt voor bestanden in zowel Mijn Drive als gedeelde Drives.
Wat moet ik doen als ik een melding krijg terwijl ik VCZ instel?
Als u een probleem heeft met het instellen van VCZ, gaat u naar Meldingsgegevens bekijken voor meer informatie.
Kan ik externe gebruikers toegang geven tot content die is versleuteld aan de clientzijde van onze organisatie?
Werken met content die is versleuteld aan de clientzijde
Kan ik bestaande bestanden opnieuw versleutelen met een andere versleutelingssleutel?
U kunt bestanden die zijn versleuteld aan de clientzijde migreren naar een nieuwe sleutelservice. Ga naar Als u wilt overstappen naar een nieuwe sleutelservice voor meer informatie.
Kan ik de versleuteling van een bestand overzetten naar de standaardversleuteling van Google?
Ja, u kunt versleuteling aan de clientzijde verwijderen voor een Google-document, -spreadsheet of -presentatie. Ga naar Versleuteling van een document verwijderen voor meer informatie.
Hoe ontsleutel ik geëxporteerde Drive-bestanden en e-mails?
Als u VCZ-bestanden wilt ontsleutelen die zijn geëxporteerd met de Data Export-tool of Google Vault, kunt u de ontsleutelingstool (een opdrachtregeltool) gebruiken. Ga naar Geëxporteerde aan de clientzijde versleutelde bestanden ontsleutelen voor meer informatie.
Kan ik versleutelde bestanden en e-mails bewaren, doorzoeken en exporteren met Google Vault?
Ja, als uw Google Workspace-versie Google Vault bevat, kunt u Drive-bestanden en Gmail-mails die zijn versleuteld aan de clientzijde bewaren, doorzoeken en exporteren met Vault.
U kunt zoeken naar bestanden die zijn versleuteld aan de clientzijde op basis van metadata, zoals titel en eigenaar. U kunt echter niet zoeken in de content van de gebruiker, zoeken op bestandstype, een voorbeeld van de content bekijken of downloaden vanuit de voorbeeldweergave.
Ga naar het Helpcentrum van Google Vault voor meer informatie.
Bestanden en e-mails die zijn versleuteld aan de clientzijde scannen
Scannen Drive en Gmail automatisch content die is versleuteld aan de clientzijde op beveiligingsrisico's?
Bestanden en e-mails die zijn versleuteld aan de clientzijde worden niet gescand op phishing en malware, omdat de servers van Google geen toegang hebben tot de content.
Kan ik DLP-scans uitvoeren op content in bestanden of e-mails die zijn versleuteld aan de clientzijde?
Scans om gegevensverlies te voorkomen (Data Loss Prevention, DLP) hebben geen toegang tot de inhoud van bestanden of e-mails die zijn versleuteld aan de clientzijde. Maar omdat DLP-scans wel toegang hebben tot de onversleutelde metadata van een bestand, zoals de bestandstitel en Drive-labels, kunnen ze nog steeds helpen om lekken van gevoelige gegevens te voorkomen.
Overstappen op een Google Workspace-versie die VCZ niet ondersteunt
Wat gebeurt er met versleutelde content als de licenties van gebruikers geen VCZ meer hebben?
Als u gebruikers overzet naar een Google Workspace-licentie zonder VCZ, hebben ze nog steeds toegang tot items die zijn versleuteld aan de clientzijde, zoals bestanden en e-mails, en kunnen ze die bewerken. Maar ze kunnen geen nieuwe items maken die zijn versleuteld aan de clientzijde.
Kan ik versleuteling uit content verwijderen als we VCZ niet meer willen gebruiken?
Als u VCZ niet meer wilt gebruiken en items zoals bestanden en e-mails wilt ontsleutelen, moet u die items eerst exporteren met de Data Export-tool. Gebruik vervolgens de ontsleutelingstool om VCZ te verwijderen.
