We doen alles wat we kunnen om bedrijven, scholen en overheidsinstellingen te beschermen tegen pogingen om toegang tot hun gegevens te krijgen. We blokkeren elke onwettige toegangspoging tot de gegevens van onze klanten, ongeacht of ze van een hacker of een overheidsorgaan komen.
Als antwoord op een aantal van de vele vragen over beveiliging die we krijgen, hebben we deze veelgestelde vragen en de bijbehorende website over de beveiliging van Google Workspace gemaakt. We hopen dat hiermee een aantal vragen over het standpunt van Google over deze belangrijke onderwerpen zijn beantwoord. Bekijk ook de pagina Privacy en voorwaarden van Google voor tools en informatie over consumentenprivacy.
Als u een geval van misbruik wilt melden, bekijkt u meer informatie over hoe u misbruik kunt melden aan ons team.
Wie is de eigenaar van de gegevens die door organisaties in Google Cloud worden geplaatst?
Eenvoudig gezegd: de gegevens die bedrijven, scholen en overheidsinstellingen in onze systemen zetten, zijn van hen. Of het nu gaat om het intellectueel eigendom van een bedrijf, persoonlijke gegevens of een huiswerkopdracht, Google is geen eigenaar van die gegevens.
Dit leidt tot 2 belangrijke conclusies:
- We gebruiken uw gegevens voor de doelen die in uw overeenkomst staan, zoals de service leveren waarvoor u betaalt. Google Cloud bevat geen advertenties.
- U blijft de baas over uw gegevens. We bieden u tools om uw gegevens te verwijderen en te exporteren, zodat u uw gegevens altijd mee kunt nemen, een externe service in combinatie met Google Workspace kunt gebruiken of helemaal kunt stoppen met het gebruik van onze services.
Google verwerkt uw gegevens om contractuele verplichtingen te kunnen nakomen, namelijk het leveren van services. De klanten van Google zijn de eigenaar van hun gegevens, niet Google. De gegevens die bedrijven, scholen en leerlingen in onze systemen zetten, zijn van hen. Google verkoopt uw gegevens niet aan derden. Google biedt klanten een uitgebreid Amendement gegevensverwerking waarin staat hoe we ons inzetten om uw gegevens te beschermen.
EY, een onafhankelijke auditor, heeft geverifieerd of onze privacyprocedures en contracten voor Google Workspace en Google Workspace for Education voldoen aan ISO/IEC 27018:2014. Voorbeeld:
- We gebruiken uw gegevens niet voor reclame
- De gegevens die u aan ons toevertrouwt, blijven van u
- We leveren u tools om uw gegevens te verwijderen en te exporteren
- We zijn transparant over waar uw gegevens worden opgeslagen
Nee. Er worden geen advertenties weergegeven in Google Workspace-services en Google Cloud Platform en we zijn niet van plan dit in de toekomst wel te gaan doen. We scannen niet in Gmail of andere Google Workspace-services voor reclamedoeleinden. Google verzamelt of gebruikt geen gegevens in Google Workspace-services voor reclamedoeleinden.
Dit proces is anders in onze gratis aanbiedingen en de consumentenruimte. Bekijk voor informatie over onze gratis consumentenproducten de pagina Privacy en voorwaarden. Hier vindt u informatie over meer consumententools en consumentenprivacy.
Google Cloud scant uw gegevens of e-mails in Google Workspace-services niet voor reclamedoeleinden. Onze geautomatiseerde systemen scannen en indexeren uw gegevens om u services te leveren en uw gegevens te beschermen. Zo voeren we spam- en malwaredetectie uit, sorteren we e-mails voor functies als Prioriteitsinbox en bieden we snelle en krachtige zoekresultaten als gebruikers zoeken naar informatie in hun account. De situatie is anders voor onze gratis aanbiedingen en de consumentenruimte. Bekijk voor informatie over onze gratis consumentenproducten de pagina Privacy en voorwaarden. Hier vindt u informatie over meer consumententools en consumentenprivacy.
Google Workspace for Education-services verzamelen of gebruiken geen gegevens van leerlingen voor advertentiedoeleinden. Ook worden er geen advertentieprofielen gemaakt.
Gmail voor consumenten en voor Google Workspace for Education-gebruikers wordt uitgevoerd op dezelfde infrastructuur. Hierdoor leveren we goede prestaties, betrouwbaarheid en beveiliging aan al onze gebruikers. Google Workspace is echter een afzonderlijk pakket, dat aanvullende besturingselementen biedt voor beveiliging, beheer en archivering aan klanten in het onderwijs, in het bedrijfsleven en in overheidsinstellingen.
Zoals veel e-mailproviders gebruiken we in Gmail scanning om onze klanten te beschermen en de prestaties te verbeteren. In Gmail voor Google Workspace for Education bieden we virus- en spambeveiliging, spellingcontrole, relevante zoekresultaten en functies als Prioriteitsinbox en automatische detectie van agenda-afspraken. Alle binnenkomende e-mails worden volledig automatisch gescand om productfuncties te kunnen bieden. We scannen geen e-mails in Google Workspace for Education voor advertentiedoeleinden.
Daarnaast verzamelen of gebruiken we geen informatie die is opgeslagen in de Google Drive of Documenten (of Spreadsheets, Presentaties, Tekeningen, Formulieren) van gebruikers van Google Workspace for Education voor advertentiedoeleinden.
Gebruikers die ervoor hebben gekozen AdSense-advertenties weer te geven op hun Google-sites kunnen er nog steeds voor kiezen die bestaande advertenties weer te laten geven op hun websites. Het is echter niet meer mogelijk om AdSense-advertenties te bewerken of nieuwe advertenties toe te voegen aan bestaande sites of nieuwe pagina's.
We bieden tools waarmee u uw gegevens kunt exporteren als u ervoor kiest een externe service in combinatie met Google Workspace te gebruiken of onze services helemaal niet meer te gebruiken, zonder dat Google boetes of extra kosten oplegt.
Google heeft alleen toegang tot de gegevens in uw account met strikte inachtneming van ons Privacybeleid en uw Klantovereenkomst. We bieden ook een uitgebreid Amendement gegevensverwerking waarin verder wordt beschreven hoe we ons inzetten om uw gegevens te beschermen. Voor technische support kan de beheerder van uw domein ervoor kiezen het Google Support-team toegang tot uw account te geven om een specifiek probleem op te lossen. In de Access Transparency-logboeken staat informatie over welke acties Google-medewerkers hebben uitgevoerd toen ze uw gegevens openden.
De beveiligingsmaatregelen van Google zijn geverifieerd en gecertificeerd door controleurs van derden. We hebben het ISO 27001-certificaat behaald. Dit betekent dat een onafhankelijke controleur de besturingselementen heeft onderzocht die aanwezig zijn in onze gegevenscentra, infrastructuur en bewerkingen. Dit certificaat stelt een ondergrens aan beveiliging die vaak hoger ligt dan wat veel van onze klanten bereiken. Een van de maatregelen die we uitvoeren is dat een achtergrondcontrole wordt uitgevoerd op onze medewerkers, afhankelijk van hun toegangsniveau. Medewerkerstoegang wordt bepaald door 'toegang met minimale rechten'. Dit betekent dat medewerkers alleen toegang krijgen tot de gegevens en bronnen die nodig zijn om hun toegewezen taak te kunnen uitvoeren.
Google heeft alleen toegang tot de gegevens in uw account met strikte inachtneming van ons Privacybeleid en uw Klantovereenkomst. We bieden ook een uitgebreid Amendement gegevensverwerking waarin verder wordt beschreven hoe we ons inzetten om uw gegevens te beschermen.In de Access Transparency-logboeken staat informatie over welke acties Google-medewerkers hebben uitgevoerd toen ze uw gegevens openden.
We zijn van mening dat u alle controle moet hebben over uw gegevens. Als u akkoord gaat met ons Amendement gegevensverwerking, legt Google zich contractueel vast uw Google Workspace-gegevens te verwijderen uit onze systemen binnen 180 dagen nadat u ze heeft verwijderd uit onze services.
Als u gegevens verwijdert, worden de verwijzingen naar die gegevens onmiddellijk verwijderd. De netwerk- en toepassingsarchitectuur die door Google wordt gebruikt, is echter ontworpen voor maximale betrouwbaarheid en uptime. Gegevens worden verdeeld over de servers en datacenters van Google. Als een machine, of zelfs een heel datacenter, niet meer werkt, blijven uw gegevens nog steeds toegankelijk. Daarom kan het tot 180 dagen duren voordat elk onderdeeltje van uw klantgegevens is verwijderd uit onze systemen.
We respecteren de privacy en veiligheid van de gegevens die u bij Google opslaat en dit vormt de basis van onze aanpak om te voldoen aan wettelijke verzoeken om gebruikersgegevens. Ons juridisch team beoordeelt elk verzoek van de overheid om gebruikersgegevens om er zeker van te zijn dat het verzoek voldoet aan de wettelijke vereisten en het beleid van Google. We laten van ons horen als de verzoeken te breed zijn of niet de juiste procedures volgen.
Google informeert waar mogelijk gebruikers over wettelijke verzoeken, tenzij dat wettelijk of bij rechterlijk bevel is verboden. We publiceren sinds 2009 samengestelde statistieken van overheidsverzoeken om gebruikersgegevens in ons Transparantierapport.
Als Google een overheidsverzoek voor gegevens van Cloud-klanten ontvangt, is het ons beleid de overheid te vragen rechtstreeks naar de Cloud-klant te gaan voor deze gegevens. Google heeft een nauwgezette procedure om overheidsverzoeken te beoordelen en erop te reageren, inclusief CLOUD Act-gegevensverzoeken die zijn ingediend op grond van een CLOUD Act-uitvoerovereenkomst. We hebben een team dat alle ontvangen verzoeken beoordeelt en evalueert om te controleren of ze aan de wettelijke vereisten voldoen. Als Google verplicht is gegevens te leveren, stelt Google zakelijke klanten daar zo snel mogelijk van op de hoogte, voordat gegevens worden vrijgegeven, tenzij dit wettelijk verboden is of als er sprake is van een levensbedreigende noodsituatie. Google zal, voor zover wettelijk toegestaan en volgens de voorwaarden van het verzoek, voldoen aan redelijke verzoeken van klanten om een dergelijk verzoek af te wijzen.
U vindt uitgebreide informatie in ons Transparantierapport en in de whitepaper over overheidsverzoeken voor Google Cloud.
Een deel van onze producten bevatten functies waarmee bepaalde persoonlijke gegevens van klanten kunnen worden opgeslagen in de EU/EER. Bekijk welke GCP-producten beschikbaar zijn per locatie en gegevensregio's voor Google Workspace.
De functie voor gegevensregio's is niet bedoeld om te voldoen aan juridische, wettelijke of nalevingsvereisten. De functie kan echter zorgen dat uw bedrijf voldoet aan bepaald bedrijfsspecifiek beleid omtrent gegevenslocaties.
Nee, maar net als in de vorige EU-richtlijn over gegevensbescherming vereist de AVG dat geschikte waarborgen worden ingesteld als persoonlijke gegevens buiten de EER worden verplaatst. Dergelijke waarborgen kunnen worden geleverd door bestaande mechanismen, zoals standaard contractclausules.
Als organisaties meer controle willen over de geografische locatie van hun gegevens, kunnen ze met gegevensregio's voor Google Workspace preciezer bepalen op welke locatie e-mailberichten, documenten en bepaalde andere Google Workspace-content wordt opgeslagen. De functie voor gegevensregio's is niet bedoeld om te voldoen aan juridische, wettelijke of nalevingsvereisten, maar kan zorgen dat uw bedrijf voldoet aan bepaald bedrijfsspecifiek beleid omtrent gegevenslocaties. Zie Een geografische locatie kiezen voor uw gegevens voor meer informatie over deze functie.
De infrastructuur van Google is strategisch verdeeld over meerdere datacenters die zich wereldwijd op verschillende locaties bevinden. Sommige gegevensopslagfaciliteiten van Google bevinden zich in landen buiten de Europese Economische Ruimte (EER). Dankzij 24/7 support van Google Cloud zorgen we dat services actief blijven over de hele wereld. Een deel van de supportcenters bevindt zich ook buiten de EER. Vanwege deze redenen kunnen we u niet laten weten in welk datacenter uw gegevens zich precies bevinden.