Naleving

We voldoen graag aan alle regelgevingen in de wereld en in verschillende sectoren, zoals de gezondheidszorg en het onderwijs. Wanneer u onze services gebruikt, kunt u erop vertrouwen dat Google de tools en functies levert die u nodig heeft om te voldoen aan bepaalde nalevingsvereisten.

Als antwoord op sommige van de vele vragen die we krijgen, hebben we deze veelgestelde vragen en de bijbehorende website over Google Workspace-beveiliging gemaakt. We hopen dat hiermee uw vragen worden beantwoord over het standpunt van Google in deze belangrijke kwesties. Bekijk ook de pagina Privacy en voorwaarden van Google voor tools en informatie over consumentenprivacy.

Als u gevallen van misbruik wilt melden aan ons team, vindt u hier meer informatie over hoe u dit doet.

Hoe kan ik de beveiliging van Google Workspace en Google Cloud Platform verifiëren?

Onze klanten en toezichthouders verwachten onafhankelijke verificatie van veiligheids-, privacy- en nalevingsinstellingen. Er worden regelmatig controles uitgevoerd bij Google door meerdere onafhankelijke partijen om u hiervan te verzekeren. Dat betekent dat een onafhankelijke auditor de maatregelen in onze datacenters, infrastructuur en processen heeft onderzocht. Van Google-oplossingen wordt regelmatig gecontroleerd of ze voldoen aan de volgende standaarden:

  • SOC1 (SSAE-18/ISAE-3402): Google Workspace en Google Cloud Platform
  • SOC2: Google Workspace en Google Cloud Platform
  • SOC3: Google Workspace en Google Cloud Platform
  • ISO27001: Google Workspace en Google Cloud Platform
  • ISO27017: Google Workspace en Google Cloud Platform
  • ISO27018: Google Workspace en Google Cloud Platform
  • ISO27701: Google Workspace en Google Cloud Platform
  • HIPAA: Google Workspace en Google Cloud Platform
  • FedRAMP: Google Workspace en Google Cloud Platform
Kan ik een kopie krijgen van deze certificaten en controlerapporten? Waar kan ik het SOC3-controlerapport downloaden? Waar kan ik het ISO27001-certificaat van Google bekijken?

De SOC3-rapporten zijn bewijs dat onze functies zijn onderzocht door een onafhankelijke accountant. Ze geven aan dat in het rapport van de accountant over de bewering(en) van het beheer staat dat het bedrijf waarop de entiteit vertrouwt in overeenstemming werkt met de toepasselijke vertrouwensprincipes en -criteria.

De ISO27001-certificaten geven het functionele bereik van de ISO/IEC 27001:2013-standaard aan. De certificaten zijn verbonden aan het aanbieden van Google Workspace (en Google Workspace for Education), Google Cloud Platform, Google Plus, Google Now, Google Analytics en Analytics Premium en de gegevens daarin of die zijn verzameld door het aanbieden hiervan en de gespecificeerde faciliteiten.

U kunt deze nalevingsrapporten downloaden op Compliance Reports Manager door in te loggen op uw account.

Werkt Google in overeenstemming met de Europese vereisten voor gegevensbescherming?

Google heeft veel klanten in Europa. Meer dan 50% van onze zakelijke klanten bevindt zich buiten de Verenigde Staten. Google voorziet in mogelijkheden en contractuele verbintenissen die zijn opgesteld om te voldoen aan de aanbevelingen met betrekking tot de bescherming van gegevens van de Artikel 29-werkgroep. Google biedt aan het Amendement gegevensverwerking voor Google Workspace en de Voorwaarden voor gegevensverwerking en -beveiliging (Data Processing and Security Terms, DPST) voor Google Cloud Platform te ondertekenen. Google Cloud biedt Standaard contractclausules of modelcontractclausules (MCC's) aan voor onze klanten, die al zijn opgenomen in de DPST en het Amendement gegevensverwerking (AG).

Volg deze instructies om toestemming te geven voor het Amendement gegevensverwerking:

Samen met onafhankelijke controles door derden van onze mate van gegevensbescherming, ons ISO 27001-certificaat en verificatie dat onze privacyprocedures en contractuele verplichting voldoen aan ISO/IEC 27018:2014, worden verschillende nalevingsopties geboden aan onze klanten om te voldoen aan Europese regelgeving op het gebied van gegevensbescherming.

Vereisen de wetten voor gegevensbescherming in de EU niet dat persoonlijke gegevens worden opgeslagen in de EU/EER?

De Richtlijn voor gegevensbescherming is een belangrijke privacywet die is aangenomen door de Europese Unie (EU) in 1995. Hiermee wordt het verplaatsen van gegevens beperkt van EU-landen naar niet-EU-landen die niet voldoen aan de standaard voor privacybescherming van de EU. Het alleen verwerken van persoonlijke gegevens binnen de EU is één manier om te voldoen aan deze richtlijn. Andere manieren van naleving vereisen niet dat de gegevens in de EU moeten blijven, zoals het gebruik van modelcontractclausules die zijn goedgekeurd door de Europese Commissie.

Google Cloud biedt Standaard contractclausules of modelcontractclausules (MCC's) aan voor onze klanten, die al zijn opgenomen in de DPST en de AG. Klanten die apart toestemming willen geven voor de MCC's kunnen dat doen via het online proces dat hier beschreven staat voor Google Workspace en hier beschreven staat voor GCP.

Hoe zit het met de overheid van de VS? Als gegevens buiten de VS worden opgeslagen, betekent dit dan dat ze niet vallen onder de gegevensverzoeken van de overheid van de VS?

Het opslaan van uw gegevens in een bepaald land beschermt niet noodzakelijkerwijs de gegevens tegen toegang door buitenlandse overheden. Als gegevens zich in een bepaalde jurisdictie bevinden, betekent dit niet dat een andere jurisdictie geen openbaarheid daarvan kan afdwingen. Daarnaast zijn er rapportages waarin wordt beschreven hoe overheden kabels aftappen tussen datacenters in meerdere locaties verspreid over de wereld. Daarom willen we graag dat deze surveillance opnieuw wordt vormgegeven. We weigeren overheden toegang te geven tot onze systemen of materiaal te installeren waarmee ze toegang krijgen tot gebruikersgegevens. Bekijk het Transparantierapport van Google voor meer informatie over hoe we omgaan met overheidsverzoeken om gegevens.

Waar slaat Google mijn gegevens op?

Uw gegevens worden in het netwerk van datacenters van Google opgeslagen. Google onderhoudt een aantal geografisch gespreide datacenters. De computerclusters van Google zijn ontworpen met veerkracht en redundantie in het achterhoofd, zodat een single point of failure is uitgesloten en de impact van defecte standaardapparatuur en milieurisico's wordt geminimaliseerd.

Kan ik gezondheidszorggegevens opslaan in de systemen van Google?

Klanten die Google Workspace gebruiken, kunnen voldoen aan de Amerikaanse Health Insurance Portability and Accountability Act van 1996 (HIPAA). Klanten waarvoor de HIPAA geldt en die Google Workspace met Beveiligde medische gegevens (Protected Health Information, PHI) willen gebruiken, moeten een Overeenkomst voor zakelijke partners (Business Associate Agreement, BAA) met Google ondertekenen. Beheerders van organisaties die Google Workspace, Google Workspace for Education of Google Workspace for Government gebruiken, kunnen een BAA aanvragen voordat ze Google-services gebruiken met PHI. Kijk hier voor een lijst met door HIPAA ondersteunde Google Workspace-functies.

Voldoen Google-producten aan de privacyvereisten voor het gebruik door leerlingen en kinderen?

Meer dan 40 miljoen leerlingen gebruiken Google Workspace for Education. Google Workspace for Education voldoet aan de Amerikaanse Family Educational Rights and Privacy Act (FERPA) en het feit dat we dit willen blijven doen staat in onze overeenkomsten. Google Workspace for Education-scholen worden contractueel vereist toestemming van ouders te vragen voor het gebruik van onze services, zoals wordt vereist door de Amerikaanse Child Online Privacy Protection Act (COPPA). Onze services kunnen worden gebruikt in overeenstemming met COPPA.

Kan Google worden gebruikt door overheidsinstellingen in de VS?

De Federal Information Security Management Act van 2002 (FISMA) is een landelijke Amerikaanse wet aangaande de beveiliging van gegevens op informatiesystemen van overheidsinstellingen. FISMA is van toepassing op alle informatiesystemen die worden gebruikt of geëxploiteerd door Amerikaanse federale overheidsinstanties of door aannemers of andere organisaties namens de overheid. 

Door het Federal Risk and Authorization Management Program (FedRAMP) wordt FISMA geïmplementeerd voor overheidsinstellingen in de VS die gebruikmaken van cloudcomputingservices. FedRAMP is de vereiste standaard voor de naleving van cloudbeveiliging voor overheidsinstellingen.

Google Workspace, inclusief Google Workspace, Google Workspace for Education, Google Workspace for Nonprofits en Government, en Google App Engine, hebben een FedRAMP Authorization to Operate (ATO) gekregen op het niveau 'FIPS 199 Moderate impact', het standaardniveau voor Controlled Unclassified Information (Gecontroleerde niet-geclassificeerde gegevens).

Mijn organisatie werkt met betaalkaartgegevens en moet voldoen aan PCI DSS. Met welke tools blijf ik de juiste wetten naleven?

De Payment Card Industry Data Security Standard (PCI DSS) is een reeks beleidsregels en technische vereisten die zijn gemaakt voor systemen waarmee betaalkaartgegevens worden bewaard of verwerkt. Google Cloud Platform is beoordeeld door een Qualified Security Assessor (QSA) en is in overeenstemming met de Payment Card Industry (PCI) Data Security Standards (DSS). Google gebruikt het rapport van de QSA over naleving om te bevestigen dat app-ontwikkelaars hun eigen beveiligde oplossingen kunnen maken en beheren op het platform van Google. Google Workspace is niet bedoeld om creditcardtransacties te verwerken of op te slaan. Daarom kunnen klanten functies instellen zodat e-mails met creditcardgegevens niet kunnen worden gestuurd vanuit Google Workspace. Zo kunnen onze klanten PCI DSS naleven.

Google Cloud Platform wordt jaarlijks gecontroleerd door derden om te controleren of individuele producten PCI DSS naleven. Dit betekent dat deze services een infrastructuur bieden waarin klanten hun eigen services en apps kunnen maken waarin gegevens van kaarthouders worden opgeslagen, verwerkt of verstuurd. Klanten moeten er wel zelf voor zorgen dat hun apps PCI DSS naleven. Zie PCI Data Security Standard compliance (Naleving van PCI Data Security Standards) voor informatie over hoe u PCI DSS kunt implementeren in een app met Google Cloud Platform.

Welke eDiscovery-tools kan mijn organisatie gebruiken om te voldoen aan juridische en nalevingsverzoeken?

Google Vault is een add-on voor Google Workspace waarmee u de e-mails van uw bedrijf in het kader van eDiscovery en naleving kunt bewaren, archiveren, doorzoeken en exporteren. Vault is volledig online. U hoeft dus geen software te installeren of te beheren. Met Vault kunt u het volgende:

  • Gegevens zo lang bewaren als u wilt.
  • Gegevens verwijderen als ze niet meer nodig zijn.
  • Belangrijke gegevens zoeken, bewaren en exporteren.

Zie Wat is Google Vault? voor meer informatie.

Kan ik Google-services gebruiken voor gegevens die vallen onder de International Traffic in Arms Regulations?

De International Traffic in Arms Regulations (ITAR) is een reeks regelgevingen van de Amerikaanse overheid die de export en import van defensiegerelateerde artikelen en services op de United States Munitions List (USML) regelen. Google ondersteunt het gebruik van onze services met ITAR-gecontroleerde gegevens niet.

Hoe voldoen Google-cloudservices aan de Algemene verordening gegevensbescherming (AVG) van de EU?

De Algemene verordening gegevensbescherming (AVG) vervangt de EU-richtlijn voor gegevensbescherming uit 1995. De AVG versterkt de rechten van particulieren met betrekking tot hun persoonlijke gegevens en streeft naar het bundelen van de Europese wetten ter bescherming van gegevens, ongeacht waar de gegevens worden verwerkt.

U kunt ervan op aan dat Google alles in het werk stelt om te voldoen aan de eisen van de AVG met betrekking tot de services Google Workspace en Google Cloud Platform. We zorgen ook dat onze klanten de nieuwe regelgeving kunnen naleven met behulp van de uitgebreide privacy- en beveiligingsbescherming die we in de loop der jaren hebben ingebouwd in onze services en contracten.

Gegevensbeheerders zijn onder meer verplicht uitsluitend gegevensverwerkers te gebruiken die voldoende waarborgen bieden dat er adequate technische en organisatorische maatregelen worden genomen om de verwerking te laten voldoen aan de vereisten van de AVG.

In de Voorwaarden voor gegevensverwerking van Google Workspace en Google Cloud Platform staan onze privacyverplichtingen aan klanten duidelijk vermeld. Deze voorwaarden zijn door de jaren heen aangepast op basis van feedback van onze klanten en wetgevers. Ook zijn ze geüpdatet om te voldoen aan de wijzigingen in de AVG.

Bekijk onze AVG-site voor meer informatie.

Wat is het verschil tussen Google Workspace en de consumentenversies van Google Workspace-apps?

Google Workspace-services worden door Google aangeboden aan organisaties volgens de Servicevoorwaarden van Google Workspace en het Amendement gegevensverwerking. Consumenten-apps worden door Google rechtstreeks aan eindgebruikers aangeboden volgens de Servicevoorwaarden en het Privacybeleid van Google. Er is aanzienlijke overlap in de functies van Google Workspace-apps en de consumentenversies van deze apps. Google Workspace-services bevatten functies waarmee beheerders van een organisatie de beveiligings- en privacyinstellingen van de apps kunnen beheren voor hun organisatie.

Biedt Google het Amendement gegevensverwerking van Google Workspace voor de consumentenversies van de Google Workspace-apps?

Nee. De voorwaarden voor gegevensverwerking van Google Workspace, inclusief het Amendement gegevensverwerking en de modelcontractclausules, zijn alleen beschikbaar voor klanten die Google Workspace gebruiken. De consumentenversies van de Google Workspace-apps worden aangeboden volgens de Servicevoorwaarden en het Privacybeleid van Google.

U kunt uw juridisch adviseur vragen welke maatregelen voor privacy en gegevensbescherming voor u noodzakelijk zijn en welk model het best past bij uw nalevingsbehoeften.

Werkt Google in overeenstemming met de AADC-vereisten?

We doen er alles aan om producten te maken die standaard beveiligd en privé zijn en waarin mensen de controle houden. Hoewel volgens ons beleid kinderen jonger dan de minimumleeftijd niet zijn toegestaan een standaard Google-account te maken, hebben we er hard aan gewerkt om de productervaringen voor kinderen, tieners en gezinnen te verrijken.  

We raden u aan samen te werken met uw juridisch adviseur om de verplichtingen rond de Age Appropriate Design Code (AADC) en andere regelgeving op het gebied van de privacy van kinderen te controleren.

Voor Google Workspace Business- en Enterprise-accounts moet de domeinbeheerder bepalen of de AADC van toepassing is op gebruikers in het domein. Als dit het geval is, raden we u aan alle aanvullende services uit te zetten voor gebruikers jonger dan 18 jaar. Dit omdat Google Workspace Business- en Enterprise-accounts zakelijke accounts zijn. Aanvullende services die worden gebruikt via een zakelijk account, bevatten momenteel geen functies om de privacy van kinderen te waarborgen. Dit geldt niet voor Google Workspace for Education-accounts, waarvoor Google Workspace for Education-domeinen de op leeftijd gebaseerde toegangsinstelling hebben geïmplementeerd (zie Gebruikers toegang geven tot Google-services gebaseerd op leeftijd).

Was dit nuttig?
Hoe kunnen we dit verbeteren?
Google-apps
Hoofdmenu
Zoeken in het Helpcentrum
false