Naleving

We voldoen graag aan alle regelgevingen in de wereld en in verschillende sectoren, zoals de gezondheidszorg en het onderwijs. Wanneer u onze services gebruikt, kunt u erop vertrouwen dat Google de tools en functies levert die u nodig heeft om te voldoen aan bepaalde nalevingsvereisten.

Als antwoord op sommige van de vele vragen die we krijgen, hebben we deze veelgestelde vragen en de bijbehorende website over G Suite-beveiliging gemaakt. We hopen dat hiermee uw vragen worden beantwoord over het standpunt van Google in deze belangrijke kwesties. Bekijk ook de pagina Privacy en voorwaarden van Google voor tools en informatie over consumentenprivacy.

Als u gevallen van misbruik wilt melden, kunt u hier terecht voor meer informatie over het melden van misbruik aan ons team. 

Hoe kan ik de mate van beveiliging in G Suite en Google Cloud Platform controleren?

Onze klanten en toezichthouders verwachten onafhankelijke verificatie van veiligheids-, privacy- en nalevingsinstellingen. Er worden regelmatig controles uitgevoerd bij Google door meerdere onafhankelijke partijen om u hiervan te verzekeren. Dit betekent dat een onafhankelijke controleur de beheerelementen heeft onderzocht die aanwezig zijn in onze gegevenscentra, infrastructuur en exploitatie. Van Google-oplossingen wordt regelmatig gecontroleerd of ze voldoen aan de volgende vereisten:

  • SOC1 (SSAE-16/ISAE-3402): G Suite, Google Compute Engine, Google Cloud Storage, Google App Engine
  • SOC2: G Suite, Google Compute Engine, Google Cloud Storage, Google App Engine
  • SOC3: G Suite, Google Compute Engine, Google Cloud Storage, Google App Engine
  • ISO27001: voor G Suite en Google Cloud Platform
  • ISO27017: voor G Suite en Google Cloud Platform
  • ISO 27018: voor G Suite en Google Cloud Platform
  • HIPAA: G Suite, Google Compute Engine, Google Cloud Storage, Google Big Query, Google Cloud SQL
  • FISMA: Google App Engine, G Suite
  • FEDRAMP: Google App Engine, G Suite
Kan ik een kopie krijgen van deze certificaten en controlerapporten? Waar kan ik het SOC3-controlerapport downloaden? Waar kan ik het ISO27001-certificaat van Google bekijken?

Het SOC3-rapport is bewijs dat onze beheerelementen zijn onderzocht door een onafhankelijke accountant. Het geeft aan dat in het rapport van de accountant over de bewering(en) van het beheer staat dat het bedrijf waarop de entiteit vertrouwt in overeenstemming is met de toepasselijke vertrouwensprincipes en -criteria. Het volledige SOC3-controlerapport kan worden gedownload. Het ISO27001-certificaat geeft het functionele bereik van dit ISO/IEC 27001:2005 aan. Het certificaat is verbonden aan het aanbieden van G Suite (en G Suite for Education), Google Cloud Platform, Google Plus, Google Now, Google Analytics en Analytics Premium en de gegevens daarin of die zijn verzameld door het aanbieden hiervan en de gespecificeerde faciliteiten.

Werkt Google in overeenstemming met de Europese vereisten voor gegevensbescherming?

Google heeft in Europa vele klanten. Meer dan 50% van onze zakelijke klanten bevindt zich buiten de Verenigde Staten. Google voorziet in mogelijkheden en contractuele verbintenissen die zijn opgesteld om te voldoen aan de aanbevelingen met betrekking tot de bescherming van gegevens van de Artikel 29-werkgroep. Google biedt aan EU-modelcontractclausules en een Amendement voor gegevensbescherming te ondertekenen.

Volg deze instructies om u aan te melden voor het Amendement gegevensverwerking:

Log in bij de beheerdersconsole. Klik op Bedrijfsprofiel > Profiel.

Klik in het gedeelte 'Aanvullende voorwaarden voor beveiliging en privacy', naast 'Amendement gegevensverwerking' op 'Controleren en accepteren'. Klik op 'Ik ga akkoord'.

Klik naast de modelcontractclausules van de EU op 'Bekijken en accepteren'. Klik op 'Ik ga akkoord'.

Samen met onafhankelijke controles van onze gegevensbeschermingspraktijk van derden, ons ISO 27001-certificaat, en verificatie dat onze privacyprocedures en contractuele verplichting voldoen aan ISO/IEC 27018:2014, worden verschillende nalevingsopties geboden aan onze klanten om te voldoen aan Europese regelgeving op het gebied van gegevensbescherming.

Vereisen de gegevensbeschermingswetten in de EU niet dat persoonlijke gegevens worden opgeslagen in de EU/EEA?

De Richtlijn voor gegevensbescherming is een belangrijke privacywet die is aangenomen door de Europese Unie (EU) in 1995. Hiermee wordt het verplaatsen van gegevens beperkt van EU-landen naar niet-EU-landen die niet voldoen aan de standaard voor privacybescherming van de EU. Het alleen verwerken van persoonlijke gegevens binnen de EU is één manier om te voldoen aan deze richtlijn. Andere manieren van naleving vereisen niet dat de gegevens in de EU moeten blijven, zoals het gebruik van modelcontractclausules die zijn goedgekeurd door de Europese Commissie.

Hoe zit het met de overheid van de VS? Als gegevens buiten de VS worden opgeslagen, betekent dit dan dat het niet valt onder de gegevensverzoeken van de overheid van de VS?

Het opslaan van uw gegevens in een bepaald land beschermt niet noodzakelijkerwijs de gegevens tegen toegang door buitenlandse overheden. Als gegevens zich in een bepaalde jurisdictie bevinden, betekent dit niet dat een andere jurisdictie geen openbaarheid daarvan kan afdwingen. Daarnaast zijn er rapportages waarin wordt beschreven hoe overheden kabels aftappen tussen gegevenscentra in meerdere locaties verspreid over de wereld. Daarom willen we graag dat deze surveillance opnieuw wordt vormgegeven. We weigeren overheden toegang te geven tot onze systemen of materiaal te installeren waarmee ze toegang krijgen tot gebruikersgegevens. Bekijk het Transparantierapport van Google voor meer informatie over hoe we omgaan met overheidsverzoeken om gegevens.

Waar slaat Google mijn gegevens op?

Uw gegevens worden in het datacentrumnetwerk van Google opgeslagen. Google onderhoudt een aantal geografisch gespreide datacenters. De computerclusters van Google zijn ontworpen met veerkracht en redundantie in het achterhoofd, zodat een single point of failure is uitgesloten en de impact van defecte standaardapparatuur en milieurisico's wordt geminimaliseerd.

Kan ik gezondheidszorggegevens opslaan in de systemen van Google?

G Suite helpt klanten te voldoen aan de Amerikaanse Health Insurance Portability and Accountability Act van 1996 (HIPAA). Klanten waarvoor de HIPAA geldt en die G Suite met beschermde gezondheidsinformatie (PHI) willen gebruiken, moeten een Business Associate Agreement (BAA) met Google ondertekenen. Beheerders van G Suite-, G Suite for Education- en G Suite for Government-domeinen kunnen een BAA aanvragen voordat ze Google-services gebruiken met PHI. Google biedt een BAA voor Gmail, Google Agenda, Google Drive en Google Vault. Google Cloud Platform-klanten kunnen een BAA krijgen voor Compute Engine, Cloud Storage, Cloud SQL en BigQuery.

Voldoen Google-producten aan de privacyvereisten voor het gebruik door leerlingen en kinderen?

Meer dan 40 miljoen leerlingen gebruiken G Suite for Education. G Suite for Education voldoet aan de Amerikaanse Family Educational Rights and Privacy Act (FERPA) en het feit dat we dit willen blijven doen staat in onze overeenkomsten. G Suite for Education-scholen worden contractueel vereist toestemming van ouders te vragen voor het gebruik van onze services, zoals wordt vereist door de Amerikaanse Child Online Privacy Protection Act (COPPA). Onze services kunnen worden gebruikt in overeenstemming met COPPA.

Kan Google worden gebruikt door overheidsinstellingen in de VS?

De Federal Information Security Management Act van 2002 (FISMA) is een landelijke Amerikaanse wet aangaande de beveiliging van gegevens op informatiesystemen van overheidsinstellingen. FISMA is van toepassing op alle informatiesystemen die gebruikt worden door of in handen zijn van overheidsinstellingen in de Verenigde Staten, contractanten of andere organisaties in opdracht van de Amerikaanse overheid. 

Door het Federal Risk and Authorization Management Program (FedRAMP) wordt FISMA geïmplementeerd voor overheidsinstellingen in de VS die gebruikmaken van cloudcomputingservices. FedRAMP is de vereiste standaard voor de naleving van cloudbeveiliging voor overheidsinstellingen.

G Suite, inclusief G Suite, G Suite for Education, G Suite for Nonprofits, G Suite for Government en Google App Engine hebben een FedRAMP Authorization to Operate (ATO) ontvangen op het niveau 'FIPS 199 Moderate impact', het standaardniveau voor Controlled Unclassified Information (Gecontroleerde niet-geclassificeerde gegevens).

Mijn organisatie werkt met betaalkaartgegevens en moet voldoen aan PCI DSS. Met welke tools blijf ik de juiste wetten naleven?

De Payment Card Industry Data Security Standard (PCI DSS) is een reeks beleid en technische vereisten die zijn gemaakt voor systemen waarmee betaalkaartgegevens worden bewaard of verwerkt. Google Cloud Platform is beoordeeld door een Qualified Security Assessor (QSA) en is in overeenstemming met de Payment Card Industry (PCI) Data Security Standards (DSS). Google gebruikt het rapport van de QSA over naleving om te bevestigen dat app-ontwikkelaars hun eigen veilige oplossingen kunnen maken en beheren op het platform van Google. G Suite is niet bedoeld om creditcardtransacties te verwerken of op te slaan. Daarom kunnen klanten functies configureren zodat e-mails met creditcardgegevens niet kunnen worden verzonden vanuit G Suite. Zo kunnen onze klanten PCI DSS correct naleven. Voor Google Drive kan Vault worden geconfigureerd zodat controles worden uitgevoerd waarmee u kunt zien of creditcardgegevens worden opgeslagen.

Welke eDiscovery-tools kan mijn organisatie gebruiken om te voldoen aan juridische en nalevingsverzoeken?

Google Vault is een add-on voor G Suite waarmee u e-mail van uw bedrijf in het kader van eDiscovery en naleving kunt bewaren, archiveren, doorzoeken en exporteren. Vault werkt volledig online. U hoeft dus geen software te installeren of beheren. Met Vault kunt u het volgende:

Kan ik Google-services gebruiken voor gegevens die vallen onder de International Traffic in Arms Regulations?

De International Traffic in Arms Regulations (ITAR) is een reeks regelgevingen van de Amerikaanse overheid die de export en import van defensiegerelateerde artikelen en services op de United States Munitions List (USML) regelen. Google ondersteunt niet het gebruik van onze services met ITAR-gecontroleerde gegevens.

Hoe voldoen Google-cloudservices aan de Algemene verordening gegevensbescherming (AVG) van de EU?

De Algemene verordening gegevensbescherming (AVG) vervangt de EU-richtlijn voor gegevensbescherming uit 1995. Met de AVG hebben personen meer rechten wat betreft hun persoonlijke gegevens en wordt ernaar gestreefd wetten voor gegevensverwerking uniform te krijgen in heel Europa, ongeacht waar de gegevens worden verwerkt.

U kunt ervan op aan dat Google alles in het werk stelt om te voldoen aan de eisen van de AVG met betrekking tot de G Suite- en Google Cloud Platform-services. We helpen onze klanten de AVG ook na te leven door de uitgebreide privacy- en beveiligingsbescherming die we in de loop der jaren hebben ingebouwd in onze services en contracten.

Verwerkingsverantwoordelijken zijn onder meer verplicht uitsluitend gegevensverwerkers te gebruiken die voldoende waarborgen bieden dat er adequate technische en organisatorische maatregelen worden genomen om de verwerking te laten voldoen aan de vereisten van de AVG.

In de voorwaarden voor gegevensverwerking in G Suite en Google Cloud Platform staan onze privacyverplichtingen aan klanten duidelijk vermeld. Deze voorwaarden zijn door de jaren heen aangepast op basis van feedback van onze klanten en wetgevers. Ook zijn ze geüpdatet om te voldoen aan de wijzigingen in de AVG.

Bekijk onze AVG-site voor meer informatie.

Wat is het verschil tussen G Suite en de consumentenversies van G Suite-apps?

G Suite-services worden door Google aangeboden aan organisaties volgens de Servicevoorwaarden van G Suite en het Amendement gegevensverwerking. Consumenten-apps worden door Google rechtstreeks aan eindgebruikers aangeboden volgens de Servicevoorwaarden en het Privacybeleid van Google. Er is aanzienlijke overlap in de functies van de G Suite-apps en de consumentenversies van deze apps. De G Suite-services bevatten functies waarmee domeinbeheerders beveiligings- en privacyinstellingen van de apps voor hun domein kunnen beheren.

Biedt Google het Amendement gegevensverwerking van G Suite voor de consumentenversies van de G Suite-apps?

Nee. De voorwaarden voor gegevensverwerking in G Suite, inclusief het Amendement gegevensverwerking en de modelcontractclausules, zijn alleen beschikbaar voor klanten die G Suite gebruiken. De consumentenversies van de G Suite-apps worden aangeboden volgens de Servicevoorwaarden en het Privacybeleid van Google.

U kunt uw juridisch adviseur vragen welke maatregelen voor privacy en gegevensbescherming voor u noodzakelijk zijn en welk model het beste past bij uw nalevingsbehoeften.

Was dit artikel nuttig?
Hoe kunnen we dit verbeteren?