Naleving

Onze klanten en toezichthouders verwachten onafhankelijke verificatie van veiligheids-, privacy- en nalevingsinstellingen. Er worden regelmatig controles uitgevoerd bij Google door meerdere onafhankelijke partijen om u hiervan te verzekeren. Dat betekent dat een onafhankelijke auditor de maatregelen in onze datacenters, infrastructuur en processen heeft onderzocht. Van Google-oplossingen wordt regelmatig gecontroleerd of ze voldoen aan de volgende standaarden:

• SOC1^™ (SSAE-18/ISAE-3402): Google Workspace en Google Cloud Platform
• SOC2^™: Google Workspace en Google Cloud Platform
• SOC3^™: Google Workspace en Google Cloud Platform
• ISO27001: Google Workspace en Google Cloud Platform
• ISO27017: Google Workspace en Google Cloud Platform
• ISO27018: Google Workspace en Google Cloud Platform
• ISO27701: Google Workspace en Google Cloud Platform
• HIPAA: Google Workspace en Google Cloud Platform
• FedRAMP: Google Workspace en Google Cloud Platform

Het SOC3-rapport is bewijs dat onze beheerelementen zijn onderzocht door een onafhankelijke accountant. Het geeft aan dat in het rapport van de accountant over de bewering(en) van het beheer staat dat het bedrijf waarop de entiteit vertrouwt in overeenstemming werkt met de toepasselijke vertrouwensprincipes en -criteria.

Het ISO27001-certificaat geeft het functionele bereik van de ISO/IEC 27001:2013-standaard aan. De certificaten zijn verbonden aan het aanbieden van Google Workspace (en Google Workspace for Education), Google Cloud Platform, Google Plus, Google Now, Google Analytics en Analytics Premium en de gegevens daarin of die zijn verzameld door deze producten en de opgegeven faciliteiten.

U kunt deze nalevingsrapporten downloaden op Compliance Reports Manager door in te loggen op uw account.

Google heeft veel klanten in Europa. Meer dan 50% van onze zakelijke klanten bevindt zich buiten de Verenigde Staten. Google voorziet in mogelijkheden en contractuele verbintenissen die zijn opgesteld om te voldoen aan de toepasselijke wetgeving voor gegevensbescherming. Google biedt het Addendum voor Cloud-gegevensverwerking (ACG) voor Google Workspace en Google Cloud.

• Toestemming geven voor het ACG voor Google Workspace
• Toestemming geven voor het ACG voor Google Cloud

Samen met onafhankelijke controles door derden van onze mate van gegevensbescherming, ons ISO 27001-certificaat en verificatie dat onze privacyprocedures en contractuele verplichting voldoen aan ISO/IEC 27018:2014, worden verschillende nalevingsopties geboden aan onze klanten om te voldoen aan Europese regelgeving op het gebied van gegevensbescherming.

De AVG van de EU beschermt de persoonsgegevens van ingezetenen van de Europese Economische Ruimte (EER) en staat alleen in beperkte situaties de overdracht van hun persoonsgegevens toe naar niet-EER-landen die niet zijn goedgekeurd omdat ze niet 'genoeg' gegevensbescherming. De AVG van het Verenigd Koninkrijk en de Zwitserse Federal Data Protection Act bevatten vergelijkbare beperkingen. Het gebruik van goedgekeurde Modelcontractbepalingen (MCB's) is één manier om aan deze beperkingen te voldoen.

Google Cloud voegt MCB's toe aan het Addendum voor Cloud-gegevensverwerking (ACG) en de DPST. Als er geen andere overdrachtsoplossing beschikbaar is, beschermen deze MCB's automatisch de persoonsgegevens van klanten in Europa, het Midden-Oosten en Afrika (EMEA). Klanten buiten EMEA moeten in de Beheerdersconsole certificeren dat ze onder de Europese wetgeving voor gegevensbescherming vallen voordat de MCB's worden toegepast op hun gegevens (als er geen andere overdrachtsoplossing beschikbaar is).

Het opslaan van uw gegevens in een bepaald land beschermt deze niet noodzakelijkerwijs tegen toegang door de overheid, omdat overheden wellicht de mogelijkheid hebben om bekendmaking van gegevens buiten hun grenzen af te dwingen. Daarom willen we graag dat deze surveillance opnieuw wordt vormgegeven. We geven overheden geen toegang tot onze systemen en staan ze niet toe materiaal te installeren waarmee ze toegang krijgen tot gebruikersgegevens. Bekijk de whitepaper Safeguards for international data transfers with Google Cloud (Waarborgen voor internationale gegevensoverdracht met Google Cloud) en het Transparantierapport van Google voor meer informatie over hoe we omgaan met overheidsverzoeken om gegevens.

Uw gegevens worden in het netwerk van datacenters van Google opgeslagen. Google onderhoudt een aantal geografisch gespreide datacenters. De computerclusters van Google zijn ontworpen met veerkracht en redundantie in het achterhoofd, zodat een single point of failure is uitgesloten en de impact van defecte standaardapparatuur en milieurisico's wordt geminimaliseerd.

Klanten die Google Workspace gebruiken, kunnen voldoen aan de Amerikaanse Health Insurance Portability and Accountability Act van 1996 (HIPAA). Klanten waarvoor de HIPAA geldt en die Google Workspace met Beveiligde medische gegevens (Protected Health Information, PHI) willen gebruiken, moeten een Overeenkomst voor zakelijke partners (Business Associate Agreement, BAA) met Google ondertekenen. Beheerders van organisaties die Google Workspace, Google Workspace for Education of Google Workspace for Government gebruiken, kunnen een BAA aanvragen voordat ze Google-services gebruiken met PHI. Kijk hier voor een lijst met door HIPAA ondersteunde Google Workspace-functies.

Miljoenen leerlingen gebruiken Google Workspace for Education. Google Workspace for Education voldoet aan de Amerikaanse Family Educational Rights and Privacy Act (FERPA) en het feit dat we dit willen blijven doen staat in onze overeenkomsten. Google Workspace for Education-scholen worden contractueel vereist toestemming van ouders te vragen voor het gebruik van onze services, zoals wordt vereist door de Amerikaanse Children's Online Privacy Protection Act (COPPA). Onze services kunnen worden gebruikt in overeenstemming met COPPA.

De Federal Information Security Management Act van 2002 (FISMA) is een landelijke Amerikaanse wet aangaande de beveiliging van gegevens op informatiesystemen van overheidsinstellingen. FISMA is van toepassing op alle informatiesystemen die worden gebruikt of geëxploiteerd door Amerikaanse federale overheidsinstanties of door aannemers of andere organisaties namens de overheid. 

Door het Federal Risk and Authorization Management Program (FedRAMP) wordt FISMA geïmplementeerd voor overheidsinstellingen in de VS die gebruikmaken van cloudcomputingservices. FedRAMP is de vereiste standaard voor de naleving van cloudbeveiliging voor overheidsinstellingen.

Google Workspace, inclusief Google Workspace, Google Workspace for Education, Google Workspace for Nonprofits en Government, en Google App Engine, hebben een FedRAMP Authorization to Operate (ATO) gekregen op het niveau 'FIPS 199 Moderate impact', het standaardniveau voor Controlled Unclassified Information (Gecontroleerde niet-geclassificeerde gegevens).

De Payment Card Industry Data Security Standard (PCI DSS) is een reeks beleidsregels en technische vereisten die zijn gemaakt voor systemen waarmee betaalkaartgegevens worden bewaard of verwerkt. Google Cloud Platform is beoordeeld door een Qualified Security Assessor (QSA) en is in overeenstemming met de Payment Card Industry (PCI) Data Security Standards (DSS). Google gebruikt het rapport van de QSA over naleving om te bevestigen dat app-ontwikkelaars hun eigen beveiligde oplossingen kunnen maken en beheren op het platform van Google. Google Workspace is niet bedoeld om creditcardtransacties te verwerken of op te slaan. Daarom kunnen klanten functies instellen zodat e-mails met creditcardgegevens niet kunnen worden gestuurd vanuit Google Workspace. Zo kunnen onze klanten PCI DSS naleven.

Google Cloud Platform wordt jaarlijks gecontroleerd door derden om te controleren of individuele producten PCI DSS naleven. Dit betekent dat deze services een infrastructuur bieden waarin klanten hun eigen services en apps kunnen maken waarin gegevens van kaarthouders worden opgeslagen, verwerkt of verstuurd. Klanten moeten er wel zelf voor zorgen dat hun apps PCI DSS naleven. Zie PCI Data Security Standard compliance (Naleving van PCI Data Security Standards) voor informatie over hoe u PCI DSS kunt implementeren in een app met Google Cloud Platform.

Google Vault is een add-on voor Google Workspace waarmee u de e-mails van uw bedrijf in het kader van eDiscovery en naleving kunt bewaren, archiveren, doorzoeken en exporteren. Vault is volledig online. U hoeft dus geen software te installeren of te beheren. Met Vault kunt u het volgende:

• Gegevens zo lang bewaren als u wilt.
• Gegevens verwijderen als ze niet meer nodig zijn.
• Belangrijke gegevens zoeken, bewaren en exporteren.

Zie Wat is Google Vault? voor meer informatie.

De International Traffic in Arms Regulations (ITAR) is een reeks regelgevingen van de Amerikaanse overheid die de export en import van defensiegerelateerde artikelen en services op de United States Munitions List (USML) regelen. Google ondersteunt het gebruik van onze services met ITAR-gecontroleerde gegevens niet.

De AVG is een complexe wet. Bekijk de bronnen in Google Cloud en de Algemene verordening gegevensbescherming (AVG) voor meer informatie over wat Google Cloud doet om te voldoen aan de AVG. Met betrekking tot de beperkingen voor gegevensoverdracht die zijn opgelegd door de AVG, heeft Google Cloud Modelcontractbepalingen (MCB (modelcontractbepalingen (MCB's) toegevoegd aan het ACG en de DPST. Als er geen andere overdrachtsoplossing beschikbaar is, beschermen deze MCB's automatisch de persoonsgegevens van klanten in Europa, het Midden-Oosten en Afrika (EMEA). Ook worden de persoonsgegevens van klanten buiten EMEA beschermd als deze klanten via de Google Beheerdersconsole certificeren dat ze vallen onder de Europese wetgeving voor gegevensbescherming.

Google Workspace-services worden door Google aangeboden aan organisaties volgens de Servicevoorwaarden van Google Workspace en het Addendum voor Cloud-gegevensverwerking. Consumenten-apps worden door Google rechtstreeks aan eindgebruikers aangeboden volgens de Servicevoorwaarden en het Privacybeleid van Google. Er is aanzienlijke overlap in de functies van Google Workspace-apps en de consumentenversies van deze apps. Google Workspace-services bevatten functies waarmee beheerders van een organisatie de beveiligings- en privacyinstellingen van de apps kunnen beheren voor hun organisatie.

Nee. Het Addendum voor Cloud-gegevensverwerking, inclusief de inbegrepen Modelcontractbepalingen, is alleen beschikbaar voor klanten die Google Workspace gebruiken. De consumentenversies van de Google Workspace-apps worden aangeboden volgens de Servicevoorwaarden en het Privacybeleid van Google.

U kunt uw juridisch adviseur vragen welke maatregelen voor privacy en gegevensbescherming voor u noodzakelijk zijn en welk model het best past bij uw nalevingsbehoeften.

We doen er alles aan om producten te maken die standaard beveiligd en privé zijn en waarin mensen de controle houden. Hoewel volgens ons beleid kinderen jonger dan de minimumleeftijd niet zijn toegestaan een standaard Google-account te maken, hebben we er hard aan gewerkt om de productervaringen voor kinderen, tieners en gezinnen te verrijken.  

We raden u aan samen te werken met uw juridisch adviseur om de verplichtingen rond de Age Appropriate Design Code (AADC) en andere regelgeving op het gebied van de privacy van kinderen te controleren.

Voor Google Workspace Business- en Enterprise-accounts moet de domeinbeheerder bepalen of de AADC van toepassing is op gebruikers in het domein. Als dit het geval is, raden we u aan alle aanvullende services uit te zetten voor gebruikers jonger dan 18 jaar. Dit omdat Google Workspace Business- en Enterprise-accounts zakelijke accounts zijn. Aanvullende services die worden gebruikt via een zakelijk account, bevatten momenteel geen functies om de privacy van kinderen te waarborgen. Dit geldt niet voor Google Workspace for Education-accounts, waarvoor Google Workspace for Education-domeinen de op leeftijd gebaseerde toegangsinstelling hebben geïmplementeerd (zie Gebruikers toegang geven tot Google-services gebaseerd op leeftijd).