Is gratis Gmail AVG-compliant voor zakelijk gebruik?

Nee. Een gratis @gmail.com-account is een consumentenproduct zonder verwerkersovereenkomst. Google is dan zelf verwerkingsverantwoordelijke, niet jouw verwerker. Voor zakelijke klantcommunicatie heb je Google Workspace nodig.

Valt Google Gemini ook onder de Workspace verwerkersovereenkomst?

Gemini als Workspace Core Service (geintegreerd in Gmail, Docs, etc.) valt onder het DPA bij zakelijke accounts. Data wordt niet voor training gebruikt. De gratis consumentenversie van Gemini valt hier niet onder. Stand: maart 2026.

Moet ik data regions instellen?

Niet verplicht. Google biedt via het DPA en Standard Contractual Clauses adequate waarborgen voor doorgifte buiten de EU. Data regions (beschikbaar bij Business Standard en hoger) is een extra maatregel als je EU-dataopslag wilt garanderen.

Welk Google Workspace-plan heb ik nodig als ZZP'er?

Business Starter (rond 7 euro per maand bij jaarbetaling) is voldoende voor de meeste ZZP'ers. Je krijgt een zakelijk e-mailadres, verwerkersovereenkomst, 30 GB opslag, en admin-controle. Business Standard (rond 14 euro) voegt data regions en meer opslag toe. Prijzen maart 2026.

Zijn Google Docs en Sheets veilig voor klantdata?

Ja, als ze onder je Workspace-account vallen (Core Services, gedekt door het DPA). Check wel je delingsinstellingen: een Google Sheet met "iedereen met de link kan bewerken" waar klantgegevens in staan is een risico. Beperk delen tot specifieke personen.

Google Workspace en de AVG

Je draait je zakelijke e-mail via Google Workspace. Klantcorrespondentie in Gmail, projectbestanden in Drive, samenwerkingsdocumenten in Docs. Een paar instellingen bepalen of dit AVG-compliant is of niet. De meeste ZZP'ers hebben die instellingen nooit gecheckt.

Regel dit in 15 minuten (4 stappen)

1. Accepteer de verwerkersovereenkomst. Admin Console > Account > Juridisch en compliance > Google Cloud Data Processing Addendum > Accepteren. Dit is je verwerkersovereenkomst met Google. Zonder deze stap heb je geen contractuele basis om klantgegevens via Workspace te verwerken. Het kost twee klikken. De meeste ZZP'ers weten niet dat het bestaat.

2. Zet 2FA aan voor alle gebruikers. Admin Console > Beveiliging > Verificatie > Tweestapsverificatie > Afdwingen. Gebruik een authenticator-app of beveiligingssleutel, geen SMS. Dit is de maatregel die het meeste verschil maakt bij een gehackt account. Meer over beveiliging lees je in het artikel over digitale beveiliging.

3. Beperk extern delen in Drive. Admin Console > Apps > Google Workspace > Drive > Delingsinstellingen. Minimaal: een waarschuwing bij extern delen. Beter: delen buiten de organisatie alleen toestaan met specifieke toestemming. Een Google Sheet met "iedereen met de link" waar klantgegevens in staan is een datalek dat wacht om te gebeuren.

4. Controleer third-party app access. Admin Console > Beveiliging > API-besturingselementen. Gebruikers kunnen via OAuth apps van derden toegang geven tot hun Workspace-data. Check welke apps toegang hebben en beperk dit. Een willekeurige Chrome-extensie met volledige Gmail-toegang is een risico dat je niet wilt.

Gratis Gmail vs. Workspace: het verschil dat ertoe doet

Een gratis @gmail.com-account is een consumentenproduct. Google verwerkt je data onder hun consumentenvoorwaarden. Er is geen verwerkersovereenkomst. Google is verwerkingsverantwoordelijke, niet jouw verwerker. Ze mogen je data gebruiken voor hun eigen doeleinden (geen advertenties scannen meer, maar wel voor andere Google-diensten).

Google Workspace is een zakelijk product. Google treedt op als verwerker. Er is een verwerkersovereenkomst (DPA). Geen advertentiescanning. Meer controle over je data. En admin-tools om beveiliging af te dwingen.

De kosten: Business Starter kost rond de 7 euro per maand bij jaarbetaling. Minder dan een kopje koffie per week. En het verschil tussen "ik verwerk klantgegevens via een tool zonder juridische basis" en "ik heb een verwerkersovereenkomst."

Als je zakelijke e-mail draait op @gmail.com en je verwerkt klantgegevens via die mail: dat is een AVG-probleem. De oplossing is niet duur en kost een uurtje om te migreren.

Een concreet scenario: je bent developer en stuurt offertes, facturen en projectupdates via @gmail.com. Elke e-mail bevat klantgegevens. Google verwerkt die zonder verwerkersovereenkomst. Bij een datalek bij Google heb je geen contractuele basis om ze aan te spreken op hun verplichtingen. Met Workspace heb je die wel.

Nog een risico dat weinig ZZP'ers zien: als je je @gmail.com-account deelt met prive-gebruik (vakantiefoto's, persoonlijke mails), en Google schort je account op vanwege een vermeende beleidsovertreding, ben je ook je zakelijke e-mail en klantcorrespondentie kwijt. Workspace-accounts zijn gescheiden van consumentenaccounts en hebben hun eigen admin-controle.

Wil je weten of je verwerkersovereenkomsten en andere AVG-basics op orde zijn? De Privacy Scan checkt het in 2 minuten.

Meer over verwerkersovereenkomsten lees je in het artikel over verwerkersovereenkomsten.

Core Services vs. Additional Services

Dit is een nuance die bijna niemand kent. Niet alles in Google Workspace valt onder het DPA.

Core Services (gedekt door DPA): Gmail, Google Drive (incl. Docs, Sheets, Slides), Calendar, Meet, Chat, Vault, Sites, Keep, Forms. Dit zijn de diensten waarvoor Google als verwerker optreedt.

Additional Services (niet gedekt): YouTube, Google Maps, Blogger, Google Photos (consumentenversie). Deze vallen onder Google's consumentenvoorwaarden, ook als je ze via je Workspace-account gebruikt.

Praktisch: als je een YouTube-video uploadt via je Workspace-account, valt dat niet onder je verwerkersovereenkomst. Als je klantgegevens verwerkt, doe dat via de Core Services. In de Admin Console kun je Additional Services uitschakelen als je het risico wilt elimineren.

Data regions en EU-opslag

Google Workspace biedt de optie om je data in Europa op te slaan. Maar: dit is alleen beschikbaar bij Business Standard (rond 14 euro/maand) en hoger. Bij Business Starter (de meeste ZZP'ers) is het niet beschikbaar.

Is dat een probleem? Niet per se. Google biedt via het DPA en Standard Contractual Clauses (SCCs) adequate waarborgen voor doorgifte buiten de EU. De AP heeft dit niet als onvoldoende bestempeld. Data regions is een extra maatregel, geen vereiste.

De contra-intuïtieve take: de meeste ZZP'ers zijn beter af met Business Starter + DPA geaccepteerd dan met een duurder plan waar ze data regions aanzetten maar de DPA vergeten te accepteren. Het DPA is het fundament. Data regions is de bonus.

Gemini in Workspace

Als je Google Workspace hebt en Gemini gebruikt voor tekstwerk, samenvatten of e-mails: dat valt als Core Service onder je bestaande DPA. Data wordt niet voor training gebruikt bij zakelijke accounts. Geen extra verwerkersovereenkomst nodig.

Dat maakt het vanuit privacy een van de makkelijkste AI-opties: je hebt al een verwerkersovereenkomst, de data blijft binnen je Workspace-omgeving, en er is geen aparte tool-configuratie nodig. Vergelijk dat met een los ChatGPT-account waar je apart een DPA moet regelen. Meer over AI-tools en privacy lees je in het artikel over ChatGPT voor werk.

Stand van zaken: maart 2026. Google wijzigt regelmatig hun voorwaarden en functionaliteit.

De eerlijke inschatting

Google Workspace is voor de meeste ZZP'ers een van de best geconfigureerde tools qua AVG-compliance. Het DPA is solide, de beveiligingsopties zijn er, en de prijs is laag. Het enige dat je moet doen is het inschakelen.

De vier stappen bovenaan kosten samen een kwartier. Daarna heb je een van je meestgebruikte tools AVG-technisch op orde. En als je al Workspace hebt: check nu of je het DPA hebt geaccepteerd. De kans dat je het niet hebt gedaan is groter dan je denkt.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.