Mag u Google Drive gebruiken
onder de AVG? Dit moet u weten

Veel organisaties gebruiken Google Drive zonder daar lang bij stil te staan. Dat is begrijpelijk: het werkt goed, iedereen kent het en bestanden delen voelt inmiddels vanzelfsprekend. Toch stellen steeds meer organisaties dezelfde vraag: mag Google Drive eigenlijk wel onder de AVG?

Het korte antwoord: ja, dat kan. Maar het ligt genuanceerder dan de meeste mensen denken — en het vereist actie die veel organisaties nooit hebben ondernomen.

De AVG draait om verantwoordelijkheid

De AVG verbiedt Google Drive niet. Duizenden Nederlandse organisaties gebruiken dagelijks diensten van Google, Microsoft en Dropbox. Maar de AVG legt wel de verantwoordelijkheid bij organisaties zelf.

Wanneer u persoonsgegevens verwerkt — en dat doet vrijwel elke organisatie — moet u zorgen voor passende beveiliging, duidelijke afspraken met leveranciers, controle over wie toegang heeft tot welke data, en zorgvuldige omgang met gevoelige informatie. Dat geldt voor grote organisaties, maar ook voor kleine praktijken, scholen en zelfstandigen.

Het verwerkersovereenkomst-probleem

Als u persoonsgegevens opslaat in Google Drive — denk aan klantenlijsten, HR-documenten, patiëntgegevens of leerlingdossiers — dan is Google een zogeheten verwerker. De AVG verplicht u een verwerkersovereenkomst met die verwerker te sluiten.

Google biedt zo'n overeenkomst aan, via de Data Processing Amendment in de Google Workspace-voorwaarden. Maar: die overeenkomst moet u actief accepteren en bewust beheren. En de voorwaarden zijn die van Google — niet die van u.

Waarom de datalocatie ingewikkelder is dan het lijkt

Google heeft datacenters in Europa, waaronder in Nederland. Dat klinkt geruststellend — maar het is niet het volledige verhaal.

Google is een Amerikaans bedrijf en valt daarmee onder de Amerikaanse CLOUD Act. Die wet geeft Amerikaanse autoriteiten het recht om data op te vragen bij Amerikaanse bedrijven, ook wanneer die data fysiek in Europa is opgeslagen. Google is verplicht mee te werken aan zo'n verzoek — zonder dat u daar als klant van op de hoogte hoeft te worden gesteld.

Voor de meeste organisaties levert dit in de praktijk geen problemen op. Maar voor organisaties die werken met bijzondere persoonsgegevens — medische informatie, strafrechtelijke gegevens, financiële dossiers — is dit een risico dat expliciet afgewogen moet worden in het kader van de AVG.

Wanneer Google Drive onder de AVG problemen oplevert

Er zijn situaties waarbij het gebruik van Google Drive en de AVG wringt:

• Zorgpraktijken die patiëntgegevens opslaan in gedeelde mappen vallen onder aanvullende regels rondom medisch beroepsgeheim en NEN 7510.
• Scholen die leerlingdossiers en oudercontacten bijhouden in Google Drive moeten kunnen aantonen dat ze de toegang adequaat hebben ingeperkt.
• Juridische professionals die cliëntdossiers delen via Google Drive lopen risico op schending van het beroepsgeheim als de toegangsrechten niet goed zijn ingericht.
• Organisaties die werken met bijzondere persoonsgegevens (gezondheid, religie, ras) hebben een sterkere verwerkingsgrondslag nodig en moeten extra maatregelen kunnen aantonen.

Wat u minimaal moet regelen als u Google Drive blijft gebruiken

Wanneer is een alternatief verstandiger?

Voor sommige organisaties is de eenvoudigste oplossing niet het juridisch waterdicht maken van Google Drive, maar overstappen naar een platform waarbij de risico's van nature kleiner zijn.

Met Nextcloud op Europese hosting valt uw data volledig onder Europese wetgeving. Er is geen Amerikaans bedrijf in de keten. U bent zelf de verwerkingsverantwoordelijke én de beheerder van de infrastructuur. Dat maakt de AVG-verantwoording aanzienlijk eenvoudiger — en de risico's kleiner.

Dat betekent niet dat Google Drive nooit een keuze is. Voor organisaties zonder bijzondere persoonsgegevens en met goed beheer is Google Drive prima te verantwoorden. Maar maak die keuze bewust, niet bij gebrek aan een alternatief.