‘Google heeft toegang tot gevoelige data van G Suite-klanten’

Binnen bedrijven gaat flink wat gevoelige data rond. Gebruikt een organisatie G Suite, dan is de kans groot dat die data zich ook daar bevindt. Maar nu blijkt dat die data daar niet altijd zo veilig is als zou moeten. Een voormalig Google-werknemer stelt namelijk dat de internetgigant toegang heeft tot privébestanden. 

De waarschuwing komt van voormalig Google-werknemer Martin Shelton, die zijn verhaal op de website van de Freedom of the Press Foundation doet. Hij vertelt dat documenten binnen het G Suite-domein niet beschermd zijn door end-to-end-encryptie.

“Dat betekent dat Google alles heeft om je data te lezen”, aldus Shelton. Google-werknemers kunnen de data dus ook lezen, al is hier wel toegang toe nodig. Hoe bepaald wordt wie deze toegang krijgt en hoeveel mensen toegang hebben, is onduidelijk. 

Shelton benadrukt dat dit ook betekent dat inlichtingendiensten Google kunnen dwingen om die data te overhandigen voor onderzoeken. 

Veel zichtbaarheid nodig

De meeste Google-diensten zijn voorzien van een verbinding die beschermd is met encryptie. De data op de servers van Google wordt ook versleuteld opgeslagen. Op die manier moet voorkomen worden dat anderen hier toegang tot hebben. 

Maar G Suite is volgens Shelton anders. Google heeft hier juist wel inzicht in gebruikersdata, onder meer om te filteren op spam en malware. Ook heeft het bedrijf de data nodig om hack-pogingen te voorkomen, en om te scannen of content illegaal is of in strijd is met Google’s eigen beleid. 

G Suite kan wel zo geconfigureerd worden dat het voldoet aan diverse standaarden voor het opslaan van gevoelige data, maar die instellingen doen geen beloftes over end-to-end-encryptie. Dit betekent dat data in G Suite zo opgeslagen wordt dat Google het nog altijd kan lezen. 

IT-admins

Maar niet alleen Google heeft toegang tot de data. Ook administrators kunnen gevoelige bestanden zien, stelt Shelton. Hoeveel zij kunnen zien, hangt af van de versie van G Suite. 

G Suite Enterprise biedt IT-admins de meeste transparantie voor de Google-activiteiten van gebruikers. Zij kunnen, net als bij G Suite Business, zelfs tools gebruiken om de activiteiten van werknemers te monitoren en te volgen. De informatie kan opgeslagen worden in een Google Vault. 

Ook kunnen IT-admins zoeken op content in Gmail en Google Drive, evenals metadata. Ook kunnen ze regels opstellen om te automatiseren hoe die data behandeld wordt. De data kan gelogd en bewaard worden, afhankelijk van hoe de administrator G Suite configureert. 

Aanbevelingen

Shelton doet ook diverse aanbevelingen. Zo raadt hij aan om te onderzoeken hoe de Google-diensten gerelateerd aan G Suite gebruikt worden. Ook raadt hij aan om goed te overwegen wat wel en niet in G Suite opgeslagen wordt.