Google Workspace account beveiligen na een hack of datalek

Stap-voor-stap handleiding voor Google Workspace beheerders: wat te doen bij een gehackt account, van onmiddellijke maatregelen tot structurele beveiliging en AVG-melding.

Total Workspace 19 December 2025 2 min leestijd
Google Workspace Beveiliging Hack Datalek 2FA Context-Aware Access AVG GDPR

Je ontvangt een melding van een verdachte aanmelding, een medewerker meldt dat iemand in zijn account heeft gekeken, of je ziet in de rapporten onbekende inlogactiviteit. Dit zijn de stappen die je onmiddellijk moet nemen, gevolgd door structurele maatregelen om herhaling te voorkomen.

Onmiddellijke stappen bij een vermoedelijke hack

Handel binnen het eerste uur. Elke minuut dat een aanvaller toegang heeft, kan leiden tot meer datadiefstal of verdere verspreiding.

1. Wachtwoord resetten en sessies beeindigen

Admin Console > Gebruikers > [getroffen gebruiker] > Beveiliging
> Wachtwoord opnieuw instellen > Aanmelding bij volgende aanmelding vereisen
> Aanmeldingen intrekken (alle actieve sessies beeindigen)

2. Herstel e-mails en apparaten controleren

Controleer of de aanvaller doorstuurregels heeft ingesteld:

Inloggen als de gebruiker (via Admin Console > Gebruiker impersoneren)
Gmail-instellingen > Doorsturen en POP/IMAP
Verwijder alle onbekende doorstuurregels

Controleer ook verbonden apparaten:

Admin Console > Apparaten > Overzicht
Verwijder alle onbekende of verdachte apparaten

3. Overbodige OAuth-autorisaties intrekken

Aanvallers installeren soms kwaadaardige OAuth-apps om ook na wachtwoordwijziging toegang te houden:

Admin Console > Beveiliging > API-besturing > App-toegang beheren
Intrekken van verdachte of onbekende apps

Tip: Controleer ook de persoonlijke OAuth-autorisaties van de gebruiker via myaccount.google.com/permissions.

De aanval analyseren

Nadat je de onmiddellijke bedreiging hebt gestopt, analyseer je wat er is gebeurd.

Alert Center raadplegen:

Admin Console > Beveiliging > Alert Center
Zoek naar: Verdachte aanmelding, Phishing e-mail, Malware

Aanmeldingsactiviteit bekijken:

Admin Console > Rapporten > Gebruikersrapporten > Beveiliging
Klik op de gebruiker > Recente aanmeldingsactiviteit

Noteer IP-adressen, tijdstippen en locaties van verdachte aanmeldingen voor je incident report.

Structurele beveiliging implementeren

2-stapsverificatie verplicht maken

Dit is de meest effectieve maatregel. Zonder 2FA is een wachtwoord alleen niet voldoende.

Admin Console > Beveiliging > 2-stapsverificatie
Instelling: Verplicht maken
Nieuwe gebruikers inschrijvingsperiode: 1 week

Tip: Kies voor hardware-sleutels (bijv. YubiKey) als de sterkste vorm van 2FA, zeker voor Super Admins. Phishing-resistente authenticatie voorkomt dat aanvallers 2FA-codes onderscheppen.

Context-Aware Access instellen

Met Context-Aware Access kun je instellen dat toegang alleen mogelijk is vanuit bepaalde locaties of apparaatcondities:

Admin Console > Beveiliging > Context-Aware Access
Maak een toegangsniveau aan: Alleen toegestane landen (bijv. Nederland)
Pas toe op Google Workspace apps

Wachtwoordbeleid aanscherpen

Admin Console > Beveiliging > Wachtwoordbeheer
Minimale wachtwoordlengte: 12 tekens
Verloop instellen: 90 dagen (optioneel, maar niet aanbevolen als 2FA actief is)
Hergebruik voorkomen: Aan

Verdachte e-mail meldingen activeren

Admin Console > Beveiliging > Alert Center > Instellingen
E-mailmeldingen inschakelen voor: Verdachte aanmelding, Phishing, Brute force

Incident response documenteren

Voor AVG/GDPR-compliance moet een datalek binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens als er persoonsgegevens zijn gelekt. Documenteer:

  • Datum en tijdstip ontdekking
  • Welke accounts zijn getroffen
  • Welke data mogelijk is ingezien (e-mails, bestanden in Drive)
  • Welke maatregelen zijn genomen
  • Of klanten of medewerkers genotificeerd moeten worden
Terug naar blog Vraag advies aan

Veelgestelde vragen

Hoe weet ik of mijn Workspace-account gehackt is?
Tekenen zijn: e-mails die je niet hebt verstuurd, onbekende doorstuurregels in Gmail, vreemde aanmeldactiviteit in Rapporten, of meldingen van Alert Center. Controleer maandelijks proactief de aanmeldingsactiviteit.
Kan de aanvaller nog toegang hebben na wachtwoordwijziging?
Ja, als er OAuth-apps zijn geautoriseerd of doorstuurregels zijn ingesteld. Doorloop altijd de stap "OAuth-autorisaties intrekken" en controleer Gmail-doorstuurregels.
Moet ik een hack melden bij de Autoriteit Persoonsgegevens?
Ja, als er persoonsgegevens zijn gelekt en de inbreuk een risico vormt voor betrokkenen. Je hebt 72 uur na ontdekking. Gebruik de meldtool op autoriteitpersoonsgegevens.nl.
Hoe beveilig ik Super Admin-accounts extra?
Gebruik exclusief hardware-sleutels voor Super Admins, schakel aanmeldingen via minder veilige apps uit, en beperk de locaties van waaruit aanmelding mogelijk is via Context-Aware Access.
Wat doet Google als mijn account gehackt is?
Google detecteert verdachte aanmeldingen automatisch en kan een account preventief vergrendelen. Je ontvangt hiervan een melding op het herstel-e-mailadres. Neem bij een vergrendeld account contact op met Google Support via de Admin Console.
Kan ik zien welke bestanden de aanvaller heeft bekeken?
Via Google Vault (als dit is ingeschakeld) kun je Drive-activiteit controleren. Ga naar Admin Console > Rapporten > Drive-activiteit en filter op de getroffen gebruiker. Zonder Vault is historische activiteit beperkt zichtbaar.
Hoe informeer ik medewerkers na een datalek?
Stuur een duidelijke interne communicatie met: wat er is gebeurd, welke data mogelijk is ingezien, wat de medewerker zelf moet doen (wachtwoord wijzigen, controleren op phishing), en wat de organisatie doet om herhaling te voorkomen.
Is 2FA via sms veilig genoeg?
SMS-gebaseerde 2FA is beter dan niets, maar kwetsbaar voor SIM-swapping aanvallen. Gebruik bij voorkeur de Google Authenticator app, Google Prompt, of een hardware-sleutel. Voor Super Admins is een hardware-sleutel verplicht aan te raden.
Hoe lang bewaar ik aanmeldingslogboeken voor eventueel forensisch onderzoek?
Google Workspace bewaart aanmeldingslogboeken standaard 6 maanden. Met Vault kun je retentiebeleid instellen voor langere bewaring. Voor serieus forensisch onderzoek adviseer je een externe SIEM-tool te koppelen via de API.
Hoe test ik de beveiliging van mijn Workspace-omgeving?
Gebruik de ingebouwde Beveiligingsstatus check via Admin Console > Beveiliging > Beveiligingsstatus. Voer ook regelmatig phishing-simulaties uit via het Security Center om te testen hoe goed medewerkers phishing herkennen.

Andere artikelen

Vraag over dit onderwerp?

Wij reageren binnen 1 werkdag met een eerlijk en concreet antwoord.

1
Aanvraag
2
Specificatie
3
Uw gegevens

Waarmee kunnen wij u helpen?

Informatie & advies

Vraag over het artikel.

Offerte aanvragen

Prijsindicatie ontvangen.

Implementatie

Hulp bij toepassing.

Bestaande klant

Vraag of melding indienen.

Kunt u dit specificeren?

Verdieping op dit onderwerp
Toepassing in onze situatie
Algemeen Workspace-advies
Prijsindicatie
Vast projecttarief
Doorlopend support / SLA
Nieuwe implementatie
Uitbreiding bestaande setup
Migratie vanuit ander platform
Technisch probleem
Factuur of contract
Aanvullende wens