Python scripts voor Google Workspace Admin SDK
Praktische Python scripts voor de Google Workspace Admin SDK: gebruikers exporteren, bulk aanmaken, aanmeldingsrapporten ophale...
Voor organisaties waar AVG-compliance, sectorregelgeving of vertrouwelijkheid strict zijn, volstaat Google's standaard-encryptie niet altijd. Met Client-Side Encryption (CSE) versleutel je Workspace-bestanden en -data in de browser van de gebruiker, nog voor ze de Google-servers bereiken. Google kan die data vervolgens niet lezen, zelfs niet met een gerechtelijk bevel. De sleutel blijft in jouw eigen Key Management Service (KMS). Dit artikel beschrijft de setup in 2026, inclusief de officiele KMS-partners en praktische valkuilen.
Waarom Client-Side Encryption?
Standaard Workspace-encryptie versleutelt data in transit (tussen gebruiker en Google) en at rest (op Google's servers). Google heeft echter de sleutel, en kan onder Amerikaans recht tot data worden gedwongen of in theoretische noodgevallen data lezen voor support.
CSE voegt een laag toe: data wordt in de browser van de gebruiker versleuteld met een sleutel die door jouw eigen KMS wordt uitgedeeld. Google ziet alleen een versleutelde blob. Van toepassing op:
- Google Drive: Docs, Sheets, Slides en bestanden
- Gmail: e-mails met CSE-label
- Google Meet: versleutelde opnames en chat
- Google Calendar: afspraak-beschrijvingen
Gebruikers merken niets aan encryptie zelf; het gebeurt automatisch. Bij het openen van een versleuteld bestand moet de browser contact krijgen met jouw KMS om de sleutel te decrypten.
Wanneer CSE gebruiken?
CSE is geschikt voor:
- Organisaties in zorg, finance, overheid, juridisch
- Bedrijven met AVG-artikel 32 "passende technische maatregelen" vereisten
- Intellectueel eigendom, M&A-dossiers, R&D
- NATO / EU-security-classificaties
CSE is niet geschikt voor:
- Teams die niet-CSE-gebruikers hebben (cross-organisatie samenwerking is beperkt)
- Werkstromen die afhankelijk zijn van Gemini of Workspace Intelligence (CSE-data is niet voor AI beschikbaar)
- Openbare of publicatie-klare documenten
Belangrijk: Gemini en andere AI-features werken niet op CSE-versleutelde content. Dit is bewust: de AI zou dan immers via Google de decryptie moeten doen, wat de hele CSE-opzet ondermijnt. Kies bewust welke inhoud CSE krijgt.
Officiele KMS-partners
Google CSE werkt met externe Key Management Services. De door Google gecertificeerde partners in 2026:
| KMS-provider | Geschikt voor | Hosting |
|---|---|---|
| Fortanix Data Security Manager | Enterprise, regulated industries | SaaS, on-prem, hybrid |
| Thales CipherTrust | Overheid, finance | On-prem, cloud |
| Futurex HSM | Finance, payment-industries | On-prem, cloud |
| Utimaco ESKM | Enterprise | On-prem |
| Stormshield (Virtru) | MKB, EU-focus | SaaS |
| FlowCrypt | Kleinere organisaties | SaaS |
Voor Nederlandse MKB-organisaties zijn Fortanix SaaS en Stormshield (Virtru) de meest gangbare keuzes vanwege AVG-compliance en simpele setup.
Setup stap voor stap (met Fortanix als voorbeeld)
Stap 1: Vereisten
- Workspace Enterprise Plus of Workspace for Education Plus
- Een Super Admin account
- Een actief contract met een KMS-provider (Fortanix in dit voorbeeld)
- DNS-control over je domein
Stap 2: Fortanix DSM configureren
Log in op Fortanix DSM en ga naar Integrations. Selecteer de checkbox Cloud Key Management / BYOK. Klik op Configure op de Google Workspace-tegel.
Fortanix vraagt:
- Workspace-domein
- Identity Provider (Google of externe IdP)
- Scope-selectie (welke Workspace-apps CSE krijgen)
Fortanix genereert een endpoint-URL en een Application Identifier die je nodig hebt in Workspace.
Stap 3: Identity Provider configureren
CSE vereist een IdP voor user-authenticatie bij de KMS (Google alleen is onvoldoende omdat CSE juist Google moet buitensluiten uit de sleutel-materiaal).
Als je al een externe IdP hebt (Okta, Microsoft Entra ID): configureer die als OIDC-provider voor Fortanix.
Als je alleen Google wilt gebruiken: gebruik Google's ingebouwde IdP-functie voor CSE, mits je Enterprise Plus hebt.
Stap 4: Workspace CSE-service inschakelen
Admin Console > Security > Access and data control > Client-side encryptionPer service (Drive, Gmail, Meet, Calendar) vul je de KMS-endpoint-URL en IdP-details in. Test met een test-OU voordat je organisatiebreed uitrolt.
Stap 5: OU-based rollout
Admin Console > Security > CSE > Service status
Selecteer: Specific organizational units
OU: Pilot users
Status: ONTest met 5-10 gebruikers gedurende 2-4 weken voordat je bredere OUs activeert.
Dagelijks gebruik
CSE-versleuteld bestand aanmaken
In Drive: klik Nieuw, kies Versleuteld document of (voor bestaande bestanden) selecteer een bestand en kies Versleutelen. Een slotje-icoon geeft aan dat het bestand CSE-beveiligd is.
CSE-mail verzenden
In Gmail: klik op het slotje in het opstel-venster, selecteer Client-side encryption enabled. De ontvanger moet ook CSE hebben geactiveerd in zijn Workspace-omgeving voor directe lezing.
Meet-opname beveiligen
Alleen host-moderator kan een CSE-meet starten. Deelnemers uit andere organisaties moeten compatible IdP-config hebben; anders kunnen ze niet deelnemen.
Beheer, audit en disaster recovery
Audit: alle CSE-events (encrypt, decrypt, access-denied) worden gelogd in zowel Workspace audit log als in Fortanix audit log.
Disaster recovery: wat gebeurt er als Fortanix offline is? Bestanden kunnen dan tijdelijk niet worden geopend. Fortanix biedt multi-region HA; configureer failover bij aanvang.
Key rotation: Google raadt 12-maandelijkse sleutelrotatie aan. Fortanix handelt dit transparant af; oude versleutelde data wordt on-the-fly her-versleuteld met de nieuwe key.
Ex-werknemers: hun persoonlijke CSE-keys kunnen na uitdiensttreding worden gereset. Bestanden die zij aanmaakten blijven toegankelijk voor nieuwe eigenaar mits er een organisatie-level key is gebruikt.