Super Admin rechten veilig beheren in Google Workspace

Hoe beheer je Super Admin rechten veilig in Google Workspace? Aangepaste rollen, hardware-sleutels, activiteitenlogging en minimale privileges.

Total Workspace 16 March 2026 3 min leestijd
Super Admin Beheerdersrollen Beveiliging Google Workspace Privilege Management 2FA

Een gehackt super admin account is het slechtste security-scenario voor een Google Workspace-organisatie. Met super admin-rechten kan een aanvaller gebruikers verwijderen, toegang tot mail en Drive forceren, Vault-retentie uitzetten en al je data exporteren. Het beveiligen van super admin-accounts is in 2026 geen "nice to have" meer, maar een basisvereiste voor elke Nederlandse organisatie die Workspace gebruikt. Dit artikel beschrijft de acht best practices die Google zelf aanraadt plus de praktische uitvoering in de admin console.

De 8 vuistregels voor super admin-beveiliging

1. Minimaal twee super admin-accounts

Google's eerste aanbeveling: nooit één super admin. Bij verlies van toegang (uitdiensttreding, ziekte, 2FA-device kwijt, compromised account) kan recovery via Google Support dagen duren. Streef naar 2-3 super admins in elke organisatie.

2. Dedicated admin-accounts

Super admin-rechten niet aan je dagelijkse e-mailaccount koppelen. Maak aparte accounts zoals admin@bedrijf.nl, admin2@bedrijf.nl. Deze gebruik je alleen voor admin-taken, niet voor dagelijks werk. Reden: minder aanvalsoppervlak, duidelijker audit-trail.

3. Hardware 2FA verplicht

SMS-2FA is in 2026 niet meer voldoende voor admin-accounts. Gebruik hardware security keys (Yubikey, Google Titan) of passkeys. Configureer via:

Admin Console > Security > Authentication > 2-step verification
Enforcement: Hardware key only voor OU "Admins"

4. Accounts opslaan in separate location

Hardware keys liggen fysiek op kantoor in een kluis, niet in dezelfde tas als de laptop. Recovery-codes offline printen en in aparte kluis bewaren. Minimaal één backup-key op externe locatie (thuis van een tweede super admin, bank-safe).

5. Least privilege voor dagelijkse taken

De meeste admin-handelingen (password reset, user aanmaken) vereisen geen super admin. Maak custom admin roles voor IT-helpdesk met alleen de nodige rechten:

Admin Console > Account > Admin roles > Create custom role
Naam: IT Helpdesk
Privileges: Users > Reset password, Users > Create, Groups > Manage

6. Context-Aware Access voor admin console

De admin console zelf beveiligen met CAA (zie ons apart artikel over CAA). Minimaal: beheerd apparaat, hardware 2FA, specifieke IP-range.

7. Monitoring en alerts

Elke admin-actie loggen en bij afwijkingen alerting opzetten:

Admin Console > Reports > Audit > Admin
Alert rules: verdachte admin-acties

8. Password recovery voor super admins

Sinds begin 2026 moet elke super admin een recovery-telefoonnummer en recovery-email hebben gezet:

Super admin > myaccount.google.com > Security > Ways we can verify it's you
Zowel phone als email
Activate: Allow super administrators to recover their password (Admin Console > Security > Password management)

Zonder deze setup is account-recovery via Google Support een kwestie van dagen tot weken.

Procedure bij vermoeden van compromise

Als een super admin-account mogelijk gehackt is, handelen volgens dit stappenplan:

Stap 1: Sessions beeindigen

Admin Console > Security > Password management > Super Admin account > Reset password
Force sign-out all active sessions

Stap 2: 2FA opnieuw instellen

Admin Console > Users > Super admin user > Security > Get new 2SV backup codes
Verplicht nieuwe hardware key enrollment

Stap 3: Audit admin-acties laatste 30 dagen

Admin Console > Reports > Audit > Admin
Filter: betrokken super admin, afgelopen 30 dagen
Zoek naar: user deletions, license changes, data exports, Vault policy changes

Stap 4: Rollback ongewenste wijzigingen

Per gevonden verdachte actie: herstel de oorspronkelijke staat. Bij massale verwijderingen: restore via Admin > Users > Deleted users > Restore.

Stap 5: Notificeer stakeholders

Als er aanwijzingen zijn dat data is gestolen, activeer incident-response-protocol en overweeg AVG-melding aan AP binnen 72 uur.

Recovery als beide super admins locked out zijn

Zeldzaam, maar kan gebeuren als beide 2FA-devices stuk of kwijt zijn. Recovery-pad:

  1. Ga naar g.co/recover en start admin-recovery
  2. Vul je domein en primaire email van een super admin in
  3. Google vraagt om DNS-verificatie (TXT-record plaatsen)
  4. Support-agent neemt contact op, vraagt om bedrijfsdocumentatie (KvK, factuurkopieen)
  5. Identity-verificatie en accountherstel: 2-7 werkdagen

Zorg dat je KvK-uittreksel en laatste Google-factuur bij de hand hebt.

Vrijblijvend advies

Vragen over dit onderwerp? Wij helpen u graag als gecertificeerde Google Workspace Partner.

  • Reactie binnen 1 werkdag
  • Gecertificeerde Google Partner
  • Geen verplichtingen
Contact opnemen

Veelgestelde vragen

Hoeveel super admins zou mijn organisatie minimaal moeten hebben?
Minimaal 2, idealiter 3. Meer dan 5 is meestal te veel (hoger aanvalsoppervlak).
Kan een super admin een andere super admin verwijderen?
Ja. Daarom: protocol voor super-admin-changes (4-ogen-principe). Documenteer wie super admin kan aanmaken/verwijderen.
Verlies ik mijn dedicated admin-account als ik niet actief bent?
Dedicated admin-accounts hebben een licentie nodig (vaak Business Starter volstaat). Google suspend accounts die 180+ dagen niet inloggen; login daarom minimaal elke 90 dagen.
Hoe combineer ik super admin met SSO via bijvoorbeeld Okta?
Super admin-accounts worden best buiten SSO gehouden. Reden: als je SSO-provider uitvalt of compromised is, moet je super admin nog kunnen inloggen. Config: super admin OU is uitgesloten van SAML-enforcement.
Welke custom roles zijn het meest nuttig?
IT Helpdesk (password reset, user create), Security Analyst (audit logs, security center only), Billing Manager (subscription management), Gmail Admin (email routing, DLP), Drive Admin (shared drives, sharing policies).
Moeten super admins ook door Vault worden gearchiveerd?
Ja. Admins zijn users; hun mail en Drive valt onder Vault mits je retention-policy de betreffende OU omvat. Voor compliance: ja.
Hoe voorkom ik dat een vertrekkende IT-beheerder nog super admin blijft?
Offboarding-procedure: laatste dag, verwijder super admin-rol, rotate gedeelde credentials, audit laatste admin-acties, suspend account na enkele dagen, verwijder na 30-90 dagen afhankelijk van retentiebeleid.
Is het oke om super admin te delen via een password manager?
Nee. Dat vermijdt audit-traceability. Elke super admin moet een eigen, persoonlijk admin-account hebben. Gedeelde accounts zijn een security-anti-pattern.

Staat uw vraag er niet bij?

Stuur ons een bericht. Wij kijken met u mee en reageren met eerlijk advies.

  • Reactie binnen 1 werkdag
  • Geen verplichtingen
Stuur een bericht

Meer artikelen over dit onderwerp

19 December 2025

Google Workspace Account Beveiligen Na een Hack of Datalek

Stap-voor-stap handleiding voor Google Workspace beheerders: wat te doen bij een gehackt account, van onmiddellijke maatregelen...
14 December 2025

Google Workspace Facturen Ontvangen en Beheren

Alles over Google Workspace facturen: waar vind je ze, hoe stel je het BTW-nummer in, hoe voeg je extra ontvangers toe en wat d...
03 December 2025

Top 10 Meest Gestelde Vragen van Google Workspace Beheerders

De 10 meest voorkomende Google Workspace admin vragen met directe oplossingen. Van toegang kwijt en factuurproblemen tot spam, ...

Vraag over dit onderwerp?

Stuur ons een bericht. Wij reageren binnen 1 werkdag met eerlijk advies.