Voor veel MKB-bedrijven is Gmail de digitale voordeur. Daar loopt het contact met klanten, leveranciers, de accountant en de Belastingdienst doorheen. En precies daarom is je Google Workspace-omgeving ook het meest aangevallen onderdeel van je IT. Phishing-mails, gestolen wachtwoorden en stille forward-regels die facturen omleiden: het zijn standaardtechnieken in 2026, en ze raken een bedrijf van vijf man net zo hard als een groot concern.
Google Workspace heeft veel beveiliging ingebouwd, maar standaard staat lang niet alles strak. In deze gids lopen we door tien instellingen die je voor je MKB-omgeving zou moeten controleren of activeren, met per punt vermeld welk abonnement je ervoor nodig hebt. We blijven concreet en eerlijk: sommige opties zitten al in Business Starter, andere vragen om Business Plus of Enterprise. Gebruik je Microsoft in plaats van Google? Lees dan onze tegenhanger Outlook beveiligen voor het MKB.
In het kort: 10 instellingen om Google Workspace te beveiligen
- Tweestapsverificatie (2SV) afdwingen voor elke gebruiker.
- Context-Aware Access of basis-toegangsregels instellen.
- Waarschuwingsbanners voor externe afzenders aanzetten.
- Automatische externe doorsturing blokkeren.
- Geavanceerde phishing- en malwarebescherming activeren.
- Security Sandbox inschakelen voor verdachte bijlagen.
- SPF, DKIM en DMARC voor je eigen domein op orde brengen.
- Auditlogs valideren en waarschuwingen in het Alert Center instellen.
- Verdachte logins monitoren en externe apps beperken.
- Offboarding en periodieke toegangsreviews vastleggen.
Kort op tijd? Punten 1, 3, 4 en 7 zet je vandaag zelf in een uur aan. De rest leg je het beste vast als doorlopend beleid — hieronder per stap met de benodigde licentie.
Eerst checken: welk Google Workspace-abonnement heb je?
Niet elke beveiligingsfunctie zit in elk abonnement. Voor de tien punten hieronder is dit globaal het verschil:
- Business Starter en Business Standard: bieden de basis: tweestapsverificatie, standaard spam- en phishingfilters, de Safety-instellingen en e-mailauthenticatie (SPF, DKIM, DMARC). Voldoende voor de eerste laag bescherming.
- Business Plus: voegt Security Sandbox toe (bijlagen in een sandbox openen), uitgebreider endpointbeheer en langere bewaartermijn voor auditlogs.
- Enterprise: voegt Context-Aware Access (zero-trust toegangsregels), het Investigation Tool met geautomatiseerde acties en data loss prevention voor Gmail en Drive toe.
Weet je niet zeker welk abonnement je hebt? Kijk in de Admin console onder Facturering, Abonnementen. Dat scheelt straks discussie over of een instelling überhaupt beschikbaar is.
1. Tweestapsverificatie afdwingen voor elke gebruiker
De grootste enkele stap tegen account-takeover is tweestapsverificatie (2SV). Een gestolen wachtwoord alleen geeft een aanvaller dan nog geen toegang.
Ga in de Admin console naar Beveiliging, Authenticatie, Tweestapsverificatie. Zet de optie niet alleen op "toegestaan", maar dwing hem af voor iedereen, met een korte inschrijfperiode voor nieuwe medewerkers. Kies bij voorkeur voor een passkey of een hardware-securitysleutel boven sms, want sms is gevoelig voor simswapping. Voor directie en finance — de mensen die het vaakst worden bespeeld bij CEO-fraude — is het Advanced Protection Program een sterke extra laag.
Beschikbaar in: alle Google Workspace-abonnementen.
Geen tijd of zin om dit zelf uit te zoeken?
Wij richten de beveiliging van je e-mail, accounts en apparaten volledig voor je in en houden het up-to-date — of je nu op Google Workspace, Microsoft 365 of een EU-alternatief zit. Eén Nederlands aanspreekpunt, geen jargon.
2. Context-Aware Access of basis-toegangsregels instellen
Context-Aware Access is Google’s zero-trust-aanpak: je bepaalt per app onder welke voorwaarden iemand mag inloggen, bijvoorbeeld alleen vanaf een beheerd apparaat, alleen vanuit Nederland of alleen met een actueel besturingssysteem. Sinds 2026 kun je naast blokkeren ook een "waarschuwen"-actie kiezen, zodat een gebruiker een melding krijgt dat zijn apparaat niet voldoet zonder direct buitengesloten te worden.
De volledige set regels zit in de Enterprise-edities. Zit je op Business Starter of Standard, leun dan op afgedwongen 2SV, login-uitdagingen bij afwijkend gedrag en het beperken van externe apps (punt 9). Dat dekt een groot deel van hetzelfde risico af zonder upgrade.
Beschikbaar in: volledige Context-Aware Access in Enterprise; basis-bescherming via 2SV in alle abonnementen.
3. Waarschuwingsbanners voor externe afzenders aanzetten
Gmail kan automatisch een waarschuwing tonen bij mail van buiten je organisatie, vooral bij afzenders die niet in de contacten staan of die zich voordoen als een collega. Dat klinkt simpel, maar het is verrassend effectief tegen impersonatie: een aanvaller die doet alsof hij jouw directeur is, valt op zodra Gmail meldt dat de mail van een onbekende externe afzender komt.
Controleer in de Admin console onder Apps, Google Workspace, Gmail, Safety of de opties bij Spoofing en authenticatie aanstaan, inclusief de waarschuwing voor onbedoelde externe antwoorden. Deze instellingen kunnen gebruikers zelf niet uitzetten.
Beschikbaar in: alle Google Workspace-abonnementen.
4. Automatische externe doorsturing blokkeren
Een klassieke aanvallerstruc: na een geslaagde phishing zet de aanvaller een filter aan dat alle binnenkomende mail stilletjes doorstuurt naar een extern adres. Het slachtoffer merkt niets, maar lekt maandenlang gevoelige communicatie en bijlagen.
Ga in de Admin console naar Apps, Google Workspace, Gmail, Eindgebruikerstoegang en zet automatische doorsturing uit, zodat gebruikers geen mail meer naar externe adressen kunnen forwarden. Wil je het toch toestaan voor specifieke teams, gebruik dan een routeringsregel die admins waarschuwt zodra er een externe forward wordt ingesteld. Vroeg detecteren is vaak het verschil tussen een ongemak en een datalek.
Beschikbaar in: alle Google Workspace-abonnementen.
5. Geavanceerde phishing- en malwarebescherming activeren
Onder Gmail, Safety vind je drie groepen instellingen die je allemaal op de strengste stand wil zetten: Bijlagen, Links en externe afbeeldingen, en Spoofing en authenticatie. Daarmee laat je Gmail verdachte bijlagen, versleutelde archieven met scripts, afwijkende bijlagetypes en risicovolle links extra streng beoordelen.
Zet daarnaast Enhanced pre-delivery message scanning aan. Gmail houdt dan verdachte berichten langer vast voor extra controle voordat ze worden afgeleverd. Kies bij elke optie voor de actie "naar spam verplaatsen" of "in quarantaine" in plaats van alleen een waarschuwing tonen.
Beschikbaar in: alle Google Workspace-abonnementen.
6. Security Sandbox inschakelen voor verdachte bijlagen
Security Sandbox opent bijlagen eerst in een afgeschermde virtuele omgeving voordat ze de mailbox bereiken. Krijgt een medewerker een Excel-bestand met macro’s, dan voert Google het in isolatie uit om gedrag te observeren. Komt er iets verdachts uit, dan wordt de bijlage geweerd. Het is de bescherming die zero-day-malware vangt die de gewone filters nog niet kennen.
Je activeert het via Gmail, Safety, Security Sandbox en kunt het beperken tot specifieke organisatie-eenheden, bijvoorbeeld alleen finance en directie als je het rustig wil uitrollen.
Beschikbaar in: Business Plus en Enterprise.
7. SPF, DKIM en DMARC voor je eigen domein op orde brengen
De punten hierboven beschermen mail die jij ontvangt. Maar zonder SPF, DKIM en DMARC voor je eigen domein kunnen aanvallers eenvoudig mails versturen die zich voordoen als jouw bedrijf, met jouw klanten als slachtoffer. Sinds Gmail en Yahoo hun afzendervereisten hebben aangescherpt, is dit bovendien bepalend of je eigen mail nog in de inbox belandt. Drie acties:
- SPF: publiceer een TXT-record voor je domein met de Google-include erin (
include:_spf.google.com). - DKIM: ga in de Admin console naar Apps, Google Workspace, Gmail, E-mail authenticeren, genereer de DKIM-sleutel, plaats het TXT-record bij je domein en start daarna de authenticatie.
- DMARC: publiceer een TXT-record op
_dmarc.jouwdomein.nl. Begin metp=noneen een rapportageadres, en bouw na een paar weken op naarp=quarantineen uiteindelijkp=reject.
Onze gids over SPF, DKIM en DMARC voor het MKB behandelt de complete configuratie stap voor stap. Wil je de onderliggende DNS-begrippen eerst scherp hebben, lees dan DNS records uitgelegd voor MKB-ondernemers. En voor de volledige aanpak tegen nep-mails: zo maak je je domeinnaam spoof-proof.
Beschikbaar in: alle Google Workspace-abonnementen.
8. Auditlogs valideren en waarschuwingen in het Alert Center instellen
Zonder logs kun je na een incident vrijwel niets herleiden: wie wanneer waar inlogde, welke bestanden zijn benaderd, welke filters zijn aangemaakt. Ga in de Admin console naar Beveiliging, Onderzoek en audit en controleer of de logs voor inloggen, beheer en Gmail actief zijn.
Stel vervolgens in het Alert Center waarschuwingen in voor de zaken die je echt wil weten op het moment dat ze gebeuren:
- Aanmaken van een nieuwe doorstuur- of filterregel.
- Wijziging in beheerdersrechten.
- Verdachte inlogpogingen of gelekte wachtwoorden.
- Login vanuit een land waar normaal niemand werkt.
Beschikbaar in: basis-auditing en Alert Center in alle abonnementen; langere bewaartermijn in Business Plus en het Investigation Tool met geautomatiseerde acties in Enterprise.
9. Verdachte logins monitoren en externe apps beperken
In het Security-dashboard en het loginauditlog zie je waar en hoe er wordt ingelogd. Loop dit minstens wekelijks door en reset bij een verdachte login direct het account, met een nieuwe wachtwoordregel en het intrekken van actieve sessies.
Minstens zo belangrijk is App-toegangsbeheer onder Beveiliging, API-controls. Daar bepaal je welke externe apps met een Google-login toegang krijgen tot mail, agenda en Drive. Eén medewerker die ergens "inloggen met Google" aanklikt, kan ongemerkt brede leesrechten weggeven. Zet daarom alle niet-vertrouwde apps op geblokkeerd en geef alleen wat je bewust goedkeurt vrij.
Beschikbaar in: alle Google Workspace-abonnementen.
10. Offboarding en periodieke toegangsreviews
Een verlaten account is een levensgevaarlijke achterdeur. Wanneer een medewerker uit dienst gaat, hoort er een vaste offboarding-flow te starten:
- Account schorsen op de laatste werkdag en sessies en inlogcookies resetten.
- Wachtwoord opnieuw instellen en 2SV-tokens intrekken.
- Mail en Drive-bestanden overdragen aan de manager of een opvolger.
- OAuth-tokens van externe apps intrekken en groepslidmaatschappen opheffen.
- Zakelijke apparaten via endpointbeheer wissen of ontkoppelen.
Loop daarnaast eens per kwartaal alle accounts door en controleer welke nog actief horen te zijn. Veel MKB-bedrijven vinden dan accounts van oud-stagiairs of externen die al maanden weg zijn maar nog steeds toegang hebben. Werk je ook met Microsoft? Dezelfde discipline geldt daar — zie onze Microsoft 365 offboarding-checklist.
Beschikbaar in: handmatig in alle abonnementen; uitgebreider endpointbeheer in Business Plus en Enterprise.
Wat zit er in welke licentie? Een snelle samenvatting
| Functie | Business Starter | Business Standard | Business Plus | Enterprise |
|---|---|---|---|---|
| Tweestapsverificatie | Ja | Ja | Ja | Ja |
| Externe-afzenderwaarschuwing | Ja | Ja | Ja | Ja |
| Safety-instellingen (phishing/malware) | Ja | Ja | Ja | Ja |
| SPF, DKIM en DMARC | Ja | Ja | Ja | Ja |
| Security Sandbox voor bijlagen | Nee | Nee | Ja | Ja |
| Context-Aware Access | Nee | Nee | Beperkt | Ja |
| Investigation Tool met auto-acties | Nee | Nee | Nee | Ja |
| Endpointbeheer | Basis | Basis | Geavanceerd | Geavanceerd |
Voor de meeste MKB-bedrijven dekt Business Standard de essentie al ruim af, mits je de instellingen daadwerkelijk aanzet. Verwerk je gevoelige data of wil je sandboxing en zero-trust-toegang, dan is de stap naar Business Plus of Enterprise de moeite waard.
Wanneer schakel je hulp in?
Een aantal van bovenstaande instellingen zet je in een uur zelf aan: 2SV afdwingen, externe-afzenderwaarschuwingen, automatische doorsturing blokkeren en de Safety-instellingen aanscherpen. De zwaardere stappen — Context-Aware Access opbouwen, het Alert Center fijn afstellen en een waterdichte offboarding-flow inrichten — vragen om iemand die de omgeving kent en eerst test voordat er iets live gaat. Anders sluit je per ongeluk legitieme gebruikers buiten of creëer je schijnzekerheid.
Heb je geen interne IT, dan loont het om dit één keer goed te laten inrichten en daarna periodiek te laten reviewen. Wil je principieel minder afhankelijk zijn van Amerikaanse clouddiensten? Lees dan onze gids over digitale soevereiniteit voor het Nederlandse MKB, met EU-alternatieven voor mail en samenwerking.
Tot slot: beveiliging is een ritme, geen project
De tien instellingen hierboven zijn geen klus die je één keer afvinkt. Google brengt regelmatig nieuwe opties uit en verplaatst bestaande. Aanvallers veranderen hun tactieken. Wat vandaag strak staat, kan over zes maanden een blinde vlek hebben omdat een functie is verhuisd of een nieuwe optie is toegevoegd.
Plan daarom minstens elk kwartaal een korte security-review: loop deze tien punten door, bekijk de aanbevelingen in het Security-dashboard en controleer of je abonnement nog past bij je teamomvang en risicoprofiel. Beveiliging die je inregelt en daarna bewaakt, is wat het verschil maakt tussen een vervelende mail en een echt incident.