Gegevensclassificatie voor ISO 27001, GDPR, NIS2 en DORA

Het auditmoment van 2026: “Toon mij het bewijsmateriaal”

Het is februari 2026 en de kwartaalvergadering van de raad van bestuur bij een snelgroeiend fintech-SaaS-bedrijf verloopt minder soepel dan de CISO had verwacht.

Het bedrijf heeft onlangs de ISO/IEC 27001:2022-certificering behaald. Het beschikt over MFA, endpointbescherming, kwetsbaarheidsscans, toegangsbeoordelingen, incidentresponsprocedures en een verzorgde DORA-gereedheidsrapportage. Dan stelt de CEO de vraag die de sfeer in de ruimte verandert.

“Onze belangrijkste investeerder vraagt hoe wij kunnen aantonen dat financiële klantgegevens consistent worden beschermd in AWS, Azure, ons SaaS-supportplatform en het analytics warehouse. Als een auditor één bestand uit objectopslag haalt en een ander uit een samenwerkingsmap, hoe weten wij dan dat ze onder dezelfde regels vallen?”

De CISO opent het bedrijfsmiddelenregister. Het vermeldt databases, cloudaccounts, applicaties, SaaS-platformen en opslaglocaties. Maar het classificatieveld is onvolledig. Sommige mappen zijn benoemd naar afdeling, niet naar gevoeligheid. Klantexports staan naast interne rapportagebestanden. Sommige supportspreadsheets bevatten klantidentificatoren, betaalreferenties en casusnotities, maar zijn gelabeld als “intern”. DLP-regels bestaan, maar worden alleen geactiveerd op evidente patronen. Het cloudbeleid bepaalt dat EU-persoonsgegevens in goedgekeurde regio’s moeten blijven, maar het team kan niet aantonen dat residentieregels worden aangestuurd door classificatiemetadata.

Daarna voegt de compliancemanager de regelgevende invalshoek toe: “Voldoet dit aan GDPR Article 32, NIS2 Article 21 en DORA ICT-risicobewijs?”

Het eerlijke antwoord is: nog niet.

Dit is de kloof waarmee veel organisaties in 2026 te maken hebben. Zij hebben beveiligingsmaatregelen, maar niet de governancelaag die elke beheersmaatregel vertelt wat moet worden beschermd, hoe sterk het moet worden beschermd en hoe dit moet worden aangetoond. Die governancelaag is gegevensclassificatie en informatie-etikettering.

In termen van ISO/IEC 27001:2022 zijn classificatie en etikettering geen cosmetische documentbeheerpraktijken. Zij vormen de praktische brug tussen risicobeoordeling, toegangscontrole, encryptie, retentie, DLP, gegevensresidentie in de cloud, leveranciers-due diligence, monitoring en incidentmelding. In het implementatiemodel van Clarysec staan zij centraal in de ISMS-bewijsketen: inventariseer het bedrijfsmiddel, wijs een eigenaar toe, classificeer het, label het, pas verwerkingsregels toe, monitor uitzonderingen en toon auditors de traceerbaarheid.

Waarom classificatie en etikettering nu beheersmaatregelen op bestuursniveau zijn

Toezichthouders en klanten verwachten steeds vaker dat organisaties aantonen dat beveiligingsmaatregelen passend zijn voor de gevoeligheid van de gegevens, de criticaliteit van de dienst en de bedrijfsimpact bij falen.

GDPR maakt dit expliciet via de verantwoordingsplicht. Article 5 vereist dat persoonsgegevens rechtmatig, behoorlijk en transparant worden verwerkt, beperkt blijven tot wat noodzakelijk is, alleen worden bewaard zolang dat nodig is en worden beschermd met passende technische en organisatorische maatregelen. De verwerkingsverantwoordelijke moet naleving ook kunnen aantonen. GDPR Article 32 wordt vervolgens moeilijk te onderbouwen zonder te weten welke systemen persoonsgegevens verwerken, welke gegevens een hoog risico vormen of bijzondere categorieën zijn, waar zij zijn opgeslagen en welke waarborgen van toepassing zijn.

NIS2 legt de lat voor governance hoger. Article 20 vereist dat bestuursorganen van essentiële en belangrijke entiteiten maatregelen voor cyberbeveiligingsrisicobeheer goedkeuren, toezicht houden op de implementatie en training ontvangen. Article 21 vereist passende en evenredige technische, operationele en organisatorische maatregelen, waaronder risicoanalyse, beveiligingsbeleid, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, beveiliging bij verwerving en ontwikkeling, beoordeling van doeltreffendheid, cyberhygiëne, training, cryptografie, HR-beveiliging, toegangscontrole en beheer van bedrijfsmiddelen. Classificatie is geen afzonderlijk afvinkpunt in die lijst. Het is het beslissingsmechanisme dat die maatregelen proportioneel maakt.

DORA past dezelfde logica toe op financiële entiteiten en fintech-ecosystemen. Sinds 17 januari 2025 vereist DORA een gedocumenteerd ICT-risicobeheerkader, verantwoordelijkheid van het bestuursorgaan, beleid voor vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit, incidentclassificatie, weerbaarheidstesten en ICT-risicobeheer voor derde partijen. Voor financiële entiteiten die onder DORA vallen, kan DORA fungeren als sectorspecifieke rechtshandeling van de Unie in plaats van overlappende NIS2-verplichtingen voor risicobeheer en rapportage, maar de verwachting ten aanzien van bewijsmateriaal blijft dezelfde: laat zien hoe kritieke informatie- en ICT-activa worden geïdentificeerd, beschermd, getest, gemonitord en bestuurd.

ISO/IEC 27001:2022 is zeer geschikt als operationeel systeem voor dit bewijsmateriaal. Clausules 4.1 tot en met 4.4 vereisen dat de organisatie interne en externe kwesties, eisen van belanghebbenden, wettelijke en contractuele verplichtingen en interfaces met andere organisaties begrijpt. Clausules 6.1.1 tot en met 6.1.3 vereisen risicobeoordeling, risicobehandeling, selectie van beheersmaatregelen, een Verklaring van Toepasselijkheid en bewaard bewijsmateriaal. ISO/IEC 27001:2022

Als GDPR, NIS2 en DORA vragen: “Waarom hebt u deze maatregelen toegepast?”, helpt ISO/IEC 27001:2022 u antwoorden: “Omdat deze activa, gegevenstypen, risico’s, verplichtingen en behandelbesluiten daartoe hebben geleid.”

Classificatie is de risicobeslissing. Etikettering is het operationele signaal.

Clarysec maakt onderscheid tussen classificatie en etikettering omdat auditors dat ook doen.

Classificatie is het bepalen van de gevoeligheid, waarde en criticaliteit van informatie. Etikettering maakt die beslissing zichtbaar, blijvend en afdwingbaar in de dagelijkse operatie.

Clarysec’s Data Classification and Labeling Policy - SME formuleert het doel duidelijk:

Dit beleid definieert hoe alle informatie die door de organisatie wordt verwerkt, moet worden geclassificeerd en gelabeld om te waarborgen dat de vertrouwelijkheid, integriteit en beschikbaarheid ervan gedurende de volledige levenscyclus behouden blijven.

Dezelfde Data Classification and Labeling Policy - SME vereist dat organisaties:

Elk gegevensmiddel classificeren op basis van de gevoeligheid ervan en dienovereenkomstig labelen om correcte verwerking, opslag en toegang te sturen.

Voor enterprise-omgevingen definieert Clarysec’s P13 Data Classification and Labeling Policy het minimale classificatiemodel:

De organisatie moet een gestandaardiseerd classificatieschema met duidelijk gedefinieerde niveaus onderhouden. Minimaal moeten de volgende classificatieniveaus worden gebruikt: 5.1.1 Public: Informatie bedoeld voor open publicatie en onbeperkte verspreiding 5.1.2 Internal: Niet-openbare bedrijfsinformatie die niet bedoeld is voor externe verspreiding 5.1.3 Confidential: Gevoelige bedrijfs-, contractuele of klantgegevens waarvoor strikte toegangscontrole vereist is 5.1.4 Restricted (of Highly Confidential): Kritieke of gereguleerde informatie waarbij ongeautoriseerde openbaarmaking kan leiden tot aanzienlijke schade of juridische aansprakelijkheid

Dat onderscheid is belangrijk. Een classificatie “Confidential” kan encryptie, rolgebaseerde toegang en contractuele waarborgen vereisen. Een classificatie “Restricted” kan MFA, CISO-goedkeuring voor extern delen, uitgebreide logging, sterkere governance van retentie, functiescheiding en prioritaire incidentescalatie activeren.

Het enterprisebeleid is expliciet over operationele etikettering:

Alle informatieactiva moeten worden gelabeld op een wijze die: 6.2.1.1 Blijvend is: niet eenvoudig kan worden verwijderd of overschreven 6.2.1.2 Zichtbaar is: duidelijk voor gebruikers op het moment van gebruik 6.2.1.3 Machineleesbaar is: waar mogelijk moet metadatagebaseerde tagging worden ondersteund

Machineleesbare labels zijn het punt waarop het programma volwassen wordt: van bewustwording naar afdwinging. Als labels metadatagebaseerd zijn, kunnen cloudplatformen, DLP-systemen, e-mailgateways, identiteitstools, SIEM-regels, CASB-platformen en retentie-engines erop handelen. Als labels alleen een voettekst in een document zijn, kunnen ze gebruikers helpen, maar kunnen ze regels niet betrouwbaar op schaal afdwingen.

Waar classificatie thuishoort in de Clarysec-roadmap

Clarysec’s Zenith Blueprint: An Auditor’s 30-Step Roadmap plaatst classificatie vroeg in de risicobeheerlevenscyclus, niet pas na de uitrol van technologie. In de risicobeheerfase, stap 9, “Identifying Assets, Threats, and Vulnerabilities”, geeft de roadmap teams de opdracht informatieactiva te inventariseren en eigenaar, locatie en classificatie vast te leggen.

Dit voorkomt een veelvoorkomende tekortkoming: wel een cloudinventaris hebben, maar geen informatie-inventaris. Een database, SaaS-tenant of datawarehouse is een technologisch bedrijfsmiddel. De klantregistraties, personeelsdossiers, betalingslogboeken, trainingsdatasets voor modellen, supporttranscripten en incidentbewijsmateriaal daarin zijn informatieactiva. Classificatie hoort op dat informatieniveau thuis.

De toelichting van Zenith Blueprint bij ISO/IEC 27002:2022-beheersmaatregel 5.12, classificatie van informatie, legt het principe uit:

Elke beheersmaatregel voor informatiebeveiliging die ooit is geschreven — toegangsbeperking, encryptie, back-up, monitoring of vernietiging — veronderstelt één ding: dat de organisatie weet wat zij beschermt. Beheersmaatregel 5.12 vereist dat informatie wordt geclassificeerd op basis van waarde, gevoeligheid en criticaliteit, als fundament voor alle daaropvolgende besluiten binnen het ISMS.

Voor ISO/IEC 27002:2022-beheersmaatregel 5.13, etikettering van informatie, vertaalt dezelfde roadmap classificatie naar dagelijks gedrag:

Etikettering is hoe u abstract beleid omzet in operationele realiteit. Het is het moment waarop een gebruiker, bij het zien van een document, e-mail, databaseveld of afgedrukt rapport, in één oogopslag kan zien: wat deze informatie is, hoe gevoelig zij is en hoe zij moet worden behandeld.

De laatste roadmapkoppeling verschijnt in stap 13, “Risk Treatment Planning and Statement of Applicability”. Zenith Blueprint beschrijft de SoA als de brug tussen risico’s, behandelingen en beheersmaatregelen. Hier wordt classificatie audittraceerbaarheid. Een risicoscenario zoals “ongeautoriseerde openbaarmaking van financiële klantgegevens uit gedeelde cloudopslag” kan worden gekoppeld aan classificatie, etikettering, toegangscontrole, encryptie, logging, DLP, cloudgebruik, leveranciersvereisten en incidentrespons.

De relaties tussen beheersmaatregelen die auditors verwachten te zien

In Clarysec’s Zenith Controls: The Cross-Compliance Guide wordt ISO/IEC 27002:2022-beheersmaatregel 5.12, classificatie van informatie, gemapt als preventieve beheersmaatregel ter ondersteuning van vertrouwelijkheid, integriteit en beschikbaarheid. De maatregel is gekoppeld aan het cyberbeveiligingsconcept Identify, de operationele capability Information Protection en de beveiligingsdomeinen Protection en Defense.

Voor ISO/IEC 27002:2022-beheersmaatregel 5.13, etikettering van informatie, mapt Zenith Controls de beheersmaatregel als preventief, gericht op Protect, met dezelfde informatiebeveiligingseigenschappen en dezelfde operationele capability Information Protection.

Het cruciale inzicht is dat classificatie en etikettering niet op zichzelf staan. Zij maken omliggende beheersmaatregelen verdedigbaar.

Zenith Controls mapt beheersmaatregel 5.12 naar GDPR Article 32 en Recital 83, NIS2 Article 21(2)(a) en 21(2)(f), ISO/IEC 27701 Annex B, NIST SP 800-53 MP-3 en PM-11, FIPS 199 en NIST SP 800-60, en COBIT 2019 DSS06.06 en APO13.01. Beheersmaatregel 5.13 wordt gemapt naar GDPR Article 32, NIS2 Article 21(2)(a) en 21(2)(f), DORA Article 9(1) en 9(2), NIST SP 800-53 MP-3 en COBIT 2019 DSS06.06.

Dat betekent dat één set bewijsmateriaal meerdere assurancevragen kan beantwoorden.

Het bedrijfsmiddelenregister is waar classificatie bewijsmateriaal wordt

Veel classificatieprogramma’s falen doordat het classificatieschema alleen in beleid bestaat. De aanpak van Clarysec begint bij de inventaris van bedrijfsmiddelen.

Clarysec’s P12 Asset Management Policy vereist dat de inventaris van bedrijfsmiddelen het classificatieniveau als minimaal veld bevat:

De Asset Inventory moet minimaal bevatten: 5.3.1 Asset ID, categorie en type 5.3.2 Serienummer of unieke tag (voor fysieke bedrijfsmiddelen) 5.3.3 Softwareversie of licentiesleutel (voor softwareactiva) 5.3.4 Asset Owner 5.3.5 Classificatieniveau (Public, Internal, Confidential, Restricted) 5.3.6 Locatie (fysiek, virtueel, cloud) 5.3.7 Levenscyclusstatus (actief, in onderhoud, buiten gebruik gesteld)

Dit sluit direct aan op risicoplanning volgens ISO/IEC 27001:2022. Als u het informatieactief, de eigenaar, de locatie en de classificatie niet kunt identificeren, kunt u waarschijnlijkheid, impact, behandelprioriteit of restrisico niet consistent beoordelen. U kunt ook niet met vertrouwen bepalen of een leveranciersrelatie, clouddienst of SaaS-integratie gereguleerde informatie raakt.

Voor GDPR ondersteunt dit de verantwoordingsplicht. Registraties van verwerkingsactiviteiten onder Article 30 en beveiligingsmaatregelen onder Article 32 worden geloofwaardiger wanneer het bedrijfsmiddelenregister identificeert waar persoonsgegevens worden verwerkt en hoe zij worden beschermd. Voor DORA ondersteunt hetzelfde register de criticaliteit van ICT-activa en -diensten, de scope van weerbaarheidstesten en analyse van afhankelijkheden van derde partijen. Voor NIS2 ondersteunt het risicoanalyse, toegangscontrole en beheer van bedrijfsmiddelen.

Dit type registratie verandert de toon van een audit. In plaats van te zeggen: “Wij denken dat gevoelige gegevens zijn beschermd”, kan de organisatie laten zien wat de gegevens zijn, wie de eigenaar is, waarom zij Restricted zijn, welke beheersmaatregelen gelden en wanneer die beheersmaatregelen voor het laatst zijn beoordeeld.

Labels moeten verwerkingsregels voor cloud en SaaS aansturen

De meeste gevoelige gegevens bewegen inmiddels door cloudplatformen, SaaS-toepassingen, analytics-pijplijnen en samenwerkingstools. Een beleid dat gebruikers vertelt “vertrouwelijke gegevens zorgvuldig te behandelen” is niet voldoende.

Clarysec’s P27 Cloud Usage Policy koppelt cloudgebruik direct aan classificatie en gegevensresidentie:

Gegevensclassificatie en -residentie 6.6.1 Geen gegevens mogen naar een cloudplatform worden verplaatst zonder classificatie overeenkomstig de Data Classification and Labeling Policy (P13). 6.6.2 Vereisten voor gegevensresidentie moeten contractueel worden afgedwongen (bijv. opslag uitsluitend in de EU voor gegevens die onder GDPR vallen). 6.6.3 Grensoverschrijdende gegevensoverdrachten moeten voldoen aan GDPR Chapter V en, waar van toepassing, DORA Article 28.

Dit is belangrijk omdat cloudrisico vaak via gemak binnenkomt. Een team exporteert een dataset naar een nieuwe analytics-tool. Sales synchroniseert klantenlijsten naar een automatiseringsplatform. Een ontwikkelaar kopieert productiegegevens naar een testomgeving. Zonder classificatie en etikettering activeren deze handelingen mogelijk geen juridische toetsing, beveiligingsgoedkeuring of leverancierscontroles.

De Data Classification and Labeling Policy - SME geeft kleinere organisaties een eenvoudig implementatiepatroon:

Gedeelde mappen of cloudopslag moeten mapnamen of tags gebruiken om classificatie aan te geven (bijv. “/Clients_Confidential”).

Voor volwassen omgevingen moeten mapnamen worden aangevuld met machineleesbare labels, beleid voor voorwaardelijke toegang, blokkades op extern delen, encryptie, retentielabels, DLP-regels en logging. Het doel is niet alleen informatie labelen. Het doel is het label uitvoerbaar maken.

Een label “Restricted” kan blokkades op extern delen activeren, encryptie van gegevens in rust en tijdens transport, MFA, downloadbeperkingen op onbeheerde apparaten, bewaring van auditlogs, SIEM-waarschuwingen, retentieregels, beperkingen voor leverancierslocaties en escalatie op basis van incidenternst.

De P13 Data Classification and Labeling Policy stelt de baseline vast:

Alle gegevensverwerking, overdracht, toegang, opslag en vernietiging van informatie moeten aansluiten op het classificatieniveau. Minimaal geldt: 6.3.1.1 Public: Mag vrij openbaar worden gemaakt; geen speciale behandeling vereist 6.3.1.2 Internal: Gedeeld binnen de organisatie; opgeslagen in beveiligde interne systemen 6.3.1.3 Confidential: 6.3.1.3.1 Toegang uitsluitend beperkt tot geautoriseerd personeel 6.3.1.3.2 Moet tijdens transport en in rust versleuteld zijn 6.3.1.3.3 Mag alleen extern worden gedeeld onder een NDA of gelijkwaardige contractuele waarborgen 6.3.1.4 Restricted: 6.3.1.4.1 Hoogste beveiligingseisen zijn van toepassing 6.3.1.4.2 Sterke toegangscontrole, multifactorauthenticatie (MFA) en auditlogging zijn vereist 6.3.1.4.3 Fysieke en logische scheiding waar haalbaar 6.3.1.4.4 Extern delen is verboden zonder goedkeuring van de CISO

Elk label heeft bijbehorend gedrag. Elk gedrag heeft een beheersmaatregel. Elke beheersmaatregel heeft bewijsmateriaal.

Een praktisch voorbeeld van afdwinging

Neem een fintech-analist die Q3_2026_Customer_Churn_Analysis.xlsx aanmaakt. De spreadsheet bevat klant-ID’s, transactievolumes en voorspellende churnscores.

De analist classificeert het bestand als Confidential omdat het klantgegevens en strategische analyse bevat. Met de informatiebeveiligingstool van het bedrijf past de analist het Confidential-label toe. Omdat het label blijvend, zichtbaar en machineleesbaar is, worden beheersmaatregelen automatisch geactiveerd.

Het bestand wordt op het apparaat en in cloudopslag versleuteld opgeslagen. Een zichtbare kop markeert het als Confidential. Wanneer de analist het probeert te synchroniseren naar persoonlijke cloudopslag, blokkeert een DLP-regel de handeling en registreert de poging in een logboek. Wanneer de analist het naar een extern domein van een niet-partner probeert te e-mailen, plaatst de e-mailgateway het bericht in quarantaine en waarschuwt het Security Operations-team. Als het bestand later wordt geherclassificeerd als Restricted omdat het gereguleerde financiële transactiegegevens bevat, wordt extern delen uitgeschakeld tenzij de CISO of gegevenseigenaar de uitzondering goedkeurt.

Dit is het bewijsmateriaal waar de CEO om vroeg. Het is traceerbaar, geautomatiseerd en gekoppeld aan door het bestuur goedgekeurd beleid. Het sluit ook aan op P27 Cloud Usage Policy, omdat geen cloudverplaatsing is toegestaan zonder classificatie en grensoverschrijdende overdrachten moeten voldoen aan GDPR Chapter V en, waar van toepassing, DORA Article 28.

Bouw in één week een classificatie-naar-beheersmaatregelenmatrix

Een volledig programma kost tijd, maar een gerichte sprint kan de bewijsketen opbouwen vóór een audit, klantbeoordeling of beoordeling door een toezichthouder.

Dag 1: Bevestig het classificatieschema

Begin met vier niveaus: Public, Internal, Confidential en Restricted. Gebruik P13 Data Classification and Labeling Policy als baseline. Definieer criteria op basis van bedrijfsimpact, juridische impact, contractuele gevoeligheid, risico rond persoonsgegevens, servicecriticaliteit en financiële schade.

Dag 2: Selecteer tien kritieke informatieactiva

Gebruik Zenith Blueprint stap 9. Neem een klantendatabase, supportticketsysteem, HR-platform, identiteitsprovider, betaalexport, datawarehouse, objectopslagbucket, rapportagemap voor de raad van bestuur, broncoderepository en repository voor incidentbewijsmateriaal op. Leg eigenaar, locatie, classificatie en GDPR-relevantie vast.

Dag 3: Breng verwerkingsregels in kaart

Definieer verwerkingsvereisten voor toegang, opslag, overdracht, monitoring en vernietiging.

Dag 4: Configureer één technisch afdwingingspad

Kies één platform, zoals een cloudgebaseerde documentrepository, e-mailsysteem of objectopslagdienst. Implementeer zichtbare en machineleesbare labels. Configureer één regel voor Confidential-gegevens en één regel voor Restricted-gegevens. Vereis bijvoorbeeld encryptie voor externe e-mails met Confidential-gegevens en blokkeer extern delen van Restricted-bestanden.

Dag 5: Werk het risicoregister en de SoA bij

Gebruik Zenith Blueprint stap 13. Voeg classificatie- en etiketteringsbeheersmaatregelen toe aan de Verklaring van Toepasselijkheid. Koppel ze aan risico’s zoals ongeautoriseerde openbaarmaking, cloudmisconfiguratie, overmatige blootstelling via leveranciers, falen van gegevensretentie en onderrapportage van incidenten.

Dag 6: Test de beheersmaatregel

Maak een testbestand aan met het label Restricted. Probeer het extern te delen vanaf een onbeheerd apparaat. Bevestig of de tool blokkeert, waarschuwt, logt of escaleert. Leg schermafbeeldingen, logboekvermeldingen en ticketbewijsmateriaal vast. Als de beheersmaatregel faalt, registreer de uitzondering en het herstelplan.

Dag 7: Train de eerstelijnsgebruikers

Training moet rolspecifiek zijn. Ontwikkelaars moeten weten wanneer productiegegevens niet in testomgevingen mogen worden gebruikt. HR moet begrijpen waarom personeelsdossiers Confidential of Restricted zijn. Sales moet weten waarom klantexports niet naar niet-goedgekeurde SaaS-tools mogen worden geüpload. Leidinggevenden moeten begrijpen waarom bestuursstukken, acquisitiedossiers en investeerdersinformatie strenger moeten worden behandeld.

Deze sprint voltooit niet het hele programma, maar creëert wel de bewijsketen: beleid, inventaris, labels, verwerkingsregels, technische afdwinging, risicotraceerbaarheid en training.

Hoe auditors classificatie en etikettering zullen testen

Auditors testen classificatie zelden geïsoleerd. Zij volgen de gegevens.

Een ISO/IEC 27001:2022-auditor koppelt classificatie aan het ISMS-toepassingsgebied, eisen van belanghebbenden, wettelijke en contractuele verplichtingen, risicobeoordeling en de Verklaring van Toepasselijkheid. De auditor verwacht bewijsmateriaal voor ISO/IEC 27002:2022-beheersmaatregelen 5.9, 5.12, 5.13, 5.14, 5.15, 5.34 en relevante technische beheersmaatregelen. Typisch bewijsmateriaal omvat goedgekeurd beleid, registraties uit het bedrijfsmiddelenregister, vermeldingen in het risicoregister, gelabelde voorbeelden, verwerkingsregels, toegangsbeoordelingen, interne auditbevindingen en corrigerende maatregelen.

Een GDPR-beoordelaar richt zich op persoonsgegevens. Die zal vragen of persoonsgegevens zijn geïdentificeerd, of bijzondere categorieën gegevens worden onderscheiden, of retentieregels aansluiten op het doel en of de beveiligingsmaatregelen van Article 32 passend zijn. Classificatie helpt gewone bedrijfsinformatie te scheiden van persoonsgegevens, gevoelige persoonsgegevens, vertrouwelijke klantgegevens en gereguleerde registraties. Etikettering helpt operationele teams onbedoelde openbaarmaking, te lange bewaring en ongeautoriseerde overdracht te voorkomen.

Een NIST CSF 2.0-beoordelaar zal classificatie waarschijnlijk plaatsen onder GOVERN, IDENTIFY en PROTECT. Mogelijke vragen zijn of Current and Target Profiles de detectie van gevoelige gegevens definiëren, of labelafdwinging werkt over SaaS- en cloudsystemen heen, of leveranciers gegevens behandelen volgens classificatie en of monitoringsprioriteiten worden aangepast op basis van gevoeligheid.

Een COBIT 2019- of ISACA-stijl auditor legt nadruk op governancedoelstellingen, proceseigenaarschap, ontwerp van beheersmaatregelen en operationele doeltreffendheid. Zenith Controls mapt inventarisbeheersmaatregel 5.9 naar COBIT 2019 BAI09.01, BAI09.02 en DSS05.04, en verwijst naar ISACA ITAF 2204 en 2301. Voor classificatie mapt Zenith Controls beheersmaatregel 5.12 naar COBIT 2019 DSS06.06 en APO13.01, terwijl etikettering wordt gemapt naar DSS06.06. De auditor zal vragen wie eigenaar is van het proces, hoe uitzonderingen worden goedgekeurd, of prestaties worden gemonitord en of het management rapportage ontvangt.

Een DORA-gerichte beoordelaar zal vragen welke informatieactiva kritieke of belangrijke functies ondersteunen, welke gegevens Restricted zijn, welke ICT-dienstverleners van derde partijen die gegevens opslaan of verzenden, of contracten locaties en beveiligingsmaatregelen definiëren, of testen is gescoped op kritieke gegevens en of incidenten mede worden geclassificeerd op basis van verlies van beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens.

Als de antwoorden uit één classificatiegedreven bewijsmodel voor activa en leveranciers komen, worden audits sneller, consistenter en beter verdedigbaar.

Veelvoorkomende faalpatronen

Classificatiefouten ontstaan meestal doordat organisaties labels behandelen als bewustwordingsinstrumenten in plaats van als controlesignalen.

Ten eerste classificeren zij documenten, maar geen databases, API’s, logboeken, back-ups, exports of SaaS-registraties. Gevoelige gegevens in een debuglogboek kunnen even schadelijk zijn als gevoelige gegevens in een spreadsheet.

Ten tweede labelen zij informatie, maar koppelen zij labels niet aan toegangscontrole. Een Restricted-label met open toegang bewijst dat de organisatie de gevoeligheid kende en naliet de verwerkingsregel af te dwingen.

Ten derde vinden cloudmigraties plaats vóór classificatie. Teams verplaatsen gegevens naar nieuwe SaaS-tools zonder residentie, leveranciersvoorwaarden, toegang door subverwerkers, vereisten voor grensoverschrijdende overdracht of verwijderingsrechten te bevestigen. P27 Cloud Usage Policy adresseert dit direct door verplaatsing naar cloudplatformen zonder classificatie te verbieden.

Ten vierde negeren incidentresponsplannen classificatie. Als ernstcriteria geen gegevensgevoeligheid bevatten, verspillen incidentteams tijdens een crisis tijd aan het achterhalen wat is getroffen. GDPR-analyse van inbreuken, NIS2-incidentafhandeling en DORA-incidentclassificatie profiteren allemaal van snelle gegevenscontext.

Ten vijfde verklaart de SoA niet waarom classificatie- en etiketteringsbeheersmaatregelen van toepassing zijn. De organisatie kan labels hebben geïmplementeerd, maar de SoA koppelt ze niet aan GDPR Article 32, NIS2 Article 21, DORA ICT-risico, klantcontracten of specifieke risicoscenario’s.

Managementrapportage: maak classificatie zichtbaar

NIS2 en DORA maken cyberbeveiliging tot een verantwoordingsvraagstuk voor het management. ISO/IEC 27001:2022 vereist ook leiderschapsbetrokkenheid, beleidsafstemming, middelen, rollen en prestatierapportage. Classificatiemetrieken moeten daarom in de directiebeoordeling terechtkomen.

Nuttige metrieken zijn onder meer:

• Percentage kritieke informatieactiva met toegewezen eigenaren.
• Percentage bedrijfsmiddelen met goedgekeurde classificatie.
• Aantal Restricted-activa zonder uitgebreide logging.
• Aantal Confidential- of Restricted-repositories waarbij extern delen is ingeschakeld.
• Percentage leveranciers dat Confidential- of Restricted-gegevens verwerkt met bijgewerkte contractuele bepalingen.
• Aantal classificatie-uitzonderingen en achterstallige herstelmaatregelen.
• DLP-incidenten per label.
• Voltooiing van toegangsbeoordelingen voor Restricted-activa.
• Cloudopslaglocaties voor gegevens die onder GDPR vallen.
• Incidentresponsoefeningen waarin classificatiegebaseerde ernstcriteria zijn gebruikt.

Deze metrieken ondersteunen de directiebeoordeling volgens ISO/IEC 27001:2022, managementtoezicht onder NIS2, governancerapportage onder DORA en assurance richting klanten. Zij maken classificatie ook begrijpelijk voor leidinggevenden. Leiderschap kan sneller handelen wanneer zichtbaar is dat meerdere Restricted-repositories geen getest herstel hebben of dat kritieke leveranciers klantgegevens verwerken zonder bevestigde opslag in de EU.

Van beleid naar bewijs

Het implementatiepatroon van Clarysec is bewijsgedreven:

1. Definieer het classificatieschema in de P13 Data Classification and Labeling Policy of begin met de Data Classification and Labeling Policy - SME.
2. Voeg classificatie toe aan de inventaris van bedrijfsmiddelen met behulp van P12 Asset Management Policy.
3. Pas cloudbeperkingen en vereisten voor gegevensresidentie toe via P27 Cloud Usage Policy.
4. Gebruik Zenith Blueprint stap 9 om informatieactiva, eigenaren, locaties en gevoeligheid te identificeren.
5. Gebruik Zenith Blueprint stap 13 om risico’s aan beheersmaatregelen te koppelen in de SoA.
6. Gebruik Zenith Blueprint stap 22 om ISO/IEC 27002:2022-beheersmaatregelen 5.12 en 5.13 in de dagelijkse operatie te implementeren.
7. Gebruik Zenith Controls om hetzelfde bewijsmateriaal te mappen naar GDPR, NIS2, DORA, NIST CSF, COBIT 2019 en ondersteunende normen.
8. Test labelafdwinging, toegangsbeperkingen, logging, DLP en incidenttriage.
9. Rapporteer classificatieprestaties aan het management.
10. Beoordeel classificatie opnieuw na majeure systeem-, proces-, leveranciers- of regelgevingswijzigingen.

Dit werkt omdat classificatie de gedeelde taal wordt tussen bedrijfswaarde, wettelijke verplichting, technische beheersmaatregel en auditbewijsmateriaal.

Als uw organisatie zich voorbereidt op ISO/IEC 27001:2022-certificering, GDPR-assurance, NIS2-gereedheid, DORA-klant-due diligence of een gecombineerde compliance-audit, begin dan met één vraag:

Kunt u voor elk kritisch informatieactief laten zien wat het is, wie de eigenaar is, waar het zich bevindt, hoe het is geclassificeerd, hoe het is gelabeld, wie er toegang toe heeft, hoe het wordt beschermd, hoe lang het wordt bewaard, welke leverancier het aanraakt en wat er gebeurt als het wordt blootgesteld?

Als het antwoord nog niet is, kan Clarysec u helpen de bewijsketen snel en verdedigbaar op te bouwen.

Gebruik de Data Classification and Labeling Policy - SME, P13 Data Classification and Labeling Policy, P12 Asset Management Policy, P27 Cloud Usage Policy, Zenith Blueprint: An Auditor’s 30-Step Roadmap en Zenith Controls: The Cross-Compliance Guide om classificatie om te zetten van statisch beleid naar een operationele beheerslaag voor GDPR Article 32, NIS2-cyberrisicobeheer en DORA ICT-risicobewijs.

Het beste moment om gegevens te classificeren was vóórdat het auditverzoek binnenkwam. Het op één na beste moment is vóór de volgende cloudmigratie, leveranciersonboarding, klantvragenlijst of incident.