Laatst bijgewerkt: 16 april 2026
Bij dataclassificatie krijgt elk bestand, elke e-mail en elk document een machineleesbaar label dat de gevoeligheid van de inhoud aangeeft: openbaar, intern, vertrouwelijk of geheim. Dat label staat als metadata in het bestand en wordt gelezen door DLP-software, encryptietools, toegangscontrole en mailgateways. Zonder zo'n label raden die systemen op basis van regex en mapnaam. Met het label weten ze wat een bestand feitelijk bevat en welke regels erop van toepassing zijn. Dat is het verschil tussen raden en beheren.
Wat classificatie doet. Bij classificatie krijgt elk bestand of elke e-mail een machineleesbaar label: bij creatie door de gebruiker in Outlook of Office, of achteraf door inhoudsherkenning op file servers en SharePoint. Het label wordt opgeslagen in de bestandsmetadata en blijft daar ook bij kopiëren, verplaatsen of doorsturen. DLP, CASB, MFT, encryptiesoftware en SIEM lezen dat veld en handelen op basis van de waarde.
De Fortra-keten. Vier producten vormen samen één beschermingslijn: Titus voor classificatie bij creatie in Outlook, Office en SAP GUI, Boldon James voor discovery en automatische classificatie van bestaande data, Clearswift voor deep content inspection op e-mail en web, en Vera voor persistent rights management op documenten die uw organisatie verlaten.
Regulatoire basis. AVG artikel 5 lid 2, NIS2 artikel 21, ISO 27001 Annex A 8.2, BIO, DORA artikel 6. Vijf kaders, één gedeelde technische fundering.
Hoe u start. Een 30-dagen POC op uw eigen productiedata, niet op een demo-omgeving. Concrete cijfers over adoptie, DLP-impact en schema-fit binnen een maand. Daarna een fullroll van 4 tot 6 maanden.
Classificatie is de handeling waarbij elk bestand, elke e-mail en elk document een gevoeligheidslabel krijgt. De meeste organisaties werken met vier niveaus: openbaar, intern, vertrouwelijk en geheim. Dat label wordt niet als tekst in het document geplakt, maar als metadata in het bestandsformaat opgeslagen: een custom property in OOXML voor Office, een X-header op SMTP, een attribuut op SAP-transactierecords. Die velden zijn gestandaardiseerd, waardoor elke volgende securitytool ze kan lezen zonder aparte koppeling.
Het label zelf is inhoudelijk leeg totdat u het koppelt aan beleid. Een label vertelt een DLP dat dit bestand vertrouwelijk is; de DLP-regel bepaalt vervolgens of dat betekent geen USB, geen externe mail, of encryptie bij opslag. Classificatie is dus de semantische laag onder de technische handhaving. Geen marketingtaal, wel machineleesbare labels die elke volgende control-laag in uw stack kan interpreteren.
De winst zit in drie lagen: consistentie, doordat één schema door de hele organisatie geldt; auditbaarheid, doordat elke classificatiehandeling in een log staat dat een toezichthouder kan inzien; en interoperabiliteit, doordat elke moderne securitytool dezelfde metadata-velden begrijpt.
Primaire doelgroep: CISO's, security leads, compliance officers en enterprise architecten bij Nederlandse organisaties met 500 tot 10.000 FTE. Zij hebben een Microsoft 365-tenant, een bestaande DLP in productie en een regulatoir kader dat bewijslast vraagt. Dat kader is in Nederland zelden één wet, maar een stapeling: AVG bovenop ISO 27001 bovenop NIS2 voor essentiële en belangrijke entiteiten, met BIO voor medeoverheden en DORA voor financiële entiteiten.
Per sector ziet de trigger er anders uit. Financiële dienstverleners onder DORA moeten sinds 17 januari 2025 ICT-assets en data expliciet classificeren. Zorginstellingen verwerken bijzondere persoonsgegevens en moeten de AVG-verantwoordingsplicht richting de Autoriteit Persoonsgegevens kunnen invullen. Medeoverheden en uitvoeringsorganisaties vallen onder de BIO en ENSIA. Industriële organisaties beschermen intellectueel eigendom tegen gerichte exfiltratie. Bij alle vier is het onderliggende vraagstuk hetzelfde: aantonen wat u heeft en aantonen hoe u het beschermt.
Minder geschikt voor organisaties onder 100 FTE zonder eigen security-functie, voor omgevingen zonder bestaande DLP (geen handhavingslaag betekent labels zonder technisch effect) en voor werkprocessen die volledig via chat en persoonlijke clouds lopen buiten beheer van IT. Daar werkt de creator-driven flow niet. In die gevallen is discovery de eerste stap, classificatie bij creatie de tweede.
Classificatie zit op drie plekken in uw infrastructuur: bij creatie, bij rust en bij transport. Bij creatie plaatst Titus een labelbalk in Outlook, Word, Excel, PowerPoint en SAP GUI. De gebruiker kiest het label, de ML-suggestie helpt, het label komt als metadata in het bestand. Bij rust scant Boldon James uw file shares, SharePoint-sites, OneDrive en endpoints op ongelabelde bestanden, herkent 300+ datatypes en labelt automatisch. Bij transport leest Clearswift de labels op uitgaande e-mail en webverkeer en past content inspection toe op basis van wat daadwerkelijk in het bericht zit.
Downstream acteren standaard securitytools op dezelfde velden. Microsoft Purview, Digital Guardian, Forcepoint, Symantec DLP, Netskope en Zscaler lezen metadata en filteren op label. Microsoft Sentinel en Splunk nemen de classificatie-auditlog op in het SIEM en maken workbooks voor afwijkingen en trends. GoAnywhere MFT kiest routering voor bestandsuitwisseling op basis van het label in het bestand. Vera legt een encryptielaag over het bestand heen die ook werkt buiten uw netwerk en laat toegang op elk moment intrekken, ongeacht waar het bestand is beland.
De policy-server en auditlog staan on-premise of in een Nederlands datacenter, afhankelijk van data-soevereiniteitseisen. Schemadefinities, ML-modellen en logs blijven daarmee binnen de jurisdictie die uw AVG-grondslag eist.
Drie concrete trigger events komen in Nederlandse projecten steeds terug. Na een datalek waar de Autoriteit Persoonsgegevens een rapport opvraagt en u moet aantonen welke categorieën data zijn geraakt. In aanloop naar een NIS2-audit, waar artikel 21 risicobeheersmaatregelen verplicht en artikel 23 een meldingsplicht binnen 24 uur oplegt. Tijdens een ISO 27001-certificering of herhaalaudit, waar Annex A 8.2 (information classification) en A 8.3 (labeling of information) expliciete controls zijn die een auditor toetst.
Daarnaast triggers die losstaan van directe regelgeving. U ziet de DLP-false-positive-ratio oplopen terwijl echte lekken doorkomen. U merkt dat uw Microsoft Purview-uitrol stil ligt aan de handhavingskant omdat er geen stevige labeldiscipline aan de creatiekant is. U krijgt vragen van een toezichthouder over welke bestanden persoonsgegevens bevatten en u kunt die vraag alleen beantwoorden met een volledige re-scan in plaats van een query op labels. Een fusie of overname dwingt tot dataseparatie die zonder labels niet aantoonbaar is.
Sectorspecifiek: DORA-implementatie bij banken, verzekeraars, beleggingsondernemingen en ICT-derdepartijen. BIO-toetsing door ENSIA bij medeoverheden. Periodieke TISAX-assessments in de automotive-keten. Het Nationaal Cyber Security Centrum en ENISA benoemen classificatie beide als fundament onder moderne informatiebeveiliging.
Eerlijke vraag. Een DLP kan op drie manieren werken: pattern-matching op inhoud, regels op locatie, of filters op metadata. De eerste twee zijn het alternatief voor classificatie. Beide lopen vast op ongestructureerde data.
Pattern-matching (regex op BSN, IBAN, creditcard) werkt voor gestructureerde data in databases. Het faalt op ongestructureerde data waar diezelfde nummers in context staan: een interne notitie met één voorbeeld-BSN triggert hetzelfde alarm als een export van tienduizend dossiers. Het resultaat is een zee aan false positives, waarop security-teams regels steeds ruimer zetten tot de DLP effectief niets meer vangt. Classificatie lost dat op door context aan de bron vast te leggen.
Locatiebeleid (alles op deze schijf is gevoelig) werkt zolang niemand iets verplaatst. In de praktijk gebeurt precies dat: medewerkers kopiëren naar OneDrive, naar een deelschijf, naar een USB voor een vergadering. Zodra het bestand verhuist, verdwijnt de bescherming. Een label zit in de metadata van het bestand zelf en gaat dus mee bij elke kopieeractie, waardoor de bescherming het bestand volgt ongeacht de locatie.
Volledige encryptie stopt ongeautoriseerde toegang, maar niet geautoriseerde exfiltratie: de medewerker die legitiem toegang heeft, deelt de inhoud alsnog. Hier voegt Vera een laag toe door rechten op documentniveau in te trekken, ook nadat het document uw organisatie verlaat. Maar zelfs dat werkt alleen als u weet welke documenten die laag nodig hebben, en dat weet u alleen via classificatie.
De inhoudelijke lijn op dataclassificatie wordt gepubliceerd door Neo Security op basis van implementaties bij Nederlandse organisaties onder NIS2, ISO 27001, BIO, AVG en DORA.
Vier producten, één beschermingslijn. Elke schakel doet één ding goed en levert het label aan de volgende.
Creator-driven classificatie in Outlook, Word, Excel, PowerPoint en SAP GUI. ML-suggesties, centraal beheerd schema, labels als OOXML-metadata.
2. OntdekkenDiscovery en automatische classificatie van bestaande data op file shares, SharePoint en endpoints. 300+ datatypes, gedeeld schema met Titus.
3. InspecterenDeep content inspection op e-mail en webverkeer. Leest het label, analyseert de bijlage, past real-time content-regels toe zonder blokkade.
4. VergrendelenPersistent encryption en rights management. Het document blijft versleuteld na verzenden, toegang is op elk moment in te trekken.
Vijf kaders vereisen dat u weet welke data u verwerkt en hoe gevoelig die is. Classificatie maakt dat aantoonbaar.
Dataclassificatie is het systematisch labelen van bestanden, e-mails en documenten op basis van gevoeligheid. Elk stuk data krijgt een machineleesbaar label, zoals openbaar, intern, vertrouwelijk of geheim, dat als metadata in het bestand wordt opgeslagen. Uw DLP, encryptie en toegangscontrole lezen dat label en passen automatisch het juiste beleid toe. Zonder label opereren die systemen op giswerk.
De AVG vereist in artikel 5 lid 2 (verantwoordingsplicht) dat organisaties aantonen welke persoonsgegevens zij verwerken en hoe zij die beschermen. Classificatie is de meest systematische manier om aan die plicht te voldoen. Vergelijkbare eisen staan in NIS2 artikel 21, ISO 27001 Annex A 8.2, de BIO rubriceringsplicht en DORA artikel 6. Classificatie is dus geen losse keuze, maar de technische basis onder meerdere kaders tegelijk.
Beide zijn enterprise classificatieplatformen van Fortra. Titus richt zich op classificatie bij creatie: een gebruiker kiest een label in Outlook, Word, Excel, PowerPoint of SAP GUI, ondersteund door ML-suggesties. Boldon James richt zich op discovery: het scant bestaande data op file shares, SharePoint en endpoints, herkent 300+ datatypes en labelt ongelabelde bestanden automatisch. Titus dekt nieuwe productie, Boldon James haalt de historische backlog in.
Een Proof of Concept duurt 30 dagen en draait op uw eigen productiedata. Na de POC heeft u concrete cijfers over adoptie, labelconsistentie en DLP-impact. Een volledige enterprise-uitrol varieert van 4 tot 6 maanden, afhankelijk van het aantal platformen, de complexiteit van uw schema en de gewenste integraties met DLP, MFT en SIEM. Pilotgroepen van 50 tot 200 gebruikers lopen binnen twee weken.
Ja. Labels worden als metadata in het bestand zelf opgeslagen, niet in een externe database. Elke DLP-oplossing die metadata kan lezen (Microsoft Purview, Digital Guardian, Symantec DLP, Forcepoint, Netskope) filtert op die labels. De combinatie Titus plus DLP werkt op echte classificatie in plaats van regex, wat het aantal false positives fors terugbrengt en de DLP-regels voor het security-team hanteerbaar houdt.
Fortra licenseert per gebruiker per jaar voor Titus en Boldon James, per mailbox of per gateway voor Clearswift en per beschermd bestand voor Vera. Concrete Nederlandse prijzen zijn volume- en supporttier-afhankelijk en worden door uw Fortra-partner opgegeven na een korte intake. De POC is kosteloos voor kwalificerende organisaties en levert binnen 30 dagen een onderbouwde TCO voor 3 jaar.
Implementatie in Nederland loopt via Neo Security als technische uitvoerder met Nederlandstalige engineers. Schema-ontwerp, policy-server-installatie, DLP-integratie, SIEM-aansluiting en gebruikerstraining vallen binnen scope. Licentiecontractering verloopt via de partnerstructuur rond Fortra. Eerste-lijnssupport en incidentafhandeling worden door hetzelfde team geleverd dat de implementatie heeft gedaan, dus er is geen overdrachtsmoment tussen projectteam en beheer.
Een technische intake van 60 minuten, geen verkoopgesprek. Wij brengen uw huidige DLP-stack, regulatoire scope, dataopslag en gebruikersaantallen in kaart. Binnen twee werkdagen daarna ligt er een architectuurschets met een voorgestelde POC-aanpak op uw eigen productiedata. De 30-dagen POC levert concrete cijfers die u intern nodig heeft voor budgettering en stuurcomité-akkoord.
Verdere verdieping: waarom dataclassificatie, oplossingenoverzicht, over de uitvoerders, contact.