Laatst bijgewerkt: 16 april 2026
Titus Data Classification Suite is een enterprise classificatietool van Fortra waarmee gebruikers in Outlook, Word, Excel, PowerPoint en SAP GUI een label toepassen op e-mail en documenten bij creatie. Het label wordt opgeslagen in de bestandsmetadata en blijft daar ook na kopiëren of doorsturen. DLP-, CASB- en MFT-systemen lezen dat veld en handelen erop. Primair voor CISO's en security leads bij Nederlandse organisaties met 1.000 tot 10.000 FTE onder NIS2, ISO 27001, BIO of DORA. Creator-driven, niet discovery-driven.
Wat: plug-in in Outlook, Office en SAP GUI die de gebruiker een gevoeligheidslabel laat kiezen bij verzenden of opslaan, met ML-ondersteunde suggestie.
Voor wie: organisaties met 1.000 tot 10.000 FTE onder NIS2 artikel 21, ISO 27001 Annex A 8.2/8.3, BIO-rubricering of DORA artikel 6.
Waar: op de werkplek van elke kenniswerker die documenten of e-mail produceert. Labels in OOXML-metadata en SMTP-headers, leesbaar door Microsoft Purview, Digital Guardian, Forcepoint, Netskope en Clearswift.
Wanneer: na een datalek, in aanloop naar een NIS2-audit, tijdens ISO-(re)certificering, bij een M&A of bij DORA-implementatie.
Kostenindicatie: per gebruiker per jaar. Concrete cijfers zijn volume- en supporttier-afhankelijk en worden door Korper ICT afgegeven.
Doorlooptijd: 30-dagen POC, daarna 3 tot 6 maanden volledige uitrol.
Titus is een desktop- en serverproduct dat kenniswerkers een label laat toepassen op elk document en elke e-mail die zij aanmaken. De categorie heet creator-driven classificatie. Een ML-model kijkt naar de inhoud, de geadresseerden en de context, en stelt een label voor. De gebruiker accepteert het voorstel, past het aan of escaleert naar een strenger niveau. Het gekozen label wordt als metadata in het bestand vastgelegd: als custom property in OOXML voor Office-documenten en als X-header of visueel footerblok voor e-mail.
De productlijn is ontwikkeld door Titus Inc. in Ottawa, in 2019 overgenomen door HelpSystems, inmiddels onderdeel van Fortra. In Nederland wordt Titus geleverd en ondersteund als onderdeel van de Fortra-portfolio. De licentiecontractering verloopt via Korper ICT; implementatie en configuratie via Neo Security.
Het product levert drie dingen die losse scripts of eenvoudige Office-macro's niet leveren. Ten eerste een centraal beheerd classificatieschema dat gebruikers niet kunnen omzeilen en dat via groepsbeleid wordt uitgerold. Ten tweede machineleesbare labels in een stabiel metadata-formaat dat elke DLP verderop in de keten begrijpt. Ten derde een auditlog van elke classificatiehandeling, inclusief afwijking tussen ML-suggestie en uiteindelijke gebruikerskeuze, leesbaar door Splunk, Sentinel en elke andere SIEM.
Titus is geen DLP. Het blokkeert geen uitgaand verkeer en versleutelt geen bestanden. Het produceert het label waarop een DLP, CASB en MFT acteren. Daarmee is Titus de voorschakel in een keten die verderop bestaat uit Boldon James voor discovery, Clearswift voor gateway-inspectie en Vera voor persistent rights management.
Primaire doelgroep: CISO's, security leads en enterprise architecten bij Nederlandse organisaties met 1.000 tot 10.000 FTE. Die organisaties hebben meestal een Microsoft 365-tenant, een bestaande DLP in productie en een compliance-programma dat onder NIS2, ISO 27001, BIO of DORA valt. Zij staan voor de vraag hoe zij het verschil tussen openbaar en vertrouwelijk aantoonbaar kunnen maken op het moment dat de Autoriteit Persoonsgegevens of een ISO-auditor dat uitvraagt.
Secundaire doelgroep: compliance officers en functionarissen voor gegevensbescherming bij semi-publieke organisaties (zorg, gemeente, ZBO, uitvoeringsorganisaties) die tegelijk BIO, ENSIA en AVG-verantwoordingsplicht moeten aantonen. Voor hen is Titus de handhavingslaag op de rubriceringsplicht die in de BIO is vastgelegd: departementaal vertrouwelijk en staatsgeheim zijn geen organisatorische afspraken maar machineleesbare waarden op elk document.
Titus past minder goed bij drie typen organisaties. Bij kleine MKB's onder 100 FTE is de beheerlast te groot voor de opbrengst. Bij organisaties die nog geen DLP in productie hebben ontbreekt de handhavingslaag, waardoor de labels geen technisch effect hebben. Bij organisaties met een volledig ongestructureerd werkproces waar documenten voornamelijk via ad-hoc tools circuleren (chat, externe shares, persoonlijke clouds) is de gebruikerservaring te versnipperd om een creator-driven model te verankeren. In die gevallen is een andere volgorde logischer: eerst discovery via Boldon James, daarna pas Titus aan de creatie-kant.
Sectoren waar Titus in Nederland het meest voorkomt: financiële dienstverlening onder DORA, zorginstellingen met bijzondere persoonsgegevens, centrale overheid en uitvoeringsorganisaties onder de BIO, industriële organisaties met intellectueel eigendom, en semi-publieke instellingen met een ENSIA-verantwoording. De gemene deler is dat zij vertrouwelijke informatie produceren in Office en die vertrouwelijkheid aantoonbaar moeten vastleggen bij creatie.
Titus draait op de werkplek van de kenniswerker en op een centrale policy-server. De werkplek-plug-in verschijnt als lintknop in Outlook, Word, Excel en PowerPoint, met een zichtbare labelbalk bovenaan het document. Voor SAP-gebruikers is er een aparte GUI-plug-in die labels oplegt op transactiedata voor en bij export. Voor bestanden buiten Office is er de Titus Desktop Classifier die werkt via een rechter-muis-menu in Windows Verkenner. Mobiele gebruikers labelen via Outlook voor iOS en Android met een beperkter set attributen.
De policy-server is Windows Server met SQL Server als backend. Schemadefinities, ML-modellen en auditlogs worden centraal beheerd. Distributie naar de werkplekken verloopt via Microsoft Endpoint Manager, SCCM of een vergelijkbare MDM-oplossing. Een hoog-beschikbare setup bestaat uit twee policy-servers achter een load balancer, geografisch gescheiden, met gedeelde SQL AlwaysOn.
Integratiepunten die Neo Security in Nederlandse omgevingen het vaakst configureert: Microsoft Purview voor labelsynchronisatie en handhaving, Digital Guardian of Forcepoint als DLP met policy-trigger op Titus-labels, Splunk of Microsoft Sentinel voor auditlog-ingest, Active Directory voor identity-context in de ML-suggesties, en GoAnywhere MFT voor gereguleerde bestandsuitwisseling waarin het label bepaalt welke route een bestand neemt. Op e-mailgateway-niveau leest Clearswift MIMEsweeper het label en past inhoudsregels toe die zonder dat label nooit getriggerd zouden worden.
Het platform leest en schrijft standaard metadata-velden: custom properties in OOXML, X-TITUS-Metadata-headers in SMTP en een footerblok met visuele classificatie onderaan elke uitgaande e-mail. Die zichtbaarheid is geen cosmetische keuze. ISO 27001 Annex A 8.3 eist expliciet dat classificatie zichtbaar en machineleesbaar is voor de ontvanger. Zonder zo'n visuele markering komt u niet door een certificeringsaudit.
Concrete trigger events. Na een datalek waar de Autoriteit Persoonsgegevens een rapport opvraagt: u moet achteraf kunnen tonen welke categorieën data geraakt zijn en welke beschermingsmaatregelen op basis van classificatie actief waren. In aanloop naar een NIS2-audit waar u artikel 21 (risicobeheersmaatregelen) en artikel 23 (meldingsplicht binnen 24 uur) moet aantonen: zonder label op uw data weet u niet binnen 24 uur wat er precies gelekt is, en de melding aan het CSIRT loopt vast op onvolledigheid.
Tijdens ISO 27001-certificering of herhaalaudit, waar Annex A 8.2 (information classification) en A 8.3 (labeling of information) expliciete controls zijn. Bij een fusie, overname of joint venture waar data van twee organisaties samen moet blijven maar niet mag mengen, en waar de ontvangende partij moet kunnen aantonen welk schema op welke dataset van toepassing is. Bij BIO-toetsing door ENSIA voor medeoverheden en uitvoeringsorganisaties. Bij een DORA-implementatie voor financiële entiteiten, waar artikel 6 classificatie van ICT-assets en data expliciet vereist sinds 17 januari 2025.
Organische triggers buiten directe regelgeving: u ziet de DLP-false-positive-ratio oplopen omdat de regels op regex en locatie blijven draaien, terwijl gebruikers leren om data te verplaatsen. U ziet klachten vanuit de business dat e-mails onterecht geblokkeerd worden. U constateert dat uw Microsoft Purview-uitrol is blijven hangen in de handhavingskant zonder stevige labeldiscipline aan de creatie-kant. U krijgt vragen van een toezichthouder over welke specifieke bestanden persoonsgegevens bevatten, en u kunt die vraag alleen beantwoorden met een volledige re-scan van uw bestandssysteem in plaats van een query op labels.
Adviezen van nationale en Europese autoriteiten versterken de noodzaak. Het Nationaal Cyber Security Centrum publiceert regelmatig advisories waarin classificatie als onderdeel van basishygiëne wordt benoemd. ENISA beschrijft classificatie als een van de zeven pijlers onder een NIS2-implementatie. Beide sluiten aan op wat Annex A 8.2 al jaren vraagt.
Eerlijk antwoord vooraf: veel Nederlandse organisaties kiezen Microsoft Purview Information Protection, en voor sommige omgevingen is dat de juiste keuze. Wij gaan het verschil niet rooskleuriger maken dan het is. Purview is inbegrepen in E5-licenties die u waarschijnlijk toch al afneemt, integreert native met de rest van de Microsoft-stack en vereist geen aparte server-infrastructuur.
Toch kiezen klanten die wij begeleiden in specifieke scenario's voor Titus. Er zijn vier redenen die steeds terugkeren.
Schema-flexibiliteit. Purview werkt met een hiërarchie sensitivity labels en sub-labels. Dat is voldoende voor een simpel model, maar wordt krap bij schema's met meerdere orthogonale attributen: gevoeligheid, compartiment, retentie, bestemming. Titus ondersteunt meervoudige attributen en vrije tags per label, wat BIO-rubricering met compartimenten en ministerspecifieke handhavingsregels beter past. Geen driedimensionaal schema verbouwen om in een tweedimensionale tool te passen, wel een schema dat uw werkelijke governance-model weerspiegelt.
Dekking buiten Microsoft 365. Purview dekt Office en Windows goed; SAP GUI, desktop-bestanden buiten Office en legacy-applicaties matig tot niet. Voor organisaties met significante SAP-footprint of veel niet-Office-bestanden is Titus de enige serieuze optie die zowel Office als SAP afdekt met hetzelfde schema en dezelfde metadata.
Gebruikersinterface en adoptie. Purview-labels verschijnen via de ingebouwde Office-sensitivity-balk, wat technisch werkt maar door gebruikers vaak wordt weggeklikt. Titus dwingt het labelmoment expliciet af met een modaal of een verplichte keuze voor verzending. De adoptiekans is hoger, met een lagere afwaartse drift naar het laagste label. Tegenover staat dat het wrijving toevoegt; dat is een bewuste keuze.
Co-existentie. Titus en Purview zijn geen of-of. De twee schrijven naar dezelfde metadata-velden en kunnen synchroniseren. Een veelgebruikte hybride: Titus voor creatie, schema-beheer en SAP; Purview voor encryptie, rights management en de E5-handhavingsketen. Dat haalt sterke kanten uit beide zonder dat u in één ecosysteem vast komt te zitten.
Alternatieven buiten Purview die ook genoemd worden: Secureworks Classifier, Bluefin Classifier en open-source varianten op basis van Apache Tika met custom metadata. Geen van die drie heeft in Nederland een ondersteunende leveranciersstructuur met Nederlandstalige engineers en een SAP-plug-in. Dat is de reden dat Titus het meeste voorkomt bij Nederlandse enterprise-klanten buiten de pure Microsoft-only-lijn.
De architectuur in prose. Een Nederlandse klant met 5.000 FTE draait Titus op twee policy-servers op Windows Server 2022, geografisch gescheiden tussen een datacenter in Amsterdam en een fallback in Eindhoven. Daarachter staat een SQL Server 2019 AlwaysOn-cluster dat schemadefinities, auditlogs en ML-trainingdata host. De werkplekcomponent wordt via Microsoft Endpoint Manager uitgerold naar 5.000 endpoints in waves van 500, waarbij de pilotgroep de eerste twee weken een feedback-loop met de beheerders houdt voor schema-aanpassingen.
De ML-suggesties worden gevoed door een lokaal getraind model dat draait op de policy-server, niet in de cloud. Dat is een expliciete keuze van Nederlandse klanten die data-soevereiniteit eisen. De modelaccuraatheid begint bij 70 tot 80 procent na een week trainen op historische data en groeit naar 90 tot 95 procent na drie maanden productieloop, afhankelijk van de diversiteit aan documenttypen. Afwijkingen tussen suggestie en gebruikerskeuze worden gelogd en gebruikt voor hertraining.
Integratie met de omgeving. Labels gaan via een synchronisatieconnector naar Microsoft Purview, waar de E5-rights-management-laag encryptie toepast op vertrouwelijk en geheim. Labels gaan als X-header op uitgaande mail via Exchange naar de e-mailgateway, waar Clearswift MIMEsweeper op het label reageert en deep content inspection uitvoert op attachments. Labels gaan via de auditlog-connector naar Microsoft Sentinel, waar een workbook realtime labelverdeling en afwijkingen toont aan het SOC. Voor gereguleerde bestandsuitwisseling met externe partijen leest GoAnywhere MFT het label en kiest routering op basis van bestemming.
Failure modes die wij in de praktijk zien. Een te complex schema waar gebruikers na vier weken niet meer in navigeren: een organisatie die met zeven niveaus en elf categorieën begint, eindigt na een maand met vrijwel alle documenten op intern. Remedie: maximaal vier niveaus bij start, uitbreiden op basis van productie-data. Een tweede faalmodus is DLP-beleid dat te hard op nieuwe labels reageert, met als gevolg dat legitieme werkstromen breken, gebruikers leren om te labelen op intern en de business de uitrol terugtrekt. Remedie: eerst monitor-modus gedurende 4 tot 6 weken, daarna gefaseerd escaleren naar blokkeren. Een derde faalmodus is ongelijke dekking: Titus draait op Outlook en Office maar niet op SharePoint of file shares, waardoor de helft van de data buiten bereik blijft. Remedie: Titus aan de creatie-kant combineren met Boldon James aan de discovery-kant voor de bestaande backlog.
Een vierde faalmodus verdient aparte aandacht. Wanneer het ML-model op cloud draait terwijl de klant data-soevereiniteit eist, ontstaat een contractueel en AVG-risico dat bij audit opbreekt. Bij Nederlandse klanten draaien wij standaard het model lokaal op de policy-server; cloudscoring wordt alleen ingezet na expliciete DPIA en goedkeuring.
De doorlooptijd van een typische uitrol. Week 1 tot 4: POC op 50 tot 200 pilotgebruikers, schema-finetuning, eerste integratie met DLP in monitormodus. Maand 2 tot 3: uitrol in waves van 500 gebruikers, auditlog-connector naar SIEM, Purview-synchronisatie geactiveerd. Maand 4 tot 6: DLP van monitor naar handhaving, SAP GUI-plug-in voor de SAP-gebruikersgroep, externe MFT-integratie voor gereguleerde bestandsuitwisseling. Volgende in de keten na Titus is vrijwel altijd Boldon James, omdat u voor elke nieuwe gelabelde e-mail een vergelijkbare hoeveelheid ongelabelde historische data op file shares en SharePoint heeft staan die discovery nodig hebben.
Voor de onderliggende vraag waarom dit geheel überhaupt ertoe doet, verwijzen wij naar de volledige regulatoire deep-dive. Voor een breder portfolio-overzicht met Boldon James, Clearswift en Vera verwijzen wij naar de oplossingenpagina. Voor een kennismakingsgesprek of POC-aanvraag is de contactpagina het startpunt.
Titus plaatst een labelbalk in het lint van Outlook, Word, Excel en PowerPoint. Voor u een e-mail verstuurt of een document opslaat vraagt Titus om een gevoeligheidslabel. Een machine learning-model geeft een suggestie op basis van inhoud, geadresseerden en context. U accepteert, wijzigt of escaleert. Het gekozen label wordt vastgelegd in de metadata van het bestand of bericht.
Titus ondersteunt elk hiërarchisch schema met aanvullende sub-labels en vrije attributen. De meeste organisaties werken met vier niveaus: openbaar, intern, vertrouwelijk en geheim, aangevuld met categorieën zoals persoonsgegevens, financieel of klantdata. Voor de Rijksoverheid is een BIO-rubricering met departementaal vertrouwelijk en staatsgeheim gebruikelijk. Het schema wordt centraal beheerd en uitgerold via groepsbeleid.
Titus schrijft labels in dezelfde metadata-velden die Purview gebruikt en synchroniseert met Purview-sensitivity labels via connector of gedeelde schemastructuur. U kunt Titus aan de creatie-kant gebruiken en Purview aan de handhavingskant voor encryptie en toegangsbeheer. Veel klanten kiezen die combinatie om een rijkere labelbeleving te bieden zonder de Purview-investering los te laten.
Ja. Titus heeft een dedicated SAP GUI-plug-in die classificatie oplegt aan gereguleerde SAP-transactiedata, en een desktop classifier voor bestanden buiten Office. Er is ondersteuning voor macOS-Office en voor Outlook op iOS en Android via de mobile client. De backend is platform-onafhankelijk en leest en schrijft labels als X-headers op e-mail en als custom properties in OOXML.
Vrijwel zeker wel. Titus-labels staan in standaard metadata-velden die worden gelezen door Microsoft Purview, Digital Guardian, Symantec DLP, Forcepoint, Netskope, Zscaler en Clearswift. In de POC-fase valideren wij dat uw specifieke DLP-versie de labels correct interpreteert en dat het beleid op label-niveau feitelijk activeert. Dat is een configuratie-exercitie, geen integratieprobleem.
Drie mechanismen werken samen. Ten eerste geeft het ML-model een suggestie op basis van inhoud, wat afwaarts klikken een expliciete handeling maakt. Ten tweede logt Titus de afwijking tussen suggestie en keuze. Ten derde controleert een DLP-regel na verzending of het label consistent is met bekende patronen zoals BSN of IBAN. Escalatie gebeurt op afwijkingsdrempel, niet op individueel geval.
Een 30-dagen POC op eigen productiedata, gevolgd door een fullroll van 3 tot 6 maanden. Doorlooptijd hangt af van het aantal gekoppelde platformen, de complexiteit van het schema en de integratie met Purview, DLP en MFT. Een pilotgroep van 50 tot 200 gebruikers loopt binnen twee weken, met concrete adoptiecijfers voor het stuurcomité binnen de POC-periode.
Titus labelt alleen nieuwe of bewerkte documenten bij creatie. Voor de backlog aan ongelabelde bestanden op file servers, SharePoint en OneDrive zet u Boldon James Classifier in. Die scant, herkent 300+ datatypes en labelt automatisch. De twee producten delen hetzelfde schema en dezelfde metadata-structuur, waardoor een gemengde uitrol geen dubbel werk oplevert voor beheerders of gebruikers.
Regulatoire bronnen: AVG 2016/679, NIS2 2022/2555, ISO/IEC 27001:2022.