Laatst bijgewerkt: 16 april 2026
Dataclassificatie is het systematisch labelen van bestanden, e-mail en documenten op basis van gevoeligheid, en wordt verplicht gesteld door AVG artikel 5 lid 2 en 32, NIS2 artikel 21 en 23, ISO 27001:2022 Annex A 8.2 en A 8.3, de BIO-rubriceringsplicht en DORA artikel 6, voor Nederlandse organisaties met een verwerkingsregister, een certificering, een kritieke functie of een financiële vergunning, zodat uw auditor aantoonbare handhaving ziet in plaats van een beleidsdocument op papier.
AVG: artikel 5 lid 2 (verantwoordingsplicht), artikel 30 (verwerkingsregister), artikel 32 (passende technische maatregelen), artikel 33 (meldplicht binnen 72 uur), artikel 83 lid 5 (boete tot €20 miljoen of 4% wereldwijde jaaromzet).
NIS2: artikel 21 (tien specifieke risicobeheersmaatregelen), artikel 23 (vroegtijdige waarschuwing binnen 24 uur, formele melding binnen 72 uur), artikel 32 (toezichts- en handhavingsbevoegdheden). Geldt voor essentiële en belangrijke entiteiten.
ISO 27001:2022: Annex A 8.2 (classificatie van informatie), A 8.3 (labeling), gerelateerd aan A 8.10 (information deletion) en A 8.12 (data leakage prevention).
BIO: rubriceringsplicht (departementaal vertrouwelijk, staatsgeheim confidentieel, geheim en zeer geheim) voor Rijk, medeoverheden en uitvoeringsorganisaties, getoetst via ENSIA. BIO 2.0 is in aantocht.
DORA: artikel 6 (ICT-risicobeheerkader) met classificatieplicht voor ICT-assets en data. Van toepassing sinds 17 januari 2025 op financiële entiteiten.
De kern: zonder classificatie ziet uw auditor een beleidsdocument. Met classificatie ziet hij aantoonbare handhaving.
Geen enkele Europese of Nederlandse regelgeving schrijft letterlijk een tool voor dataclassificatie voor. Elke relevante regelgeving schrijft wel voor dat u passend beveiligt, aantoonbaar beheerst en tijdig meldt. Passend veronderstelt dat u de gevoeligheid kent. Aantoonbaar veronderstelt dat bewijs machinaal controleerbaar is. Tijdig veronderstelt dat u bij een incident direct weet welke data geraakt is. Dat drietal vertaalt zich naar classificatie als controleerbare basislaag.
De verplichting is dus indirect maar wel structureel. Een organisatie zonder classificatie leunt op handmatige inventarisaties die snel verouderen, op beleid dat moeilijk te toetsen is, en op DLP-regels die op regex werken in plaats van op betekenis. Drie vormen van bewijs die in een formele audit lastig te onderbouwen zijn.
De keten die regelgevers in 2026 in de praktijk toetsen: schema, toepassing, handhaving, rapportage. Een classificatieschema dat is goedgekeurd door de directie en security-governance. Toepassing op productiedata, zichtbaar in metadata van bestanden en e-mail. Handhaving via DLP, MFT, encryptie en toegangsbeheer die op labelniveau acteren. Rapportage uit SIEM of compliance-dashboard die een auditor zonder toelichting kan lezen. Ontbreekt één schakel, dan werkt de keten in de praktijk niet zoals bedoeld.
Bron: ENISA publicaties over NIS2-implementatieNederlandse organisaties vallen in 2026 vrijwel altijd onder meer dan één regime tegelijk. De AVG geldt voor iedereen die persoonsgegevens verwerkt. NIS2 legt een extra laag bovenop bij essentiële en belangrijke entiteiten. De BIO geldt bij overheid en uitvoering. DORA geldt bij financiële dienstverlening. ISO 27001 is geen wettelijke verplichting maar wordt contractueel opgelegd door klanten, ketenpartners en verzekeraars.
| Regime | Voor wie | Toetsingsmoment |
|---|---|---|
| AVG | Iedereen die persoonsgegevens verwerkt, publiek en privaat, vanaf 1 FTE. | AP-controle, DPIA, datalekmelding. |
| NIS2 essentieel | Grote entiteiten in energie, transport, bankieren, gezondheid, drinkwater, digitale infrastructuur. | Proactief toezicht, jaarlijkse rapportage, incidentmelding. |
| NIS2 belangrijk | Middelgrote entiteiten in post, afvalbeheer, voedsel, digitale aanbieders, onderzoek. | Reactief toezicht, incidentgedreven controle. |
| BIO | Rijk, medeoverheden, gemeenten, waterschappen, uitvoeringsorganisaties en ketenpartners. | ENSIA-zelfevaluatie, audit door IAD, horizontale toezichtslijn. |
| DORA | Banken, verzekeraars, betaalinstellingen, beleggingsondernemingen, pensioenfondsen, crypto-dienstverleners, kritieke ICT-derden. | ICT-risicobeheerkader, TIBER-testen, derdenregister. |
| ISO 27001 | Organisaties die gecertificeerd zijn of dat contractueel moeten worden. | Certificeringsaudit en jaarlijkse surveillance-audit. |
Een middelgrote Nederlandse zorginstelling valt in 2026 doorgaans onder AVG, NIS2 essentieel en ISO 27001. Een gemeente valt onder AVG, BIO, ENSIA en in bepaalde diensten NIS2. Een verzekeraar valt onder AVG, DORA, NIS2 en ISO 27001. Het stapelen van regimes is de norm, niet de uitzondering. Classificatie is de enige controlelaag die alle vijf tegelijk bedient.
Bron: wetten.overheid.nl en NCSC advisoriesClassificatie is geen losse tool in een hoekje van uw security-architectuur. Zij raakt elke plek waar data wordt aangemaakt, opgeslagen, gedeeld of doorgesluisd. Zes plekken komen steeds terug.
E-mail. Het grootste exfiltratiekanaal in vrijwel elke organisatie. Zonder zo'n label op uitgaande e-mail werkt een e-mailgateway op trefwoorden en bijlage-extensies. Met labels leest Clearswift op de gateway welke categorieën naar buiten gaan en welke regels moeten triggeren.
File shares en SharePoint. Hier zit de historische backlog. Terabytes aan ongelabelde bestanden die jaar na jaar meegroeien. Discovery en auto-labeling via Boldon James bedient deze laag.
SaaS-applicaties. Microsoft 365, Google Workspace, Salesforce, ServiceNow, Workday. Labels die via Purview of native velden meelopen, maken CASB-beleid mogelijk op betekenis. Zonder labels ziet een CASB alleen dataverkeer.
Endpoints. De laptops en werkplekken waar documenten worden aangemaakt. Titus of een vergelijkbare creator-driven tool plaatst het labelmoment daar, in Outlook en Office, voor het bestand de werkplek verlaat.
SAP en ERP. Transactiedata verlaat SAP via exports, rapportages en integraties. Zonder classificatie op SAP-niveau stroomt financiële en HR-data ongelabeld via die kanalen naar buiten het systeem.
Derde-partij-koppelingen. MFT-routes naar accountants, verzekeraars, leveranciers, auditors. Classificatie bepaalt welke route is toegestaan. Een vertrouwelijk bestand hoort op een versleutelde MFT-route met ontvangstbevestiging, niet op een standaard HTTPS-upload. Vera voegt daar persistent rights management aan toe voor data die de organisatie verlaat.
Bron: IBM Cost of a Data Breach Report over de kanalen waarlangs data lekt.Classificatie komt zelden op de directietafel omdat iemand vrijwillig het onderwerp agendeert. Er zijn zes momenten waarop het op tafel komt.
Post-incident. Na een datalek, ransomware-aanval of onopzettelijke externe verzending ontstaat de vraag welke data geraakt is. Zonder classificatie wordt dat een forensisch project van weken. Met classificatie is het een query van minuten.
NIS2-audit. De Nederlandse implementatie van NIS2 via de opvolger van de Wbni is in 2026 in werking. Toezichthouders toetsen op artikel 21 en 23. De eerste vraag is vrijwel altijd hoe u risico's per asset beoordeelt. Zonder classificatie is die vraag lastig van een gedocumenteerd antwoord te voorzien.
ISO-recertificering. Elke drie jaar een hercertificering, tussendoor surveillance-audits. Annex A 8.2 en A 8.3 staan expliciet op de afvinklijst. Auditors vragen bewijs op metadata-niveau, niet op beleidsniveau.
DPIA. Een Data Protection Impact Assessment verplicht u categorieën persoonsgegevens en risico's in kaart te brengen. Zonder classificatie is de DPIA gebaseerd op schattingen, wat bij een AP-controle als onvoldoende onderbouwd kan worden beoordeeld.
M&A. Bij een overname of fusie wil de koper weten welke datacategorieën overkomen. Bij een joint venture moet data delen zonder te mengen. Classificatie is het enige mechanisme dat dit machineleesbaar oplevert in due-diligence-termijn.
BIO-toetsing via ENSIA. Gemeenten en medeoverheden doorlopen jaarlijks de ENSIA-cyclus. Rubricering is een expliciet toetsingspunt. De IAD controleert of rubricering consistent en aantoonbaar is.
DORA-gereedheidsaudit. Sinds 17 januari 2025 toetsen DNB en AFM op DORA-implementatie. Artikel 6 staat in de eerste batterij vragen. Classificatie van ICT-assets en data is daar expliciet onderdeel van.
Bijna elke Nederlandse organisatie heeft een informatiebeveiligingsbeleid. Bijna elke organisatie heeft een classificatie-paragraaf in dat beleid. Dat is goed voor de letter, onvoldoende voor de geest. Een beleid dat niet machinaal afdwingbaar is, is een intentieverklaring.
Drie concrete verschillen die een auditor in 2026 ziet. Ten eerste: een beleidsdocument vermeldt dat vertrouwelijke data versleuteld wordt opgeslagen. Een classificatieschema met metadata maakt zichtbaar welke bestanden als vertrouwelijk zijn gelabeld en welke encryptieregels op die labels acteren. Ten tweede: een beleid beschrijft dat persoonsgegevens alleen via veilige kanalen gedeeld worden. Classificatie gekoppeld aan MFT bepaalt per bestand welke route is toegestaan, en logt afwijkingen. Ten derde: een beleid noemt periodieke heroverweging van data-locaties. Classificatie produceert continu de dataset voor die heroverweging.
Geen papieren beleid, wel aantoonbare handhaving. Dat is het verschil tussen een audit met bevindingen en een audit met certificaat. De Autoriteit Persoonsgegevens, DNB, AFM en certificerende instanties werken in 2026 zonder uitzondering op basis van bewijs. Bewijs is machineleesbaar of telt niet.
De Algemene Verordening Gegevensbescherming is sinds mei 2018 van toepassing en is in 2026 nog steeds het breedst toegepaste privacy-regime in Nederland. Voor classificatie zijn vijf bepalingen relevant.
Artikel 5 lid 2 (verantwoordingsplicht). De verwerkingsverantwoordelijke is verantwoordelijk voor en moet kunnen aantonen dat de beginselen van lid 1 worden nageleefd. Kunnen aantonen is geen beleidsparagraaf, het is machineleesbaar bewijs. Een classificatieschema met consistent toegepaste labels op productiedata is het enige bewijs dat de aantonenplicht op schaal invult.
Artikel 30 (register van verwerkingsactiviteiten). Iedere verwerkingsverantwoordelijke houdt een register bij met categorieën persoonsgegevens, doelen, ontvangers en bewaartermijnen. Zonder classificatie leunt dat register op periodieke interviews met afdelingen. Die informatie is op dag één achterhaald. Met classificatie volgt het register direct uit metadata van de onderliggende systemen.
Artikel 32 (beveiliging van de verwerking). Passende technische en organisatorische maatregelen, gelet op de stand van de techniek, kosten en de aard van de risico's. Het woord passend veronderstelt een risicobeoordeling per categorie data. Zonder classificatie ontbreekt de structurele basis voor die beoordeling.
Artikel 33 (melding van een inbreuk). Een datalek moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens. De melding bevat onder andere de aard van de inbreuk, categorieën en aantallen betrokken personen, en waarschijnlijke gevolgen. Zonder classificatie wordt de categorievraag een meerdaags handmatig traject, wat binnen de 72-uurs-termijn krap is.
Artikel 83 lid 5 (boetes). Tot €20 miljoen of 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, afhankelijk van wat hoger uitvalt. De Autoriteit Persoonsgegevens kijkt bij artikel-32-beoordelingen naar de aanwezigheid van een classificatieschema als een van de relevante factoren. De European Data Protection Board heeft hiervoor richtsnoeren gepubliceerd die lidstaattoezichthouders volgen.
Bron: Verordening (EU) 2016/679, EUR-LexDe Network and Information Security Directive 2 vervangt de oorspronkelijke NIS-richtlijn uit 2016. Europese lidstaten moesten NIS2 omzetten in nationaal recht vóór 17 oktober 2024. Nederland implementeert via de opvolger van de Wet beveiliging netwerk- en informatiesystemen. Voor classificatie zijn drie bepalingen cruciaal.
Artikel 21 (risicobeheersmaatregelen). Essentiële en belangrijke entiteiten nemen passende en evenredige technische, operationele en organisatorische maatregelen. Lid 2 somt tien specifieke onderwerpen op, waaronder beleid inzake risicoanalyse, incidentbehandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, beveiliging bij netwerk- en informatiesystemen, en beleid voor het gebruik van cryptografie. Classificatie is de voorwaarde die al deze onderwerpen verbindt: u kunt niet risico's analyseren zonder assets geclassificeerd te hebben, en u kunt geen cryptografiebeleid uitrollen zonder onderscheid tussen wat beschermd moet worden en wat niet.
Artikel 23 (meldingsverplichtingen). Bij een significant incident geldt een getrapte meldingsplicht. Binnen 24 uur een vroegtijdige waarschuwing aan het CSIRT of de bevoegde autoriteit. Binnen 72 uur een incidentmelding met een eerste beoordeling, inclusief ernst en impact. Binnen één maand een eindrapport. Zonder classificatie kunt u in 24 uur geen impactbeoordeling geven omdat u niet weet welke categorieën data geraakt zijn.
Artikel 32 (toezicht en handhaving). Nationale toezichthouders krijgen bevoegdheden voor proactief toezicht op essentiële entiteiten en reactief toezicht op belangrijke entiteiten. Administratieve boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en €7 miljoen of 1,4% voor belangrijke entiteiten. Onder specifieke omstandigheden voorziet de richtlijn in persoonlijke aansprakelijkheid voor bestuurders.
Het toepassingsbereik is fors uitgebreid ten opzichte van NIS1. Niet langer alleen traditionele kritieke infrastructuur, maar ook digitale aanbieders, post, afval, voedselketen en overheid vallen eronder. Een middelgrote Nederlandse organisatie in deze sectoren valt vrijwel zeker binnen scope.
Bron: Richtlijn (EU) 2022/2555, EUR-LexISO/IEC 27001 is geen wet maar is in Nederland de facto contractueel verplicht voor leveranciers aan overheid, zorg en financiële sector. De 2022-versie bevat 93 controls in Annex A, gegroepeerd in vier categorieën: organisatorisch, mensen, fysiek en technologisch. Vier controls raken classificatie direct.
A.8.2 Information classification. Informatie moet worden geclassificeerd volgens de beveiligingsbehoeften van de organisatie, op basis van vertrouwelijkheid, integriteit, beschikbaarheid en relevante eisen van belanghebbenden. De control eist een schema, een beleid, en consistente toepassing. Auditors in 2026 vragen naast het beleid om een steekproef op metadata, niet alleen om de beleidsparagraaf.
A.8.3 Labeling of information. Een passende reeks procedures voor informatielabeling moet worden ontwikkeld en geïmplementeerd in overeenstemming met het classificatieschema. Labeling is de zichtbare en machineleesbare vertaling van de classificatie. Een OOXML-property of een SMTP-header telt als label; een zin in het vergaderverslag telt niet.
A.8.10 Information deletion. Informatie die niet meer nodig is, moet worden verwijderd. Zonder classificatie kunt u niet bepalen welke informatie onder welke bewaartermijn valt, en wanneer verwijdering moet plaatsvinden. A.8.10 is daarmee een afgeleide van A.8.2.
A.8.12 Data leakage prevention. Preventieve maatregelen tegen lekkage van gevoelige informatie. De control verwijst impliciet naar DLP. DLP zonder labels werkt op patronen. DLP met labels werkt op betekenis. A.8.12 is daarmee een afgeleide van A.8.3.
Een certificerende instantie (bijvoorbeeld BSI, DNV, KIWA of Lloyd's Register) toetst in 2026 standaard op deze vier controls in samenhang. Het is niet voldoende om ze los af te vinken; auditors vragen expliciet naar de keten van schema naar labeling naar retentie naar lekkagepreventie.
Bron: ISO/IEC 27001:2022, iso.orgDe Baseline Informatiebeveiliging Overheid is sinds 2020 de Nederlandse normenkader voor Rijk, gemeenten, provincies, waterschappen en uitvoeringsorganisaties. De BIO is gebaseerd op ISO 27002 en voegt daar overheid-specifieke maatregelen aan toe. Voor classificatie is de rubriceringsplicht het kernstuk.
Rubricering staatsgeheim en departementaal vertrouwelijk. Nederland kent vier staatsgeheim-niveaus: departementaal vertrouwelijk, staatsgeheim confidentieel, staatsgeheim geheim, en staatsgeheim zeer geheim. Elk niveau heeft eigen verwerkings- en bewaareisen. De BIO eist dat rubricering zichtbaar en machineleesbaar wordt toegepast op documenten en digitale bestanden. Zonder handhavingstool op endpoints en e-mail valt die eis uit elkaar bij de eerste verzending buiten het departement.
Commerciële rubricering naast staatsgeheim. Veel uitvoeringsorganisaties hanteren een hybride schema: staatsgeheim-niveaus voor Rijk-specifieke stukken, commerciële niveaus (intern, vertrouwelijk, strikt vertrouwelijk) voor klantdossiers en ketensamenwerking. Een goede classificatietool ondersteunt beide schema's parallel in één metadata-structuur.
ENSIA-verantwoordingscyclus. Eenduidige Normatiek Single Information Audit is de jaarlijkse verantwoordingssystematiek waarmee gemeenten aantonen dat zij voldoen aan BIO, SUWI, BRP, BAG en andere normkaders. ENSIA combineert zelfevaluatie, collegiale toetsing en IT-audit tot één college-verklaring aan de gemeenteraad. Rubricering en classificatie zijn vaste onderdelen van de zelfevaluatie. De IAD of externe IT-auditor valideert steekproefsgewijs.
BIO 2.0. De opvolger is in ontwikkeling en wordt verwacht rond 2026 tot 2027. De kern blijft, maar de aansluiting op NIS2 en de herziene ISO 27001:2022 wordt expliciet. Classificatie blijft onveranderd een expliciete eis; de handhavingsverwachting wordt strenger.
Bron: BIO op digitaleoverheid.nlDe Digital Operational Resilience Act is een Europese verordening die directe werking heeft in elke lidstaat sinds 17 januari 2025. DORA richt zich op de digitale operationele weerbaarheid van de financiële sector en werkt rechtstreeks door in de bedrijfsvoering van banken, verzekeraars, beleggingsondernemingen, pensioenfondsen, betaalinstellingen en kritieke ICT-derdenleveranciers aan die sector.
Artikel 6 (ICT-risicobeheerkader). Financiële entiteiten stellen een compleet en gedocumenteerd ICT-risicobeheerkader vast, herzien en actualiseren het minstens jaarlijks. Het kader omvat strategieën, beleid, procedures, ICT-protocollen en tools die nodig zijn om ICT-activa te beschermen. Lid 8 eist expliciet een inventaris van ICT-activa en de classificatie ervan. Classificatie is geen optionele uitwerking; zij staat in de verordening zelf.
Artikel 7 (ICT-systemen, protocollen en tools). Systemen en tools moeten betrouwbaarheid, veiligheid en capaciteit bieden die passen bij de aard en gevoeligheid van de data. Zonder classificatie ontbreekt de maatstaf waaraan passendheid wordt getoetst.
Artikel 8 (identificatie). Entiteiten identificeren alle bronnen van ICT-risico, in het bijzonder de blootstelling aan en onderlinge afhankelijkheden van andere financiële entiteiten. De identificatie koppelt direct aan classificatie van data en assets.
Artikel 9 (bescherming en preventie). Beleid voor vertrouwelijkheid, integriteit en beschikbaarheid van data, inclusief classificatie. De verordening benoemt classificatie hier expliciet als verplicht onderdeel van het beschermingsbeleid.
EBA-richtsnoeren. De European Banking Authority en ESMA publiceren in 2025 en 2026 regulatory technical standards die de DORA-bepalingen concretiseren. Voor classificatie betekent dat: een gedocumenteerd schema, een risicobeoordeling per assetklasse, en een audittrail van wijzigingen aan het schema. DNB en AFM volgen deze standaarden in hun toezicht.
Voor kritieke ICT-dienstverleners aan de financiële sector (cloud, SaaS, datacenterdiensten) werkt DORA door via contractuele doorlegging. Cloudproviders die geen DORA-conform ICT-risicobeheer kunnen aantonen, komen bij financiële klanten steeds vaker niet meer door de leveranciersselectie.
Bron: Verordening (EU) 2022/2554, EUR-LexEr zijn zes vragen die in elke NIS2-, ISO-, BIO- of DORA-audit in 2026 terugkomen. Per vraag een voorbeeldantwoord zonder classificatie (rood vlaggetje) en met classificatie (groen vlaggetje).
1. Laat mij de categorieën persoonsgegevens zien die uw HR-afdeling verwerkt, inclusief de bewaartermijn. Zonder: een verwerkingsregister uit 2024, met de notitie dat een update gepland staat. Met: een dashboard uit de classificatietool met live overzicht van HR-bestanden per categorie, gekoppeld aan retentiebeleid.
2. Toon mij de lijst van vertrouwelijke documenten die de afgelopen maand buiten uw organisatie zijn verzonden. Zonder: een exportlog van uw e-mailgateway op trefwoorden, met een onzekere conclusie. Met: een query op metadata in de gateway-log, filterend op het label vertrouwelijk, met exacte afzender, ontvanger en bestandsnaam.
3. Hoe borgt u dat labels behouden blijven op SharePoint, OneDrive en bij een externe ontvanger? Zonder: een beleidsparagraaf over persistente metadata. Met: een live steekproef op drie bestanden waarbij u aantoont dat de OOXML-properties intact zijn gebleven na alle bewegingen, plus een auditlog van de synchronisatie met Purview.
4. Toon mij de DLP-regel die op het classificatielabel triggert en de incidenten die daaruit volgden de afgelopen 90 dagen. Zonder: een DLP-regelset op regex-patronen en een false-positive-rapportage. Met: een regel met expliciete voorwaarde label equals vertrouwelijk, en een SIEM-rapport met geblokkeerde transacties, uitgezonderde transacties en escalaties naar security officer.
5. Beschrijf uw procedure bij ontdekking van misclassificatie op een reeks bestanden. Zonder: een beleidsnota over periodieke heroverweging. Met: een workflow in de classificatietool, met herclassificatie-rechten voor data-eigenaren, een audittrail van wijzigingen, en een wekelijkse rapportage naar governance.
6. Simuleer: u ontdekt nu een datalek op server X. Hoeveel tijd tot u een eerste impact-inschatting heeft? Zonder: meerdere dagen voor een handmatige inventarisatie van wat op de server stond. Met: minuten, door een query op labels in het discovery-platform gekoppeld aan de geraakte server.
De rode antwoorden leveren bevindingen op. De groene antwoorden leveren certificaten en goedkeurende verklaringen op. Het verschil zit niet in retorica, het zit in de keten van schema naar toepassing naar handhaving naar rapportage. Die keten bouwt Neo Security bij Nederlandse organisaties, aantoonbaar en stap voor stap.
Het woord classificatie staat niet in de AVG. Artikel 5 lid 2 (verantwoordingsplicht) en artikel 32 (passende technische maatregelen) maken het echter de facto verplicht. U moet aantonen welke categorieën persoonsgegevens u verwerkt en dat uw beveiligingsmaatregelen passen bij de risico's. Dat aantonen lukt niet zonder een classificatieschema. Vrijwel elke DPIA en elke AP-controle leunt op die logica.
Artikel 21 eist passende technische en organisatorische maatregelen voor het beheersen van risico's op netwerk- en informatiesystemen. Lid 2 noemt expliciet beleid voor risicobeheer, incidentbehandeling en beveiliging van assets. Zonder classificatie kunt u geen risico's per asset beoordelen en geen prioriteit bepalen bij incidenten. Artikel 23 eist bovendien binnen 24 uur een vroegtijdige waarschuwing, wat alleen lukt als u direct weet welke data geraakt is.
Rubricering onder de BIO is een vastgelegd staatsschema: departementaal vertrouwelijk, staatsgeheim confidentieel, geheim en zeer geheim. Het is een gesloten vocabulaire. Classificatie onder ISO 27001 A.8.2 is een open control: u kiest zelf het schema, mits het passend is en consistent wordt toegepast. In de praktijk combineren medeoverheden beide: BIO-rubricering als basis, aangevuld met commerciële labels voor externe samenwerking.
Waarschijnlijk ja als u een financiële entiteit bent. DORA geldt sinds 17 januari 2025 voor banken, verzekeraars, betaaldienstverleners, beleggingsondernemingen, beheerders van icbe's, pensioenfondsen, crypto-asset dienstverleners en kritieke ICT-dienstverleners aan die sector. Levert u SaaS of hosting aan een financiële partij, dan raakt DORA u indirect via contractuele doorlegging en het ICT-derdenregister van uw klant.
Vier niveaus volstaan: openbaar, intern, vertrouwelijk en geheim. De auditor kijkt niet naar het aantal niveaus maar naar consistentie en aantoonbare toepassing. Meer niveaus vergroten de kans dat labels afglijden naar het laagste niveau. Wat de auditor wel wil zien: een schema-document, een goedgekeurd beleid, bewijs van organisatiebrede toepassing via metadata in bestanden, en een audittrail van labelwijzigingen. Diepte zit in bewijs, niet in het schema.
De meldingsplicht onder NIS2 artikel 23 en AVG artikel 33 dwingt u tot een eerste melding binnen 24 respectievelijk 72 uur. Ontbreekt de data-context, dan meldt u onvolledig. Toezichthouders zien onvolledige meldingen als tekortschieten. Bij AVG-incidenten kijkt de Autoriteit Persoonsgegevens vervolgens naar uw passende-maatregelen-bewijs, wat direct terugvoert op classificatie. De meldingsfase wordt een verantwoordingsfase.
Nee. Een gefaseerde aanpak is gangbaar en verdedigbaar richting auditors, mits u het beleid vanaf dag één organisatiebreed heeft vastgesteld. Begin bij één afdeling of één datastroom met aantoonbaar risico: HR, finance, R&D of klantcontracten. Breid daarna stap voor stap uit. Documenteer de scope per fase. De auditor toetst of het eindbeeld realistisch is en of u de tussenfase niet permanent als definitief presenteert.
Drie bewijslagen. Eén: metadata in bestanden en e-mail, steekproefsgewijs uit uw productiesystemen. Twee: auditlogs uit Titus of Boldon James met labelhistorie en afwijkingen tussen suggestie en keuze. Drie: DLP- of SIEM-rapportage die laat zien dat beleidsregels op labelniveau daadwerkelijk triggeren. Een beleidsdocument alleen is niet voldoende. De auditor vraagt om de keten van label tot beleidsactie.
AVG artikel 32 richt zich op persoonsgegevens en eist passende technische en organisatorische maatregelen tegen vertrouwelijkheid- en integriteitsrisico's. NIS2 artikel 21 richt zich op netwerk- en informatiesystemen in bredere zin en eist een cybersecuritybeleid met tien specifieke onderwerpen. De twee overlappen rond asset- en risicobeheer. Classificatie is in beide het fundament, maar het toepassingsbereik verschilt: AVG volgt de data, NIS2 volgt het systeem.
De Autoriteit Persoonsgegevens formuleert boetes zelden als 'geen classificatie'. De praktijk is dat boetes vallen onder artikel 32 AVG wegens onvoldoende beveiliging, waarbij het ontbreken van een classificatieschema als zwaarwegend bewijs meeweegt. Bedragen lopen op tot meerdere miljoenen euro. Onder NIS2 kunnen essentiële entiteiten boetes krijgen tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger uitvalt.
Regulatoire bronnen: AVG 2016/679, NIS2 2022/2555, DORA 2022/2554, ISO/IEC 27001:2022, BIO.