Classificatie van informatie. Hoe doe je dat in de praktijk

Classiificatie van informatie Ten minste houdbaar tot …

We kennen het onder meer van de supermarkten, een sticker op de levensmiddelen met een houdbaarheidsdatum of productiedatum erop. Dat heeft natuurlijk een doel, namelijk voedselveiligheid, ervoor te zorgen dat we niet ziek worden.

Privacy en persoonsgegevens

Met de privacy is het ook zo gesteld. Het wordt steeds belangrijker de privacy van onze klanten, zakenpartners, collega’s en andere contacten die we hebben te beschermen, te beveiligen. En niet alleen omdat we moreel erbij betrokken zijn maar ook omdat het onze wettelijke plicht is. Alle gegevens over personen die we in documenten verwerken (persoonsgegevens dus) moeten een sticker krijgen die aangeeft hoe veilig het document is voor de ontvanger, de “consument” van het door jou geschreven document, om verder te gebruiken.

Gedocumenteerde informatie

Maar naast persoonsgegevens zijn er meer soorten gegevens. Denk aan belangrijke zakelijke informatie of informatie die concurrenten graag zouden willen weten. We noemen dit met een verzamelwoord “gedocumenteerde informatie”, of te wel gegevens die ergens vastliggen. Dit kan zijn digitaal, op papier en alle andere vormen die je maar kan bedenken. Maar het allerbelangrijkste is om je te realiseren dat alle soorten gegevens beschermd moeten worden.

Bescherming van gegevens

Om deze bescherming te realiseren moeten we onze documenten, digitale informatie en andere gegevens classificeren en er vervolgens een label op plakken. Dit kan je doen voor alle documenten / gegevens die er zijn in een organisatie. Kies classificaties die handig zijn voor jouw organisatie. Niet te veel, want dan zien de medewerkers door de bomen het bos niet meer. Maar ook niet te weinig, want dan kan je niet genoeg onderscheid maken tussen de verschillende soorten informatie in jouw organisatie.

Veel gebruikte classificaties

Openbaar
Intern gebruik
Vertrouwelijk
Geheim

Betekenis van de verschillende classificaties

Wat een classificatie specifiek betekend voor jouw organisatie bepaal je zelf. Ook wat je vervolgens mag doe met de informatie behorende bij een bepaalde classificatie is voor elke organisatie anders. Toch zijn er veel overeenkomsten. Kijk maar eens naar onderstaand veelvoorkomend voorbeeld.

Openbaar

Betekenis: Dit is informatie die iedereen mag lezen.

Voorbeelden: Folders, brochures, informatie op de website.

Wat mag je er mee doen: Alles wat je maar wilt

Hoe moet het beschermd worden: Geen specifieke bescherming noodzakelijk

Intern gebruik

Betekenis: Informatie die alleen bestemd is voor medewerkers van jouw organisatie.

Voorbeelden: Processen, procedures, werkinstructies, checklijsten.

Wat mag je er mee doen: Delen met alle collega’s.

Hoe moet het beschermd worden: Niet ergens laten liggen dat andere dan collega’s het kunnen zien. Niet mailen naar mailadressen buiten de organisatie.

Vertrouwelijk

Betekenis: Informatie bedoeld voor een selecte groep mensen binnen een organisatie.

Voorbeelden: Persoonsgegevens, HRM info, patiëntgegevens, contract informatie.

Wat mag je er mee doen: Deze gegevens mogen door een beperkte groep mensen gebruikt worden. De eigenaar bepaald wie er in die beperkte groep zit.

Hoe moet het beschermd worden: Niet mailen, alleen informatie delen via een beschermde map met alleen autorisaties voor de beperkte groep mensen, map moet encryptie hebben, niet fysiek meenemen op papier / usb stick naar buiten het kantoorpand.

Geheim

Betekenis: Dit is informatie die bedoeld is voor een enkele persoon.

Voorbeelden: Aanbestedingen, documenten rondom overnames / fusies, beursgevoelige informatie, persoonsgegevens van specifieke / belangrijke mensen.

Wat mag je er mee doen: Niets, niet mailen, niet versturen per post, niet meenemen naar huis.

Hoe moet het beschermd worden: Opbergen in een (digitale) kluis met extra zware beveiliging.

Bovenstaand schema kan je ook nog uitbreiden met hoe vaak de informatie geback-upt moet worden. Of met de antwoorden op vragen als: hoe belangrijk is deze informatie, wat gebeurt er als we deze informatie niet meer hebben en hoelang kan de organisatie zonder deze informatie.

Waar staat het in de ISO27001 en de NEN7510

ISO27001: in hoofdstuk 7.5 staat hoe om te gaan met gedocumenteerde informatie en in de annex bij A8.2 staat alles over classificatie.

NEN7510:2011: in hoofdstuk 4.7 staat hoe om te gaan met gedocumenteerde informatie en in hoofdstuk 7.2 staat alles over classificatie.

NEN7510:2017 in hoofdstuk 7.5 staat hoe om te gaan met gedocumenteerde informatie en in de annex bij A8.2 staat alles over classificatie.

Doelstelling volgens ISO27001 A8.2: Bewerkstelligen dat informatie een passend beschermingsniveau krijgt dat in overeenstemming is met het belang ervan voor de organisatie.

Met dank aan Frits Vanzadelhoff voor zijn inspiratie voor deze blog.