Waar gaat het over (en voor wie)?

 Werk je aan een ISO 27001:2022-certificering, of zet je een ISMS op om aan NIS2 te voldoen? Dan kom je deze drie Annex A-controls vroeg of laat tegen:

• A.5.12 Classificatie van informatie: je sorteert je informatie op gevoeligheid en waarde.
• A.5.13 Labelen van informatie: je markeert die informatie zichtbaar, zodat iedereen weet wat ze in handen hebben.
• A.5.14 Overdracht van informatie: je regelt hoe informatie veilig van A naar B gaat, intern en extern.

Je kunt informatie pas veilig overdragen als je weet hoe gevoelig het is en het correct gelabeld is. Daarom hangen deze drie controls samen. Organisaties die ze los benaderen, maken het zichzelf moeilijk.

Waarom raakt dit jouw organisatie?

Er zijn drie redenen waarom dit ertoe doet:

1. Zonder classificatie weet niemand wat te beschermen.

Wie alles als 'Vertrouwelijk' stempelt, vraagt medewerkers om het schema te negeren. Zonder enige classificatie behandelen ze klantdossiers als publieke informatie. Beide situaties kosten geld, door verspilling van resources of door datalekken.

2. Auditors kijken hier preciezer dan je denkt.

We zien veel organisaties leunen op een SaaS-tool die automatisch tags plakt. Voor de audit-trail ziet dat er keurig uit, totdat een lead auditor één vraag stelt: "Waarom is dit document Vertrouwelijk?" Kan de medewerker dat niet uitleggen, dan noteert de auditor mogelijk een observation. Bij meer dan één geval staat er zelfs mogelijk een minor non-conformity op A.5.12 te wachten. Een groen vinkje in een compliance-portal bewijst geen veilige cultuur.

3. Datalekken ontstaan op de overgangen.

Een productiebedrijf dat we begeleidden had A.5.12 keurig op orde: alle klantdossiers correct geclassificeerd. Toch lekte er een pakket uit. De standaardtool voor leveranciersuitwisseling was WeTransfer, zonder verwerkersovereenkomst en zonder regel over welk classificatieniveau via welk kanaal mocht. Niet de tool was de root cause, maar het ontbreken van overdrachtscontroles. Dat zijn geen losse incidenten; het zijn falende ketens tussen A.5.12, A.5.13 en A.5.14.

Zo pak je het aan: 5 stappen

Stap 1. Leg je classificatieschema vast

Begin eenvoudig. Drie of vier niveaus volstaan voor de meeste organisaties. Een gangbare opzet:

• Publiek: vrij te delen, geen schade bij openbaarmaking
• Intern: voor medewerkers, beperkte schade
• Vertrouwelijk: gevoelig, significante schade
• Strikt vertrouwelijk: kritisch, ernstige bedrijfsimpact

Beschrijf per niveau wat erbij hoort en geef voorbeelden uit je eigen praktijk. Sla het schema op waar je medewerkers werken, dus niet in een losse policy-PDF, maar in je document-management-systeem zelf.

Stap 2. Wijs asseteigenaren toe

Per informatie-asset één eigenaar. Die persoon bepaalt het niveau en controleert het periodiek. Leg de eigenaren vast in je asset-register en koppel dat aan A.5.9 (inventarisatie van informatie) én A.5.10 (acceptabel gebruik). Zonder benoemde eigenaar mist je ISMS de schakel tussen asset en gedragsregel, en dat is precies waar auditors op doorvragen.

Stap 3. Bepaal labels en metadata-conventies

Labels werken op twee niveaus.

• Digitaal: bijvoorbeeld metadata-tags, sensitivity labels in Microsoft 365 of Google Workspace, watermerken, headers en footers in documenten. Voor grotere omgevingen helpt een DLP-platform zoals Microsoft Purview, Boldon James of Symantec.
• Fysiek: bijvoorbeeld stempels, kleurcoderingen op mappen of gemarkeerde dragers.

Automatiseer waar het kan, maar laat de mens kiezen waar het ertoe doet. Een sensitivity label dat alleen door een AI is geplakt, levert in een audit niet hetzelfde bewijs als een label dat een medewerker bewust heeft toegekend.

Stap 4. Regel overdrachtscontroles per niveau

Hier komen de drie controls bij elkaar. Bepaal voor elk classificatieniveau:

• Kanalen — welke zijn toegestaan? (e-mail, Teams, fysieke koerier, beveiligde dataroom)
• Encryptie — welke eisen gelden tijdens transport en opslag?
• Contracten — welke NDA's en verwerkersovereenkomsten moeten klaarliggen voor overdracht aan externe partijen?
• Chain-of-custody — een systeem waarmee de volledige levensloop, herkomst en authenticiteit van een product of bewijsmiddel wordt gedocumenteerd: wie heeft het ontvangen, wanneer en waar?
• Mondelinge overdracht — welke regels gelden voor calls vanuit een openbare ruimte of het bespreken van klantdossiers in een open kantoor? (Vaak vergeten, expliciet onderdeel van A.5.14.)

Maak deze regels concreet. Een afspraak als "naar leveranciers altijd via Tresorit" is bruikbaar. "Veilig verzenden waar relevant" is dat niet.

Stap 5. Train je mensen en monitor de praktijk

De beste regels werken alleen als mensen weten waarom ze er zijn. Train op het waarom, dus wat er misgaat als jullie het verkeerd doen en niet alleen op het hoe. Doe daarna maandelijkse steekproeven (als onderdeel van je operationele jaarplanning) met een willekeurig document uit je systemen. Klopt de classificatie? Klopt het label? Is het via een toegestaan kanaal gedeeld. Documenteer die steekproeven. Met dat logboek heb je je auditbewijs op orde.

De drie valkuilen die we het vaakst tegenkomen

In onze auditpraktijk zien we drie bevindingen telkens terugkomen. Dat komt onder andere doordat mensen soms weinig trek hebben in het labelen van informatie:

1. Blind vertrouwen op automatisering — de tool plakt de tags, niemand controleert ze.
2. Overclassificatie — alles markeren als 'Vertrouwelijk', waardoor de hele indeling betekenis verliest.
3. Loskoppeling van het assetregister — een classificatieniveau dat nergens centraal is vastgelegd.

Geen van drieën is fataal als je ze op tijd intern vindt. Pijnlijk wordt het pas als de externe auditor ze als eerste signaleert. Om het wat minder tijdrovend te maken en het classificeren en labelen effectief toe te passen, kan je onderzoeken of het logisch is om per systeem, onderwerp of afdeling te classificeren. Je kunt bijvoorbeeld onderzoeken of documenten binnen HR, of systemen als AFAS, per definitie geclassificeerd kunnen worden als 'Vertrouwelijk'.

Klaar om dit goed neer te zetten?

Wij weten precies hoe je A.5.12, A.5.13 en A.5.14 op elkaar afstemt en waar de keten breekt. Wil je meer weten?

• Plan een vrijblijvend en kosteloos adviesgesprek in
• Of vind hier meer relevante ISO 27001-artikelen

‍