Een data-classificatiebeleid instellen in Google Workspace begint met een simpel inzicht: niet alle data is even gevoelig, dus niet alle data hoeft dezelfde bescherming. Door informatie in te delen naar gevoeligheid kun je beveiliging gericht toepassen. Te streng voor alles is onwerkbaar, te los voor alles is onveilig. Classificatie lost dat op.
Waarom classificeren
Zonder classificatie behandel je een openbare brochure net zo voorzichtig als een salarisadministratie, of juist allebei te los. Een classificatieschema geeft medewerkers houvast: ze weten hoe ze met een document moeten omgaan op basis van het label.
In Google Workspace gebruik je hiervoor Drive-labels in combinatie met DLP. Drive-labels zijn metadata die je aan bestanden hangt en die je kunt koppelen aan beveiligingsregels.
Licentie-check
Drive-labels (classificatielabels) maak je aan op Business Standard en Plus en op de Enterprise- en Education-edities. De automatische koppeling met DLP, dus labels die regels laten afdwingen, vereist een editie met DLP, zoals Enterprise Standard of Plus, Frontline Standard of Plus, of Education Standard of Plus. Controleer je editie voordat je het beleid uitrolt, want zonder DLP-ondersteuning kun je labels alleen handmatig toepassen, zonder automatische afdwinging.
Een werkbaar classificatieschema kiezen
Houd het schema eenvoudig. Vier niveaus werkt voor de meeste organisaties.
| Niveau | Voor wie | Voorbeeld | Deelbeleid |
|---|---|---|---|
| Openbaar | Mag zonder risico naar buiten | Brochures, persberichten | Geen deelbeperkingen |
| Intern | Medewerkers, niet voor buiten | De meeste werkdocumenten | Extern delen alleen bewust |
| Vertrouwelijk | Wie het echt nodig heeft | Persoons- en bedrijfsgegevens | Extern delen geblokkeerd of beperkt |
| Geheim | Strikt beperkte kring | Overnameplannen, broncode | Downloads en delen sterk ingeperkt |
Intern is meestal het beste standaardniveau. Zo voorkom je dat alles per ongeluk als openbaar de deur uit gaat, zonder dat medewerkers bij elk document een keuze hoeven te maken.
Labels en regels koppelen
Het schema is pas effectief als labels gekoppeld zijn aan concrete beveiliging.
Drive-labels en DLP koppelen
- Ga in de Admin-console naar Beveiliging en open Drive-labels.
- Maak een classificatielabel aan met de waarden
openbaar,intern,vertrouwelijkengeheim. - Publiceer het label en wijs het toe aan de gewenste organisatie-eenheden.
- Ga naar Beveiliging en open Databescherming voor DLP.
- Maak een regel die extern delen blokkeert voor bestanden met label
vertrouwelijkofgeheim. - Voeg een regel toe die waarschuwt bij downloads van geheime bestanden.
- Test met een testbestand voordat je breed uitrolt.
Labels zonder regels zijn schijnveiligheid
Als je labels invoert maar geen DLP-regels koppelt, vertrouw je volledig op het gedrag van medewerkers. Dat gaat een keer mis. Koppel altijd minstens deelbeperkingen aan de hoogste twee niveaus voordat je het beleid als afgerond beschouwt.
Automatisch classificeren
Handmatig labelen werkt niet op schaal. Mensen vergeten het of kiezen het verkeerde niveau. Daarom wil je waar mogelijk automatisch classificeren.
DLP kan inhoud scannen en op basis van patronen een label toekennen. Een document met BSN-nummers of creditcardgegevens kun je automatisch als vertrouwelijk markeren. Combineer automatische detectie met handmatige bevestiging voor randgevallen. Let op: in DLP-regels worden alleen labels met badge en standaardlabels met een keuzelijst-veld ondersteund, dus richt je label daar meteen goed op in.
Begin bij de duidelijke gevallen
Start automatische classificatie voor de patronen die betrouwbaar te detecteren zijn: documenten met BSN, paspoortnummers of creditcardgegevens. Laat de moeilijkere inhoudelijke beoordelingen aan de eigenaar over, met een verplicht label bij opslaan in gevoelige mappen.
Beleid invoeren en borgen
Een classificatiebeleid is meer dan techniek. Medewerkers moeten weten wat de niveaus betekenen en hoe ze moeten labelen. Doorloop deze vijf stappen in volgorde:
- Schema vaststellen: bepaal de niveaus en hun definities.
- Labels configureren: maak de Drive-labels aan en publiceer ze.
- Regels koppelen: stel per niveau de juiste DLP-regels in.
- Training: leg medewerkers uit wat de labels betekenen.
- Monitoring: controleer of labels in de praktijk correct worden gebruikt en stuur bij.
Hoeveel classificatieniveaus moet ik kiezen?
Drie tot vier werkt voor de meeste organisaties. Meer niveaus klinkt nauwkeuriger maar verwart medewerkers en verlaagt de naleving. Houd het simpel.
Kan ik bestaande documenten met terugwerkende kracht labelen?
Ja, deels automatisch via DLP-scans op inhoud en deels handmatig. Reken op een opschoonactie voor de bestaande Drive bij invoering.
Wat gebeurt er als iemand een verkeerd label kiest?
Met DLP-regels kun je inconsistenties detecteren, bijvoorbeeld een als openbaar gelabeld document dat toch een BSN bevat. Stel daarvoor een waarschuwing in.
Werken labels ook in Gmail?
Drive-labels gelden voor bestanden. Voor mail gebruik je DLP-regels die uitgaande berichten en bijlagen scannen op gevoelige inhoud.
Welke editie heb ik nodig om labels af te dwingen?
Labels aanmaken kan al op Business Standard en Plus. Voor automatische DLP-afdwinging heb je een editie met DLP nodig, zoals Enterprise Standard of Plus, Frontline Standard of Plus, of Education Standard of Plus.
Kan ik een standaardlabel automatisch op nieuwe bestanden zetten?
Ja, je kunt een Default-label instellen dat automatisch op nieuwe bestanden wordt toegepast, zodat alles standaard een basisclassificatie krijgt zonder dat de gebruiker iets hoeft te doen.
Met een eenvoudig schema, gekoppelde DLP-regels en automatische detectie voor de duidelijke gevallen zet je een classificatiebeleid neer dat werkt in de praktijk in plaats van alleen op papier.