Gegevensclassificatie is een techniek die wordt gebruikt om gegevens te ordenen en te categoriseren in verschillende afzonderlijke klassen of groepen. Deze methoden zijn essentieel voor talloze toepassingen, zoals gegevensanalyse en machine leren, evenals gegevensbeveiliging, gegevensbeheer en naleving van regelgeving.
Gegevensclassificatie is het proces van het ordenen en categoriseren van gegevens in verschillende groepen en typen op basis van de inhoud en structuur. Voor het effectiever beheren en beschermen van gegevens, het naleven van beleid en regelgeving, het verbeteren van de beveiliging en het ondersteunen van gegevensanalyse en andere activiteiten.
Het doel van gegevensclassificatie is om ervoor te zorgen dat gegevens op de juiste manier worden beveiligd, dat gegevensnaleving wordt gehandhaafd en dat gegevensbeheer effectief is. Het exacte proces kan variëren op basis van de specifieke behoeften en overwegingen.
Door te identificeren welke gegevens gevoelig of vertrouwelijk zijn, kan men passende beveiligingsmaatregelen nemen om die gegevens beschermen.
Voor de naleving van regelgeving en om aan de wettelijke verplichtingen te voldoen, normen te handhaven met betrekking tot de opslag, verwerking en verzending van bepaalde soorten gegevens. Het verkeerd classificeren van gegevens kan leiden tot non-compliance en hoge boetes.
Weten welke gegevens men heeft en hoe deze zijn geclassificeerd, kan helpen bij het beheren en verminderen van het potentiële risico die gepaard gaat met een datalek.
Door gegevens correct te classificeren, kan ongeautoriseerde toegang tot gevoelige informatie beter voorkomen worden en de privacy van individuen beter beschermt.
Wanneer gegevens correct zijn geclassificeerd, kunnen deze effectiever worden gebruikt voor besluitvorming, analyses en het creëren van strategieën.
Correcte gegevensclassificatie kan helpen bij incidentrespons door potentiële gegevenscompromissen te identificeren in het geval van een inbreuk.
En kan ook leiden tot aanzienlijke kostenbesparingen, zoals het opslaan van minder gevoelige gegevens op goedkopere, laagbeveiligde opslag.
Gegevensclassificatie organiseert gegevens in categorieën op basis van verschillende kenmerken, zoals gevoeligheid, wettelijke vereisten, waarden en meer.
De eerste stap is het definiëren van welke gegevens worden geclassificeerd en de criteria voor de classificatie ervan. Dit kan onder andere het type gegevens, de gevoeligheid of de plek waar de gegevens vandaan komen omvatten.
Nadat de criteria zijn gedefinieerd, moeten labels of tags worden gegenereerd die overeenkomen met de classificatie. Labels kunnen ‘Vertrouwelijk’, ‘Openbaar’, ‘Intern’, enzovoort zijn.
De gegevens worden vervolgens geclassificeerd op basis van de gedefinieerde criteria en labels. Dit kan handmatig worden gedaan, waarbij een gegevenseigenaar labels toewijst aan de datasets, of automatisch, waarbij software of algoritmen worden gebruikt om gegevens te classificeren.
Afhankelijk van de classificatie worden de juiste beveiligingsmaatregelen vervolgens op de gegevens toegepast. Gegevens die als vertrouwelijk zijn geclassificeerd, kunnen bijvoorbeeld worden gecodeerd, met toegang beperkt tot alleen bepaalde personen.
Regelmatige audits moeten worden uitgevoerd om ervoor te zorgen dat de classificaties nauwkeurig zijn en dat beveiligingsmaatregelen werken zoals bedoeld. Aanpassingen moeten indien nodig worden gemaakt, met name wanneer nieuwe typen gegevens worden geïntroduceerd of wanneer de gevoeligheid van gegevens verandert.
Het vergroten van het bewustzijn van het personeel over het belang van dataclassificatie en het trainen om verschillende soorten data te verwerken, is ook essentieel voor de implementatie van dataclassificatie.
Het classificatieschema moet voortdurend worden gemonitord en onderhouden om de effectiviteit ervan te garanderen, met name naarmate de behoeften van de organisatie en het datalandschap evolueren.
Taggen ervan met een classificatieniveau op basis van de data-elementen die het bevat. Een document kan bijvoorbeeld worden geclassificeerd als ‘Vertrouwelijk’ als het gevoelige gegevens bevat, zoals creditcardnummers of persoonlijk identificeerbare informatie (PII).
Deze aanpak classificeert gegevens op basis van de elementen rondom de gegevens, ook wel metagegevens genoemd. Dit kan de applicatie omvatten die de data heeft gecreëerd, waar de data zich bevindt, wanneer de data is gecreëerd, wie de data bezit, etc. Bijvoorbeeld het classificeren van e-mails op basis van onderwerpregels, afzender- en ontvangeradressen.
Classificatie afhankelijk van de gebruiker die de data creëert of verwerkt om de data handmatig te classificeren. Deze classificatie is afhankelijk nt op de kennis en discretie van de gebruiker. Een documentmaker classificeert bijvoorbeeld een bestand als “Intern” op basis van de informatie die het bevat.
Openbaar: Dit zijn gegevens die bedoeld zijn voor openbaar gebruik. Het omvat marketingmateriaal, bedrijfswebsites en andere openbare documenten die geen risico vormen als ze worden geopend, verkeerd worden behandeld of openbaar worden gemaakt.
Gegevens die bedoeld zijn om binnen de organisatie te blijven, maar niet vertrouwelijk zijn. Voorbeelden hiervan zijn interne nieuwsbrieven, e-mailberichten en interne bedrijfsbeleidsregels. Verlies van interne gegevens kan kleine ongemakken veroorzaken, maar is in de meeste gevallen niet schadelijk.
Gevoelige gegevens die, als ze openbaar worden gemaakt, ernstige gevolgen kunnen hebben. Het omvat bedrijfsgeheimen, intellectueel eigendom of bepaalde soorten werknemers- of klantgegevens. Toegang tot vertrouwelijke gegevens is doorgaans beperkt tot specifieke personen.
De meest gevoelige gegevens waarvoor wettelijke verplichtingen gelden voor de bescherming ervan. Creditcardnummers, persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI) worden bijvoorbeeld allemaal geclassificeerd als beperkt. Ongeautoriseerde openbaarmaking van deze gegevens kan leiden tot ernstige juridische en financiële gevolgen.
Gegevensgevoeligheidsniveaus verwijzen naar de mate van risico die kan ontstaan als de gegevens worden gecompromitteerd. Er zijn doorgaans drie niveaus: hoog, gemiddeld en laag.
Gegevens met hoge gevoeligheid: dit omvat gegevens waarvan de ongeoorloofde openbaarmaking ernstige nadelige gevolgen kan hebben voor een organisatie of personen. Voorbeelden hiervan zijn geclassificeerde informatie, handelsgeheimen, persoonlijk identificeerbare informatie (PII), creditcardgegevens en medische dossiers.
Gegevens met gemiddelde gevoeligheid: deze gegevens zijn minder gevoelig, maar kunnen nog steeds een aanzienlijke impact hebben als ze worden vrijgegeven of gewijzigd. Voorbeelden hiervan zijn interne communicatie, niet-vertrouwelijke bedrijfsdocumenten en persoonlijke e-mails.
Gegevens met lage gevoeligheid: dit omvat informatie die openbaar kan worden gemaakt zonder enig risico voor de organisatie of personen. Het kan bestaan uit reeds openbaar beschikbare gegevens of niet-gevoelige en niet-vertrouwelijke gegevens, zoals de openbaar beschikbare rapporten van een bedrijf, openbare website-inhoud en persberichten.
Handmatige classificatie hierbij wijst de gegevenseigenaar of een geautoriseerde gebruiker de gegevens handmatig een label toe dat de classificatie ervan aangeeft. Deze methode kan nauwkeurig zijn, maar is arbeidsintensief en tijdrovend.
Geautomatiseerde classificatie bij geautomatiseerde classificatie analyseren softwaretechnologieën gegevens en wijzen ze classificatie toe op basis van vooraf bepaalde regels en beleidsregels. Deze methode is sneller en minder arbeidsintensief, maar is mogelijk niet zo nauwkeurig bij complexe datasets.
Gebruikersgestuurde of gebruikersondersteunde classificatie: dit is een combinatie van handmatige en geautomatiseerde classificatie. Gebruikers wijzen labels toe aan een subset van gegevens en machine learning-algoritmen extrapoleren hiervan om de rest van de gegevens te classificeren.
Op inhoud gebaseerde classificatie deze methode classificeert gegevens op basis van de inhoud binnen het gegevensobject. Bijvoorbeeld, een document met gevoelige creditcardgegevens zou worden geclassificeerd als vertrouwelijk.
Contextgebaseerde classificatie deze methode classificeert gegevens op basis van factoren rondom de gegevens, zoals de maker, het tijdstip van creatie, de gebruikte applicatie of de locatie van de gegevens.
Machine Learning-classificatie bij deze methode worden algoritmen getraind om patronen en kenmerken te herkennen, die worden gebruikt om nieuwe of bestaande gegevens te classificeren. Deze methode kan grote hoeveelheden gegevens verwerken en de nauwkeurigheid in de loop van de tijd verbeteren.
Algemene verordening gegevensbescherming (AVG) is de verordening van de Europese Unie voor gegevensbescherming en privacy. Het stelt strenge richtlijnen vast voor het verzamelen, opslaan en verwerken van gegevens voor EU-ingezetenen en vereist het categoriseren van persoonlijke gegevens op basis van gevoeligheid en het bijbehorende risico.
Payment Card Industry Data Security Standard (PCI-DSS) is van toepassing op elke organisatie die creditcardtransacties verwerkt. Het bepaalt manieren om kaarthoudergegevens te beveiligen tijdens en na een financiële transactie. Het vereist dat organisaties kaarthoudergegevens beschermen en controleren.
Health Insurance Portability and Accountability Act (HIPAA) is van toepassing op zorgverleners, zorgverzekeraars en bedrijven die medische dossiers verwerken en opslaan. Het vereist de bescherming van persoonlijk identificeerbare e-informatie en andere medische gegevens.
California Consumer Privacy Act (CCPA) en Virginia Consumer Data Protection Act (VCDPA) zijn wetten en regels op staatsniveau die de privacyrechten van consumenten afdwingen en vereisen dat bedrijven die persoonlijke gegevens van staatsburgers verwerken, privacyprocedures en -beschermingen volgen.
ISO/IEC 27001 internationale norm specificeert de vereisten voor een informatiebeveiligingsbeheersysteem (ISMS) en bevat bepalingen voor het omgaan met gevoelige gegevens.
Sarbanes-Oxley Act (SOX) stelt strenge eisen aan bedrijven die in de VS zijn genoteerd om ervoor te zorgen dat ze financiële en boekhoudkundige gegevens nauwkeurig beheren.
Door gevoelige gegevens te identificeren en classificeren, kunnen organisaties passende beveiligingsmaatregelen implementeren, zoals encryptie en toegangscontrole, om ongeautoriseerde toegang te voorkomen en te beschermen tegen datalekken.
Gegevensclassificatie helpt organisaties te voldoen aan verschillende voorschriften en wetten voor gegevensbescherming, zoals AVG, HIPAA en CCPA, door ervoor te zorgen dat de juiste bescherming is ingesteld voor gevoelige en persoonlijke gegevens.
Georganiseerde gegevens kunnen efficiënter worden opgehaald, waardoor het gemakkelijker wordt om specifieke informatie te vinden en snellere besluitvorming mogelijk wordt.
Het bevordert het begrip van de waarde en gevoeligheid van gegevens onder werknemers, waardoor goede gegevensverwerkingspraktijken worden bevorderd.
Het verwijderen van onnodige gegevens kan helpen onnodige kosten van opslag, datalekken en boetes voor niet-naleving te voorkomen.
Het verbetert het begrip van hoe gegevens gedurende de levenscyclus moeten worden behandeld. Van creatie en opslag tot distributie en verwijdering.
Classificatie zorgt ervoor dat gegevens up-to-date, relevant en nauwkeurig zijn, wat na verloop van tijd leidt tot een verbeterde gegevenskwaliteit.
