Het waarborgen dat informatiebedrijfsmiddelen op een controleerbare manier worden geclassificeerd, die voldoet aan de wettelijke en de door de Suwi-ketenpatners gestelde eisen.

• Er dient gebruik te worden gemaakt van een informatieclassificatiesysteem waarin vier risicoklassen (0, I, II en III) worden onderscheiden om een adequate set beveiligingsniveaus te definiëren en om de noodzaak van een speciale behandeling kenbaar te maken;
• Er dient een helder onderscheid te zijn in herleidbare (klasse II/III) en niet herleidbare (klasse 0 en I) gegevens;
• Voor de verschillende soorten persoonsgegevens zijn de risicoklassen vastgesteld;
• Alle informatie c.q. gegevens(-groepen) die binnen de GSD wordt gebruikt, moeten zijn geclassificeerd, zodat de behoefte aan, de prioriteit en de mate van beveiliging kan worden aangegeven (BXIV 5.2, CBP 4.5 + 4.6);
• Back-ups waarop persoonsgegevens of kritische bedrijfsgegevens zijn vastgelegd moeten worden geclassificeerd (BXIV 5.2, CBP 4.13);
• Gegevens die via Suwinet met Suwi-ketenpartners worden uitgewisseld dienen het classificatielabel Klasse II/III te dragen. Dit betreft onder andere afgedrukte rapporten, weergaven op het beeldscherm, opnamemedia (banden, schijven, cd's, cassettes), elektronische berichten en bestandsoverdrachten.

Het zorgdragen dat op basis van de classificatierichtlijnen voor de gegevens en gegevensdragers de corresponderende beveiligingsmaatregelen kunnen worden gehanteerd.

• De persoonsgegevens die worden uitgewisseld binnen Suwinet zijn vastgesteld op een combinatie van risicoklassen II en III. Het betreft de gegevens waaruit individuele personen te herleiden zijn (herleidbare gegevens). Alle gegevensdragers met herleidbare persoonsgegevens, elektronisch en niet elektronisch, dienen te zijn voorzien van een markering waaruit deze risicoklasse blijkt (BXIV 5.2, CBP 4.5 + 4.6);
• Bij voorkeur worden de labels automatisch aangebracht door de applicaties, bijv. op rapporten, schermen en bij elektronische verzending;
• Er dienen procedures c.q. richtlijnen voor GSD-medewerkers te worden opgesteld voor de omgang met geclassificeerde gelabelde gegevens in geval van kopiëren, opslag, verzending per post, fax en elektronische post (e-mail), gesproken woord, (mobiele) telefonie, voicemail, antwoordapparaten en vernietiging;
• Slechts aangewezen functionarissen hebben een geautoriseerde toegang tot applicaties met persoonsgegevens;
• Voor het werken met de applicaties die gebruikt worden voor het verwerken van persoonsgegevens, is een tweede, gescheiden inlogprocedure ingesteld;
• Gebruikers die toegang krijgen tot de applicaties met persoonsgegevens zijn op de hoogte van de beveiligingseisen die hieraan zijn gesteld.