Column


IT-jurist Peter van Schelven over...

Logbestanden: verplicht of niet?

Het is een nog tamelijk onderbelicht onderdeel van het privacyrecht: het aanleggen en bijhouden van logbestanden. Met een goede geautomatiseerde logfunctie kan worden vastgelegd wie welke data in een IT-systeem heeft verwerkt, verzameld, geraadpleegd, gewijzigd of gewist. Is logging eigenlijk verplicht?

Informatie over operationele gebeurtenissen in een IT-systeem kan interessant zijn als je wilt vaststellen of de omgang met persoonsgegevens in het systeem rechtmatig is geweest. Een goed logbestand heeft dus een bewijsfunctie. Een logbestand kan bijvoorbeeld worden gebruikt om boven tafel te krijgen of onbevoegden hebben geprobeerd toegang te verkrijgen tot applicaties en data.

Logbestanden zijn er in vele soorten en maten. Ze worden in de IT-praktijk voor tal van doeleinden ingezet, niet alleen om interne controle mogelijk te maken of om de integriteit en beveiliging van data te bevorderen. Ook kunnen zij waardevolle informatie verschaffen over bijvoorbeeld piekbelasting van webapplicaties of over aanwezige softwarebugs. Goede logging faciliteert dus ook IT-beheer.

Stiefkindje
Toch blijkt logging niet zelden het stiefkindje van veel IT-systemen te zijn. Soms worden de door de leverancier beschikbaar gestelde logfuncties eenvoudigweg niet aangezet. Of de soms zeer omvangrijke hoeveelheden data in logbestanden worden niet of nauwelijks geanalyseerd. Logging hangt er bij veel organisaties dan maar een beetje bij.

Mij wordt als jurist soms gevraagd wat het privacyrecht omtrent logging voorschrijft. Met name de vraag met welke mate van diepgang er moet worden gelogd, leeft onder softwareontwikkelaars. De vraag raakt dus rechtstreeks ook het ontwerpen en maken van softwareproducten.

Wat zegt de AVG?
Kijk je naar de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG) waaraan bedrijven en organisaties op 25 mei 2018 moeten voldoen, dan valt op dat daarin met geen woord over logbestanden wordt gesproken. Wel legt de AVG de verplichting op om alle datalekken rondom persoonsgegevens te documenteren.

Die documentatieplicht gaat ver want, zo blijkt uit de tekst van de regeling, zij omvat ook alle feiten omtrent een dergelijk incident, de gevolgen daarvan en de genomen corrigerende maatregelen. Het belang van die documentatie is ook groot. De toezichthouder – in Nederland de Autoriteit Persoonsgegevens – kan die desgewenst opvragen.

Een bedrijf of organisatie kan aan die documentatieplicht feitelijk niet voldoen als er geen adequate logbestanden zijn. De wetgeving rondom datalekken voorziet dus in een loggingsverplichting, ook al wordt die term in dat verband niet uitdrukkelijk gebruikt. Het ligt dus voor de hand dat de toezichthouder ook logbestanden kan opvragen.

Breedte en diepgang
Met die impliciete verplichting te loggen is de mate van breedte en diepgang van logging nog niet duidelijk. De AVG zwijgt daarover. Aan de hand van denkbare risico’s van het systeem en de betrokken belangen van burgers zal ieder bedrijf en organisatie daarover van geval tot geval zelf een specifieke afweging moeten maken. Dat is dus maatwerk. Wie zijn softwareontwikkeling aan een derde partij uitbesteedt, zal dus goede aandacht moeten geven aan het maken van de specificaties daarover.

De AVG kent ook nog een securityverplichting. Ook die is algemeen geformuleerd en zegt dus niets over logbestanden. Het lijdt - naar ik meen - geen twijfel dat ook uit die verplichting kan worden afgeleid dat er een verplichting tot logging bestaat. Die aanname heeft vergaande consequenties voor de IT-praktijk. Zo zal een partij die zijn verwerking aan een hostingbedrijf uitbesteedt of die gebruikmaakt van SaaS-diensten, in het contract met de betrokken dienstverlener ook passende loggingseisen moeten stellen. Ik heb de indruk dat dat in de contractspraktijk dikwijls nog niet gebeurt.

Loggingsnormen
Het belang van goede logging wordt buiten de AVG op diverse plekken ondersteund. Breed bekend is de NEN-norm 7513, die specifiek gaat over de logging rondom het gebruik van elektronische patiëntendossiers. Die norm is gratis bij het Nederlands Normalisatie Instituut te verkrijgen. Zij heeft een prominente plek in de zorgsector in ons land verworven.

Maar ook in de nieuwe, specifieke Europese wetgeving van vorig jaar over – kort gezegd – politieregisters is een expliciete verplichting tot het aanleggen en bijhouden van logbestanden opgenomen. Ten slotte wijs ik hier op de IBD, de Informatie Beveiligings Dienst uit de gemeentelijke wereld, die in 2014 een goed leesbare ‘Aanwijzing Logging’ heeft gemaakt.

Kortom, wie over privacyrecht en security adviseert, ontkomt er niet aan om uitgebreid stil te staan bij logging. Dat geldt eens temeer nu logbestanden op zichzelf beschouwd niet zelden ook weer persoonsgegevens bevatten, zoals de IP-adressen van de gebruikers van het betrokken IT-systeem. In dat geval gelden voor de logbestanden zelf ook weer de spelregels rondom integriteit en beveiliging, bewaartermijnen en het wissen en vernietigen van deze bestanden. Zo wordt het er juridisch dus niet makkelijker op. Het privacyrecht dringt door tot in alle vezels van de ICT.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht