In mijn vorige blog schreef ik al over de noodzaak om log gegevens te monitoren. Maar wat gebeurt er met de log gegevens zelf. Het vaststellen van bewaartermijnen gebeurt in de meeste organisaties voor de inhoudelijke data: hoelang mag een dossier bewaard worden, hoe lang bewaren we klant gegevens na beëindiging van de relatie etc. Daarbij worden de log gegevens nogal eens vergeten. Log gegevens de vergeten persoonsgegevens.
Log gegevens helpen de privacy te waarborgen
Log gegevens zijn de gegevens die in een zogenaamd logbestand worden vastgelegd als een applicatie wordt gebruikt. Dan gaat het onder andere om datum, tijd, gebruikersnaam en soort gebeurtenis. Bij soort gebeurtenis moet je denken aan een foutmelding, of het inloggen is geslaagd, welke dossier wordt ingezien etc.
Daardoor zijn loggegevens naast autorisaties een belangrijke factor in het beveiligingsbeleid. De gegevens laten zien of geautoriseerde gebruikers toch niet hun boekje te buiten gaan bij het raadplegen van dossiers. Immers, een geautoriseerde inlog is niet altijd een gerechtvaardigde inlog. Dat laat de boetes van de AP wel zien.
Log gegevens zijn dus, mits gemonitord, belangrijk voor het waarborgen van de privacy van klanten, patiënten en andere betrokkenen.
Maar log gegevens zijn ook belangrijke informatiebronnen als er een incident heeft plaats gevonden. Bij de ransom-ware aanval op de Universiteit van Maastricht speelde de log gegevens een belangrijke rol bij het reconstrueren van de aanval. Maar ook bij de grote aanval op JBS Foods waren de log gegevens een belangrijke bron van informatie.
Log gegevens zijn ook persoonsgegevens
Log gegevens zijn een belangrijk middel om de privacy van betrokkenen te waarborgen. Maar log gegevens op zichzelf zijn ook persoonsgegevens, en dat wordt nogal eens vergeten. Log gegevens de vergeten persoonsgegevens.
De log gegevens van medewerkers zijn ook persoonsgegevens, en ook medewerkers hebben recht op privacy. Dat betekent 2 dingen:
- De log gegevens mogen niet zomaar voor iedereen toegankelijk zijn. De doelbinding uit de AVG eist dat er een doel moet zijn om gegevens te verwerken. Voor loggegevens is het doel om deze om analyses te maken. Alleen degene die de log gegevens nodig hebben voor het doen van analyses mogen dus toegang hebben tot deze persoonsgegevens.
- Er moeten bewaartermijnen worden vastgesteld voor de log gegevens
De paradox van bewaartermijnen voor log gegevens
Log gegevens de vergeten persoonsgegevens. En dat geldt ook vaak voor het vaststellen van de bewaartermijnen.
Het uitgangspunt is dat persoonsgegevens niet langer bewaard worden dan nodig is voor het doel. Die richtlijn geldt dus ook voor log gegevens. Als de periodieke analyse van de log gegevens is afgerond, kunnen deze vanuit privacy perspectief worden vernietigd.
Vanuit het perspectief van Informatiebeveiliging moeten de log gegevens zolang mogelijk worden bewaard. Als ransomware aanvallen aan het licht komen, blijkt vaak dat hackers al enige tijd actief zijn in het systeem. Omdat te achterhalen zijn historische gegevens van de logins noodzakelijk. Onderzoek van IBM geeft aan dat een datalek gemiddeld in 7 maanden opgemerkt.
De AP geeft geen handreiking hoelang log gegevens bewaard mogen worden. Het is vooral van belang om na te denken en afwegingen te maken over de bewaartermijnen van log gegevens.
Een paar kaders voor die afweging zijn er wel:
- De bewaartermijn voor log gegevens van medische dossiers is vastgesteld op minimaal 5 jaar ( Besluit Minister van VWS)
- Banken moeten hun log gegevens 3 tot 5 jaar bewaren ( Basel II- akkoord)
- Microsoft heeft de standaard bewaartermijn voor logfiles van Office 365 op 1 jaar gezet
- De Informatiebeveiligingsdienst voor Gemeenten maakt de bewaartermijn afhankelijk van de soort gegevens: half jaar voor bedrijfsvertrouwelijke informatie en 7 jaar voor geheime informatie.
Advies bewaartermijn
In het algemeen raad ik aan om de bewaartermijn van log gegevens op niet medische dossiers in te stellen op een half toto 1 jaar. Het argumenten hiervoor is de gemiddelde ontdekkingstijd van ene datalek die zoals boven beschreven 7 maanden is.
Je kunt langere bewaartermijnen hanteren, maar dan moet je dat wel goed onderbouwen.
Voor medische dossiers is de bewaartermijn vastgesteld op 5 jaar.
Heb je vragen over bewaartermijnen of andere AVG vragen, neem gerust contact op. Wij helpen je graag!