Juridische vraag: hoe lang moet je logbestanden bewaren?
woensdag 16 oktober 2013, 10:05 door Arnoud Engelfriet, 26 reacties
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Volgens ISO 27001, hoofdstuk A.10.10 moeten er audit-logbestanden gemaakt en bewaard worden van allerlei relevante activiteiten. Er staat echter niet meer dan dat "Deze logbestanden moeten gedurende een overeengekomen periode worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole." Hoe lang mag deze periode minimaal of maximaal zijn van de wet?
Antwoord: De wet noemt eigenlijk vrijwel nergens specifieke bewaartermijnen van gegevens. Zowat de enige twee 'echte' bewaartermijnen zijn de fiscale bewaartermijn van administratie en de bewaarplicht voor providers. Een bedrijf moet haar administratie 7 jaar bewaren om aan te tonen dat deze klopt. En een internetprovider moet zes maanden lang metadata over online/offline gaan en in- en uitkomend mailverkeer (over haar eigen smtp server) bewaren (art. 13.2a Telecomwet).
Bij privacygevoelige gegevens kennen we geen bewaarplicht maar juist een weggooiplicht: zodra gegevens niet meer relevant zijn voor het doel, moeten ze worden vernietigd (art. 10 lid 1 Wbp). Dat is een functioneel criterium dat je zelf moet invullen afhankelijk van het soort gegevens en het doel. Wil je zien of iemand regelmatig aan je server staat te rammelen, dan zul je enkele weken aan logs nodig hebben. En dan is dat meteen ook je maximale bewaartermijn.
Het gebruiken, opslaan of genereren van privacygevoelige gegevens moet worden aangemeld bij het College bescherming persoonsgegevens. Daar zijn uitzonderingen op: zo hoef je cameratoezicht niet te melden als je de beelden na vier weken weggooit (was 24 uur). Maar dat wil niet zeggen dat je dús altijd camerabeelden vier weken mag bewaren. Het moet nódig zijn; als het nodig is dan mag het en hoef je het niet te melden. Heb je de beelden drie maanden nodig, dan mag dat ook - maar dan moet je je cameratoezicht wel aanmelden.
Gaat het om gegevens die niet aan personen te herleiden zijn, dan heeft de wet daar verder geen mening over.
De vraag is dus: gaan deze logs over personen (lijkt me wel) en daarna, hoe snel kunnen we ze redelijkerwijs weggooien?
Ongetwijfeld zullen er nu mensen zijn die zeggen, "nou, nooit, want je moet mogelijk tien jaar teruggaan om een inbreker/activiteit te vinden". Maar sorry dát gaat 'm niet worden onder de Wbp. Welke grens die óók de privacy een beetje bewaart (van je legitieme bezoekers dus) kun je vinden?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (26)
Het wordt langzaamaan duidelijk dat door datamining en dergelijke, steeds meer voorheen "anonieme" gegevens eigenlijk toch wel naar specifieke personen te herleiden zijn. Dat betekent dat we structureel betere manieren van met data omgaan nodig hebben.
Overigens, de belastingdienst heeft een ouderwets breed datagraaimandaat, zoals we gezien hebben met hun misbruik van parkeergegevens. Die zelf ook al beargumenteerbaar ongeoorloofd gebruik maken van privacygevoelige gegevens. Er is namelijk geen reden om een herleidbare identiteit aan een parkeerbonnetje te hangen, behalve "oh dat is wel handig". Met andere woorden, de reden is niet dwingend genoeg om de privacy van je klanten ervoor op te geven. Het kan anders, en volgens de wet moet het dan ook anders. Als de overheid zelf zich daar nou ook eens aan zou houden, zou toch wel het minste zijn.
Ik zeg misbruik omdat het oneigenlijk gebruik is, ook al mag het technisch van de wet. De wet die de belastingdienst ongebreideld toegang geeft tot alle data, privacygevoelig of niet, tot op het punt dat een minister die maar blijft herhalen dat het goed is want van de wet mag het, zijn toch al vergooide geloofwaardigheid nog verder blijkt te kunnen verliezen. Dat is een gapend gat in de wetgeving. Met andere woorden, dit moet worden aangepast.
Alleen weten we al een tijdje dat voordat we weer zinvol over privacy kunnen praten met politici eerst die twee burgerhatende houwdegens van een zeker ministerie het veld zullen moeten ruimen. En aangezien de rest zomogelijk nog dysfunctioneler is, zijn ze maar wat blij dat jut&jul nog een aardige show van net doen of je wat bereikt opvoeren, ookal zakte onder hun kundige leiding de pakkans alleen maar verder, en zijn het vooral de brave burgers die steeds hogere boetes voor steeds kleinere onbenulligheden moeten ophoesten. Daar gaat voorlopig dus geen verandering in komen.
En maar blijven ontkennen dat het puur om schatkistvullerij gaat. Waar gaat dat geld dan wel heen, jullie eigen zakken soms?
Overigens, de belastingdienst heeft een ouderwets breed datagraaimandaat, zoals we gezien hebben met hun misbruik van parkeergegevens. Die zelf ook al beargumenteerbaar ongeoorloofd gebruik maken van privacygevoelige gegevens. Er is namelijk geen reden om een herleidbare identiteit aan een parkeerbonnetje te hangen, behalve "oh dat is wel handig". Met andere woorden, de reden is niet dwingend genoeg om de privacy van je klanten ervoor op te geven. Het kan anders, en volgens de wet moet het dan ook anders. Als de overheid zelf zich daar nou ook eens aan zou houden, zou toch wel het minste zijn.
Ik zeg misbruik omdat het oneigenlijk gebruik is, ook al mag het technisch van de wet. De wet die de belastingdienst ongebreideld toegang geeft tot alle data, privacygevoelig of niet, tot op het punt dat een minister die maar blijft herhalen dat het goed is want van de wet mag het, zijn toch al vergooide geloofwaardigheid nog verder blijkt te kunnen verliezen. Dat is een gapend gat in de wetgeving. Met andere woorden, dit moet worden aangepast.
Alleen weten we al een tijdje dat voordat we weer zinvol over privacy kunnen praten met politici eerst die twee burgerhatende houwdegens van een zeker ministerie het veld zullen moeten ruimen. En aangezien de rest zomogelijk nog dysfunctioneler is, zijn ze maar wat blij dat jut&jul nog een aardige show van net doen of je wat bereikt opvoeren, ookal zakte onder hun kundige leiding de pakkans alleen maar verder, en zijn het vooral de brave burgers die steeds hogere boetes voor steeds kleinere onbenulligheden moeten ophoesten. Daar gaat voorlopig dus geen verandering in komen.
En maar blijven ontkennen dat het puur om schatkistvullerij gaat. Waar gaat dat geld dan wel heen, jullie eigen zakken soms?
16-10-2013, 10:51 door
Preddie
Arnoud, opnieuw bedankt voor jou bijdrage aan security.nl
Even een snelle conclusie van mijn kant; van bepaalde gegevens is wettelijk vastgelegd dat er loggegevens over beschikbaar moeten zijn (bijv. medische gegevens) echter is maar in enkele gevallen vastgelegd hoe lang deze gegeven bewaard moeten worden. Van dit bewaard termijn moet je dus de noodzaak aan kunnen tonen en moet de verwerking aangemeld worden bij het CBP. (tenzij wettelijk is vastgelegd)
Loggegevens zijn (vaak) herleidbaar naar een natuurlijk persoon en worden dus beschouwd als persoonsgegevens, informatiesystemen die loggegevens verwerken moet conform de Wet Bescherming Persoonsgegevens worden beveiligd.
Even een snelle conclusie van mijn kant; van bepaalde gegevens is wettelijk vastgelegd dat er loggegevens over beschikbaar moeten zijn (bijv. medische gegevens) echter is maar in enkele gevallen vastgelegd hoe lang deze gegeven bewaard moeten worden. Van dit bewaard termijn moet je dus de noodzaak aan kunnen tonen en moet de verwerking aangemeld worden bij het CBP. (tenzij wettelijk is vastgelegd)
Loggegevens zijn (vaak) herleidbaar naar een natuurlijk persoon en worden dus beschouwd als persoonsgegevens, informatiesystemen die loggegevens verwerken moet conform de Wet Bescherming Persoonsgegevens worden beveiligd.
dank Arnoud!
Wat ik mij afvraag: bijvoorbeeld logs van internet proxyserver op het werk. Hoe lang is het bewaren van dat soort logs redelijk? Of bijvoorbeeld de securitylogs van Domain Controllers (wie waar inlogt of toegang toe krijgt), hoe lang is daarvan een redelijke termijn?
Wat ik mij afvraag: bijvoorbeeld logs van internet proxyserver op het werk. Hoe lang is het bewaren van dat soort logs redelijk? Of bijvoorbeeld de securitylogs van Domain Controllers (wie waar inlogt of toegang toe krijgt), hoe lang is daarvan een redelijke termijn?
"Volgens ISO 27001, hoofdstuk A.10.10 moeten er audit-logbestanden gemaakt en bewaard worden van allerlei relevante activiteiten. Er staat echter niet meer dan dat "Deze logbestanden moeten gedurende een overeengekomen periode worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole." Hoe lang mag deze periode minimaal of maximaal zijn van de wet? "
Wat heeft de ISO norm te maken met wettelijke regels ? De ISO norm heeft niets met wetgeving te maken (is ook erg lastig, want wetten verschillen van land tot land, en ISO 27001 wordt niet alleen in NL gebruikt).
Wat heeft de ISO norm te maken met wettelijke regels ? De ISO norm heeft niets met wetgeving te maken (is ook erg lastig, want wetten verschillen van land tot land, en ISO 27001 wordt niet alleen in NL gebruikt).
16-10-2013, 12:08 door
fransdb
"Wat heeft de ISO norm te maken met wettelijke regels ? De ISO norm heeft niets met wetgeving te maken (is ook erg lastig, want wetten verschillen van land tot land, en ISO 27001 wordt niet alleen in NL gebruikt)."
Correct, ISO is geen regelgeving. ISO is slechts een kaderstelling of richtlijn zo je wil. Bij wet kan wel een ISO/NEN norm aangewezen worden.
Nog een opmerking: onder de WBP valt alleen informatie die (meestal) door de business wordt gebruikt. Technische log informatie valt daar niet onder, al geldt wel dat eventuele naar personen herleidbare informatie goed afgeschermd moeten worden en het voor geen ander doel dan de instandhouding van de infrastructuur gebruikt wordt.
Frans.
Correct, ISO is geen regelgeving. ISO is slechts een kaderstelling of richtlijn zo je wil. Bij wet kan wel een ISO/NEN norm aangewezen worden.
Nog een opmerking: onder de WBP valt alleen informatie die (meestal) door de business wordt gebruikt. Technische log informatie valt daar niet onder, al geldt wel dat eventuele naar personen herleidbare informatie goed afgeschermd moeten worden en het voor geen ander doel dan de instandhouding van de infrastructuur gebruikt wordt.
Frans.
16-10-2013, 12:12 door
Arnoud Engelfriet
"onder de WBP valt alleen informatie die (meestal) door de business wordt gebruikt. Technische log informatie valt daar niet onder,"
Ieder digitale vastlegging van persoonlijke informatie (al is het maar IP-adres) valt onder de Wbp. Of het nu een business, security of technisch/operationeel doel dient, doet niet ter zake. Wat je zegt hoe te handelen is juist, dat is wat de Wbp van je verlangt.
EN het klopt, er is geen wet op het gebied van data security die een ISO norm aanwijst. In de zorg zijn bepaalde NEN normen wél voorgeschreven (via afgeleide wetgeving) maar dat is vrij specifiek.
Ieder digitale vastlegging van persoonlijke informatie (al is het maar IP-adres) valt onder de Wbp. Of het nu een business, security of technisch/operationeel doel dient, doet niet ter zake. Wat je zegt hoe te handelen is juist, dat is wat de Wbp van je verlangt.
EN het klopt, er is geen wet op het gebied van data security die een ISO norm aanwijst. In de zorg zijn bepaalde NEN normen wél voorgeschreven (via afgeleide wetgeving) maar dat is vrij specifiek.
16-10-2013, 12:15 door
Arnoud Engelfriet
Door Anoniem: dank Arnoud!
Wat ik mij afvraag: bijvoorbeeld logs van internet proxyserver op het werk. Hoe lang is het bewaren van dat soort logs redelijk? Of bijvoorbeeld de securitylogs van Domain Controllers (wie waar inlogt of toegang toe krijgt), hoe lang is daarvan een redelijke termijn?
Of een bewaartermijn redelijk is, hangt af van het doel van het bewaren. Waarom log je proxygebruik? Is dat om aan het eind van de dag pieken te kunnen registreren? Of maandelijkse rapportages? In die gevallen is een dag respectievelijk een maand redelijk. Wat ik mij afvraag: bijvoorbeeld logs van internet proxyserver op het werk. Hoe lang is het bewaren van dat soort logs redelijk? Of bijvoorbeeld de securitylogs van Domain Controllers (wie waar inlogt of toegang toe krijgt), hoe lang is daarvan een redelijke termijn?
Begin hier: Wat is je securityprobleem en hoe lost de log dat probleem op? Daarna: binnen welk tijdsbestek moeten we de log raadplegen om het probleem op te lossen.
Je kunt zeggen, we kijken elke dag naar verdachte logins. Nou, dan kan de volgende dag die log weg lijkt me. Eventueel een week bewaren voor ziekte of voor terugkerende patronen. Maar geen jaar onder het motto "wie weet". Data hoarding is niet toegestaan.
16-10-2013, 12:55 door
schele
Goede logfiles rond privacygevoelige gegevens bevatten zelf geen privacygevoelige gegevens. B.v. enkel ID van gebruiker, BSN nummer (indien toegestaan), initialen en verder info over de acties van de gebruiker, tijdstip, rol gebruiker, welke zoekopdrachten etc. Op die manier kun je ze niet alleen langer bewaren (immers geen persoonsgegevens) maar kun je ze ook makkelijker raadplegen voor security checks.
@schele :
Volgens jouw redenatie zou je logfiles eigenlijk onbeperkt kunnen bewaren, en bijna alles kunnen opslaan.
Een weblog of dnslog bevat immers geen namen, dus wanneer je ISP al jouw http/dns requests logt, en voor onbepaalde tijd zou opslaan, dan zou dat moeten kunnen.
Immers is het, als ik jou mag geloven, niet privacy gevoelig, ook al kan je die informatie zo correleren met andere bronnen om de persoon te achterhalen.
Een dergelijke gedachtengang is een natte droom voor politici en dergelijke die graag alles wat de burgers doen willen (laten) monitoren, bijvoorbeeld in het kader van data retention.
Volgens jouw redenatie zou je logfiles eigenlijk onbeperkt kunnen bewaren, en bijna alles kunnen opslaan.
Een weblog of dnslog bevat immers geen namen, dus wanneer je ISP al jouw http/dns requests logt, en voor onbepaalde tijd zou opslaan, dan zou dat moeten kunnen.
Immers is het, als ik jou mag geloven, niet privacy gevoelig, ook al kan je die informatie zo correleren met andere bronnen om de persoon te achterhalen.
Een dergelijke gedachtengang is een natte droom voor politici en dergelijke die graag alles wat de burgers doen willen (laten) monitoren, bijvoorbeeld in het kader van data retention.
Het gaat er natuurlijk om wat voor soort gegevens men wil bewaren en hoe lang deze bewaart dienen te worden. Het antwoord van Arnoud gaat iets te kort door de bocht.
Het bedrijf Iron Mountain heeft voor dit doel juist twee goede retentie gidsen gemaakt. Uiteraard dienen deze natuurlijk om hun producten te promoten, maar geven zij wel een goede richtlijn aan waaraan je moet denken.
De documenten (pdf's) zijn alleen na registratie bij hun te downloaden. De link hiervoor is:
http://www.ironmountain.nl/informatiebeheer/bewaartermijnen
Het bedrijf Iron Mountain heeft voor dit doel juist twee goede retentie gidsen gemaakt. Uiteraard dienen deze natuurlijk om hun producten te promoten, maar geven zij wel een goede richtlijn aan waaraan je moet denken.
De documenten (pdf's) zijn alleen na registratie bij hun te downloaden. De link hiervoor is:
http://www.ironmountain.nl/informatiebeheer/bewaartermijnen
Door schele: Goede logfiles rond privacygevoelige gegevens bevatten zelf geen privacygevoelige gegevens. B.v. enkel ID van gebruiker, BSN nummer (indien toegestaan), initialen en verder info over de acties van de gebruiker, tijdstip, rol gebruiker, welke zoekopdrachten etc. Op die manier kun je ze niet alleen langer bewaren (immers geen persoonsgegevens) maar kun je ze ook makkelijker raadplegen voor security checks.
Wat je zegt daar klopt helemaal niks van; "Goede logfiles ..... bevattten zelf geen privacygevoelige gegevens"
Of logfiles "goed" wordt bepaald door het doel waar het voor aan wordt gemaakt, niet wat in de logfiles staat.
Een gebruikers ID herleidbaar tot aan een natuurlijk persoon en valt daarmee onder persoonsgegevens en dus per definitie onder privacy gevoelige gegevens, zeker wanneer je dan bijv. ook nog eens zoek opdrachten gaat loggen bijv.
De logbestanden die jij beschrijft vallen onder de Wet Bescherming Persoonsgegeven en moet conform die wet worden verwerkt. Je mag ze dus niks langer bewaren en al helemaal niet "zomaar" gebruiken voor security checks, tenzij je dit geautomatiseerd doet zonder dat er mensen ogen aan te pas komen. Doe je dit zelf met je eigen ogen, dan ben je continu de privacy van de gebruikers aan het schenden.
Als je deze bestanden gaat raadplegen moet je een duidelijk doel en een noodzaak hebben vastgelegd.
Wat betreft BSN, deze mag je in (zover ik weet) in geen enkele logging gebruiken. Voor het gebruik van het BSN moet een wettelijke grondslag zijn en zo ver bij mij bekend is er geen enkele wettelijke grondslag voor de verwerking van BSN's in log bestanden.
16-10-2013, 14:11 door
User2048
Door Anoniem: "Volgens ISO 27001, hoofdstuk A.10.10 moeten er audit-logbestanden gemaakt en bewaard worden van allerlei relevante activiteiten. Er staat echter niet meer dan dat "Deze logbestanden moeten gedurende een overeengekomen periode worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole." Hoe lang mag deze periode minimaal of maximaal zijn van de wet? "
Wat heeft de ISO norm te maken met wettelijke regels ? De ISO norm heeft niets met wetgeving te maken (is ook erg lastig, want wetten verschillen van land tot land, en ISO 27001 wordt niet alleen in NL gebruikt).
Wat heeft de ISO norm te maken met wettelijke regels ? De ISO norm heeft niets met wetgeving te maken (is ook erg lastig, want wetten verschillen van land tot land, en ISO 27001 wordt niet alleen in NL gebruikt).
Als je als bedrijf er voor kiest om gecertificeerd te zijn volgens ISO 27001, dan moet je logbestanden bijhouden. En als je logbestanden bijhoudt, dan moet je je afvragen of je daarmee geen wetten of regels overtreedt. De vraag is dus hoe je tegelijkertijd ISO 27001 kunt volgen en aan de wet kunt voldoen.
16-10-2013, 14:55 door
Arnoud Engelfriet
Door Anoniem: Het gaat er natuurlijk om wat voor soort gegevens men wil bewaren en hoe lang deze bewaart dienen te worden. Het antwoord van Arnoud gaat iets te kort door de bocht.
Licht eens toe?De wet noemt nergens bewaartermijnen behalve de paar die ik noemde. Je kunt wel zelf allerlei termijnen verzinnen maar die moeten wel gerechtvaardigd worden door een noodzaak die opweegt tegen de privacy. Jouw bedrijfsbeleid dat je logs 3 jaar bewaart, is geen grond dat je het 3 jaar mág bewaren. De vraag is waarom het 3 jaar is en waarom je niet met 6 weken toe kunt.
De ISO norm geeft aan dat je zelf de bewaartermijn vast stelt voor logfiles, in redelijkheid en doelmatig en binnen wettelijke kaders. Dus, natte vinger, t.b.v. onderzoek, 9 maanden? Maar dan kunnen er ook 6 zijn of 12...
Pas als de logfiles de WBP raakt of de bewaarplicht telecom, dan komen er wettelijke kaders bij kijken. Dus, zolang de wettelijke kaders er niet zijn, bepaal jij zelf in redelijkheid wat de bewaarverplichting is in je bedrijf t.a.v. ISO27001..net zoals jij zelf ook bepaald om welke logfiles het dan gaat..
Wat ik mij afvraag, in het verlengde van dit vraagstuk en wellicht weet Arnoud daar het antwoord op. De bewaarlast vanuit de Telecom wet praat over openbare telecom en netwerk diensten. De mail omgeving op mijn werk is bij mijn weten niet openbaar, dus daar hoef je dan toch ook niet de 6 maanden de log bestanden met verkeersgegevens te bewaren? Of anders, als je een diensten leverancier bent, en je hebt in je datacenter een mailomgeving voor een klant met daarin de zakelijk e-mail die jij beheerd, dan valt dit toch niet onder een openbaar netwerk of dienst? Ook daarvoor zou dan toch niet de bewaarplicht opgaan? Of kijken de opsporingsinstanties daar toch anders tegen aan?
Pas als de logfiles de WBP raakt of de bewaarplicht telecom, dan komen er wettelijke kaders bij kijken. Dus, zolang de wettelijke kaders er niet zijn, bepaal jij zelf in redelijkheid wat de bewaarverplichting is in je bedrijf t.a.v. ISO27001..net zoals jij zelf ook bepaald om welke logfiles het dan gaat..
Wat ik mij afvraag, in het verlengde van dit vraagstuk en wellicht weet Arnoud daar het antwoord op. De bewaarlast vanuit de Telecom wet praat over openbare telecom en netwerk diensten. De mail omgeving op mijn werk is bij mijn weten niet openbaar, dus daar hoef je dan toch ook niet de 6 maanden de log bestanden met verkeersgegevens te bewaren? Of anders, als je een diensten leverancier bent, en je hebt in je datacenter een mailomgeving voor een klant met daarin de zakelijk e-mail die jij beheerd, dan valt dit toch niet onder een openbaar netwerk of dienst? Ook daarvoor zou dan toch niet de bewaarplicht opgaan? Of kijken de opsporingsinstanties daar toch anders tegen aan?
16-10-2013, 16:13 door
[Account Verwijderd]
[Verwijderd]
16-10-2013, 17:20 door
Arnoud Engelfriet
Door Anoniem: De bewaarlast vanuit de Telecom wet praat over openbare telecom en netwerk diensten. De mail omgeving op mijn werk is bij mijn weten niet openbaar, dus daar hoef je dan toch ook niet de 6 maanden de log bestanden met verkeersgegevens te bewaren? Of anders, als je een diensten leverancier bent, en je hebt in je datacenter een mailomgeving voor een klant met daarin de zakelijk e-mail die jij beheerd, dan valt dit toch niet onder een openbaar netwerk of dienst? Ook daarvoor zou dan toch niet de bewaarplicht opgaan? Of kijken de opsporingsinstanties daar toch anders tegen aan?
Dat klopt. Even kort door de bocht: tenzij KPN, Ziggo of Level 3 je concurrenten zijn heb jij niets te maken met de Wet bewaarplicht.
De eis is of je een telecomdienst aan het publiek aanbiedt. De definitie daarvan komt neer op "je routeert zelf signalen" (level 3 of lager in ISO/OSI).
@predjuh
De definitie van goede logfiles in het kader van persoonsgegevens (-> dus niet zomaar logs, ihkv persoonsgegevens!) is heel simpel hoor: er moet uit af te leiden zijn hoe, wat, waar en wanneer iemand persoonsgegevens heeft geraadpleegd. Als dat kan zijn het goede logfiles. En dat alles kan zonder dat er persoonsgegevens instaan, anders is degene die ze raadpleegt ook meteen persoonsgegevens aan het verwerken zoals je zelf ook al aangeeft. En dat schiet dus niet op he, want dan zou je strikt genomen ook logging van het raadplegen van logs moeten doen, maar ja die logging bevat ook weer persoonsgegevens dus het raadplegen daarvan moet je ook.... nee, niet dus. Logfiles moeten eigenlijk geen persoonsgegevens bevatten (BSN (en eigenlijk ook initialen) was daarbij slecht voorbeeld, die mag je niet zomaar gebruiken).
Wat zijn persoonsgegevens dan? Dat zijn gegevens die leiden tot een uniek identificeerbaar persoon of individu, of je die identificatie kunt maken is wel afhankelijk van context: een willekeurige ID uit een applicatie is geen persoonsgegeven zolang degenen die toegang hebben tot de lijst met IDs niet ook toegang hebben tot gebruikersbeheer. Dat heet functiescheiding.
Dus niet ieder uniek ID is meteen een persoonsgegeven, het moet wel plausibel zijn: als ik jou mijn ID uit een applicatie geef heb jij geen benul wie er achter zit, dat is voor jou geen persoonsgegeven. Als ik jou mijn IP adres geef kun jij mij niet uniek identificeren. Houdt mijn ISP mn IP adres bij is dat een ander verhaal.
En wat heb je aan logfiles als je ze niet kan raadplegen voor security checks, geautomatiseerde checks? Hoe zie je dat voor je? Wil je een machine laten afwegen of de in de logfiles geregistreerde raadplegingen van persoonsgegevens rechtmatig zijn? En natuurlijk moet er een zoekquery bij, en ja ook dat kan zonder dat het een persoonsgegeven wordt. Het gaat niet om google queries, het gaat om raadplegingen middels zoekopdrachten van persoonsgegevens, b.v. binnen een applicatie van de gemeente of overheid.
Maar het ging om de bewaartermijn: het doeleinde waarvoor de persoonsgegevens verwerkt werden is niet meer van toepassing en de persoonsgegevens worden verwijderd. De logfiles niet! Ook na een verwerking kan er immers onderzoek naar misbruik worden gedaan en dan moet je wel de logfiles hebben. En de precieze bewaartermijn hangt er gewoon vanaf. Zolang daar geen eenduidige uitspraak over is (en geen wettelijk bepaalde termijn) moet je daar gewoon een onderbouwde termijn op plakken. En voor zover ik weet kan dat inderdaad zelfs "onbeperkt" zijn, al moet je dat dan verdraaid goed onderbouwen.
Als wat hierboven staat niet klopt, graag corrigeren met enige onderbouwing, werken rond persoonsgegevens is lang niet zo zwart/wit als hierboven soms geinsinueerd wordt.
De definitie van goede logfiles in het kader van persoonsgegevens (-> dus niet zomaar logs, ihkv persoonsgegevens!) is heel simpel hoor: er moet uit af te leiden zijn hoe, wat, waar en wanneer iemand persoonsgegevens heeft geraadpleegd. Als dat kan zijn het goede logfiles. En dat alles kan zonder dat er persoonsgegevens instaan, anders is degene die ze raadpleegt ook meteen persoonsgegevens aan het verwerken zoals je zelf ook al aangeeft. En dat schiet dus niet op he, want dan zou je strikt genomen ook logging van het raadplegen van logs moeten doen, maar ja die logging bevat ook weer persoonsgegevens dus het raadplegen daarvan moet je ook.... nee, niet dus. Logfiles moeten eigenlijk geen persoonsgegevens bevatten (BSN (en eigenlijk ook initialen) was daarbij slecht voorbeeld, die mag je niet zomaar gebruiken).
Wat zijn persoonsgegevens dan? Dat zijn gegevens die leiden tot een uniek identificeerbaar persoon of individu, of je die identificatie kunt maken is wel afhankelijk van context: een willekeurige ID uit een applicatie is geen persoonsgegeven zolang degenen die toegang hebben tot de lijst met IDs niet ook toegang hebben tot gebruikersbeheer. Dat heet functiescheiding.
Dus niet ieder uniek ID is meteen een persoonsgegeven, het moet wel plausibel zijn: als ik jou mijn ID uit een applicatie geef heb jij geen benul wie er achter zit, dat is voor jou geen persoonsgegeven. Als ik jou mijn IP adres geef kun jij mij niet uniek identificeren. Houdt mijn ISP mn IP adres bij is dat een ander verhaal.
En wat heb je aan logfiles als je ze niet kan raadplegen voor security checks, geautomatiseerde checks? Hoe zie je dat voor je? Wil je een machine laten afwegen of de in de logfiles geregistreerde raadplegingen van persoonsgegevens rechtmatig zijn? En natuurlijk moet er een zoekquery bij, en ja ook dat kan zonder dat het een persoonsgegeven wordt. Het gaat niet om google queries, het gaat om raadplegingen middels zoekopdrachten van persoonsgegevens, b.v. binnen een applicatie van de gemeente of overheid.
Maar het ging om de bewaartermijn: het doeleinde waarvoor de persoonsgegevens verwerkt werden is niet meer van toepassing en de persoonsgegevens worden verwijderd. De logfiles niet! Ook na een verwerking kan er immers onderzoek naar misbruik worden gedaan en dan moet je wel de logfiles hebben. En de precieze bewaartermijn hangt er gewoon vanaf. Zolang daar geen eenduidige uitspraak over is (en geen wettelijk bepaalde termijn) moet je daar gewoon een onderbouwde termijn op plakken. En voor zover ik weet kan dat inderdaad zelfs "onbeperkt" zijn, al moet je dat dan verdraaid goed onderbouwen.
Als wat hierboven staat niet klopt, graag corrigeren met enige onderbouwing, werken rond persoonsgegevens is lang niet zo zwart/wit als hierboven soms geinsinueerd wordt.
16-10-2013, 21:44 door
Erik van Straten
Door Arnoud Engelfriet: En een internetprovider moet zes maanden lang metadata over online/offline gaan en in- en uitkomend mailverkeer (over haar eigen smtp server) bewaren (art. 13.2a Telecomwet).
en Door Arnoud Engelfriet: Wil je zien of iemand regelmatig aan je server staat te rammelen, dan zul je enkele weken aan logs nodig hebben. En dan is dat meteen ook je maximale bewaartermijn.
en Door Arnoud Engelfriet: Je kunt zeggen, we kijken elke dag naar verdachte logins. Nou, dan kan de volgende dag die log weg lijkt me. Eventueel een week bewaren voor ziekte of voor terugkerende patronen. Maar geen jaar onder het motto "wie weet". Data hoarding is niet toegestaan.
Zo breng je in elk geval mij in verwarring...De reden dat een internetprovider logs aanzienlijk langer dan 1 dag of enkele weken moet bewaren, is dat er op een gegeven moment aanwijzingen zijn dat er in het verleden iets "gebeurd" moet zijn, en je pas op dat moment events uit het verleden wilt gaan correleren.
Dit gebeurt echter niet alleen bij internetproviders, maar ook gewoon intern bij bedrijven, en dat is waar ISO 27001 zeker ook over gaat. Voorbeeld: vaak is er ogenschijnlijk helemaal geen sprake van verdachte logins. En je gaat niet bij elke geslaagde login checken of die persoon fysiek aanwezig was; dat is economisch niet haalbaar ("proportioneel") en kan an sich al als een inbreuk op de privacy worden opgevat: "ik bel even om te checken of jij nog op de zaak was gisteravond toen er -foutloos- met jouw account werd ingelogd?"
In veel gevallen ontdek je pas na een tijdje dat er iets vreemds aan de hand is, en kom je er bijvoorbeeld achter dat een legitiem account kennelijk (ook) wordt misbruikt. In zo'n situatie is het vaak relevant om te weten sinds wanneer het misbruik plaatsvindt (om de "schade" te kunnen inschatten en zomogelijk de vaststellen op welke wijze de credentials zijn gestolen); dan zul je dus terug moeten kunnen kijken.
Het doel van het bewaren van logs in het kader van een ISO 27001 certificering is niet zoiets als het verdienen aan privacygevoelige gegevens, maar het hebben van informatie om oorzaken en tijdstippen van security incidenten te kunnen vaststellen - indien dat op een gegeven moment nodig blijkt. Nb. het kan ook gaan om het detecteren van het lekken van privacygevoelige informatie! Dus inderdaad onder het motto "wie weet" en daar is m.i. helemaal niks mis mee. Dat je logs met privacygevoelige data goed moet afschermen is evident.
Zodra je de helft van je logbestanden weggooit omdat die (mogelijk) privacygevoelige informatie bevatten, kun je -mogelijk- bepaalde correlaties niet meer maken. Tools als Splunk en Logstash+ElasticSearch floreren niet voor niets, die helpen je, doordat je daarmee kunt correleren, daadwerkelijk om soms lastige te vinden probleemoorzaken op te sporen, en dan bedoel ik vooral problemen die je in van tevoren niet kunt zien aankomen. Het is van de zotte dat je voor dit doel (beveiliging) logs slechts kort zou mogen bewaren, terwijl marketingbedrijven wel alles van ons mogen weten en daar geld mee verdienen? Erg uit balans allemaal.
Door Arnoud Engelfriet:
De wet noemt nergens bewaartermijnen behalve de paar die ik noemde. Je kunt wel zelf allerlei termijnen verzinnen maar die moeten wel gerechtvaardigd worden door een noodzaak die opweegt tegen de privacy. Jouw bedrijfsbeleid dat je logs 3 jaar bewaart, is geen grond dat je het 3 jaar mág bewaren. De vraag is waarom het 3 jaar is en waarom je niet met 6 weken toe kunt.
Door Anoniem: Het gaat er natuurlijk om wat voor soort gegevens men wil bewaren en hoe lang deze bewaart dienen te worden. Het antwoord van Arnoud gaat iets te kort door de bocht.
Licht eens toe?De wet noemt nergens bewaartermijnen behalve de paar die ik noemde. Je kunt wel zelf allerlei termijnen verzinnen maar die moeten wel gerechtvaardigd worden door een noodzaak die opweegt tegen de privacy. Jouw bedrijfsbeleid dat je logs 3 jaar bewaart, is geen grond dat je het 3 jaar mág bewaren. De vraag is waarom het 3 jaar is en waarom je niet met 6 weken toe kunt.
Arnoud,
In de wet staan weldegelijk meerdere bewaartermijnen genoemd. Een voorbeeld is de wet "Vrijstellingsbesluit Wbp".
Als we bijvoorbeeld kijken naar hoofdstuk 2, paragraaf 2, artikel 5, lid 6 staat vermeld:
De persoonsgegevens worden verwijderd op een daartoe strekkend verzoek van betrokkene en in ieder geval uiterlijk vier weken nadat de sollicitatieprocedure is geëindigd, tenzij de persoonsgegevens met toestemming van de betrokkene gedurende een jaar na beëindiging van de sollicitatieprocedure worden bewaard
Hierin kunnen we zien dat de persoonsgegevens maximaal maar 4 weken mogen worden bewaard na beëindiging, tenzij de betreffende sollicitant een uitdrukkelijke toestemming heeft gegeven.
Vandaar dat ik verwijs naar het document dat mede is opgesteld door Iron Mountain. Deze kan als handige leidraad dienen om te kunnen bepalen of de betreffende gegevens aan een bepaalde wet voldoen en welke bewaartermijn daarvoor geldt.
En aangezien de wetten kunnen veranderen, moet men dat document niet als definitief beschouwen. Men kan wel dat document gebruiken om als startpunt met degelijke juridische advies als onderbouwing te bepalen wat het eigenlijke beleid zou moeten zijn. Staan er niets in over de betreffende gegevens, zorg dan zeker dat een jurist een deskundige blik werpt om te bepalen of er toch nog een wet of Europese richtlijn is waaraan men gebonden kan zijn.
Wat betreffende inhoud van de logs, hangt het natuurlijk af van wat er überhaupt gelogd wordt. Een auditlog van toegang tot een ruimte waarin zware chemicaliën worden opgeslagen kan onder andere voorwaarden vallen dan een auditlog waarin gemeld wanneer iemand vanuit de bedrijfswebsite heeft gesolliciteerd.
17-10-2013, 11:14 door
N4ppy
Aurora achtige aanvallen duren soms maanden. Om zo'n aanval te kunnen analiseren heb je dus maanden logfiles nodig.
Als je achteraf wilt zien of iemand data heeft gejat als hij vechtend de tent uit gaat dan zul je soms weken/maanden terug willen kijken wat ze verder uitgespookt hebben.
Dus met een paar dagen kom je niet weg tegenwoordig.
Logfiles zonder (indirecte) persoonsgegevens zijn zeldzaam. Website logs hebben IP, windows server logs hebben de gebruiker direct (security) of indirect in de application log en zeggen dus iets over wie/waar/wanneer.
Maar dat heb je als bedrijf wel nodig.
En dan kom je in de spagaat tussen A10.10A.15.1 (legal compliance) WBP A13.2 (security incidents) en zo zijn er nog wel een paar.
De uitdaging is dat je soms vooraf niet weet dat je logs in moet (van 6 maanden geleden)
Als je achteraf wilt zien of iemand data heeft gejat als hij vechtend de tent uit gaat dan zul je soms weken/maanden terug willen kijken wat ze verder uitgespookt hebben.
Dus met een paar dagen kom je niet weg tegenwoordig.
Logfiles zonder (indirecte) persoonsgegevens zijn zeldzaam. Website logs hebben IP, windows server logs hebben de gebruiker direct (security) of indirect in de application log en zeggen dus iets over wie/waar/wanneer.
Maar dat heb je als bedrijf wel nodig.
En dan kom je in de spagaat tussen A10.10A.15.1 (legal compliance) WBP A13.2 (security incidents) en zo zijn er nog wel een paar.
De uitdaging is dat je soms vooraf niet weet dat je logs in moet (van 6 maanden geleden)
De ISO normen 27001 en 27002 staan op pas-toe-of-leg-uit lijst vanhet forum standaardisatie waar elke overheidsorganisatie zich aan zou moeten houden. Kortom voor de overheid is de eerder genoemde ISO norm wel degelijk van toepassing.
Zie ook: https://lijsten.forumstandaardisatie.nl/lijsten/open-standaarden?lijst=Pas%20toe%20of%20leg%20uit&status%5B%5D=Opgenomen&pagetitle=pastoeof
Zie ook: https://lijsten.forumstandaardisatie.nl/lijsten/open-standaarden?lijst=Pas%20toe%20of%20leg%20uit&status%5B%5D=Opgenomen&pagetitle=pastoeof
Hoe zit het met backups. Vooral met zaken als de jaar-tapes die voor 7 jaar de kluis in gaan? Selectief backupen is een probleem want als beheerder weet je niet waar er allemaal logs opgeslagen kunnen zijn. En zaken als de homedirs, groupdirs en mailboxen uitsluiten van de backup is geen optie, ik heb auditors gehad die hele oude data nodig hadden.
@Arnoud :
"Je kunt zeggen, we kijken elke dag naar verdachte logins. Nou, dan kan de volgende dag die log weg lijkt me. Eventueel een week bewaren voor ziekte of voor terugkerende patronen. Maar geen jaar onder het motto "wie weet". Data hoarding is niet toegestaan."
Dat klinkt leuk en aardig, maar ben je je ervan bewust dat de meeste grote incidenten pas na 6-18 maanden worden opgespoord ?
Verder is het vaak helemaal niet direkt duidelijk of een login verdacht is. Immers kan een hacker met een compromised account werken, wat er op het eerste gezicht volstrekt legitiem uit ziet.
Stel dat jouw computer thuis wordt gehacked, en dat de hacker vervolgens met de VPN credentials die jij mogelijk hebt van je werkgever inlogt op het netwerk van het advocaten kantoor waarvoor jij werkt.
Verwacht jij dat jullie systeem beheerder binnen een dag erachter komt dat de inlogsessies, vanaf jouw IP en met jouw credentials, niet van jou als persoon afkomstig zijn ?
"Aurora achtige aanvallen duren soms maanden. Om zo'n aanval te kunnen analiseren heb je dus maanden logfiles nodig.
Als je achteraf wilt zien of iemand data heeft gejat als hij vechtend de tent uit gaat dan zul je soms weken/maanden terug willen kijken wat ze verder uitgespookt hebben."
Precies, je moet dat allemaal achteraf uitzoeken.
"Je kunt zeggen, we kijken elke dag naar verdachte logins. Nou, dan kan de volgende dag die log weg lijkt me. Eventueel een week bewaren voor ziekte of voor terugkerende patronen. Maar geen jaar onder het motto "wie weet". Data hoarding is niet toegestaan."
Dat klinkt leuk en aardig, maar ben je je ervan bewust dat de meeste grote incidenten pas na 6-18 maanden worden opgespoord ?
Verder is het vaak helemaal niet direkt duidelijk of een login verdacht is. Immers kan een hacker met een compromised account werken, wat er op het eerste gezicht volstrekt legitiem uit ziet.
Stel dat jouw computer thuis wordt gehacked, en dat de hacker vervolgens met de VPN credentials die jij mogelijk hebt van je werkgever inlogt op het netwerk van het advocaten kantoor waarvoor jij werkt.
Verwacht jij dat jullie systeem beheerder binnen een dag erachter komt dat de inlogsessies, vanaf jouw IP en met jouw credentials, niet van jou als persoon afkomstig zijn ?
"Aurora achtige aanvallen duren soms maanden. Om zo'n aanval te kunnen analiseren heb je dus maanden logfiles nodig.
Als je achteraf wilt zien of iemand data heeft gejat als hij vechtend de tent uit gaat dan zul je soms weken/maanden terug willen kijken wat ze verder uitgespookt hebben."
Precies, je moet dat allemaal achteraf uitzoeken.
18-10-2013, 17:07 door
Arnoud Engelfriet
@Anoniem 02:10
Het vrijstellingsbesluit Wbp noemt geen verplichte bewaartermijnen maar alleen maxima. Maar dat zijn geen harde grenzen. Het zijn grenzen waarbinnen men vrijstelling redelijk vond.
Als je die overschrijdt, moet je je verwerking melden, meer niet. Ik mag dus persoonsgegevens van sollicitanten 3 maanden bewaren, mits ik a) dat meld bij Cbp en b) dat kan onderbouwen waarom dat móet. Het vrijstellingsbesluit is afgeleide wetgeving. Ik overtreed de Wbp zelf niet als ik die gegevens 3 maanden bewaar, dat meld én een noodzaak heb.
Omgekeerd, binnen de genoemde termijn zitten betekent niet dat je verwerking legaal is. Het betekent alleen dat je deze niet hoeft te melden.
Als je andere wetgeving weet, dan hoor ik dat graag.
Het vrijstellingsbesluit Wbp noemt geen verplichte bewaartermijnen maar alleen maxima. Maar dat zijn geen harde grenzen. Het zijn grenzen waarbinnen men vrijstelling redelijk vond.
Als je die overschrijdt, moet je je verwerking melden, meer niet. Ik mag dus persoonsgegevens van sollicitanten 3 maanden bewaren, mits ik a) dat meld bij Cbp en b) dat kan onderbouwen waarom dat móet. Het vrijstellingsbesluit is afgeleide wetgeving. Ik overtreed de Wbp zelf niet als ik die gegevens 3 maanden bewaar, dat meld én een noodzaak heb.
Omgekeerd, binnen de genoemde termijn zitten betekent niet dat je verwerking legaal is. Het betekent alleen dat je deze niet hoeft te melden.
Als je andere wetgeving weet, dan hoor ik dat graag.
Door schele:
Dus niet ieder uniek ID is meteen een persoonsgegeven, het moet wel plausibel zijn: als ik jou mijn ID uit een applicatie geef heb jij geen benul wie er achter zit, dat is voor jou geen persoonsgegeven. Als ik jou mijn IP adres geef kun jij mij niet uniek identificeren. Houdt mijn ISP mn IP adres bij is dat een ander verhaal.
Dus niet ieder uniek ID is meteen een persoonsgegeven, het moet wel plausibel zijn: als ik jou mijn ID uit een applicatie geef heb jij geen benul wie er achter zit, dat is voor jou geen persoonsgegeven. Als ik jou mijn IP adres geef kun jij mij niet uniek identificeren. Houdt mijn ISP mn IP adres bij is dat een ander verhaal.
Het heeft niet alleen te maken met functiescheiding en of iemand aanvullende gegevens heeft om een ID naar een persoon te kunnen herleiden, het heeft ook te maken met het doel waarvoor je het vastlegt.
Een IP-adres log je om te kunnen nagaan waar het internetverkeer vandaan komt. Het kan om gewoon verkeer gaan, of een inlogpoging, of een mail, etc. Opsporingsinstanties zouden het kunnen opvragen (met alle goedkeuringen die daarvoor nodig zijn) om zo na te gaan wie er achter het IP-adres zit.
Het IP-adres wordt daarom gezien als persoonsgegeven en je moet het dus ook als zodanig behandelen.
Check bijvoorbeeld:
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_nl.pdf
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
