Vaak zullen sysadmins voor security-doeleinden loggen. Je zult dan al gauw te maken krijgen met privacyregels, want die logs kunnen privacy-gevoelig zijn. Hoe kan je het risico op privacy-problemen zo veel mogelijk voorkomen? Hier zijn tien tips.
1. Log pas als dat nodig is. Log gegevens niet ‘voor de zekerheid’, maar alleen als dat noodzakelijk is om, bijvoorbeeld, fraude te voorkomen of om de veiligheid van je netwerk te waarborgen.
2. Informeer je gebruikers. Maak duidelijk aan gebruikers wat je precies doet, bijvoorbeeld via je privacy policy. Leg het zo helder mogelijk uit.
3. Omschrijf duidelijk voor welk doel je gegevens logt. Het is belangrijk dat je duidelijk de doeleinden omschrijft waarvoor je gegevens opslaat, ook om de volgende reden.
4. Gebruik de gegevens niet voor andere doelen. Als je logt voor security-doeleinden, kan je die logs vervolgens niet gebruiken voor, bijvoorbeeld, marketingdoeleinden.
5. Log op het laagste niveau. Beperk je tot het hoogst noodzakelijke. Log bij netwerkverkeer niet de IP-adressen, als je kan volstaan met de poorten. Log niet het hele IP-adres, als je kan volstaan met twee octets.
6. Log slechts een deel. Soms is het voldoende om slechts een percentage te loggen: bij netwerkverkeer bijvoorbeeld 1 op de 10.000 pakketjes.
7. Bewaar gegevens zo kort mogelijk. Onderzoek kritisch hoe lang je de logs nodig hebt, en verwijder ze na die termijn. Je kan bijvoorbeeld onderzoeken hoe vaak het in het afgelopen jaar nodig was om langer dan drie maanden in de logs terug te zoeken.
8. Beperk de toegang tot de gegevens. Ook als je zo min mogelijk logt, dan nog moet je de toegang tot die gegevens beperken. Alleen die personen die niet zonder toegang kunnen, moeten toegang krijgen.
9. Beveilig je gegevens goed. Als je bijvoorbeeld niet continu toegang tot je logs nodig hebt kan het verstandig zijn om ze versleuteld op te slaan. Het risico dat de gegevens op straat komen te liggen beperk je daarmee.
10. Evalueer je beleid periodiek. Wat nu noodzakelijk is om te loggen, was dat een tijd geleden misschien niet. Het is daarom verstandig om af en toe, bijvoorbeeld een keer per half jaar, te kijken of je beleid aan herziening toe is.
Bij twijfel is het goed om nader advies in te winnen – een fout is gauw gemaakt en kan stevige gevolgen hebben voor de reputatie van je bedrijf (denk aan KPN die DPI toepaste op haar netwerkverkeer).
Ot van Daalen is advocaat en oprichter van advocatenkantoor Digital Defence dat is gespecialiseerd in security- en privacyrecht. Daarvoor was hij oprichter en directeur van de digitale burgerrechtenbeweging Bits of Freedom. Hij werkt ook als onderzoeker privacy- en securityrecht bij het Instituut voor Informatierecht aan de Universiteit van Amsterdam.
Deze posting is gelocked. Reageren is niet meer mogelijk.