Een IP adres wordt in de meeste gevallen als een persoonsgegeven aangemerkt, dus daar ga je al.
Tenzij je kunt hardmaken dat in jouw specifieke situatie de IP adressen geen persoonsgegevens zijn, zal je toch een verwerkersovereenkomst moeten opstellen.
De logs bevatten ook geen informatie over gebruikers die op het systeem of applicatie inloggen? Lijkt me in dat geval erg mager wat het SOC monitort.

De SOC diensten die ik ken, verwerken wel degelijk (veel) persoonsgegevens. SOC's beheren vaak ook de EPP/EDP agents die op end-user systemen zijn geïnstalleerd, of zien op z'n minst de meldingen/logs daarvan. Daarnaast worden meestal de authenticatie logs gemonitord van AD en andere, externe, authenticatie providers. Ook kunnen b.v. O365 services hun logs/alerts naar het SIEM van het SOC sturen. Dit zijn maar een paar voorbeelden, maar allemaal zullen ze persoonsgegevens bevatten.

Het doel voor de verwerking van deze gegevens zou kunnen zijn: Security monitoring om bedrijfs- en persoonsgegevens te beschermen.

Over het algemeen zou ik een jurist betrekken om te bepalen wat er precies in de verwerkersovereenkomst moet komen te staan. :-)

Nog een toevoeging: de meeste externe dienstverleners hebben gewoon een standaard verwerkersovereenkomst/DPA liggen. Als klant hoef je die meestal niet zelf op te stellen (maar wel laten controleren door je juridische team). Wij onboarden vrijwel maandelijks nieuwe dienstverleners die data van/voor ons verwerken, en met de meesten moeten we zo'n overeenkomst tekenen.

Mocht je meer over dit onderwerp willen lezen, dan helpt dit wellicht: https://autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/verwerkersovereenkomst

Kun je nagaan wat een wassen neus het inmiddels geworden is...

Ik heb een aanvulling op wat de Anoniem hierboven meldde: namelijk dat IP-adressen persoonsgegevens zijn.

De AVG rekent tot persoonsgegevens alles over een natuurlijke persoon die direct of indirect geïdentificeerd kan worden. Heel wat IP-adressen zijn aan één persoon of één huishouden te koppelen, vandaar dat ze als persoonsgegeven behandeld moeten worden. Dat je voor die koppeling informatie nodig hebt waar je misschien zelf niet over beschikt maakt niet uit, de AVG houdt rekening met de mogelijkheid dat gegevensverzamelingen achteraf aan elkaar gekoppeld worden, ook als dat gebeurt na bijvoorbeeld een hack. De AVG is zo streng juist omdat er veel meer met gegevens kan gebeuren dan je zelf doet of van plan bent, en omdat de praktijk heeft uitgewezen dat dat ook echt tot problemen leidt.

Maar als een IP-adres een persoonsgegeven is (of vaak zal zijn) dan zijn de gelogde tijdstippen en URLs ook aan die persoon te koppelen en daarmee informatie over die persoon. Ook als er geen URL-parameters zijn of als de URL-parameters geen naam of e-mailadres of zo bevatten. Aangezien het informatie over een persoon is zijn ook dat persoonsgegevens.

Dus ja, als je het verwerken van die logs uitbesteedt dan heb je een verwerkersovereenkomst nodig. Als het bedrijf waarmee je in zee wilt gaan dat niet door heeft dan heeft die geen benul van de AVG en kan je vermoedelijk beter een ander zoeken.

Zeker applicatie logs kunnen persoonsgegevens bevatten door een slecht bouw/ontwerp of door slechte configuratie.
Meestal gebruikt men de logs om ook een audit trail vast te leggen. Dat is luiheid/slecht ontwerp, audit trail in apart file of database, in het logs file alleen het noodzakelijk om de werking te controleren

Ik heb zelf ingegrepen bij het bouwen van een api waar dmv BSN persoonsgegevens werden opgevraagd, daarbij werd alles gewoon gelogd. Door mij zit nu een parameter in die deze zaken voor productie niet logt (maar die moet men we aanzetten)

Een andere keer werden logs van een andere applicatie naar de leverancier gestuurd, daar stonden ook beperkt persoonsgegevens in met BSN. Gelukkig was dat een maand voordat de datalek wetgeving in ging (wel intern gemeld)