Logging gaat over de geautomatiseerde registratie van gebeurtenissen in informatiesystemen. Een belangrijke reden om gebeurtenissen te willen loggen is dat daarmee controle mogelijk is op toegangsbeveiliging, zodat achterhaald kan worden wie toegang heeft gehad tot elektronisch opgeslagen informatie, volgens welke regels toegang is verkregen en welke acties op de gegevens zijn uitgevoerd. In de praktijk wordt deze vorm van logging vooral toegepast in informatiesystemen waarmee toegang kan worden verkregen tot bedrijfsvertrouwelijke of privacygevoelige informatie.
Wanneer is logging verplicht?
Organisaties moeten passende organisatorische en technische maatregelen treffen om persoonsgegevens te beveiligen (artikel 32 AVG). Onderdeel van een passend informatiebeveiligingsbeleid is een adequaat beleid ten aanzien van de toegangsbeveiliging, zodat bevoegde gebruikers toegang hebben tot de informatiesystemen die ze voor de uitvoering van hun taken nodig hebben en onbevoegde toegang tot informatiesystemen wordt voorkomen. Vaak zal dit ook betekenen dat activiteiten die gebruikers uitvoeren met persoonsgegevens vastgelegd moeten worden in logbestanden, welke vervolgens periodiek gecontroleerd moeten worden op indicaties van onrechtmatige toegang of onrechtmatig gebruik van gegevens.
Waar de verplichting tot het bijhouden van logbestanden in veel gevallen dus impliciet volgt uit artikel 32 AVG, is in diverse sectorspecifieke wet- en regelgeving een expliciete verplichting opgenomen tot het bijhouden van loggegevens. Zorgaanbieders zijn op grond van artikel 5 lid 1 Besluit elektronische gegevensverwerking door zorgaanbieders verplicht gebruik te maken van een zorginformatiesysteem dat voldoet aan de norm NEN 7513. Deze norm beschrijft de stelselmatige geautomatiseerde registratie van gegevens rond de toegang tot een patiëntdossier. Zorgaanbieders moeten de loggegevens (zo is inmiddels bepaald) minimaal vijf jaar bewaren vanaf het moment dat de logregel wordt geschreven.
Hoe vaak controleren?
De AVG noch sectorspecifieke wet- en regelgeving schrijft voor op welke manier en hoe vaak logbestanden gecontroleerd moeten worden op indicaties van onrechtmatige toegang of onrechtmatig gebruik van gegevens. Uit de door de AP gepubliceerde boetebesluiten is wel op te maken hoe de AP naar dit vraagstuk kijkt. Zo oordeelt de AP ten aanzien van het HagaZiekenhuis dat: “het doen van slechts één of enkele proactieve steekproef/steekproeven per jaar ruimschoots en evident onvoldoende [is] om te kunnen spreken van een passend beveiligingsniveau”. Het OLVG voerde vaker controles uit, maar ook dit vond de AP nog niet voldoende: “het doen van slechts acht incidentele controles en twee proactieve steekproeven in een periode van 15,5 maanden [is] ruimschoots en evident onvoldoende om te kunnen spreken van een passend beveiligingsniveau”.
Voor bedrijven, overheden en zorgaanbieders is het dus zaak na te gaan binnen welke informatiesystemen verplicht gebruik gemaakt moet worden van logging, en als dat het geval is, om vervolgens doorlopend en aantoonbaar controles uit te voeren op deze logbestanden.
Vragen?
Heeft u vragen over logging of over de juridische aspecten van informatiebeveiliging, neemt u dan contact op met Jeroen van Helden.