Advocaten en notariaat in Leiden en Den Haag
Menu
Overzicht Delen
IT, IE & Privacy

Controle van logbestanden

Jeroen van Helden

24 februari 2021 - 2 minuten leestijd

Opnieuw legt de Autoriteit Persoonsgegevens (AP) een boete op wegens onvoldoende controle van logbestanden. In 2019 legde de AP een boete van EUR 460.000 op aan het HagaZiekenhuis, omdat het ziekenhuis logbestanden onvoldoende had gecontroleerd op onregelmatigheden bij toegang tot patiëntdossiers. Onlangs legde de AP een boete van EUR 440.000 op aan het Amsterdamse Ziekenhuis OLVG voor een vergelijkbare overtreding. Logging neemt duidelijk in belang toe. Wanneer is logging verplicht en hoe vaak moeten logbestanden gecontroleerd worden?

Logging gaat over de geautomatiseerde registratie van gebeurtenissen in informatiesystemen. Een belangrijke reden om gebeurtenissen te willen loggen is dat daarmee controle mogelijk is op toegangsbeveiliging, zodat achterhaald kan worden wie toegang heeft gehad tot elektronisch opgeslagen informatie, volgens welke regels toegang is verkregen en welke acties op de gegevens zijn uitgevoerd. In de praktijk wordt deze vorm van logging vooral toegepast in informatiesystemen waarmee toegang kan worden verkregen tot bedrijfsvertrouwelijke of privacygevoelige informatie.

Wanneer is logging verplicht?

Organisaties moeten passende organisatorische en technische maatregelen treffen om persoonsgegevens te beveiligen (artikel 32 AVG). Onderdeel van een passend informatiebeveiligingsbeleid is een adequaat beleid ten aanzien van de toegangsbeveiliging, zodat bevoegde gebruikers toegang hebben tot de informatiesystemen die ze voor de uitvoering van hun taken nodig hebben en onbevoegde toegang tot informatiesystemen wordt voorkomen. Vaak zal dit ook betekenen dat activiteiten die gebruikers uitvoeren met persoonsgegevens vastgelegd moeten worden in logbestanden, welke vervolgens periodiek gecontroleerd moeten worden op indicaties van onrechtmatige toegang of onrechtmatig gebruik van gegevens.

Waar de verplichting tot het bijhouden van logbestanden in veel gevallen dus impliciet volgt uit artikel 32 AVG, is in diverse sectorspecifieke wet- en regelgeving een expliciete verplichting opgenomen tot het bijhouden van loggegevens. Zorgaanbieders zijn op grond van artikel 5 lid 1 Besluit elektronische gegevensverwerking door zorgaanbieders verplicht gebruik te maken van een zorginformatiesysteem dat voldoet aan de norm NEN 7513. Deze norm beschrijft de stelselmatige geautomatiseerde registratie van gegevens rond de toegang tot een patiëntdossier. Zorgaanbieders moeten de loggegevens (zo is inmiddels bepaald) minimaal vijf jaar bewaren vanaf het moment dat de logregel wordt geschreven.

Hoe vaak controleren?

De AVG noch sectorspecifieke wet- en regelgeving schrijft voor op welke manier en hoe vaak logbestanden gecontroleerd moeten worden op indicaties van onrechtmatige toegang of onrechtmatig gebruik van gegevens. Uit de door de AP gepubliceerde boetebesluiten is wel op te maken hoe de AP naar dit vraagstuk kijkt. Zo oordeelt de AP ten aanzien van het HagaZiekenhuis dat: “het doen van slechts één of enkele proactieve steekproef/steekproeven per jaar ruimschoots en evident onvoldoende [is] om te kunnen spreken van een passend beveiligingsniveau”. Het OLVG voerde vaker controles uit, maar ook dit vond de AP nog niet voldoende: “het doen van slechts acht incidentele controles en twee proactieve steekproeven in een periode van 15,5 maanden [is] ruimschoots en evident onvoldoende om te kunnen spreken van een passend beveiligingsniveau”.

Voor bedrijven, overheden en zorgaanbieders is het dus zaak na te gaan binnen welke informatiesystemen verplicht gebruik gemaakt moet worden van logging, en als dat het geval is, om vervolgens doorlopend en aantoonbaar controles uit te voeren op deze logbestanden.

Wilt u meer weten over logging of over de juridische aspecten van informatiebeveiliging? Neem gerust contact op met ons team.

Jeroen van Helden, advocaat IT, IE & Privacy

Ook interessant?