Gastblog
mr. Cees Zwinkels
(MPC, ICT-jurist en ICT-controller;
cz.legalprogress@gmail.com)
De
Autoriteit Persoonsgegevens (AP) spreekt keer op keer uit dat loggegevens een
belangrijk onderdeel zijn van de
implementatie van het beveiligingsbeleid. Als een bedrijf of overheidsinstantie
zijn loggegevens niet op orde heeft, is deze niet in staat vragen te
beantwoorden over wie, welke persoonsgegevens, wanneer en op welke locatie
heeft verwerkt. Er zijn steeds meer situaties, waarin het nodig is de
loggegevens te kunnen raadplegen. Denk bijvoorbeeld aan het onderzoeken van een
hack, een datalek of bedrijfsspionage. Behalve van belang voor de organisatie
zelf, kan er ook inzage verlangd worden door de politie, het OM, inlichtingendiensten,
alsmede interne en externe toezichthouders. Laatstgenoemde categorie beoordeelt
in de te onderzoeken situaties ook of de organisatie in compliance is met wet-
en regelgeving betreffende privacybescherming en informatiebeveiliging.
Loggegevens : Doeleinden
Logging
wordt niet expliciet in de AVG omschreven. Van de verwerkingsverantwoordelijke
en de verwerker worden verwacht dat zij passende beveiligingsmaatregelen
treffen om een op het risico afgestemd beveiligingsniveau te waarborgen (artikel 32 AVG). Richtlijn 2016/680 is de evenknie van de AVG en is
gericht op het verwerken van strafrechtelijke persoonsgegevens. Logging wordt in deze Richtlijn expliciet
omschreven (artikel 25 lid 1):
logbestanden worden bijgehouden van ten minste de
volgende verwerkingen in systemen voor geautomatiseerde verwerking:
verzameling, wijziging, raadpleging, bekendmaking onder meer in de vorm van
doorgiften, combinatie en wissing. De logbestanden van raadpleging en
bekendmakingen maken het mogelijk de redenen, de datum en het tijdstip van die
handelingen te achterhalen en indien mogelijk de identiteit van de persoon die
persoonsgegevens heeft geraadpleegd of bekendgemaakt, en de identiteit van de
ontvangers van die persoonsgegevens.
Dit
artikel volgt direct op artikel 24 over het wel in de AVG opgenomen Register van de verwerkingsactiviteiten. In algemene zin is het doel
van logging het controleren
of de verwerking rechtmatig is, het uitvoeren van interne controles, en ter waarborging van de
integriteit en de beveiliging van de persoonsgegevens. Helaas ontbreekt in de
Richtlijn een nadere uitleg over de doeleinden voor logging. De roep om die
uitleg wordt in de praktijk steeds luider.
Loggegevens: Rechtmatigheid van de
verwerking
Uit
oogpunt van transparantie en gelijke behandeling is de meest aantrekkelijke
grondslag voor het aanmaken van loggegevens het moeten voldoen aan een
wettelijke verplichting. Onder omstandigheden is denkbaar dat loggegevens
noodzakelijk zijn voor de uitvoering van een overeenkomst of er een
gerechtvaardigd belang bestaat, of dat er toestemming wordt verkregen.
Toestemming
is lastig als grondslag. Betrokkenen
moeten toestemming verlenen om de
loggegevens over hen op te bouwen. Allereerst zijn betrokkenen niet alleen
medewerkers, maar ook bijvoorbeeld leveranciers en klanten. Betrokkenen moeten
weten welke loggegevens over hen zullen worden aangemaakt. Hierbij mag de
verwerkingsverantwoordelijke geen toestemming vragen voor het opbouwen van alle
mogelijke logbestanden binnen zijn organisatie in de toekomst. Hij zal moeten
specificeren om welke logbestanden het gaat. Het sluitstuk van het invullen van
het toestemmingsvereiste is dat betrokkene moet begrijpen dat hij zijn toestemming weer kan intrekken.
Loggegevens : Rechten van betrokkenen
Naar
mijn verwachting zal door betrokkenen steeds meer een beroep worden gedaan op
het recht op inzage (artikel 15 AVG) en het recht op gegevenswissing (artikel
17 AVG). De verwerkingsverantwoordelijke moet onder andere een bewaartermijn
vaststellen voor de logbestanden (cf. artikel 15 eerste lid sub d AVG). Er zijn
nog niet of nauwelijks wettelijke bewaartermijnen voor loggegevens vastgesteld.
In geval van medische dossiers moeten de persoonsgegevens 15 jaar bewaard
worden. Is het dan logisch om de loggegevens ook 15 jaar te bewaren? Als het
gaat om de rechtmatigheid van de verwerking te kunnen aantonen, dan kan 15 jaar
zelfs aan de korte kant zijn. Raadplegingen met betrekking tot de wettelijke
persoonsgegevens in de Wet basisregistratie personen worden bijvoorbeeld om die
reden 20 jaar bewaard. De verantwoordelijke zal zich ook rekenschap moeten
geven wie de ontvangers van de loggegevens zijn.
Het
recht op gegevenswissing is niet absoluut, maar moet worden afgewogen tegen
ander rechten en belangen (artikel 17 lid 3 AVG). Een reden om niet aan een
verzoek tot wissing te voldoen is wanneer deze nodig zijn voor onderbouwing van
een rechtsvordering. Een bewaartermijn van tussen de 10 en 20 jaar lijkt mij
redelijk. Tevens kan er voor de verwerkingsverantwoordelijke sprake zijn van
een wettelijke verwerkingsplicht of het vervullen van een taak van algemeen
belang in relatie met het niet verwijderen van de loggegevens.
De huidige stroom van
jurisprudentie betreft vooral de gegevenswissing van links op internet. De rode
draad voor de rechters is de continue afweging tussen de belangen van de
verantwoordelijke, de betrokkenen en het brede internetpubliek. Duidelijk mag
zijn dat het bij een rechtszaak over het structureel wissen van loggegevens zal
gaan om de afweging van het belang van de verantwoordelijke versus het belang
van betrokkene. Gezien de genoemde doeleinden kan de verantwoordelijke veel aanvoeren
om het opbouwen van logbestanden vol te houden richting betrokkenen. Ik verwacht
dat het Europese Hof en/of de AP pas bereid zijn hun tanden te zetten in de
verwerking van loggegevens, indien verwerkingsverantwoordelijken de loggegevens gaan
gebruiken voor (semi) geautomatiseerde besluitvorming over betrokkenen. https://www.solv.nl/weblog/loggegevens-binnen-privacy-en-beveiligingsbeleid/21720
