Gastblog mr. Cees Zwinkels
(MPC, ICT-jurist en ICT-controller; cz.legalprogress@gmail.com)
De Autoriteit Persoonsgegevens (AP) spreekt keer op keer uit dat loggegevens een belangrijk onderdeel zijn van de implementatie van het beveiligingsbeleid. Als een bedrijf of overheidsinstantie zijn loggegevens niet op orde heeft, is deze niet in staat vragen te beantwoorden over wie, welke persoonsgegevens, wanneer en op welke locatie heeft verwerkt. Er zijn steeds meer situaties, waarin het nodig is de loggegevens te kunnen raadplegen. Denk bijvoorbeeld aan het onderzoeken van een hack, een datalek of bedrijfsspionage. Behalve van belang voor de organisatie zelf, kan er ook inzage verlangd worden door de politie, het OM, inlichtingendiensten, alsmede interne en externe toezichthouders. Laatstgenoemde categorie beoordeelt in de te onderzoeken situaties ook of de organisatie in compliance is met wet- en regelgeving betreffende privacybescherming en informatiebeveiliging.
Loggegevens : Doeleinden
Logging wordt niet expliciet in de AVG omschreven. Van de verwerkingsverantwoordelijke en de verwerker worden verwacht dat zij passende beveiligingsmaatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen (artikel 32 AVG). Richtlijn 2016/680 is de evenknie van de AVG en is gericht op het verwerken van strafrechtelijke persoonsgegevens. Logging wordt in deze Richtlijn expliciet omschreven (artikel 25 lid 1):
logbestanden worden bijgehouden van ten minste de volgende verwerkingen in systemen voor geautomatiseerde verwerking: verzameling, wijziging, raadpleging, bekendmaking onder meer in de vorm van doorgiften, combinatie en wissing. De logbestanden van raadpleging en bekendmakingen maken het mogelijk de redenen, de datum en het tijdstip van die handelingen te achterhalen en indien mogelijk de identiteit van de persoon die persoonsgegevens heeft geraadpleegd of bekendgemaakt, en de identiteit van de ontvangers van die persoonsgegevens.
Dit artikel volgt direct op artikel 24 over het wel in de AVG opgenomen Register van de verwerkingsactiviteiten. In algemene zin is het doel van logging het controleren of de verwerking rechtmatig is, het uitvoeren van interne controles, en ter waarborging van de integriteit en de beveiliging van de persoonsgegevens. Helaas ontbreekt in de Richtlijn een nadere uitleg over de doeleinden voor logging. De roep om die uitleg wordt in de praktijk steeds luider.
Loggegevens: Rechtmatigheid van de verwerking
Uit oogpunt van transparantie en gelijke behandeling is de meest aantrekkelijke grondslag voor het aanmaken van loggegevens het moeten voldoen aan een wettelijke verplichting. Onder omstandigheden is denkbaar dat loggegevens noodzakelijk zijn voor de uitvoering van een overeenkomst of er een gerechtvaardigd belang bestaat, of dat er toestemming wordt verkregen.
Toestemming is lastig als grondslag. Betrokkenen moeten toestemming verlenen om de loggegevens over hen op te bouwen. Allereerst zijn betrokkenen niet alleen medewerkers, maar ook bijvoorbeeld leveranciers en klanten. Betrokkenen moeten weten welke loggegevens over hen zullen worden aangemaakt. Hierbij mag de verwerkingsverantwoordelijke geen toestemming vragen voor het opbouwen van alle mogelijke logbestanden binnen zijn organisatie in de toekomst. Hij zal moeten specificeren om welke logbestanden het gaat. Het sluitstuk van het invullen van het toestemmingsvereiste is dat betrokkene moet begrijpen dat hij zijn toestemming weer kan intrekken.
Loggegevens : Rechten van betrokkenen
Naar mijn verwachting zal door betrokkenen steeds meer een beroep worden gedaan op het recht op inzage (artikel 15 AVG) en het recht op gegevenswissing (artikel 17 AVG). De verwerkingsverantwoordelijke moet onder andere een bewaartermijn vaststellen voor de logbestanden (cf. artikel 15 eerste lid sub d AVG). Er zijn nog niet of nauwelijks wettelijke bewaartermijnen voor loggegevens vastgesteld. In geval van medische dossiers moeten de persoonsgegevens 15 jaar bewaard worden. Is het dan logisch om de loggegevens ook 15 jaar te bewaren? Als het gaat om de rechtmatigheid van de verwerking te kunnen aantonen, dan kan 15 jaar zelfs aan de korte kant zijn. Raadplegingen met betrekking tot de wettelijke persoonsgegevens in de Wet basisregistratie personen worden bijvoorbeeld om die reden 20 jaar bewaard. De verantwoordelijke zal zich ook rekenschap moeten geven wie de ontvangers van de loggegevens zijn.
Het recht op gegevenswissing is niet absoluut, maar moet worden afgewogen tegen ander rechten en belangen (artikel 17 lid 3 AVG). Een reden om niet aan een verzoek tot wissing te voldoen is wanneer deze nodig zijn voor onderbouwing van een rechtsvordering. Een bewaartermijn van tussen de 10 en 20 jaar lijkt mij redelijk. Tevens kan er voor de verwerkingsverantwoordelijke sprake zijn van een wettelijke verwerkingsplicht of het vervullen van een taak van algemeen belang in relatie met het niet verwijderen van de loggegevens.
De huidige stroom van jurisprudentie betreft vooral de gegevenswissing van links op internet. De rode draad voor de rechters is de continue afweging tussen de belangen van de verantwoordelijke, de betrokkenen en het brede internetpubliek. Duidelijk mag zijn dat het bij een rechtszaak over het structureel wissen van loggegevens zal gaan om de afweging van het belang van de verantwoordelijke versus het belang van betrokkene. Gezien de genoemde doeleinden kan de verantwoordelijke veel aanvoeren om het opbouwen van logbestanden vol te houden richting betrokkenen. Ik verwacht dat het Europese Hof en/of de AP pas bereid zijn hun tanden te zetten in de verwerking van loggegevens, indien verwerkingsverantwoordelijken de loggegevens gaan gebruiken voor (semi) geautomatiseerde besluitvorming over betrokkenen.
