Logging en privacy
Logging stelt inbreuken van buiten en ongeoorloofd gebruik van informatie binnen een organisatie vast. In computersystemen worden belangrijke gebeurtenissen voor de beveiliging bijgehouden in een logbestand.
Om inbreuken of ongeoorloofd gebruik van informatie vast te stellen, is ook een analyse van de registratie van loggegevens nodig. Het gaat hierbij vaak om persoonsgegevens, omdat gelogde activiteiten meestal terug te herleiden zijn naar een gebruiker. Dit maakt de analyse van loggegevens privacygevoelig. Door goed met deze loggegevens om te gaan, worden de privacyrisico’s beperkt. We adviseren u hier graag over.
Benieuwd wat BMC voor u kan betekenen? Lees dan verder of neem contact met ons op.
Op deze pagina:
Wat is logging?
Analyse van logging
Onze aanpak op het gebied van logging en privacy
Onze dienstverlening op logging en privacy
Praktijkcases en oplossingen
Adviseur logging privacy
Wat is logging?
Logging is het vastleggen van gebeurtenissen in een logbestand. In computersystemen gebeurt dit bij gebeurtenissen die belangrijk zijn voor de beveiliging of voor de analyse van verstoringen. Voor zo’n gebeurtenis worden onder andere de datum en tijd van de gebeurtenis, de gebruikersnaam en het type gebeurtenis vastgelegd. Een gebeurtenis die wordt vastgelegd in een logbestand is bijvoorbeeld het wel of niet succesvol inloggen in een applicatie, een door het systeem gegenereerde foutmelding of een actie van de gebruiker, bijvoorbeeld inzage van een medisch dossier.
Analyse van logging
Om inbreuken en ongeoorloofd gebruik van informatie vast te kunnen stellen is niet alleen het registreren van loggegevens nodig, maar juist ook de analyse daarvan. Loggegevens zijn meestal ook persoonsgegevens omdat ze activiteiten bevatten die herleidbaar zijn naar een gebruiker. Dit maakt de analyse van loggegevens privacygevoelig. De privacyrisico’s kunnen worden beperkt door goed vast te leggen welke analyses op de loggegevens worden gedaan. Voor zo’n regeling is instemming nodig van de medezeggenschapsraad of ondernemingsraad. Lees hier meer informatie over detectie van inbreuken met logging.
Onze aanpak op het gebied van logging en privacy
BMC heeft modelbeleid voor logging, ervaring met inventariseren van bronnen van loginformatie en het analyses van loggegevens, waarbij de privacy van medewerkers zo veel mogelijk wordt ontzien. Dat kan bijvoorbeeld door in rapportages te selecteren op ongewoonlijke of ongeoorloofde activiteiten en door anonieme rapportages over gebruikersgedrag. Zo’n rapportage over bijvoorbeeld internetgebruik geeft dan geen informatie over het internetgebruik van individuele medewerkers, maar wel een overzicht van de websites die vanuit de gehele organisatie bezocht worden. Deze informatie kan vervolgens worden gebruikt voor bewustwording, communicatie en eventueel het blokkeren van bepaalde sites.
Vanuit informatiebeveiliging is het wenselijk om loggegevens lang te bewaren. Maar omdat het hier om persoonsgegevens gaat, is het vanuit privacyoogpunt juist wenselijk loggegevens beperkt te bewaren. Op deze pagina vindt u meer informatie over logging binnen informatiebeveliging.
Onze dienstverlening op logging en privacy
Advies en onderzoek
BMC heeft ervaring met het in kaart brengen van bronnen die loginformatie bevatten én met analyses van loggegevens waarbij de privacy van medewerkers vooropstaat. Dit kan bijvoorbeeld door anonieme rapportages over gebruikersgedrag. Zo’n rapportage over bijvoorbeeld internetgebruik geeft dan geen informatie over het internetgebruik van individuele medewerkers, maar wel een overzicht van de sites die vanuit de gehele organisatie bezocht worden. Deze informatie kan vervolgens worden gebruikt voor bewustwording, communicatie en eventueel het blokkeren van bepaalde sites.
Naast advies en onderzoek kunt u bij BMC ook terecht voor de werving van medewerkers en inhuur van professionals. Ook leveren wij persoonlijke opleidingstrajecten en in-company trainingen op maat. Deze trainingen worden afgestemd op de specifieke behoeften van uw organisatie.
Adviseur logging en privacy
Meer informatie over logging en privacy? Neem dan contact op met onderstaande adviseur:
Julius Duijts
managing consultant, CMC CISSP CEH CIPP/E
"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."
Meer informatie over privacy
Deze expertise hoort bij inrichting en borging AVG, onder privacy binnen data en dienstverlening. Bekijk ook andere expertises binnen dit domein: