Hoe ver mag ik gaan met logging en monitoring zonder met AVG te botsen?
Logs zijn vaak onmisbaar voor security, maar bevatten persoonsgegevens. Doelbinding, dataminimalisatie en transparantie zijn de richtlijnen, niet alles standaard maximaal vastleggen.
Probeer dit eerst zelf
- 1Beschrijf per logbron het doel: incident-detectie, foutopsporing, audit-trail. Daarop bepaal je welke velden en hoe lang je bewaart.
- 2Minimaliseer wat je logt. Log een gebruikers-ID, niet meteen het volledige verzoek met persoonsgegevens. URL-parameters met identifiers vallen binnen de AVG.
- 3Bewaartermijn passend bij doel. Veel security-logs kennen een termijn van weken tot enkele maanden, langer alleen met onderbouwing en in een afgeschermde omgeving.
- 4Beperk toegang tot logs. SIEM-toegang voor een klein team, met logging op de logging zelf. Misbruik komt vaker uit de eigen organisatie dan je denkt.
- 5Vermeld in je privacyverklaring en personeelsreglement dat je logt en met welk doel. Stille monitoring is een AVG- en arbeidsrechtelijk risico.
Wanneer ons inschakelen
Wil je content van mailverkeer of toetsaanslagen monitoren, dan zit je op AVG-arbeidsrecht-grond en heb je instemming OR plus DPIA nodig.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.