Post on 26-Dec-2014
description
Juridische aspecten van (data)logging
Werkgroep Informatieveiligheid | Brussel | 18 september 2014
Johan Vandendriessche
Advocaat (crosslaw)
| www.crosslaw.be |
| j.vandendriessche@crosslaw.be |
Logging: algemeen
Log(file)
• Bestand waarin gebeurtenissen worden bijgehouden
• Papier of elektronisch
Uiteenlopende doeleinden
• Wettelijke (of andere) verplichting (‘compliance’)
• Veiligheidsmaatregel
• Zakelijke toepassingen
• Transactielogs
• Kwaliteitscontrole (software debugging)
• Bewijsdoeleinden
2
Logging: wettelijke grondslag
Logging als recht
• Principe: vrij recht om logs te creëren
• Geen geconsolideerde wetgeving
• Soms een wettelijke taak om logging te voorzien
(recht/plicht)
Logging als plicht
• Geen geconsolideerde wetgeving
• Wet Verwerking Persoonsgegevens
Artikel 16 WVP
Verwerkingsvoorwaarde
• Diverse wetgeving
Rijksregister
E-Health
Apotheekwetgeving 3
Logging als recht
Principe: vrij beslissingsrecht met betrekking tot
logging
• Al dan niet implementeren van logging
• Omvang van de logactiviteit
Wettelijke beperkingen
• WVP bij verwerking van persoonsgegevens (logging
als verwerking met een eigen finaliteit)
• Communicatierecht
Soms wettelijke verplichting tot het houden van een
log
4
Logging als recht: eHealth
Opdracht eHealth-platform (art. 5 Wet eHealth-
Platform)
• het concipiëren, beheren, ontwikkelen en in
standaardvorm, gratis ter beschikking stellen van een
samenwerkingsplatform voor de veilige elektronische
gegevensuitwisseling, met inbegrip van een systeem
voor de organisatie en logging van de elektronische
gegevensuitwisseling, en een systeem voor de
elektronische toegang tot de gegevens
Geen nadere uitwerking in de wettelijke bepalingen
• Voorwaardelijke beperking via andere wetgeving
5
Logging als recht: beperkingen
WVP
Beperkingen m.b.t. de verwerking van
persoonsgegevens
• Ruime wettelijke interpretatie van het begrip
‘persoonsgegeven’
• Niet noodzakelijk gevoelig (maar er gelden wel striktere
regels voor bijzondere categorieën van
persoonsgegevens)
• Ruime interpretatie van het begrip ‘identificeerbaar’
• Ruime interpretatie van het begrip ‘verwerking’
• Elke manipulatie van persoonsgegevens (dus m.i.v.
logging)
6
Logging als recht: beperkingen
WVP
Rechtmatigheidsbeginselen
• Proportionaliteitsbeginsel
• Finaliteitsbeginsel
• Verdere verwerking?
• Tijdsbeperking
• (Individuele en collectieve) transparantie
• Datakwaliteit
• Beveiligingsplicht
7
Logging als plicht
Afwijking van het vrije beslissingsrecht inzake
logging
• Wettelijke (eventueel regelgevende of contractuele)
plicht tot logging
Wettelijke bepalingen zijn niet altijd nauwkeurig
• Beveiligingsplicht bij het verwerken van
persoonsgegevens (logging als veiligheidsmaatregel
zonder eigen finaliteit)
8
Logging als plicht:
verplichtingen WVP
Veiligheidsplicht
• Algemene verplichtingen
• Bijzondere verplichtingen
• Verplichtingen met betrekking tot het gebruik van
verwerkers
CBPL heeft een lijst met referentiemaatregelen
uitgevaardigd
• Punt 7: Logging, opsporing en analyse van toegang
Bijzondere voorwaarde bij machtiging Sectoraal
Comité
• Omschrijving in de beslissing9
Logging als plicht:
verplichtingen WVP
Algemene beveiligingsplicht
• Technische maatregelen
• Logische toegangsbeperkingen
• Technische beveiliging (anti-virus, firewall, …)
• Fysieke toegangsbeperkingen
• Organisatorische maatregelen
• Dataclassificatie
• Policies
Log policies
10
Logging als plicht:
verplichtingen WVP
Algemene beveiligingsplicht
• Types van maatregelen zijn onderling inwisselbaar
• Bescherming tegen elke vorm van onwettige
verwerking
• Gepaste veiligheidsmaatregelen (‘passend
beveiligingsniveau’):
• Stand van de techniek en de kosten;
• Aard van de te beveiligen gegevens en de potentiële
risico’s
Logging wordt uitdrukkelijk vermeld in de
referentiemaatregelen
11
Logging als plicht:
verplichtingen WVP
(Relevante) Specifieke veiligheidsmaatregelen
• Verplichting inzake datakwaliteit
• Dubbele ‘need-to-know’ toegangsbeperking
• Toegangsbeperking op het niveau van de personen
• Toegangsbeperking op het niveau van de
persoonsgegevens
• Rol voor logging
Specifieke bepalingen onder de Wet eHealth-
Platform
12
Logging als plicht: toegang en
gebruik
Toegang tot logs
• Toegangsrecht
• Wettelijke bepalingen?
• Policies
• Beperkingen inzake verwerking persoonsgegevens
• Beperkingen inzake communicatierecht
Gebruik van een log
• Wettelijke beperkingen
• Bewijswaarde van een log
13
Logging: bewaring van logs
Bewaring van logs
• Wettelijke bepaling
• Bepaling van termijn en/of vorm
• Geen uniforme benadering
• Geen wettelijke bepaling
• In beginsel vrije keuze
• Wettelijke beperkingen (b.v. WVP)
• Goede praktijk: kijken naar verjaringstermijn
14
Logs als bewijs
Toelaatbaarheid en bewijswaarde
• Aard van het te leveren bewijs (‘rechtsfeit’ vs‘rechtshandeling’)
• Wettelijk
• Onwettig bewijs
• Onwettig verkregen bewijs
• Bewijskracht en bewijswaarde
• Gewicht van het bewijs
• Potentieel beïnvloed door de betrouwbaarheid
Proces van bewijsvergaring
Inherente (on)betrouwbaarheid?
• Afwijking bij overeenkomst?
15
Logs als bewijs
“Antigoon”-rechtspraak
• Onwettig verkregen bewijs niet langer als
automatisme verwerpen
Bewijs wordt weerhouden, behalve:
• Nietigheid voorgeschreven door of krachtens een
wettelijke bepaling
• Onfair proces
• Impact op de betrouwbaarheid
Nota: de rechtspraak inzake Antigoon is in
beweging
16
Logs als bewijs
Algemene regels
• Garandeer de integriteit en betrouwbaarheid van de
logs procesmatig
• Implementeer en controleer policies rond logging
Praktisch
• Indien mogelijk, leg de bewijswaarde contractueel
vast
• Organiseer de bewijsvergaring op een secure manier
17
Bedankt voor uw aandacht!
Vragen?
18