Juridische aspecten van (data)logging

Werkgroep Informatieveiligheid | Brussel | 18 september 2014

Johan Vandendriessche

Advocaat (crosslaw)

| www.crosslaw.be |

| j.vandendriessche@crosslaw.be |

Logging: algemeen

Log(file)

• Bestand waarin gebeurtenissen worden bijgehouden

• Papier of elektronisch

Uiteenlopende doeleinden

• Wettelijke (of andere) verplichting (‘compliance’)

• Veiligheidsmaatregel

• Zakelijke toepassingen

• Transactielogs

• Kwaliteitscontrole (software debugging)

• Bewijsdoeleinden

2

Logging: wettelijke grondslag

Logging als recht

• Principe: vrij recht om logs te creëren

• Geen geconsolideerde wetgeving

• Soms een wettelijke taak om logging te voorzien

(recht/plicht)

Logging als plicht

• Geen geconsolideerde wetgeving

• Wet Verwerking Persoonsgegevens

Artikel 16 WVP

Verwerkingsvoorwaarde

• Diverse wetgeving

Rijksregister

E-Health

Apotheekwetgeving 3

Logging als recht

Principe: vrij beslissingsrecht met betrekking tot

logging

• Al dan niet implementeren van logging

• Omvang van de logactiviteit

Wettelijke beperkingen

• WVP bij verwerking van persoonsgegevens (logging

als verwerking met een eigen finaliteit)

• Communicatierecht

Soms wettelijke verplichting tot het houden van een

log

4

Logging als recht: eHealth

Opdracht eHealth-platform (art. 5 Wet eHealth-

Platform)

• het concipiëren, beheren, ontwikkelen en in

standaardvorm, gratis ter beschikking stellen van een

samenwerkingsplatform voor de veilige elektronische

gegevensuitwisseling, met inbegrip van een systeem

voor de organisatie en logging van de elektronische

gegevensuitwisseling, en een systeem voor de

elektronische toegang tot de gegevens

Geen nadere uitwerking in de wettelijke bepalingen

• Voorwaardelijke beperking via andere wetgeving

5

Logging als recht: beperkingen

WVP

Beperkingen m.b.t. de verwerking van

persoonsgegevens

• Ruime wettelijke interpretatie van het begrip

‘persoonsgegeven’

• Niet noodzakelijk gevoelig (maar er gelden wel striktere

regels voor bijzondere categorieën van

persoonsgegevens)

• Ruime interpretatie van het begrip ‘identificeerbaar’

• Ruime interpretatie van het begrip ‘verwerking’

• Elke manipulatie van persoonsgegevens (dus m.i.v.

logging)

6

Logging als recht: beperkingen

WVP

Rechtmatigheidsbeginselen

• Proportionaliteitsbeginsel

• Finaliteitsbeginsel

• Verdere verwerking?

• Tijdsbeperking

• (Individuele en collectieve) transparantie

• Datakwaliteit

• Beveiligingsplicht

7

Logging als plicht

Afwijking van het vrije beslissingsrecht inzake

logging

• Wettelijke (eventueel regelgevende of contractuele)

plicht tot logging

Wettelijke bepalingen zijn niet altijd nauwkeurig

• Beveiligingsplicht bij het verwerken van

persoonsgegevens (logging als veiligheidsmaatregel

zonder eigen finaliteit)

8

Logging als plicht:

verplichtingen WVP

Veiligheidsplicht

• Algemene verplichtingen

• Bijzondere verplichtingen

• Verplichtingen met betrekking tot het gebruik van

verwerkers

CBPL heeft een lijst met referentiemaatregelen

uitgevaardigd

• Punt 7: Logging, opsporing en analyse van toegang

Bijzondere voorwaarde bij machtiging Sectoraal

Comité

• Omschrijving in de beslissing9

Logging als plicht:

verplichtingen WVP

Algemene beveiligingsplicht

• Technische maatregelen

• Logische toegangsbeperkingen

• Technische beveiliging (anti-virus, firewall, …)

• Fysieke toegangsbeperkingen

• Organisatorische maatregelen

• Dataclassificatie

• Policies

Log policies

10

Logging als plicht:

verplichtingen WVP

Algemene beveiligingsplicht

• Types van maatregelen zijn onderling inwisselbaar

• Bescherming tegen elke vorm van onwettige

verwerking

• Gepaste veiligheidsmaatregelen (‘passend

beveiligingsniveau’):

• Stand van de techniek en de kosten;

• Aard van de te beveiligen gegevens en de potentiële

risico’s

Logging wordt uitdrukkelijk vermeld in de

referentiemaatregelen

11

Logging als plicht:

verplichtingen WVP

(Relevante) Specifieke veiligheidsmaatregelen

• Verplichting inzake datakwaliteit

• Dubbele ‘need-to-know’ toegangsbeperking

• Toegangsbeperking op het niveau van de personen

• Toegangsbeperking op het niveau van de

persoonsgegevens

• Rol voor logging

Specifieke bepalingen onder de Wet eHealth-

Platform

12

Logging als plicht: toegang en

gebruik

Toegang tot logs

• Toegangsrecht

• Wettelijke bepalingen?

• Policies

• Beperkingen inzake verwerking persoonsgegevens

• Beperkingen inzake communicatierecht

Gebruik van een log

• Wettelijke beperkingen

• Bewijswaarde van een log

13

Logging: bewaring van logs

Bewaring van logs

• Wettelijke bepaling

• Bepaling van termijn en/of vorm

• Geen uniforme benadering

• Geen wettelijke bepaling

• In beginsel vrije keuze

• Wettelijke beperkingen (b.v. WVP)

• Goede praktijk: kijken naar verjaringstermijn

14

Logs als bewijs

Toelaatbaarheid en bewijswaarde

• Aard van het te leveren bewijs (‘rechtsfeit’ vs‘rechtshandeling’)

• Wettelijk

• Onwettig bewijs

• Onwettig verkregen bewijs

• Bewijskracht en bewijswaarde

• Gewicht van het bewijs

• Potentieel beïnvloed door de betrouwbaarheid

Proces van bewijsvergaring

Inherente (on)betrouwbaarheid?

• Afwijking bij overeenkomst?

15

Logs als bewijs

“Antigoon”-rechtspraak

• Onwettig verkregen bewijs niet langer als

automatisme verwerpen

Bewijs wordt weerhouden, behalve:

• Nietigheid voorgeschreven door of krachtens een

wettelijke bepaling

• Onfair proces

• Impact op de betrouwbaarheid

Nota: de rechtspraak inzake Antigoon is in

beweging

16

Logs als bewijs

Algemene regels

• Garandeer de integriteit en betrouwbaarheid van de

logs procesmatig

• Implementeer en controleer policies rond logging

Praktisch

• Indien mogelijk, leg de bewijswaarde contractueel

vast

• Organiseer de bewijsvergaring op een secure manier

17

Bedankt voor uw aandacht!

Vragen?

18