Home » Firewall logging
17 juli 2023

Firewall logging

Beste Zaalberg,

Is er ook een wettelijke bewaartermijn voor firewall logging voor gemeenten; welke applicatie/website door welke gebruiker is gebruikt/bezocht?

Antwoord: 

Er zijn geen wettelijk voorgeschreven bewaartermijnen voor login-gegevens van gebruikers. Al heeft de minister wel een bewaartermijn vastgesteld voor logbestanden van 5 jaar voor medische gegevens (Besluit elektronische gegevensverwerking door zorgaanbieders), maar dit is dus niet geheel van toepassing op gemeenten.

De standaardtermijn voor loggegevens van Office365 is dan weer een jaar.

In het kader van de informatieveiligheid wordt voor gemeenten met name gewezen naar de Baseline Informatieveiligheid overheid (BIO). In paragraaf 12.4 wordt gesproken over het vastleggen van gebeurtenissen en het verzamelen van bewijzen.

Onder 12.4.1 staat:

Gebeurtenissen registreren Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.

Onder 12.4.2.3 staat:

Er is een (onafhankelijke) interne audit procedure die minimaal half jaarlijks toetst op het ongewijzigd bestaan van logbestanden.

Dit laatste leidt tot de conclusie dat de bestanden minimaal 6 maanden bewaard moeten worden, al heeft de Baseline Informatiebeveiliging Gemeenten (BIG) het over 3 maanden.

Er is echter een reden om logbestanden langer te bewaren:

Er zijn voorbeelden bekend dat organisatie waren gehackt. Aan de hand van de logbestanden kon men nagaan dat de hackers al een tijdje in het systeem zaten. In een voorbeeld wordt gesproken over 7 maanden, maar er is ook een voorbeeld van 9 jaar.

Informatiebeveiligers willen dus logbestanden zo lang mogelijk bewaren. Dat is echter in tegenstrijd met de Algemene Verordening Gegevensbescherming. Bezoekers van websites bijvoorbeeld zijn persoonsgegevens waarvan de behoefte om die te bewaren vanuit informatieveiligheid zeer gering is. Deze moeten dus eerder worden verwijderd dan inzages in medische dossiers.

De Informatiebeveiligingsdienst (IBD) voor gemeenten maakt de bewaartermijn voor logging afhankelijk van de vertrouwelijkheidsclassificatie van het desbetreffende systeem, van een halfjaar voor bedrijfsvertrouwelijke informatie tot zeven jaar voor geheime informatie.

Bovenstaande maakt duidelijk dat er geen uniforme bewaartermijn is voor loggegevens/bestanden. De bewaartermijn van loggegevens zal altijd afhankelijk zijn van de soort gegevens waar de logbestanden bij horen. Standaard wordt een minimale termijn van 6 maanden gehanteerd, maar die termijn is niet standaard op alle gegevens van toepassing. U zult dus moeten bepalen waar de logbestanden over gaan en dan een passende bewaartermijn op toepassen.

Terug naar overzicht