Lov, logging, lagring og lengde – Logging som sikkerhetstiltak etter GDPR
Ifølge GDPR artikkel 32 er det påkrevd å ha tilstrekkelige tekniske og organisatoriske tiltak for å sikre et passende sikkerhetsnivå ved behandling av personopplysninger. Logging er en essensiell del av disse tiltakene. Et spørsmål vi ofte møter som advokater er hvilke logger man må ha som virksomhet og hvor lenge man kan eller plikter å lagre slike logger.
Logging i IT-sammenheng refererer til prosessen med å registrere og lagre detaljer om hendelser og aktiviteter i et system. Dette kan inkludere informasjon om hvem som har utført hvilke handlinger, når, og hvordan. Logging er kritisk for å sikre sporbarhet og overvåking av systemers integritet og konfidensialitet. I denne artikkelen vil vi bruke begrepet logging om det å registrere hendelser og aktiviteter som skjer i et datanettverk eller ved bruk en it-tjeneste eller et informasjonssystem med det formål å kunne finne tilbake til hvilken bruker som stod bak den enkelte aktivitet/hendelse. Dette formålet betegnes også ofte som sporing. Hendelser inkluderer alt fra pålogging og avlogging av brukere til endringer i systeminnstillinger og forsøk på uautorisert tilgang og benevnes ofte som aktivitets- og hendelseslogger.
Logging er viktig fordi det gir virksomheter mulighet til å:
Spore og undersøke mistenkelige aktiviteter.
Overvåke systemytelse og identifisere feil.
Overholde lovpålagte krav til sikkerhet og databeskyttelse.
Tilby dokumentasjon i tilfelle juridiske tvister eller etterforskninger.
I denne artikkelen vil vi se nærmere på de rettslige rammene for logging og lagringstid etter GDPR.
Behandling av personopplysninger
Fordi formålet med slike logger (også) er å kunne følge med på hvem som har gjort hva og når, vil det å logge innebære behandling av personopplysninger med den følge at personvernprinsippene og personvernregelverket gjelder. Vi vil særlig se på hvordan prinsippet om lovlighet treffer logging ved å se nærmere på kravet til behandlingsgrunnlag og hvilke rammer prinsippet om lagringsbegrensning setter for oppbevaring av logger. Vi vil også se på noen konkrete forslag til lagringsfrister som finnes i lovgivning og i veiledning fra offentlige myndigheter.
Logger for andre formål enn sporing og tilgangsstyring kan også innebære behandling av personopplysninger slik at etterlevelse av personvernprinsippene er tilsvarende aktuelt. Vi vil imidlertid ikke berøre dette i denne artikkelen.
Et spørsmål vi ofte møter som advokater er hvilke logger man må ha som virksomhet og hvor lenge man kan eller plikter å lagre slike logger.
Krav til logging
Noen sektorer har i dag særlovgivning som setter tydelige rammer for at logging skal skje og hvor lenge loggene skal lagres. Disse har dermed behandlingsgrunnlag i en rettslig forpliktelse etter GDPR artikkel 6 nr. 1 bokstav c. Andre virksomheter er prisgitt de generelle reglene i GDPR.
Det er vanlig praksis å basere logging på artikkel 6 nr. 1 bokstav f (berettiget interesse), med en henvisning til forpliktelsen til å sikre personopplysninger etter artikkel 32 og fortalepunkt 49(1)Behandling av personopplysninger i det omfang som er strengt nødvendig og forholdsmessig for å sikre nett- og informasjonssikkerheten, det vil si et netts eller informasjonssystems evne til, på et bestemt sikkerhetsnivå, å stå imot utilsiktede hendelser eller ulovlige eller skadelige handlinger som svekker tilgjengeligheten, autentisiteten, integriteten og konfidensialiteten til lagrede eller overførte personopplysninger, samt sikkerheten i beslektede tjenester som tilbys av eller er gjort tilgjengelige via nevnte nett og systemer, av offentlige myndigheter, enheter for IT-beredskap (CERT), enheter for IT-sikkerhetshendelser (CSIRT), leverandører av elektroniske kommunikasjonsnett og -tjenester og leverandører av sikkerhetsteknologier og -tjenester, utgjør en berettiget interesse for den berørte behandlingsansvarlige. Dette kan f.eks. omfatte å hindre ulovlig tilgang til elektroniske kommunikasjonsnett og spredning av skadelige koder og å stoppe «tjenestenektangrep» og skade på datasystemer og elektroniske kommunikasjonssystemer der lovgiver uttaler at sikkerhetsovervåking kan utgjøre en berettiget interesse.
Logging er et grunnleggende informasjonssikkerhetstiltak som skal være iverksatt, se for eksempel Datatilsynets overtredelsesgebyr til Østre Toten kommune.(2)Datatilsynets referanse 21/00480-14 Det følger også av NSMs grunnprinsipper for IKT-sikkerhet(3)NSMs grunnprinsipper for IKT-sikkerhet, pkt. 3.2.4. at sikkerhetsovervåking (logging) er et grunnleggende sikkerhetstiltak som skal være på plass. En vurdering av berettiget interesse med vekting av nødvendighet og den avsluttende balansetesten kan dermed fremstå som overflødig når resultatet uansett er at logging skal skje.
GDPR artikkel 32 krever at virksomheter innfører passende tekniske og organisatoriske tiltak, for eksempel pseudonymisering og kryptering, samt evnen til å sikre konfidensialitet, integritet og tilgjengelighet av systemer og tjenester. Det kreves også at virksomheter kan gjenopprette tilgjengeligheten av personopplysninger i tilfelle fysiske eller tekniske hendelser. Logging er ikke nevnt eksplisitt i artikkel 32, men er en grunnleggende forutsetning for å oppfylle kravene til personopplysningssikkerhet. Logging er dessuten nevnt som et grunnleggende sikkerhetstiltak i NSMs grunnprinsipper for informasjonssikkerhet, samt påkrevd etter en rekke særlover, herunder helseregisterloven, pasientjournalloven og hvitvaskingsloven.
Det er et bærende prinsipp i personvernretten at personopplysninger kun skal gjøres tilgjengelig for dem som har tjenstlig behov. Dette følger av grunnprinsippet om informasjonssikkerhet og kravet til konfidensialitet nedfelt i personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32 som stiller krav om at den behandlingsansvarlige gjennomfører tekniske og organisatoriske tiltak for å oppnå et egnet sikkerhetsnivå ved behandlingen av personopplysninger. Hvilket sikkerhetsnivå og hvilke tiltak som må gjennomføres må vurderes ut fra risikoen ved behandlingen, jf. bestemmelsens andre ledd. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
Tilgang til personopplysninger skal styres av den ansattes arbeidsoppgaver og hvorvidt tilgang til personopplysningene er nødvendig for å utføre disse arbeidsoppgavene. Med dette følger også et behov for å kunne verifisere hvorvidt det forelå et tjenstlig behov eller hvorvidt personopplysninger er aksessert eller forsøkt aksessert uten at det et slikt behov forelå. I og med at logger kan identifisere og bidra til å spore mistenkelig aktiviteter og gjør det mulig å fastslå hvem som har utført bestemte handlinger eller endringer, vil logging og sporing være nødvendig for å opprettholde et egnet sikkerhetsnivå og oppfylle artikkel 32.
Personopplysningsforskriften(4)FOR-2000-12-15-1265 (opphevet) som var gjeldende før vedtakelse av personvernforordningen ga den behandlingsansvarlige betydelig bedre veiledning hva gjaldt både krav til innholdet i internkontrollen og overordnete føringer på etterlevelse av krav til informasjonssikkerheten. Da personvernforordningen trådte i kraft, ble det nasjonale spillerommet for å gi detaljerte bestemmelser innskrenket. Det følger imidlertid av forarbeidene at det til tross for mindre detaljering av regelverket, likevel ble ansett som åpenbart at det måtte foreligge et system for internkontroll og informasjonssikkerhet med visse elementer på plass. Den nå opphevede forskriften påla(5)Personopplysningsforskriften § 2-8 og § 2-14. den behandlingsansvarlig å registrere (logge) både autorisert og forsøk på uautorisert bruk av informasjonssystemet, hvilket tyder på at lovgiver mener at logging er et nødvendig element for å etablere tilfredsstillende informasjonssikkerhet.
Argumenter for og mot artikkel 32 som supplerende rettsgrunnlag
Som nevnt i forrige punkt er logging et grunnleggende informasjonssikkerhetstiltak som skal være iverksatt, og en vurdering av berettiget interesse kan dermed fremstå som overflødig når resultatet uansett er at logging skal skje. Man kan derfor spørre seg om artikkel 32 i seg selv kan være behandlingsgrunnlag for logging som en rettslig forpliktelse etter artikkel 6 nr. 1 bokstav c.
På den ene siden kan man argumentere for at artikkel 32 er en skjønnsmessig bestemmelse som tilsier at informasjonssikkerhetsnivået skal endres i takt med risikoen ved behandlingen, og at det derfor er vanskelig å si at bestemmelsen i seg selv etablerer et behandlingsgrunnlag. Det kan derfor være riktigere å hjemle den behandlingen av personopplysninger som skjer ved logging og sporing i artikkel 6 nr. 1 bokstav f) – berettiget interesse, der oppfyllelse av artikkel 32 vil være et vektig argument inn i interesseavveiningen. Dette utgangspunktet finner vi støtte for i fortalens punkt 49, som nedfeller at behandling av personopplysninger for å sikre informasjonssikkerheten anses som en berettiget interesse. Dette hadde selvsagt vært enklere om lovgiver kunne beholdt reguleringen i den tidligere personopplysningsforskriften, men nå må den behandlingsansvarlige altså selv dokumentere vurderingen av den berettigete interessen i dette tilfellet. Med tanke på tidligere regulering, artikkel 32 og fortalens (49) burde dokumentasjonen kunne gjøres relativ enkel. Når loggingen er basert på artikkel 6 nr. 1 bokstav f kan den registrerte også protestere etter artikkel 21. Såfremt den behandlingsansvarlige har gjort en god vurdering av dataminimering og formålsbegrensning i loggingen er det imidlertid ikke gitt at protesten skal tas til følge. I lys av momentene vi har listet opp så langt i denne artikkelen har den behandlingsansvarlige gode argumenter for at logging oppfyller kravet til «tvingende berettigede grunner» i artikkel 21 og at logging derfor uansett skal skje.
Dersom artikkel 32 skal kunne brukes som et selvstendig behandlingsgrunnlag er det mest nærliggende å anse den som en rettslig forpliktelse etter artikkel 6 nr. 1 bokstav c.
Rammene for hva som kan utgjøre en rettslig forpliktelse etter bokstav c følger av artikkel 6 nr. 3. Bestemmelsen viderefører i stor grad den tilsvarende bestemmelsen i personverndirektivet artikkel 6 bokstav c og personopplysningsloven 2000 § 8 første ledd bokstav b. En forskjell er imidlertid at GDPR krever at den aktuelle rettslige forpliktelsen skal være hjemlet i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt.
Ifølge nr. 3 må formålet med behandlingen følge av det supplerende rettsgrunnlaget, men det kreves ikke at behandlingen av personopplysninger er regulert eksplisitt. Det er her tilstrekkelig at behandling av personopplysninger er en forutsetning for å oppfylle formålene som er fastsatt i lov, forskrift eller vedtak.(6)Skullerud mfl., Personvernforordningen. Lovkommentar, Artikkel 6. Behandlingens lovlighet, Juridika (kopiert 27. mai 2024) Samtidig er det viktig å ha med seg at legalitetsprinsippet og rettspraksis knyttet til EMK artikkel 8 innebærer at jo mer inngripende en behandling av personopplysninger er, jo klarere supplerende rettsgrunnlag kreves.
Det følger av forordningen at formålet med behandlingen skal være fastsatt i det supplerende rettsgrunnlaget. Samtidig fremgår det at det nasjonale rettsgrunnlaget kan inneholde spesifikke regler for å legge til rette for etterlevelse av bestemmelsene i personvernforordningen.(7)Ibid. Dette kan for eksempel være regler om hvilke opplysninger som kan behandles, hvem det kan behandles opplysninger om og hvor lenge opplysningene kan lagres.
Det finnes også eksempler på andre rettslige forpliktelser i GDPR som forutsetter behandling av personopplysninger: når den behandlingsansvarlige utleverer den registrertes personopplysninger etter innsynsretten i artikkel 15 og når man behandler en protest der den registrerte gjør gjeldende særlige forhold ved hens situasjon etter artikkel 21. GDPR er altså i seg selv ikke til hinder for en slik løsning, og inneholder tvert imot flere plikter for den behandlingsansvarlige som forutsetter behandling av personopplysninger.
Ordlyden i GDPR artikkel 32 nr. 1 ser slik ut:
Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet, alt etter hva som er egnet,
pseudonymisering og kryptering av personopplysninger,
evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene,
evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse,
en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er
(Vår utheving)
Bestemmelsen er inntatt i norsk rett gjennom personopplysningsloven, fastsetter formålet «oppnå et sikkerhetsnivå som er egnet» og inneholder spesifikke regler for å sikre etterlevelse av bestemmelsene i forordningen (eksemplene på tiltak i bokstav a–f). Dette oppfyller kravene til supplerende rettsgrunnlag i GDPR artikkel 6 nr. 3.
Et relevant spørsmål er hvor inngripende logging artikkel 32 kan hjemle i seg selv. Ordlyden er generell og tar ikke innover seg spesielle hensyn som kan gjøre seg gjeldende i ulike sektorer og ved logging i arbeidsforhold. Vi mener imidlertid uansett at artikkel 32 kan brukes som supplerende rettsgrunnlag for det NSM beskriver som minimumstiltak i prinsippene for IKT-sikkerhet(8)NSMs grunnprinsipper for IKT-sikkerhet, pkt. 3.2.4., da dette er tiltak som alltid skal være iverksatt. Disse minimumstiltakene er logging av:
data relatert til tilgangskontroll (vellykkede og mislykkede pålogginger) på enheter og tjenester og
administrasjons- og sikkerhetslogger fra enheter og tjenester i IKT-systemene. For klienter bør man i tillegg som minimum registrere
forsøk på kjøring av ukjent programvare (ref. 2.3.2) og
forsøk på å få forhøyede systemrettigheter («privilege escalation»).
Dersom loggingen vil være særlig inngripende ved at den for eksempel registrerer særlige kategorier av personopplysninger kan man diskutere hvor langt hjemmelen rekker. Vi mener på bakgrunn av dette at artikkel 32 ikke kan være prinsipielt utelukket som behandlingsgrunnlag for sikkerhetstiltak og at man som behandlingsansvarlig tvert imot kan vise til artikkel 32 som rettslig forpliktelse for «vanlig» sikkerhetslogging.
Vi mener imidlertid uansett at artikkel 32 kan brukes som supplerende rettsgrunnlag for det NSM beskriver som minimumstiltak i prinsippene for IKT-sikkerhet, da dette er tiltak som alltid skal være iverksatt.
Krav til lagringstid
Enten loggingen er basert på artikkel 6 nr. 1 bokstav c, jf. artikkel 32 eller en vurdering av berettiget interesse etter bokstav f inneholder ikke GDPR konkrete tidsfrister for hvor lenge logger skal lagres, men artikkel 5 nr. 1 e) fastsetter prinsippet om lagringsbegrensning. Dette prinsippet innebærer at personopplysninger ikke skal lagres lenger enn nødvendig for formålene de ble samlet inn for.
Den behandlingsansvarlige må derfor vurdere formålet med loggene og bestemme en passende lagringstid. Dette innebærer å ta hensyn til:
Formålet med loggingen.
Sensitiviteten av opplysningene.
Risikoen for den registrerte hvis loggene blir kompromittert.
Relevante lovkrav og bransjestandarder.
Tekniske og praktiske hensyn, inkludert lagringskapasitet og sletterutiner.
GDPRs generalitet gir fleksibilitet for den behandlingsansvarlige, men kan samtidig gjøre det arbeidskrevende og vanskelig å skulle lande en lagringstid for logger – både med og uten personopplysninger. Vi har derfor samlet noen kilder som kan si noe om dette, men vet samtidig av erfaring at det i store norske virksomheter er et vidt spenn i lagringstid: fra noen måneder til over ti år.
Nasjonal sikkerhetsmyndighet (NSM)anbefaler at logger generelt bør lagres i minst 1 år for å kunne avdekke og håndtere avvik.
Normen for informasjonssikkerhet og personvern i helse- og omsorgssektorenanbefaler at logger i helsesektoren lagres i minst 3 år for å ivareta krav til dokumentasjon og etterprøvbarhet.
Datatilsynet gir veiledning om at logger som inneholder personopplysninger ikke bør lagres lenger enn nødvendig for formålet de ble samlet inn for, og anbefaler at sensitive opplysninger lagres kortere enn mindre sensitive opplysninger.
Politiregisterloven krever at logger oppbevares i minst 1 år og maksimum 3 år
Verdipapirhandellovenkrever at logger som dokumenterer investeringstjenester oppbevares i minst 5 år.
Bokføringsloven krever at regnskapsmateriale oppbevares i enten 3 år og 6 måneder eller 5 år, avhengig av type materiale.
Hvitvaskingsloven krever at personopplysninger relatert til risikovurdering av hvitvasking og terrorfinansiering oppbevares i 5 år, med mulighet for forlengelse til 10 år.
Også her finner man god generell veiledning i den gamle personopplysningsforskriften som krevde at loggene minst skulle lagres i 3 måneder(9)Personopplysningsforskriften § 2-16. Det er viktig å ta med seg loggens formål i denne sammenheng; den skal muliggjøre sporing av uautoriserte oppslag mv. i personopplysninger. Lagringstiden bør da ikke være for restriktiv.
Avsluttende merknader
Logging er et grunnleggende sikkerhetstiltak som må være på plass for å sikre konfidensialitet, integritet og tilgjengelighet etter GDPR artikkel 32. Virksomheter må sørge for at de har effektive loggsystemer på plass som sikrer sporbarhet og beskyttelse av personopplysninger. Ved å følge prinsippet om dataminimering og overholde relevante lovkrav og bransjestandarder, kan virksomheter sikre at de logger og lagrer data på en måte som både ivaretar sikkerheten og respekterer personvernet til de registrerte.
For å sikre effektiv implementering av loggingspraksis bør virksomheter også regelmessig gjennomgå og oppdatere sine loggpolicyer, samt sørge for at ansatte er godt informert og trent i korrekt bruk av logging som et sikkerhetsverktøy. Dette inkluderer forståelse av relevant lovgivning, interne prosedyrer og beste praksis for å beskytte personopplysninger og sikre sporbarhet i informasjonssystemer.
Gode grunner taler for at man kan basere logging på artikkel 32 som en rettslig forpliktelse etter GDPR artikkel 6 nr. 1 bokstav c. Samtidig må man se hen til hva slags logging det er snakk om og hvor stort inngrep det utgjør i den registrertes rettigheter og friheter. Som behandlingsansvarlig har man uansett artikkel 6 nr. 1 bokstav f å falle tilbake på, jf. fortalepunkt 49.
Noter
- Behandling av personopplysninger i det omfang som er strengt nødvendig og forholdsmessig for å sikre nett- og informasjonssikkerheten, det vil si et netts eller informasjonssystems evne til, på et bestemt sikkerhetsnivå, å stå imot utilsiktede hendelser eller ulovlige eller skadelige handlinger som svekker tilgjengeligheten, autentisiteten, integriteten og konfidensialiteten til lagrede eller overførte personopplysninger, samt sikkerheten i beslektede tjenester som tilbys av eller er gjort tilgjengelige via nevnte nett og systemer, av offentlige myndigheter, enheter for IT-beredskap (CERT), enheter for IT-sikkerhetshendelser (CSIRT), leverandører av elektroniske kommunikasjonsnett og -tjenester og leverandører av sikkerhetsteknologier og -tjenester, utgjør en berettiget interesse for den berørte behandlingsansvarlige. Dette kan f.eks. omfatte å hindre ulovlig tilgang til elektroniske kommunikasjonsnett og spredning av skadelige koder og å stoppe «tjenestenektangrep» og skade på datasystemer og elektroniske kommunikasjonssystemer
- Datatilsynets referanse 21/00480-14
- NSMs grunnprinsipper for IKT-sikkerhet, pkt. 3.2.4.
- FOR-2000-12-15-1265 (opphevet)
- Personopplysningsforskriften § 2-8 og § 2-14.
- Skullerud mfl., Personvernforordningen. Lovkommentar, Artikkel 6. Behandlingens lovlighet, Juridika (kopiert 27. mai 2024)
- Ibid.
- NSMs grunnprinsipper for IKT-sikkerhet, pkt. 3.2.4.
- Personopplysningsforskriften § 2-16