NETWERK VOOR DE INNOVATIEVE INFORMATIEWERKER
Ik kreeg de vraag vanuit een project hoe lang de logging van een bepaald programma bewaard moet worden. Het ging daarbij om de logging data zelf. Op basis van de selectielijst kwam ik uit op 4.1 Evaluatie uitvoeren. Procesresultaat uitgevoerd. Bewaartermijn 10 jaar.
Onze CISO vindt deze bewaartermijn veel te lang. Op basis van de Baseline Informatieveiligheid Gemeenten geeft hij 15 maanden aan en 3 jaar in het geval van een beveiligingsincident. In paragraaf 10.10.3 van de tactische baseline wordt aangegeven dat logbestanden minimaal 3 maanden beschikbaar moeten zijn en in het geval van een beveiligingsincident 3 jaar.
De selectielijst schoot voor mij in deze tekort. Deze voorziet alleen in een bewaartermijn van de rapportages die gemaakt worden van logbestanden. Daarop is categorie 4.1 van toepassing. De vraag ging echter over de logging data zelf.
Hoe gaan jullie in jullie organisatie om met dit soort vragen? Welke bewaartermijn adviseren jullie?
In de bijlagen heb ik de twee passages van de BIG toegevoegd.
Tags:
Belangrijk aandachtspunt, Marieke, dankjewel.
De selectielijst zal sowieso door ontwikkeld moeten worden op het gebied van data. Data zijn de nieuwe documenten.
Wij hanteren voor logging altijd categorie 19.1 (gegevens administreren), dus dan kom je op een termijn van 5 jaar. Daarmee zou je jullie CISO al een heel eind tegemoet komen.
Weet iemand toevallig waarom die termijn uit de BIG niet over is genomen in de selectielijst?
Voor de zekerheid plaats ik ook het antwoord van VHIC:
Er wordt gepraat over MINIMAAL 3 maanden en MINIMAAL 3 jaar. Loggin-gegevens vallen in de huidige werking van de selectielijst inderdaad onder 19.1 zoals Wouter al zegt. Dat zou 5 jaar betekenen waarmee je dus ruim voldoet aan de BIG. De rapporten die onder BIG 10-10 worden opgesteld, vallen onder 4.1 en daarmee V 10 jaar.
Daarbij plaats ik wel een paar aantekeningen: ten eerste is de BIG een richtlijn c.q. standaard en geen wet. Het is dus geen wettelijke eis. Ten tweede lijkt het 5 jaar bewaren van alle loggin-gegens wat aan de lange kant. Dit zal worden opgenomen als punt van aandacht bij de actualisatie van de selectielijst.
De handreiking Dataclassificatie van de IBD (m.n. pag. 13, 14, 16) maakt bij aanwezigheid van persoonsgegevens onderscheid in bewaartermijnen naar mate van vertrouwelijkheid van gegevens.
Met als nadere aanwijzingen:
Dus bij toepassing van categorie 19.1 en dus 5 jaar bewaren zou je meestal te lang bewaren en soms te kort bewaren.
Het lijkt mij overigens nog lastig om in logginggegevens het onderscheid te maken tussen de verschillend geklasseerde gegevens met verschillende bewaartermijnen.
Dank voor het delen van het document.
Mijn verwachting is dat de handreiking dataclassificatie nog geharmoniseerd moet worden met de vastgestelde selectielijst. Op dit moment heeft de handreiking geen formele status, de selectielijst wel.
Klopt. Ik verwacht op korte termijn nog geen aanpassingen van de selectielijst. We kunnen voorlopig dus gewoon de 5 jaar aanhouden is dan de conclusie.
Mede door jouw attente opmerking Marieke, is de tekst van de handreiking aangepast.
Toevoegen van de verwijzing naar de bewaartermijnen van de Selectielijst gemeentelijke en intergemeentelijke organen 2017, bij bewaartermijnen waar nodig het woord “minimaal” toegevoegd.
Zie laatste bijgevoegde versie.
Komende tijd gaan we bekijken, maar dat zal op zijn vroegst pas vierde kwartaal 2018 zijn, hoe we de gemeentelijke selectielijst op dit punt kunnen aanpassen.
© 2024 Gemaakt door Marco Klerks. Verzorgd door