Bewaartermijn logging data

Ik kreeg de vraag vanuit een project hoe lang de logging van een bepaald programma bewaard moet worden. Het ging daarbij om de logging data zelf. Op basis van de selectielijst kwam ik uit op 4.1 Evaluatie uitvoeren. Procesresultaat uitgevoerd. Bewaartermijn 10 jaar.


Onze CISO vindt deze bewaartermijn veel te lang. Op basis van de Baseline Informatieveiligheid Gemeenten geeft hij 15 maanden aan en 3 jaar in het geval van een beveiligingsincident. In paragraaf 10.10.3 van de tactische baseline wordt aangegeven dat logbestanden minimaal 3 maanden beschikbaar moeten zijn en in het geval van een beveiligingsincident 3 jaar.


De selectielijst schoot voor mij in deze tekort. Deze voorziet alleen in een bewaartermijn van de rapportages die gemaakt worden van logbestanden. Daarop is categorie 4.1 van toepassing. De vraag ging echter over de logging data zelf.

Hoe gaan jullie in jullie organisatie om met dit soort vragen? Welke bewaartermijn adviseren jullie?

In de bijlagen heb ik de twee passages van de BIG toegevoegd.

Weergaven: 2196

Bijlagen:

Hierop reageren

Berichten in deze discussie

Permalink Antwoord van Yvonne Welings op 26 Maart 2018 op 11.31

Belangrijk aandachtspunt,  Marieke, dankjewel.

De selectielijst zal sowieso door ontwikkeld moeten worden op het gebied van data. Data zijn de nieuwe documenten.

Permalink Antwoord van Rens op 26 Maart 2018 op 12.21

Wij hanteren voor logging altijd categorie 19.1 (gegevens administreren), dus dan kom je op een termijn van 5 jaar. Daarmee zou je jullie CISO al een heel eind tegemoet komen.


Weet iemand toevallig waarom die termijn uit de BIG niet over is genomen in de selectielijst?

Permalink Antwoord van Yvonne Welings op 27 Maart 2018 op 12.08

Voor de zekerheid plaats ik ook het antwoord van VHIC:

Er wordt gepraat over MINIMAAL 3 maanden en MINIMAAL 3 jaar. Loggin-gegevens vallen in de huidige werking van de selectielijst inderdaad onder 19.1 zoals Wouter al zegt. Dat zou 5 jaar betekenen waarmee je dus ruim voldoet aan de BIG. De rapporten die onder BIG 10-10 worden opgesteld, vallen onder 4.1 en daarmee V 10 jaar.
Daarbij plaats ik wel een paar aantekeningen: ten eerste is de BIG een richtlijn c.q. standaard en geen wet. Het is dus geen wettelijke eis. Ten tweede lijkt het 5 jaar bewaren van alle loggin-gegens wat aan de lange kant. Dit zal worden opgenomen als punt van aandacht bij de actualisatie van de selectielijst.

Permalink Antwoord van Maria Willems op 29 Maart 2018 op 8.41

De handreiking Dataclassificatie van de IBD (m.n. pag. 13, 14, 16) maakt bij aanwezigheid van persoonsgegevens onderscheid in bewaartermijnen naar mate van vertrouwelijkheid van gegevens.

  • Alle soorten loggings: (inderdaad) minimaal 3 maanden

Met als nadere aanwijzingen:

  • Bedrijfsvertrouwelijke: monitoringgegevens half jaar bewaren
    • Bij bewaren langer dan 6 maanden moet melding gedaan worden bij de functionaris gegevensbescherming of het agentschap BPR.
  • Vertrouwelijk: monitoringgegevens twee jaar bewaren.
    • Bij een vermoed beveiligingsincident, de specifieke gegevens 5 jaar bewaren.
  • Geheim: monitoringgegevens 7 jaar bewaren

Dus bij toepassing van categorie 19.1 en dus 5 jaar bewaren zou je meestal te lang bewaren en soms te kort bewaren.

Het lijkt mij overigens nog lastig om in logginggegevens het onderscheid te maken tussen de verschillend geklasseerde gegevens met verschillende bewaartermijnen.

Permalink Antwoord van Yvonne Welings op 29 Maart 2018 op 9.22

Dank voor het delen van het document.

Mijn verwachting is dat de handreiking dataclassificatie nog geharmoniseerd moet worden met de vastgestelde selectielijst. Op dit moment heeft de handreiking geen formele status, de selectielijst wel.

Permalink Antwoord van Maria Willems op 29 Maart 2018 op 10.07

Klopt. Ik verwacht op korte termijn nog geen aanpassingen van de selectielijst. We kunnen voorlopig dus gewoon de 5 jaar aanhouden is dan de conclusie.

Permalink Antwoord van Yvonne Welings op 16 April 2018 op 14.47

Mede door jouw attente opmerking Marieke, is de tekst van de handreiking aangepast.

Toevoegen van de verwijzing naar de bewaartermijnen van de Selectielijst gemeentelijke en intergemeentelijke organen 2017, bij bewaartermijnen waar nodig het woord “minimaal” toegevoegd.

Zie laatste bijgevoegde versie.

Komende tijd gaan we bekijken, maar dat zal op zijn vroegst pas vierde kwartaal 2018 zijn, hoe we de gemeentelijke selectielijst op dit punt kunnen aanpassen.

18-0412-handreiking-dataclassificatie-1-7-1.docx

Antwoorden op discussie

RSS

Partner(s)

Sponsor(s)

http://www.elveo.nl

Direct naar...

Vind BREED!

- Twitter

- LinkedIn

- RSS: alle activiteiten

- RSS: nieuwe discussies

- RSS: nieuwe blogs

- E-mail