Kort svar

Logging er nødvendig i mange systemer, men bør være styrt av formål, tilgang og oppbevaring. Ellers blir kontrollmekanismen raskt et personvernproblem i seg selv.

Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hva loggingen faktisk skal brukes til, hvem som får tilgang til loggene og hvor lenge de beholdes og hvordan virksomheten informerer og dokumenterer opplegget.

Når dette blir aktuelt

  • når virksomheten innfører nye systemer eller overvåkingsverktøy
  • når IT ønsker mer detaljerte logger for sikkerhet og feilsøking
  • når ansatte eller kunder kan spores gjennom bruksmønster og aktivitet

Det bedriften bør avklare først

SpørsmålHvorfor det betyr noe
Hva loggingen faktisk skal brukes tilavgjør hvor detaljert og omfattende den bør være
Hvem som får tilgang til loggene og hvor lenge de beholdeser viktig for å begrense misbruk
Hvordan virksomheten informerer og dokumenterer oppleggetreduserer risikoen for uklar praksis og interne konflikter

Slik bør dere gå fram

  1. Beskriv formålene med logging før dere bestemmer nivå og innhold.
  2. Avgrens hvilke opplysninger som faktisk er nødvendige for sikkerhet eller drift.
  3. Sett klare regler for tilgang, uttrekk og oppbevaring av loggdata.
  4. Informer berørte og dokumenter vurderingene i personvern- og sikkerhetsrutiner.

Dokumenter og spor som bør være på plass

I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.

  • systembeskrivelse og formål med loggingen
  • tilgangsmatrise og oppbevaringsregler for loggdata
  • vurdering av personvernkonsekvenser og eventuelle kontrolltiltak
  • informasjon til ansatte eller brukere om loggføringen

Typiske feil

  • logging blir stående på maks uten at noen vurderer behovet
  • tilgang til logger gis for bredt fordi det er praktisk
  • ingen vet hvor lenge loggene faktisk lagres eller hvordan de brukes i kontrollsaker

Når bør dere få konkret hjelp?

Når logger brukes til både sikkerhet, drift og kontroll av personer, bør opplegget kvalitetssikres før praksisen setter seg.

Relaterte guider

Offentlige kilder og videre lesning