Kort svar
Logging er nødvendig i mange systemer, men bør være styrt av formål, tilgang og oppbevaring. Ellers blir kontrollmekanismen raskt et personvernproblem i seg selv.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hva loggingen faktisk skal brukes til, hvem som får tilgang til loggene og hvor lenge de beholdes og hvordan virksomheten informerer og dokumenterer opplegget.
Når dette blir aktuelt
- når virksomheten innfører nye systemer eller overvåkingsverktøy
- når IT ønsker mer detaljerte logger for sikkerhet og feilsøking
- når ansatte eller kunder kan spores gjennom bruksmønster og aktivitet
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hva loggingen faktisk skal brukes til | avgjør hvor detaljert og omfattende den bør være |
| Hvem som får tilgang til loggene og hvor lenge de beholdes | er viktig for å begrense misbruk |
| Hvordan virksomheten informerer og dokumenterer opplegget | reduserer risikoen for uklar praksis og interne konflikter |
Slik bør dere gå fram
- Beskriv formålene med logging før dere bestemmer nivå og innhold.
- Avgrens hvilke opplysninger som faktisk er nødvendige for sikkerhet eller drift.
- Sett klare regler for tilgang, uttrekk og oppbevaring av loggdata.
- Informer berørte og dokumenter vurderingene i personvern- og sikkerhetsrutiner.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- systembeskrivelse og formål med loggingen
- tilgangsmatrise og oppbevaringsregler for loggdata
- vurdering av personvernkonsekvenser og eventuelle kontrolltiltak
- informasjon til ansatte eller brukere om loggføringen
Typiske feil
- logging blir stående på maks uten at noen vurderer behovet
- tilgang til logger gis for bredt fordi det er praktisk
- ingen vet hvor lenge loggene faktisk lagres eller hvordan de brukes i kontrollsaker
Når bør dere få konkret hjelp?
Når logger brukes til både sikkerhet, drift og kontroll av personer, bør opplegget kvalitetssikres før praksisen setter seg.
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på logging og kontroll i it-systemer i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med formål, datatyper, tilgang, leverandører og sletterutiner, og fordel deretter oppgavene mellom systemeier, ledelse og den som eier kundereisen eller HR-prosessen. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for for brede datainnsamlinger, uklare leverandørroller og svak håndtering av innsyn eller brudd.
Spørsmål som gir bedre avklaring
- Hvilke personopplysninger behandles, og hvilket konkret formål støtter de?
- Hvem bestemmer bruken av opplysningene, og hvem behandler dem på vegne av bedriften?
- Hvilke systemer, leverandører og tilganger må inngå i vurderingen?
- Hva sier rutinen om informasjon, innsyn, sletting og avvik?
- Hvilke valg bør dokumenteres slik at de kan forklares ved kontroll eller spørsmål?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Formål | hvorfor opplysningene brukes, og om bruken er nødvendig |
| Roller | hvem som bestemmer behandlingen, og hvem som leverer systemer eller tjenester |
| Kontroll | hvordan tilgang, sletting, innsyn og avvik følges opp i praksis |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Relaterte guider
- Backup, logg og arkiv: hvordan passer det med sletterutiner?
- Dataminimering: hvordan rydde i skjemaer og systemer?
- Innebygd personvern når du kjøper eller bygger systemer