Foranstaltning:

Logning af brugernes anvendelser af personoplysninger


Senest opdateret 7.11.23.

Hvilke risici adresseres?

Et af formålene med logning er at sikre mulighed for undersøgelse af tidligere indtrufne hændelser i it-systemer. Loggen kan fx vise hvad brugere har udført af handlinger i et it-system, men også hvad it-systemet har udført. Logs kan i nogle tilfælde også anvendes til at opdage igangværende hændelser og dermed evt. virke skadesbegrænsende ved, at uberettigede handlinger opdages og stoppes.  Hvis brugere er opmærksomme på, at deres anvendelse af personoplysninger i it-systemer logges og undersøges, kan det være med til at modvirke bevidst misbrug som fx snageri. Se også foranstaltningerne Stikprøver i logs over brugers anvendelser af personoplysninger og Awareness. Alt efter omstændighederne er der altså tale om:

  • en forebyggende foranstaltning, som kan mindske sandsynligheden for misbrug af adgangsrettigheder og,
  • en opdagende og korrigerende foranstaltning, hvis loggen anvendes aktivt i forbindelse med at opdage og standse en igangværende hændelse.

Hvilke tiltag kan overvejes?

It-systemer udvikles og opsættes, så de logger alle anvendelser af personoplysninger foretaget af brugere, herunder læsning, tilføjelse, søgning (evt. søgekriterium), ændring, udtræk og sletning – uanset hvordan anvendelsen af personoplysninger udføres af brugeren. Relevante it-systemer udvikles/tilrettes, så der er mulighed for denne logning.

It-systemerne udvikles til at kunne gemme logdata i et specifikt tidsrum, fx de sidste x måneder. Aktivering af automatisk sletning af logs er vigtigt af hensyn til dataminimeringsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c. Det er en konkret vurdering, hvor længe logdata skal opbevares.

Loggens opbevaringstid sættes efter formålet, så hvis en log skal kunne anvendes til at spore misbrug, kan det være passende at sætte opbevaringstiden efter, hvor ofte der foretages kontrol af adgangsrettigheder (se Periodisk kontrol af adgangsrettigheders aktualitet). Fund af fejl i disse rettigheder kan afstedkomme et behov for at gennemgå logs i minimum den periode, som er gået siden foregående kontrol, fordi det vil være den periode, hvor de forkerte rettigheder eksisterede og dermed kunne misbruges. Behov for at kunne undersøge for cyberangreb kan dog fordre længere opbevaringstid, og tilsvarende gælder for logs, som opbevares i forbindelse med undersøgelse af en konkret hændelse eller mistanke om misbrug.

Logs lagres et sted, hvor de er beskyttet ift. både fortrolighed, integritet og tilgængelighed. Der kan fx være etableret en log-server, som samler kopier af logs fra diverse it-systemer. Procedurer sikrer, at personer med privilegeret adgang til disse it-systemer ikke samtidig har adgang til log-serverens kopi af logs. Log-serveren beskyttes endvidere særligt imod cyberangreb, som kan ramme it-systemerne.

Det sikres, at det bliver muligt for den dataansvarlige at få logs udleveret fra databehandlere uden større besvær eller udgifter.

Der sikres tilgængelig vejledning i, hvordan logs tolkes, og tolkningen testes ved anvendelse af vejledningen. Dette kan fx ske ved en blindtest, hvor en person udfører/dokumenterer handlinger, og en anden anvender vejledningen til at tolke loggen, hvorefter de to personers opfattelse af, hvad der er sket, sammenholdes.

Loggen testes effektivt. Hvis der er flere metoder til at få vist data, så testes det, at dette logges, uanset hvilken metode der anvendes.

Logning aktiveres senest ved idriftsættelse af it-systemet.

Det kontrolleres, om der til stadighed logges som forventet, og at logdata gemmes længe nok og kan tolkes med den aktuelle vejledning eller et dertilhørende it-system. Det er altså en afprøvning af en etableret foranstaltning, jf. databeskyttelsesforordningens artikel 32, stk. 1, litra d. Kontrollen udføres ved systemændringer som en del af ændringsstyringen (Change Management), men også evt. ind i mellem, hvis der går lang tid mellem systemændringerne. Se foranstaltningen Ændringsstyring.

Loggen sættes om muligt op på en måde, som gør det muligt at målrette stikprøver af brugernes anvendelser af data med henblik på kontrol af anvendelse til arbejdsmæssigt formål. På den måde vil logningen understøtte stikprøvekontrollen, så stikprøver kan fokusere på anvendelser, som kan være i strid med interne retningslinjer eller udtryk for snageri.

Ved direkte fysisk adgang til registre med personoplysninger er loggen i det fysiske adgangssystem også omfattet af ovenstående tiltag.

Hvis logs skal have en præventiv effekt og dermed være en forebyggende foranstaltning, forudsætter det, at brugerne er blevet gjort bekendt med, at misbrug kan blive opdaget (via logs) og sanktioneret. Det forudsætter endvidere, at alle handlinger kan spores til en enkelt fysisk person, hvorfor foranstaltningerne Undgå unødvendig anvendelse af flerbrugerkonti og Awareness også skal overvejes.

Der sikres tilgængelig vejledning i, hvordan logs tolkes, og tolkningen testes ved anvendelse af vejledningen. Dette kan fx ske ved en blindtest, hvor en person udfører/dokumenterer handlinger, og en anden anvender vejledningen til at tolke loggen, hvorefter de to personers opfattelse af, hvad der er sket, sammenholdes. Læs mere om test af log og anden softwaretest i foranstaltningen Softwaretest med fokus på sikkerhed.

Se også: Forebyggelse af snageri

Hvornår er foranstaltningen nødvendig?

Det er primært en risikovurdering efter databeskyttelsesforordningens artikel 32, som skal vise, hvilke tiltag der er relevante, idet risici er meget afhængige af, hvilke behandlinger af personoplysninger der sker i forskellige it-systemer, samt hvilken præventiv effekt man kan forvente af, at brugerne evt. ved, at deres handlinger logges og kan undersøges bagudrettet.

Generelt kan det siges, at anvendelsen af it-systemer, der indeholder mange personers oplysninger, er mere risikobetonet, fordi der er større mulighed for misbrug, og jo flere, som har adgangen, desto større er sandsynligheden for, at nogen kan finde på at misbruge adgangen, fx til private formål eller formål, som ikke er konkret arbejdsbetingede. Risikovurderingen skal imidlertid vurdere risici for både fortrolighed, integritet og tilgængelighed, så andre aspekter kan også nødvendiggøre logning.

Forordningens artikel 25: Ved udvikling eller erhvervelse af nye it-systemer eller udvikling/ændring i eksisterende it-systemer skal databeskyttelse være tænkt ind i design og standardindstillinger. For at kunne logge anvendelser af personoplysninger skal funktionaliteten være indbygget i it-systemet. Det inkluderer muligheden for at lagre loggen et sikkert sted, hvor den er ekstra beskyttet imod, at brugerne eller hackere kan tilgå/manipulere den. Standardindstillingen skal være, at logning som udgangspunkt er aktiveret.

Logning af anvendelse af fortrolige og følsomme personoplysninger har været et krav til offentlige myndigheder gennem mange år. For statslige myndigheder stilles der krav om logning i de tekniske minimumskrav for statslige myndigheder.

Generelt kan det anbefales at se på logning mere bredspektret, således at der bådes sikres logning ift. ovenstående og ift. de trusler, som Center for Cybersikkerhed har fokus på gennem deres anbefalinger om logning.

Se også vejledning om uberettigede opslag

Vejledninger, der anvender denne foranstaltning