Een lezer vroeg me:
Een bezoeker van ons bedrijf heeft via het gastennetwerk internet gebruikt. Nu krijg ik van hem een verzoek onder de AVG om precies te vertellen wat wij van hem hebben gelogd. We melden inderdaad bij het aanmelden “This network is monitored for security purposes” maar in welk detail moet ik hem dat vertellen? Ik wil geen security-gevoelige details onthullen.
Het monitoren (inclusief loggen) van internetgebruik van gasten is inderdaad iets waar de AVG wat van zegt. Het mag, want we noemen dit een eigen legitiem belang. En zolang je monitoring maar proportioneel is, oftewel dat je niet nodeloos diep zit te spitten in wat mensen op internet uitspoken via jouw verbinding, is er weinig aan de hand.
(Natuurlijk gebruik je die logs alleen voor security doeleinden en niet bijvoorbeeld om te kijken wat hij bij de concurrent aan offertes heeft uitstaan.)
De AVG kent wel diverse informatieplichten, met als doel dat mensen weten wat je over ze verzamelt en met welk doel je die gebruikt. Daar moet dus iets meer informatie komen dan enkel “we monitor for security purposes”. Wat monitor je, en voor welke precieze doeleinden dan? Enkel IP-adressen, ook tijd van gebruik, applicaties en poorten, ga zo maar door? Wat is ‘security’, bedoel je dat je verkeer analyseert op verdacht gedrag, dat je IP-adressen van bezochte sites registreert of dat je een AI loslaat om een profiel van je bezoeker te maken?
Dit moet in je privacy policy staan die je publiceert bij het aanmeldscherm. En dat moet je in eenvoudige taal doen, dus concreet en met bewoordingen die je bezoekers begrijpen. Dat betekent dus dat je inderdaad ongeveer moet uitleggen wat je ingezet hebt aan monitoring tools en wanneer je ingrijpt of naar wie een alert gaat en wat die dan gaat doen.
Het mag natuurlijk in zoverre een tikje in het midden blijven dat je niet de precieze criteria benoemt: “verdacht gedrag zoals verspreiding van bekende virussen” zou genoeg zijn, wat mij betreft. Maar je kunt je niet verschuilen achter enkel de vage frase dat securitydoeleinden in het geding zijn.
Arnoud
Het probleem is hoe getetailleerd moet je die info geven. Doe je het te gedetailleerd dan geef je wellicht de informatie die men nodig heeft om de monitoring te gaan omzeilen.
Voor je het weet zit je in een arms race waarbij je ooit beperkte monitoring gestaagd over is gegaan in DPI om alle gaten te kunnen dichten.
Als iemand problemen in een gastnetwerk kan veroorzaken dan moet je misschien eerst kijken naar het ontwerp van dat netwerk.
Het gast netwerk is compleet afgeschermd van het interne netwerk, dat is niet het punt.
Het punt is dat het gast netwerk richting het internet vrijwel volledig open staat om gasten in staat te stellen fatsoenlijk te werken. Je wil niet dat de MAFIAA dan aan je deur staat omdat de laatste kwaliteitsfilm van Uwe Boll is gedownload… :X
Is denk ik niet nodig. Als je het goed doet kan je gast alleen op het netwerk met een tijdelijk geldig password en hoef je er alleen op te letten dat er geen ‘gekke’ dingen gebeuren waar de buitenwereld op zou kunnen triggeren (bijvoorbeeld bezoek aan sites met strafbare content) omdat jouw bedrijf natuurlijk (?) wel verantwoordelijk is voor het gebruik van het gastennetwerk. Uiteraard staat je gastennetwerk volledig los van je eigen interne bedrijfsnetwerk dus de rest zal je worst wezen. Maar misschien zie ik iets over het hoofd.
Je wil natuurlijk voorkomen dat je iemand een lijst geeft van bezochte sites, die eigenlijk van iemand anders is en daarom kun je dus niet vertrouwen op hetgeen de logvrager aangeeft over bv. zijn MACadres.
Moet het antwoord dan niet zijn: je krijgt niets want ik kan uit de log niet halen wat van jou is?
En waarom zou je dit soort logs langer dan een paar dagen bewaren? Of: langer dan de maximale AVG-response-termijn?
Daarmee wordt het praktijk-antwoord dus simpelweg: “niets”.