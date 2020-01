Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Een bezoeker van ons bedrijf heeft via het gastennetwerk internet gebruikt. Nu krijg ik van hem een verzoek onder de AVG om precies te vertellen wat wij van hem hebben gelogd. We melden inderdaad bij het aanmelden "This network is monitored for security purposes" maar in welk detail moet ik hem dat vertellen? Ik wil geen security-gevoelige details onthullen.

Antwoord: Het monitoren (inclusief loggen) van internetgebruik van gasten is inderdaad iets waar de AVG wat van zegt. Het mag, want we noemen dit een eigen legitiem belang. En zolang je monitoring maar proportioneel is, oftewel dat je niet nodeloos diep zit te spitten in wat mensen op internet uitspoken via jouw verbinding, is er weinig aan de hand.

(Natuurlijk gebruik je die logs alleen voor security doeleinden en niet bijvoorbeeld om te kijken wat hij bij de concurrent aan offertes heeft uitstaan.)

De AVG kent wel diverse informatieplichten, met als doel dat mensen weten wat je over ze verzamelt en met welk doel je die gebruikt. Daar moet dus iets meer informatie komen dan enkel "we monitor for security purposes". Wat monitor je, en voor welke precieze doeleinden dan? Enkel IP-adressen, ook tijd van gebruik, applicaties en poorten, ga zo maar door? Wat is 'security', bedoel je dat je verkeer analyseert op verdacht gedrag, dat je IP-adressen van bezochte sites registreert of dat je een AI loslaat om een profiel van je bezoeker te maken?

Dit moet in je privacy policy staan die je publiceert bij het aanmeldscherm. En dat moet je in eenvoudige taal doen, dus concreet en met bewoordingen die je bezoekers begrijpen. Dat betekent dus dat je inderdaad ongeveer moet uitleggen wat je ingezet hebt aan monitoring tools en wanneer je ingrijpt of naar wie een alert gaat en wat die dan gaat doen.

Het mag natuurlijk in zoverre een tikje in het midden blijven dat je niet de precieze criteria benoemt: "verdacht gedrag zoals verspreiding van bekende virussen" zou genoeg zijn, wat mij betreft. Maar je kunt je niet verschuilen achter enkel de vage frase dat securitydoeleinden in het geding zijn.

