Verwerkt een (extern) SOC persoonsgegevens?
Een beveiligingsbedrijf "B" gaat een klant "K" monitoren. Hiertoe worden logs van overeengekomen systemen en applicaties van "K" naar "B" gestuurd, waarbij er in principe geen PII in de logregels staan (filtering bij "K").
Logregels bevatten vaste velden zoals IP adres, tijd, aangeroepen functie, etc.In sommige gevallen worden parameters doorgegeven (bv. API parameters)
In principe verwerkt B dus alleen technische gegevens. Wat als er nu toch onverwacht ergens een naam of een email adres doorgegeven wordt aan B (bv. in API parameters)?
- Is B dan een verwerker van persoonsgegevens? In principe wil B die helemaal niet.
- Wat zou dan (voor een verwerkersovereenkomst) het doel van de verwerkings zijn? ("negeren" als doel)
- Wat zou dan de rechtsgrond moeten zijn? (ik neem aan "Uitvoeren van een contract"?)
- Welke verwerkingen moeten dan eventueel in de verwerkersovereenkomst? Immers, de PII zijn voor B niet relevant en B gaat er nooit iets mee doen, behalve zorgen dat de loggegevens vertrouwelijk behandeld worden, maar dat moet sowieso)
Heeft iemand dit wel eens meegemaakt?
Q
Tenzij je kunt hardmaken dat in jouw specifieke situatie de IP adressen geen persoonsgegevens zijn, zal je toch een verwerkersovereenkomst moeten opstellen.
De logs bevatten ook geen informatie over gebruikers die op het systeem of applicatie inloggen? Lijkt me in dat geval erg mager wat het SOC monitort.
De SOC diensten die ik ken, verwerken wel degelijk (veel) persoonsgegevens. SOC's beheren vaak ook de EPP/EDP agents die op end-user systemen zijn geïnstalleerd, of zien op z'n minst de meldingen/logs daarvan. Daarnaast worden meestal de authenticatie logs gemonitord van AD en andere, externe, authenticatie providers. Ook kunnen b.v. O365 services hun logs/alerts naar het SIEM van het SOC sturen. Dit zijn maar een paar voorbeelden, maar allemaal zullen ze persoonsgegevens bevatten.
Het doel voor de verwerking van deze gegevens zou kunnen zijn: Security monitoring om bedrijfs- en persoonsgegevens te beschermen.
Over het algemeen zou ik een jurist betrekken om te bepalen wat er precies in de verwerkersovereenkomst moet komen te staan. :-)
Mocht je meer over dit onderwerp willen lezen, dan helpt dit wellicht: https://autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/verwerkersovereenkomst
Tenzij je kunt hardmaken dat in jouw specifieke situatie de IP adressen geen persoonsgegevens zijn, zal je toch een verwerkersovereenkomst moeten opstellen.
De logs bevatten ook geen informatie over gebruikers die op het systeem of applicatie inloggen? Lijkt me in dat geval erg mager wat het SOC monitort.
De SOC diensten die ik ken, verwerken wel degelijk (veel) persoonsgegevens. SOC's beheren vaak ook de EPP/EDP agents die op end-user systemen zijn geïnstalleerd, of zien op z'n minst de meldingen/logs daarvan. Daarnaast worden meestal de authenticatie logs gemonitord van AD en andere, externe, authenticatie providers. Ook kunnen b.v. O365 services hun logs/alerts naar het SIEM van het SOC sturen. Dit zijn maar een paar voorbeelden, maar allemaal zullen ze persoonsgegevens bevatten.
Het doel voor de verwerking van deze gegevens zou kunnen zijn: Security monitoring om bedrijfs- en persoonsgegevens te beschermen.
Over het algemeen zou ik een jurist betrekken om te bepalen wat er precies in de verwerkersovereenkomst moet komen te staan. :-)
De AVG rekent tot persoonsgegevens alles over een natuurlijke persoon die direct of indirect geïdentificeerd kan worden. Heel wat IP-adressen zijn aan één persoon of één huishouden te koppelen, vandaar dat ze als persoonsgegeven behandeld moeten worden. Dat je voor die koppeling informatie nodig hebt waar je misschien zelf niet over beschikt maakt niet uit, de AVG houdt rekening met de mogelijkheid dat gegevensverzamelingen achteraf aan elkaar gekoppeld worden, ook als dat gebeurt na bijvoorbeeld een hack. De AVG is zo streng juist omdat er veel meer met gegevens kan gebeuren dan je zelf doet of van plan bent, en omdat de praktijk heeft uitgewezen dat dat ook echt tot problemen leidt.
Maar als een IP-adres een persoonsgegeven is (of vaak zal zijn) dan zijn de gelogde tijdstippen en URLs ook aan die persoon te koppelen en daarmee informatie over die persoon. Ook als er geen URL-parameters zijn of als de URL-parameters geen naam of e-mailadres of zo bevatten. Aangezien het informatie over een persoon is zijn ook dat persoonsgegevens.
Dus ja, als je het verwerken van die logs uitbesteedt dan heb je een verwerkersovereenkomst nodig. Als het bedrijf waarmee je in zee wilt gaan dat niet door heeft dan heeft die geen benul van de AVG en kan je vermoedelijk beter een ander zoeken.
Meestal gebruikt men de logs om ook een audit trail vast te leggen. Dat is luiheid/slecht ontwerp, audit trail in apart file of database, in het logs file alleen het noodzakelijk om de werking te controleren
Ik heb zelf ingegrepen bij het bouwen van een api waar dmv BSN persoonsgegevens werden opgevraagd, daarbij werd alles gewoon gelogd. Door mij zit nu een parameter in die deze zaken voor productie niet logt (maar die moet men we aanzetten)
Een andere keer werden logs van een andere applicatie naar de leverancier gestuurd, daar stonden ook beperkt persoonsgegevens in met BSN. Gelukkig was dat een maand voordat de datalek wetgeving in ging (wel intern gemeld)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.