Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) har antagit en rekommendation om genomförandet av loggningsåtgärder. Loggningssystem är ett viktigt verktyg för att respektera principen om integritet och konfidentialitet som föreskrivs dataskyddsförordningen (GDPR) och kan användas för att upptäcka incidenter eller obehörig åtkomst. Rekommendationen har varit föremål för ett åtta veckor långt samråd.
Enligt CNIL ska personuppgiftsansvariga alltid se till att logguppgifter om åtkomst, skapande, ändring och radering av personuppgifter bevaras. Genomförandet av denna säkerhetsåtgärd ger emellertid enligt CNIL upphov till ett antal återkommande frågor, särskilt när det gäller valet av hur länge logguppgifter ska sparas.
För att vägleda personuppgiftsansvariga föreslår CNIL i sin rekommendation ett analysschema som gör det möjligt att fastställa hur länge uppgifterna ska bevaras.
I allmänhet rekommenderar CNIL följande:
- Loggning för att säkerställa spårbarhet av olika användarnas åtkomst och åtgärder som har behörighet att få tillgång till informationssystemen ska sparas under en period på mellan sex månader och ett år.
- System för att analysera de insamlade uppgifterna bör införas, vilket gör det möjligt att på kort sikt använda de insamlade uppgifterna för att uppfylla loggningssystemets säkerhetsmål.
- Tekniska och organisatoriska åtgärder bör implementeras för att begränsa risken för missbruk av loggningsuppgifter.
När det gäller behandling som omfattas av interna kontrollåtgärder anser CNIL att:
- Att det är möjligt att motivera lagring av logguppgifter under en period på mer än ett år, med en maximal period på tre år i de vanligaste situationerna.
- Att personuppgiftsansvariga måste visa och dokumentera att en längre lagringstid är nödvändig för att hantera riskerna för missbruk av behandlingen för de registrerade.
- Att den valda lagringstiden i detta fall måste fastställas på ett sätt som står i proportion till det eftersträvade syftet, särskilt enligt de tidsramar som beskrivs i personuppgiftsansvarigas processer.
Slutligen påminner CNIL om att det är möjligt att särdragen i behandlingen motiverar en förlängning av lagringstiden (en rättslig skyldighet att lagra, ett särskilt syfte eller en betydande hotsituation), i vilket fall en analys från fall till fall måste göras för att fastställa en lämplig lagringstid. Omvänt bör praxis enligt CNIL anpassas för att undvika lagring av uppgifter vars lagringsperiod har löpt ut om källdata har en kortare eller mycket kortare lagringstid än sex månader.