PrivacyTeam033 200 30 83
Inloggen

Hoe lang bewaart u loggegevens en helpdesk tickets?

Hoe lang bewaart u loggegevens en helpdesk tickets?

De Italiaanse Gegevensbeschermingsautoriteit (Garante) heeft onlangs een publieke instantie, de regio Lombardije, beboet wegens het te lang bewaren van metadata over e-mail- en internetgebruik van medewerkers. De regionale overheid bleek e-mail metadata (zoals afzender, ontvanger, onderwerp en tijdstip) 90 dagen te bewaren en alle internetactiviteit van medewerkers zelfs 12 maanden te loggen. Dit omvatte ook pogingen van werknemers om geblokkeerde websites te bezoeken. Uit het onderzoek kwam verder naar voren dat helpdesk-tickets met informatie over medewerkers bijna tien jaar werden bewaard.

De Garante bestempelde deze uitgebreide opslag als een vorm van structurele werknemersmonitoring zonder geldige rechtsgrond. Onder Italiaans arbeidsrecht (met name Artikel 4 van het Statuut van de Werknemers) had de regio namelijk eerst overeenstemming moeten bereiken met vakbonden of toestemming van de arbeidsinspectie moeten krijgen voordat zulke monitoringssystemen mochten worden ingevoerd.

Dat was niet gebeurd, en bovendien ontbrak een verplichte Data Protection Impact Assessment (DPIA). De combinatie van te lange bewaartermijnen, het ontbreken van voorafgaand overleg met werknemersvertegenwoordigers en het nalaten van een DPIA maakte de dataopslag onrechtmatig. De werkgever sloot weliswaar tijdens het onderzoek alsnog een overeenkomst met de vakbonden, maar de Garante benadrukte dat zo’n afspraak niet met terugwerkende kracht eerdere overtredingen rechtvaardigt

De toezichthouder legde een boete van €50.000 op. Daarnaast eiste de Garante dat de regio haar beleid direct aanpaste: de bewaartermijnen moesten drastisch omlaag (browsing-logs maximaal 90 dagen bewaren, daarna anonimiseren, opgeslagen metadata diende gepseudonimiseerd of versleuteld te worden en er moest een verwerkersovereenkomst worden gesloten met de IT-leverancier van het ticketingsysteem. Ook moest alsnog een DPIA worden uitgevoerd en voortaan aan alle arbeidsrechtelijke plichten worden voldaan bij monitoring.

Wat betekent dit voor uw organisatie?

Hoewel deze Italiaanse uitspraak is gebaseerd op lokaal arbeidsrecht, zijn de privacy-lessen ervan zeer relevant voor Nederlandse werkgevers. In een tijd waarin hybride werken de norm is en digitale monitoring van werknemers toeneemt, is het belangrijk de volgende punten in acht te nemen:

1. Betrek de OR – het is geen formaliteit

In Nederland bepaalt de Wet op de ondernemingsraden (WOR) dat de ondernemingsraad instemmingsrecht heeft bij de invoering of wijziging van personeelsvolgsystemen. Met name artikel 27 lid 1 sub l WOR verplicht dat de OR vooraf moet instemmen met regelingen voor het monitoren van gedrag of prestaties van werknemers. Net als in Italië geldt dus dat de OR (medezeggenschap) tijdig moet worden betrokken voordat een organisatie een monitoringsysteem of uitgebreide logging invoert – ook als het “slechts” om metadata of IT-logbestanden gaat. Het betrekken van de OR is daarmee geen louter administratieve horde, maar een essentiële wettelijke stap om draagvlak en rechtmatigheid te borgen.

2. Voer een DPIA uit bij structurele monitoring

De AVG schrijft een Data Protection Impact Assessment voor wanneer sprake is van grootschalige, stelselmatige monitoring van personen (art. 35 AVG). Het langdurig opslaan van internetlogs en e-mailmetadata van medewerkers valt hier al gauw onder. In de Lombardije-casus had men verzuimd een DPIA uit te voeren, wat door de Garante expliciet als aparte overtreding is aangemerkt. Los van de wettelijke verplichting ontneemt het ontbreken van een DPIA je de mogelijkheid om privacyrisico’s tijdig in kaart te brengen en beheersmaatregelen te treffen. Met andere woorden: geen DPIA betekent geen aantoonbare grip op de risico’s.

3. Bewaar gegevens niet te lang

Een duidelijke les uit de Italiaanse zaak is dat bewaartermijnen voor logdata kort moeten zijn, tenzij een langere termijn echt noodzakelijk is en goed wordt onderbouwd. De Garante hanteerde als vuistregel maximaal 21 dagen voor het bewaren van e-mailmetadata (als technisch logbestand) en maximaal 90 dagen voor internetlogboeken Alles daarboven vereist een aantoonbare noodzaak én passende waarborgen. Nederlandse organisaties doen er verstandig aan hun eigen IT-logbestanden onder de loep te nemen: is de bewaartermijn echt noodzakelijk, proportioneel en kenbaar voor de medewerkers?

Tot slot: IT-logboeken zijn geen grijs gebied

Deze uitspraak bevestigt wat in de praktijk nog weleens wordt onderschat: IT- en securitylogs zijn persoonsgegevens en vallen dus onder de AVG.

Digitale logbestanden mogen niet als juridisch niemandsland worden beschouwd. Zodra monitoring structureel, persoonsgericht of langdurig wordt ingezet, moet het juridische kader op orde zijn.

Dat betekent onder meer:

  • Voer een DPIA uit – Breng vooraf de privacyrisico’s in kaart bij grootschalige monitoring.
  • Betrek de OR – Zorg voor instemming van de ondernemingsraad voordat monitoringsystemen worden ingevoerd.
  • Waarborg de doelbinding – Leg duidelijk vast waaróm de monitoring plaatsvindt (bijv. beveiliging) en gebruik de data niet voor andere doelen.
  • Hanteer passende bewaartermijnen – Beperk de opslagduur van logs tot wat noodzakelijk is en wis of anonimiseer data tijdig.
  • Wees transparant naar medewerkers – Informeer medewerkers helder over welke gegevens worden vastgelegd en met welk doel, zodat er geen verrassingen zijn.

Meer weten?

Voor (semi)publieke organisaties, of iedereen die zich bezighoudt met IT-governance en compliance, biedt deze Italiaanse case een waardevol precedent. Monitoring mag, maar alleen binnen duidelijke juridische en ethische grenzen.

Hulp nodig bij het uitvoeren van een DPIA of andere vragen? Neem gerust contact met ons op – wij denken graag met u mee.

Bron Garante per la protezione dei dati personali (Italy) - 10134221 - GDPRhub en Italy: The Garante Issues First GDPR Fine Over Employees Email Metadata Privacy Breach | Privacy Matters)

 

Naar het overzicht