Datalogger er en teknisk funksjon som registrerer hva som skjer i et IT-system. Men bak dette tilsynelatende nøytrale begrepet skjuler det seg en av de største og minst gjennomlyste datakildene i moderne programvare. Hvis du noen gang har brukt en app, logget inn på en nettside eller trykket på «send» når noe ikke virker, har du etterlatt deg spor. Spor som ofte lagres automatisk og i det stille, uten at du vet hva, hvor lenge, eller hvorfor.
Logger brukes for å feilsøke, sikre og overvåke systemer. Men de inneholder også data som i mange tilfeller kan knyttes direkte til deg som person uten at det alltid behandles som personopplysninger. Og nettopp det er en utfordring.
Hva er formålet med logging?
Først og fremst: logging er ikke ondt. Det er tvert imot helt nødvendig i moderne systemer.
Formålet er som regel ett eller flere av disse:
- Feilsøking: Hva skjedde når noe gikk galt?
- Sikkerhet: Hvem har gjort hva, og når?
- Driftsovervåkning: Hvordan oppfører systemet seg over tid?
- Statistikk: Hva brukes mest, og hva brukes aldri?
Uten logger blir utviklerne blind. De mister innsikt, mister historikk, og mister evnen til å lære av det som har skjedd. Problemet er bare at de ofte logger mer enn nødvendig. Og at de sjelden tenker godt nok gjennom hva de faktisk fanger opp.
Vanlige typer data som logges
I praksis logges det meste som skjer i et IT-system. Noen eksempler:
- IP-adresser og geolokasjon
- Påloggingsforsøk, med tid og sted
- Knappetrykk og klikkmønstre
- Bruk av menyer og funksjoner
- Feilmeldinger og tekniske varsler
- Endringer i data, konfigurasjon eller tilgang
- Brukernavn og noen ganger e-postadresser
- Hendelser i integrasjoner med andre systemer
Alt dette virker kanskje uskyldig hver for seg. Men satt sammen kan det gi et overraskende detaljert bilde av hvem du er, hva du gjør, og hvordan du tenker.
Hvor går grensen mellom nyttig logging og overvåking?
Når logging brukes til å forbedre systemer, rette feil og beskytte brukere, er det både nyttig og nødvendig. Men når loggene brukes til å kontrollere enkeltpersoners adferd, dokumentere aktivitet i detalj, eller lagres «for sikkerhets skyld» uten tydelig formål, beveger vi oss inn i et mer problematisk landskap.
Grensen viskes ut når detaljerte logger kombineres med annen data. I store systemer kan teknisk logging danne grunnlaget for å forstå brukeratferd – hvem som gjør hva, når og hvor ofte. Satt sammen over tid, kan dette utvikle seg til et mønster som sier mer om deg enn du kanskje er klar over.
I noen tilfeller danner disse loggene også grunnlaget for automatisert profilering. – En praksis som ofte kobles til algoritmene bak målrettet reklame, anbefalingssystemer og personaliserte nyhetsstrømmer. Det er ikke alltid intensjonen, men det skjer særlig i større, datadrevne selskaper hvor «brukeratferd» er en ressurs i seg selv.
Derfor er det avgjørende at vi snakker om logging som mer enn bare et teknisk verktøy. Det handler også om personvern, maktbalanse og åpenhet.
Hvor lagres logger? Hvor lenge? Og av hvem?
Dette spørsmålet stilles altfor sjelden både av systemeiere og sluttbrukere.
Logger kan lagres:
- Lokalt på servere
- I skybaserte tjenester (ofte hos tredjepart)
- I spesialiserte loggplattformer som Splunk eller ELK
- I backup-systemer – og dermed leve evig
Lagringstiden varierer: noen systemer sletter etter 7 dager, andre etter 7 år. Mange har ikke definert dette i det hele tatt.
Og hvem har tilgang? Ofte er det utviklere, systemansvarlige, og enkelte ganger konsulenter som fortsatt har innlogging lenge etter at de har forlatt prosjektet.
Hvorfor loggdata ofte ikke regnes som persondata?
Mange virksomheter tar ikke med logger i sine vurderinger av personvern. De nevnes ikke i personvernerklæringen, de omfattes ikke av databehandleravtaler, og de inngår sjelden i rutiner for sletting eller innsyn.
En viktig årsak er at det oppleves som teknisk krevende. Logger lagres ofte som lineære tekstfiler eller ustrukturerte datastrømmer, der informasjon fra én person er vevd sammen med tusenvis av andre hendelser. Det finnes sjelden funksjonalitet for å trekke ut eller fjerne opplysninger knyttet til én enkelt bruker, og dermed blir sletting, anonymisering og innsyn både ressurskrevende og upraktisk.
Likevel fritar ikke det virksomheten for ansvar. Dersom logger inneholder personopplysninger, gjelder de samme prinsippene for formål, lagringstid, sletting og innsyn som ved all annen behandling av persondata. Det handler ikke om hva som er enkelt, men om hva som er nødvendig for å ivareta personvernet.
GDPR og logger
GDPR har klare regler om innsyn, sletting, begrensning og dataportabilitet. Men de fleste tenker først og fremst på databaser, kundesystemer og samtykke.
Logger faller ofte utenfor, fordi de “bare ligger der”. De er ikke en del av hovedsystemet. De er verken strukturert eller lett tilgjengelig. Og nettopp derfor blir de oversett.
Men det er ingen unnskyldning. Hvis du lagrer personopplysninger, også i logger, må du kunne dokumentere det. Du må ha et formål, et behandlingsgrunnlag, og en rutine for sletting.
Inkluderes logger om du ber om innsyn i dine data?
Svaret på dette er dessverre at logger i svært få tilfeller inkluderes. Mange virksomheter gir deg et utsnitt fra CRM-systemet, et Excel-ark med data de har strukturert, eller en e-post med “her er det vi har lagret om deg”.
Men loggene? De nevnes sjelden. Og om du spør spesifikt, får du ofte til svar at “det ikke er praktisk mulig” eller at “det ikke regnes som persondata”.
Det er et problem. For hvis loggene inneholder informasjon om deg, skal du i prinsippet ha innsyn. Det er et juridisk krav.
Oppsummering
Logging er nødvendig, men også undervurdert som risikoområde. Altfor mange vet ikke hva de logger, hvor det lagres, eller hvem som har tilgang. Og enda færre har tilpasset praksisen til GDPR.
I neste artikkel går jeg dypere inn i problemstillingene – og stiller noen ubehagelige spørsmål: logger vi mer enn vi tør innrømme, og hva skjer egentlig når noen ber om innsyn?
Neste del: Når logging blir overvåking – og ingen forteller deg det
