Etter å ha sett nærmere på hva datalogg faktisk er og hvorfor det er viktig i forrige artikkel, er det på tide å stille noen mer ubehagelige spørsmål. For logging er også et speilbilde av hvordan virksomheter tenker om ansvar, gjennomsiktighet og kontroll.
I denne artikkelen tar jeg et dypdykk i praksis, utfordrer dagens holdninger og peker på noen åpenbare hull vi bør tette.
Har du ikke lest første del? Start her: Hva logger vi egentlig – og hvorfor?
For mye logging og ingen som ser på det
I mange virksomheter logges alt som kan logges bare fordi det er mulig, og ikke fordi noen har behov for det. Systemer leveres med standardinnstillinger som samler inn store mengder detaljerte data. Ingen stiller spørsmål ved hva som faktisk trengs, og enda færre går tilbake og ser på det som er lagret.
Resultatet er enorme mengder informasjon som sjelden analyseres, sjelden slettes og ofte inneholder mer enn noen er klar over.
Det ironiske er at det logges så mye at det i praksis blir ubrukelig. Når noe først skjer, er det nesten umulig å finne den ene hendelsen blant millioner av linjer. Likevel fortsetter vi å lagre fordi det føles tryggere sånn.
For lite logging og det koster deg kontrollen
På motsatt side finner vi systemer som nesten ikke logger noe som helst. Det er gjerne der sikkerhetsbrudd skjer, og ingen klarer å si hva som gikk galt. Når logger mangler, mister du både innsikt og evnen til å dokumentere.
Dette er særlig kritisk når virksomheter er pålagt å kunne vise til hva som har skjedd, for eksempel ved avvik, sikkerhetsbrudd eller brukermisbruk. Uten logger står du tomhendt, og ansvaret blir vanskelig å plassere.
GDPR, personopplysninger og logging
GDPR stiller klare krav til hvordan personopplysninger skal behandles, inkludert hvor og hvordan de lagres. I mange virksomheter innebærer dette at kundedata, brukerinformasjon og annen identifiserbar informasjon lagres på interne servere eller i skytjenester som er godkjent innenfor EU/EØS, med klare rutiner for tilgang, sikring og sletting.
Men når det gjelder systemlogger, er bildet ofte langt mer uoversiktlig. Logger sendes i mange tilfeller automatisk til tredjepartsleverandører, ofte gjennom innebygde funksjoner i verktøy og plugins, uten at det nødvendigvis er gjort en vurdering av verken behandlingsgrunnlag eller lagringssted.
I praksis betyr det at logger kan havne i datasentre utenfor EU/EØS, ofte uten databehandleravtale, og uten at virksomheten har reell kontroll over hvordan de lagres, hvor lenge de beholdes eller hvem som har tilgang. Andre logger blir liggende på gamle servere, uten rutiner for sletting eller sikkerhetskopiering.
Resultatet er at data som i praksis kan inneholde personopplysninger som IP-adresser, brukernavn, handlinger i systemet eller annen sporbar informasjon ikke får det samme vernet som strukturerte og synlige data. Og dermed brytes ofte prinsippene i GDPR, uten at noen er klar over det.
Loggene du aldri blir fortalt om
De fleste vet at nettsteder bruker informasjonskapsler. Mange vet også at atferd logges i apper og skytjenester. Men svært få er klar over hvor mange systemer som loggfører i bakgrunnen uten at det er synlig for brukeren.
For eksempel finnes det analyseverktøy som registrerer brukeratferd uten at det nevnes i personvernerklæringen. Det finnes integrasjoner med tredjepart som sender logger ut av landet, til datasentre brukeren aldri har hørt om. Og det finnes skjulte API-kall som samler inn informasjon om enheten din, nettverket ditt og måten du bruker tjenesten på.
I mange tilfeller vet ikke engang systemeierne selv hvor disse dataene havner, eller hvem som har tilgang. Loggingen skjer automatisk, som en teknisk rest fra et system ingen lenger har full oversikt over.
Og dersom du som bruker ber om innsyn i hvilke data som er lagret om deg, er det stor sjanse for at nettopp disse opplysningene uteblir. I praksis får du som regel bare det som er lagret i databasen – for eksempel navn, kontaktinformasjon og innstillinger.
Data som er samlet inn gjennom informasjonskapsler, atferdssporing og systemlogging blir ofte omtalt som tekniske data, selv om de inneholder informasjon som IP-adresser, enhets-ID, geografisk plassering og detaljer om hvordan du bruker tjenesten. Dette er likevel personopplysninger, ifølge GDPR, når de kan knyttes til deg som enkeltperson. Og det kan de, særlig hvis du er innlogget eller bruker samme enhet over tid.
Likevel holdes de ofte utenfor innsynsprosesser, enten fordi det er teknisk krevende å hente dem ut, eller fordi virksomheten ikke anser dem som relevante. Det utgjør et alvorlig hull i praktiseringen av personvernet, og bryter med intensjonen i regelverket.
Når personopplysninger havner i logger uten at noen vet det
Det kanskje mest oversette aspektet ved logging er at systemer ofte fanger opp personopplysninger uten at det er tilsiktet. Det kan være:
- Brukernavn, e-post eller telefonnummer som legges inn i et skjema og havner i en feilmelding
- Navn eller personnummer som sendes via URL og dermed fanges opp i webserverens logger
- Søk etter sensitive temaer i interne systemer som lagres som søkestrenger i loggene
Slike tilfeller oppstår gjerne fordi ingen har vurdert hva som kan havne i loggene. Og når ingen ser etter det, blir det heller ikke oppdaget.
Logger som lever evig
Et annet problem er varigheten. Mange systemer har ingen slettemekanisme for logger. De lagres ukritisk i årevis, ikke fordi det trengs, men fordi ingen har tatt stilling.
Et selskap jeg var i kontakt med i forbindelse med feilsøking, kunne hente logger tilbake til 2014. Ingen visste at de fortsatt var tilgjengelige. Ingen hadde noen gang etterspurt det. Men dataene lå der, klar til bruk eller misbruk.
I et GDPR-perspektiv er dette alvorlig. For det finnes ikke noe saklig formål for å beholde detaljerte brukslogger i over ti år. Og det finnes enda mindre forståelse for hva slags ansvar det innebærer å ha dem.
Innsynsbegjæringer som overser det viktigste
Flere som har bedt om innsyn i egne data, opplever at loggene ikke er inkludert. De får tilgang til databasedata, profiler og innstillinger, men ikke informasjonen om hvordan systemet faktisk har loggført bruken deres.
Når man spør spesifikt, er svaret ofte at det ikke er teknisk mulig, eller at loggene ikke regnes som personopplysninger. Det er en misforståelse.
Hvis loggene inneholder informasjon som kan knyttes til deg, direkte eller indirekte, gjelder retten til innsyn også her. Men i praksis finnes det få systemer som er bygget for dette, og få virksomheter som tar det ansvaret.
Det samme gjelder retten til sletting. For selv om en brukerprofil slettes fra databasen, blir sporene ofte værende igjen i logger. Å fjerne én enkelt brukers informasjon fra et loggsystem kan være teknisk krevende, og i mange tilfeller ikke mulig uten å slette hele loggen. Likevel kan nettopp disse loggene inneholde nok data til å bygge opp igjen detaljerte bruksmønstre, aktiviteter og tilganger over lang tid.
Et godt eksempel er fra Hurtigruten, som i sin tid opplevde et systemkrasj der bookinger og seilingslister gikk tapt. Ved å gå gjennom logger klarte de å rekonstruere store deler av informasjonen for flere måneder tilbake. Dette var før GDPR trådte i kraft, men illustrerer hvor mye detaljert og rekonstruerbar informasjon som faktisk kan ligge i loggene – og hvor lite kontroll vi egentlig har over hvor lenge slike data lever videre.
Hva kan du gjøre, og hva bør virksomheter gjøre?
For sluttbrukere:
- Still spørsmål. Be om å få vite hva som logges, hvor lenge det lagres, og hvem som har tilgang
- Les personvernerklæringer med et kritisk blikk. Nevnes logging? Hvis ikke, hvorfor ikke?
- Be om innsyn, og presiser at du ønsker loggdata inkludert
For virksomheter:
- Kartlegg hvilke logger som finnes, hva de inneholder, og hvor de lagres
- Definer formål og lagringstid for hver type logg
- Etabler rutiner for sletting og anonymisering
- Vurder tekniske løsninger som gjør det mulig å etterkomme innsynsbegjæringer
- Tenk på logging som en integrert del av personvernarbeidet, ikke som noe separat
Til slutt: Det handler om mer enn teknologi
Logging er ikke bare et teknisk spørsmål. Det er et spørsmål om tillit, ansvar og viljen til å ta eierskap til dataene man samler inn.
For logging er som et bakrom – fullt av notater, observasjoner og detaljer. Jo mindre bevisst vi er på hva som skjer der inne, desto større er risikoen for at noen en dag åpner døren og finner noe som aldri burde ha vært lagret.
