Ga naar inhoud

Maak logbestanden waarin staat wie wanneer toegang had tot de data en de code

owk-04OntwikkelenMonitoring en beheerOntwikkelaarTechnische robuustheid en veiligheid

Maatregel

Zorg ervoor dat logbestanden worden gecreëerd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. Door goede logging is te achterhalen wanneer en door wie er toegang is geweest tot code en data (audit trail). Er kan loginformatie gegenereerd, bewaard, toegankelijk gemaakt en gemonitord worden. Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren. Bedenk wat deze informatie betekent in de context van de werking van het algoritme of algoritmisch systeem.

Toelichting

  • Met logbestanden is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).
  • Loginformatie moet worden gegenereerd, bewaard, gemonitord en toegankelijk worden gemaakt.
  • Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren.
  • Bedenk wat deze informatie betekent in de context van de werking van het algoritme of algoritmisch systeem. loginformatie gegenereerd, bewaard, toegankelijk gemaakt en gemonitord worden. Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren.
  • Stel vast welke informatie bij het ontwikkelen en gebruiken van algoritmes en AI-systemen relevant is om te loggen.
  • Log behalve het aanpassen van gegevens ook het uitlezen van gegevens waar dat relevant is. Bijvoorbeeld als persoonsgegevens worden opgevraagd.
  • Logs dienen periodiek (of doorlopend) gecontroleerd to worden op relevante incidenten. Dat betekent dat wat er gelogd wordt geschikt moet zijn om relevante beveiligingsincidenten op te merken.

Risico

Wanneer loginformatie ontbreekt, is niet te achterhalen wanneer er (eventueel ongewenste) aanpassingen zijn gedaan (audit trail) op (de code van) het algoritme, of door wie.

Bijbehorende vereiste(n)

Vereiste
bio-01 - Computersystemen zijn voldoende beveiligd tegen ongelukken en cyberaanvallen
aia-07 - Hoog-risico AI-systemen loggen automatisch bepaalde gegevens
aia-13 - Logs van hoog-risico-AI-systemen worden zes maanden bewaard door de aanbieder

Bronnen

Voorbeeld

Heb jij een goed voorbeeld? Laat het ons weten!