IP-adressen loggen onder AVG: pseudoniem, persoonsgegeven, en wat mag?

Een IP-adres is een persoonsgegeven onder AVG. Security-logs hebben ze vaak weken of maanden nodig. Hoe verenig je dat met bewaarprincipes?

Een IP-adres wordt onder de AVG gezien als persoonsgegeven. Security-logs die IP-adressen vastleggen vallen onder verwerking.

Toegestane grondslagen

• Gerechtvaardigd belang: security, fraudebestrijding, troubleshooting. Meest gebruikt.
• Wettelijke plicht: bij specifieke wetgeving (financieel toezicht).
• Toestemming: zelden nodig voor security-logs.

Bewaartermijn

• Web-access logs: 30 dagen standaard, tot 90 voor forensische doeleinden.
• Auth-logs (login attempts): 90 dagen - 1 jaar.
• Firewall logs: 30-90 dagen.
• Audit-logs voor compliance: 3 jaar (ISO-vereist).

Langer bewaren = betere motivatie in verwerkingsregister én risico-analyse waarom het nodig is.

Pseudonimisering

Kun je de laatste octet anonimiseren (192.168.1.x → 192.168.1.0/24)? Voor analytics voldoende. Voor security meestal niet — je wilt een specifiek IP kunnen correleren.

Rechten van betrokkenen

Iemand vraagt "welke logs heb je van mij?" — je moet kunnen zoeken op hun IP én hun account-ID. Leg in je systeem vast hoe je dat doet.

Zie ook: AVG-pillar, bewaartermijnen.