Alex Bik van BIT gaat in het volgende artikel flink tekeer tegen de bewaarplicht voor isp's. Wat vinden jullie eigenlijk van deze wet? En was je er al volop mee aan de slag of begin je er nu een beetje aan te denken?

Het laatste wat ik gelezen heb is dat 1 van de 8 isp's zich er op dit moment aan houd. En dan heb ik het hier over het opslaan van alle gegevens die het wetsvoorstel voorschrijft.

------------------
Auteur: Loek Essers
bron: webwereld.nl (http://webwereld.nl/nieuws/107050/bewaarplicht-isp-s-terug-naar-6-maanden.html)

De Tweede Kamer heeft er twee jaar over gedaan, maar heeft nu eindelijk geregeld dat de bewaarplicht voor internetproviders teruggaat van 12 naar 6 maanden. "Het is te schandalig voor woorden."

Afgelopen dinsdag stemde een meerderheid van de Tweede Kamer in met een reparatiewetje. Daarin wordt geregeld dat de bewaarplicht van internetgegevens wordt teruggeschroefd van 12 naar 6 maanden zoals bijna dan 2 jaar geleden werd bedongen door de Eerste Kamer.

Voorlopig nog 12 maanden
De Tweede Kamer had 12 maanden bewaarplicht voorgesteld in de vorige versie van de Telecomwet, en daar dreigde de hele wet in de Senaat over te struikelen omdat dat als teveel werd geacht. Om de wet toch door de Eerste Kamer te loodsen zegde toenmalig minister van Justitie Ernst Hirsch Ballin toe dat de bewaarplicht voor interntproviders op deze manier alsnog werd beperkt.

Die reparatiewet is nu goedgekeurd door de Tweede Kamer, maar dat betekent niet dat providers hun verplichte opslag van 12 maanden meteen kunnen terugbrengen naar 6. Een oppositievoorstel om de bewaarplicht helemaal af te schaffen haalde zoals verwacht geen meerderheid.

Maar er kan dus nog niet worden gestart met het verwijderen van de helft van de opgeslagen data."Nee, dat kan pas op het moment dat de wet in werking treedt", legt een woordvoerder van het ministerie van Veiligheid en Justitie uit. "Het gaat nu naar de Eerste Kamer, dus ik denk dat het dit jaar nog wel tot een afronding komt, hoor." Wanneer de Eerste Kamer de wet behandeld is nog onbekend.

Schandalig
Alex Bik, technisch directeur bij provider BIT en voorzitter van de Nationale Beheersorganisatie Internet Providers (NBIP), zegt blij te zijn met de inperking. Wel zegt hij het vervelend te vinden dat het meer dan twee jaar heeft geduurd en dat er ondertussen nog sprake van was dat de reparatiewet niet door de Kamer zou kunnen komen.

"Wat ik eigenlijk te schandalig voor woorden vond is dat daar überhaupt over gediscussieerd werd", zegt Bik die elke minuut dat internetproviders gegevens bewaren er één te lang vindt. "Ik ben er natuurlijk sowieso blij mee dat die termijn verkort wordt en van mij mogen er nog wel 6 maanden af."

De Eerste Kamer had wat hem betreft twee jaar geleden kordater moeten optreden. "Ik hoop dat de Eerste Kamer de volgende keer gewoon de ballen heeft om tegen de Tweede Kamer te zeggen: 'Joh, hou die wet maar ergens waar het licht niet komt en ga hem eerst maar aanpassen want we willen niet het risico lopen dat jullie je weer niet aan je afspraak houden'."

Down the drain
Wat Bik vooral dwars zit is dat isp's investeringen hebben gedaan om gegevens 12 maanden op te slaan. "Daar hebben we dus allemaal investeringen voor moeten doen in storage die aan het BGVT besluit [Besluit verstrekking gegevens telecommunicatie] voldoet, en even later is eigenlijk de helft van die investering down the drain want we hebben nog maar de helft van de hoeveelheid storage nodig. En dat is natuurlijk ook gewoon bizar want als ze dat gewoon gelijk gefixt hadden dan hadden we dat ook allemaal niet aan hoeven schaffen."

Het was volgens Bik voor providers niet mogelijk om de invoering van de reparatiewet af te wachten. "Het AT [Agentschap Telecom] is natuurlijk wel aan het controleren geweest. Je kan als isp niet zeggen: 'Joh, er is wel een wet, maar laat maar, ik doe er niet aan'."

in een bericht van webwereld staat een berricht dat de bewaarplicht minder lang wordt.
een leuk idee om eens te inventariseren wat jullie ervan vinden en hoe jullie dit doen.

-Wat houd het in?
-Hoe bewaar je de log?
-Wat bewaar je precies?
-Hoe groot is jullie log?
-Heeft iemand al log moeten afstaan?
-wat zijn de consequenties als je dit niet doet?

MOD EDIT:

Topic merged!

Hosting:
email, http-access en ftp logs (bewaren we al meerdere jaren)
logs zijn 1gb per maand voor week 10 webservers.

Dedicated servers
schijven 3 maanden daarna recycle process, format en hergebruik.
geen IP logs etc dat doet de uplink provider maar, anders is het dubbel op werk

Geen logs moeten afstaan wel
wel enige tijd geleden verplicht moeten meewerken aan een onderzoek van een instantie.
waarvan ik verder nooit meer wat gehoord heb.

In de 7 jaar dat we bezig zijn hebben we 3x het verzoek om concrete gegevens gehad. Verder is het nog nooit voorgekomen. Alle log bestanden worden 5 jaar bewaard en daarna verwijderd, we doen dit alleen voor onze eigen machines en in sommige gevallen ook voor servers die door ons onderhouden worden.

Data op opgezegde servers worden 2 maanden bewaard en daarna worden de schijven leeggehaald en hergebruikt. Back-ups worden 14 dagen opgeslagen en daarna wordt de oudste back-up overschreven. Al het IP transit verkeer moeten de netwerk providers die we gebruiken maar opslaan, wij doen dit niet.

hallo iedereen,

Wij bewaren de log bestanden 5 jaar.
Wij bewaren hier de backups 2 weken.
Wij hebben nog nooit een instantie op de stoep gehad.
En de IP transit moeten idd door de netwerk providers gelogd worden.
Aangezien het allemaal dubbel op is

email, http-access en ftp logs (bewaren we al meerdere jaren)

Alle log bestanden worden 5 jaar bewaard en daarna verwijderd,

Wij bewaren de log bestanden 5 jaar.

Mag je die gegevens wel langer bewaren dan noodzakelijk?

Ik begrijp niet helemaal wat het nut er van is om logs voor meer dan een jaar te bewaren eerlijk gezegd... maar dat is mijn persoonlijke mening.

Wij bewaren ze precies een jaar. Maar dat heeft meer te maken met onze backup policy en archive points dan met bewust storage inrichten voor logfiles. Vind de vraag of je logs wel zo lang mag bewaren wel interessant eigenlijk. Ik neem aan dat een jaar redelijkerwijs te verantwoorden is. 5 jaar vind ik erg veel.

Ik neem aan dat een jaar redelijkerwijs te verantwoorden is.

Ook dat is discutabel, zodra de bewaarplicht definitief naar 6 maanden is terug gebracht.


http://www.rijksoverheid.nl/onderwerpen/telecomwet-en-regelgeving/bewaarplicht-gegevens-telecommunicatie#anker-dubbele-opslag



De hoofdregel is dat (verkeers)gegevens worden verwijderd dan wel geanonimiseerd zodra deze verkeersgegevens niet langer nodig zijn voor het overbrengen van communicatie. In afwijking van de hoofdregel moeten (verkeers)gegevens bewaard worden in het kader van de bewaarplicht (art. 13.2a tweede lid 13 Tw). Deze bewaarde (verkeers)gegevens dienen na 12 maanden onomkeerbaar vernietigd te worden.

Verkeersgegevens mogen bewaard worden in het kader van facturering, marktonderzoek en verkoopactiviteiten of voor extra diensten die waarde toevoegen aan het pakket van diensten van de aanbieder (art. 11.5 Tw). Aan de voornoemde uitzonderingen zoals opgenomen in artikel 11.5 zijn nadere eisen verbonden. Eisen zoals het niet langer dan strikt noodzakelijk bewaren van de gegevens en het vooraf vragen van toestemming van de abonnee. Een volledig overzicht van deze eisen kunt u lezen in artikel 11.5 van de Telecommunicatiewet.

NB De Fiscale bewaartermijn (7 jaar) betreft alleen de factuur en niet de verkeersgegevens.


Op basis van de bewaarplicht mag je ze dus niet langer bewaren dan de verplichte termijn.
En voor andere doeleinden alleen voor een duidelijk doel, en met toestemming van de abonnee.

Wat moet je als provider met gedetaileerde e-mail logs van meer dan een half jaar oud?

Mag je die gegevens wel langer bewaren dan noodzakelijk?

Moet niet maar soms wel handig.

Klanten die bij rechtzaak zeggen nooit van je diensten gebruik te hebben gemaakt
kan je ip ftp en mail connect logs van gebruiken om je incasso en of rechtzaak mee te winnen.

En volgens belastingdienst dien je 7 jaar je bedrijfsadministratie te bewaren
Ik vind dat logs daar onder vallen zo ook meneer de belasting beamte na een boekhouding controle

Mag je die gegevens wel langer bewaren dan noodzakelijk?
Je mag ze alleen bewaren als je het nodig hebt voor je bedrijfsvoering. Er zijn wel wat voorwaarden waar je dan aan moet voldoen.
Zoniet, dan moet je ze of na een half jaar anonimiseren of verwijderen.

Volgens mij vallen webserver access logs niet onder de bewaarplicht.

Bewaarplicht is inmiddels definitief naar 6 maanden, en de oude data moet weg.

http://webwereld.nl/nieuws/107375/isp-s-moeten-oude-bewaarplichtdata-subiet-vernietigen.html

We hebben sinds vorige week de interval voor de meeste back-ups verkleind en beperkt tot 6 maanden. Anonieme server logs ed. worden nog 2,5 jaar ipv 5 jaar bewaard.

Voor zover bekend is deze wet niet van toepassing op webhosters, mits deze geen eigen netwerk beheerd.
Zie ook http://www.ispam.nl/archives/1908/tweede-kamer-kiest-voor-12-maanden-bewaarplicht/
en http://www.rijksoverheid.nl/onderwerpen/telecomwet-en-regelgeving/bewaarplicht-gegevens-telecommunicatie#anker-bewaren-logbestanden-bij-webhosting-en-e-mailhosting

Het bewaren van logfiles ten aanzien van de bewaarplicht is dan ook niet nodig.

http://www.rijksoverheid.nl/onderwerpen/telecomwet-en-regelgeving/bewaarplicht-gegevens-telecommunicatie#anker-bewaren-logbestanden-bij-webhosting-en-e-mailhosting

Het bewaren van logfiles ten aanzien van de bewaarplicht is dan ook niet nodig.

Kopje verder.



Gegevens over verstuurde e-mail door hostingaanbieders
Vallen de gegevens (niet de inhoud) gegenereerd bij het versturen van een e-mail door hostingaanbieders onder de bewaarplicht?

Indien de host, naast het hosten van websites zelf gebruik maakt van een mailserver en daarmee volgens de definitie van de Telecommunicatiewet openbare e-maildiensten aanbiedt apart of als onderdeel van zijn hostingservices, dan wordt de host gezien als een aanbieder in zin van de Telecommunicatiewet. In dat geval vallen de verkeersgegevens van deze e-mail onder de bewaarplicht bij de e-mailaanbieder.

Als de host alleen websites host, waarbij het transport wordt overgelaten aan andere marktpartijen, dan wordt de host niet aangemerkt als aanbieder in de zin van de Telecommunicatiewet. De verplichting om te bewaren rust dan niet op de host, maar op de marktpartij waar de host zijn aansluiting op een openbaar elektronisch netwerk afneemt.


Alleen als je aan een besloten groep klanten levert i.p.v. publiekelijk je diensten aanbied, val je er niet onder.
En ook dat is twijfelachtig (denk aan OPTA vs Surfnet).

Kopje verder.



Alleen als je aan een besloten groep klanten levert i.p.v. publiekelijk je diensten aanbied, val je er niet onder.
En ook dat is twijfelachtig (denk aan OPTA vs Surfnet).

Kwestie van e-mail laten verzenden via de provider ;)
Maar goed, dat betekent dus dat het bijhouden van logs van ontvangen e-mail en http verkeer dus niet nodig is, zoals hier min of meer geimpliceerd wordt.

Aan de andere kant, wat is een besloten groep? Ik bepaal immers zelf wie ik aan neem als klant. (ik bedoel het natuurlijk niet zo als het klinkt ;), het gaat om het idee )

Kwestie van e-mail laten verzenden via de provider ;)
Maar goed, dat betekent dus dat het bijhouden van logs van ontvangen e-mail en http verkeer dus niet nodig is, zoals hier min of meer geimpliceerd wordt.

Aan de andere kant, wat is een besloten groep? Ik bepaal immers zelf wie ik aan neem als klant. (ik bedoel het natuurlijk niet zo als het klinkt ;), het gaat om het idee )

Als ik jouw redenering dan even door trek en je enkel e-mail via provider laat verzenden dat je dan ook geen mail scripts in php/perl/... op je server mag hebben en ook geen webmail, lijkt me dus niet echt praktisch te noemen.

Wat ik niet goed snap is dat er in die teksten steeds Telecommunicatiewet staat, maar als ik even logisch redeneer en wat opzoek kan men pas spreken van een telecommunicatie bedrijf als deze aangesloten is bij de OPTA. Dus zou dit eigenlijk willen zeggen dat ieder hosting bedrijf bij de OPTA zou moeten aangesloten zijn, ik denk dat ze zelf niet goed weten wat ze willen met die wetgeving. Om het dan nog maar niet over de privacy wetgeving te hebben, want wie kan er garanderen dat die informatie niet publiek gemaakt kan/zal worden zonder inbreuk te plegen op klanten hun privacy.

In de wet wordt de term mailserver gebruikt, een webserver is m.i. geen mailserver.

Maar goed, dat betekent dus dat het bijhouden van logs van ontvangen e-mail en http verkeer dus niet nodig is, zoals hier min of meer geimpliceerd wordt.


HTTP verkeer niet.
Alles wat met e-mail te maken heeft wel.

http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/richtlijnen/2010/12/21/toelichting-bewaring-gegevens-internet/toelichting-bewaring-gegevens-internet.pdf

Wordt zowel SMTP/POP3/IMAP, het inloggen op webmail, als de communicatie tussen mailservers (MTA-MTA) genoemd.


Tevens moet je de historische NAW gegevens van de klant bewaren, maar die heb je waarschijnlijk toch al voor je boekhouding.
(tenzij je een brak pakket als WHMCS of Hostbill gebruikt, waarbij ook de oude facturen aangepast worden op het moment dat de klant een wijziging doorgeeft).




Wat ik niet goed snap is dat er in die teksten steeds Telecommunicatiewet staat, maar als ik even logisch redeneer en wat opzoek kan men pas spreken van een telecommunicatie bedrijf als deze aangesloten is bij de OPTA. Dus zou dit eigenlijk willen zeggen dat ieder hosting bedrijf bij de OPTA zou moeten aangesloten zijn.

Bingo

Op dat gevaar heb ik in het verleden ook al eens gewezen.
Doordat we nu officieel in het hokje telecom dientaanbieder worden gestopt, zou men ons ook aan alle andere voorwaarden van de telecomwet kunnen gaan houden, denk aan:

- bewaarplicht
- registratie en handhavingskosten OPTA
- aftapverplichting
- uploaden van al je klantgegevens naar het CIOT.
etc.


Of de instanties nu daadwerkelijk zin hebben om toezicht te gaan houden op duizenden "zolderkamerhosters" is natuurlijk maar de vraag. Maar de regelgeving is er.

Of de instanties nu daadwerkelijk zin hebben om toezicht te gaan houden op duizenden "zolderkamerhosters" is natuurlijk maar de vraag. Maar de regelgeving is er.

Het zou natuurlijk ook direct de zolderkamer hosts kunnen stoppen en afschrikken moest het verplicht worden om in Nederland als hoster aangesloten te moeten zijn bij de OPTA met alle voor en nadelen (verplichtingen). Misschien een goede tegenhanger zoals we in Belgie de verplichting kennen om eerst bedrijfbeheer te moeten hebben voor je zelfstandig kunt beginnen.

Maar wat ik me dan nog afvraag aan deze wet waar zijn de bepalingen over het hoe en wat, zijn enkel Nederlandse bedrijven dit verplicht binnen Nederland, zijn alle bedrijven (ook buitenlanse) dit verplicht binnen Nederland. Dus ook Belgische, Franse, Duitse, ... hosters die hun servers in een Nederlands datacenter hebben staan, of ben je het dan niet verplicht als Nederlands bedrijf als je servers buiten Nederland staan. Of laten we even een stap verder gaan en ben je dan verplicht als transit provider om enkel je routers te loggen die fysiek in Nederland staan of ook alles wat over je vlan's, mpls, ... gaat ontvangen/zenden buiten Nederland. Want denk eerlijk gezegd niet dat bedrijven als google, microsoft etc zich hier iets van gaan aantrekken en gewoon hun goesting doen zoals ze nu al doen.

Want denk eerlijk gezegd niet dat bedrijven als google, microsoft etc zich hier iets van gaan aantrekken en gewoon hun goesting doen zoals ze nu al doen.

Denk eerder dat juist die zich braaf aan zowel de regels van het thuisland, als de regels van het land waar de apparatuur staat zullen houden.


En ja, dat is een probleem als die tegenstrijdig zijn.
Microsoft ligt momenteel onder vuur omdat ze eerlijk toegeven de Amerikaanse authoriteiten desgewenst toegang te zullen verschaffen tot de gegevens van klanten van hun Europeese cloud.

http://www.pcworld.com/article/235041/eu_upset_by_microsoft_warning_about_us_access_to_e u_cloud.html

Het bewaren van logfiles ten aanzien van de bewaarplicht is dan ook niet nodig.

Dat is waar, maar ik vindt het een fijner gevoel om ze achter de hand te hebben. Naar mate van tijd worden ze toch verwijderd en die paar 100 MB staan mij niet in de weg.

Dat is waar, maar ik vindt het een fijner gevoel om ze achter de hand te hebben. Naar mate van tijd worden ze toch verwijderd en die paar 100 MB staan mij niet in de weg.

Bedoel je dan 100MB per dag/week/maand, want dat is natuurlijk ook doorslaggevend voor de oplossing die je kiest.

Om dan nog maar even een voordeel van syslog servers op te noemen, als je server die je enkel lokaal logt om wat voor reden in read-only gaat heb je ook geen logs meer. Wanneer je deze dan ook nog naar een syslog server laat verzenden logt hij leuk verder en kun je soms problemen achterhalen die anders niet mogelijk waren. Of een stapje verder wanneer de lokale logs om wat voor reden (hacker, per ongeluk, klant fout) gedelete/aangepast worden heb je nog steeds de gegevens op de syslog server staan. En ja een hacker kan bvb de syslog.conf aanpassen zodat deze niet meer naar de syslog server schrijf, maar hij kan niet meer deleten wat al gelogd is in tegen stelling tot lokale logs. Hoe je het ook draait of keert, als je lokale logs backup via een cron kan er altijd een periode ontstaan dat je dataverlies hebt tussen de tijd van je 2 crontabs (door eender welke reden).