Wie is er verantwoordelijk voor de informatietechniek? Aernout Schmidt Hoogleraar Recht en Informatica, Centrum voor Recht in de Informatiemaatschappij, Universiteit Leiden
Wie Dirk Bogarde heeft gezien in The Servant van Joseh Losey, beseft hoe een dienaar zich in het bestaan kan binnendringen om de zeggenschap uiteindelijk vrijwel volledig over te nemen. Het verschijnsel kan moeiteloos worden herkend in informatietechnische omgevingen, waar de dienstverlening zich soms van slaaf tot meester lijkt op te werken. De informatietechniek (ICT) blijkt over een bijzondere eigenschap te beschikken: zich overal te nestelen, onmisbaar te maken en daardoor ook invloed te krijgen op het eigenlijke werk. Iets als een mechanisch en overbemand secretariaat dat voortdurend over uw schouder meekijkt, overal formulieren voor heeft en steeds vaker en dwingender suggesties doet over de wijzen waarop het werk beter kan worden gedaan, ook in de advocatenpraktijk.1 Advocaten hebben zelden belangstelling voor de werking van de ICT. Intussen is ICT alomtegenwoordig. We zijn geneigd de techniek vergaand over te laten aan specialisten. Zijn daar risico’s aan verbonden, en wat kunnen we daar tegen doen?
1
Onder meer in rol- en urenadministraties, in dossier- en archiefvorming, als instrument voor de fiscale en overige bedrijfsverantwoording, in alle vormen van communicatie (als e-mail, voice over IP), bij netwerkvorming, bij relatiebeheer, bij marketing en ten slotte bij kennisontsluiting en
Autonome ICT? Een goed functionerend secretariaat is gevoelig voor de procedures en de ondersteuning die er voor u toe doen. Anders dan ICT-ondersteuning wordt die samenwerking voortdurend gestuurd via mondelinge terugkoppeling zodat de kwaliteit ervan in de ervaring groeit. Een goed functionerend secretariaat weet dan ook wanneer het u met rust moet laten en wanneer u door anderen met rust gelaten moet worden. En – ook anders dan bij ICT-ondersteuning – u bent verantwoordelijk voor wat het secretariaat doet. U kunt dat ook zijn, omdat de taken en bevoegdheden zijn verdeeld, omdat u elkaars kwaliteiten kent en omdat u de uitgaande post tekent. Inmiddels heeft ICT zich bij en tussen u en het secretariaat gevoegd om daar een ondersteunende én administrerende functie te vervullen, ook in de sturende bete-
-beheer.
37
ADVOCATENDOSSIER 17
kenis van het woord. Voorzover ICT taken heeft overgenomen van het secretariaat leidt dat tot verandering: mondelinge terugkoppeling naar ICT heeft doorgaans weinig effect, de digitale agenda reserveert zelden momenten voor reflectie of verdieping en sommige juristen voelen zich zo weinig verantwoordelijk voor ICT-ondersteuning, dat ze aftandse personal computers als oud vuil op straat zetten. Policies naar desktop ‘ICT’ kan van alles betekenen. Ik noem de ICT die ik bedoel in het vervolg de ‘desktop’, en hiermee doel ik op het hele samenstel van informatiseringsdienstverleners, netwerkbeheerders, computerprogramma’s en computers dat u bij uw werk achter uw bureau ondersteunt en u in toenemende mate in zijn greep lijkt te krijgen. Het gaat me hier niet om de emoties die dat oproept (en die de impuls zouden kunnen zijn om een remake van The Servant te maken en die The Desktop te noemen). Advocaten en consultants klonteren samen in megakantoren, kantongerechten zijn onderdeel van arrondissementsgerechten geworden, het OM en de rechtspraak worstelen met behoud van individuele onafhankelijkheid onder de hoede van het College van PG’s en de Raad voor de Rechtspraak. Daar duiken overal policies op. En die policies lenen zich er bij uitstek voor om in de vorm van diensten naar uw desktop te worden overgeheveld en u in uw werk te sturen.
2
Hier is geen plaats om de navolgende typering (die is gebaseerd op het werk van Douglas en Wildavski, Risk and Culture, University of California Press 1982) nader te verantwoorden.
Desktopdiensten De desktop wordt niet alleen ervaren als een ding dat autonomie en creativiteit inperkt, er zijn ook desktopdiensten die algemeen enthousiasme oproepen. De beoordeling van een dienst op de desktop hangt samen met het karakter ervan, met de verwachting die we ervan hebben en de mate waarin we de policy aanvaarden die de dienst oplegt. Elk instrument dat u via uw desktop kunt gebruiken heeft vier relevante eigenschappen:2 zowel economische, bestuurlijke, individuele, als collectieve karaktertrekken. Tezamen bepalen ze het karakter van een instrument. Soms overheerst één van die karakteristieken zo sterk, dat het instrument (of de daarin verwezenlijkte policy) erdoor wordt getypeerd. De voornaamste karaktertrek van economische instrumenten is dat ze u ondersteunen om uw werk doelmatiger te doen, door een resultaat aan te bieden. Rekenprogramma’s zijn de oudste elementen van de desktop – die zijn voornamelijk economisch, bijvoorbeeld programma’s die hulpberekeningen uitvoeren voor alimentaties. Ook de dienst die vertelt hoeveel declarabele uren u dit jaar kunt noteren, heeft een (deels) economisch karakter. Economische instrumenten zijn aanvaarbaarder, naarmate ze tijd besparen en vertrouwenwekkende resultaten opleveren op basis van een (reken)model dat u aanvaardt.
38
Wie is er verantwoordelijk voor de informatietechniek?
Bestuurlijke instrumenten ondersteunen de uitvoering van werk binnen de geldende formele kaders (juridische én administratieve) – bijvoorbeeld programma’s voor administratie en beheer. Naarmate er meer economische instrumenten worden ingezet om transacties te ondersteunen, kan het gebruik ervan worden geregistreerd en bewerkt teneinde beelden te krijgen die van belang zijn voor beleidsvorming en handhaving. De mate waarin u de achterliggende bevoegdheidsverdeling aanvaardt, tezamen met de mate waarin uw privacy bij het gebruik ervan wordt geëerbiedigd én de mate waarin de interpretatie die van hogerhand aan de geadministreerde gegevens wordt gegeven beter klopt, spelen een rol bij de aanvaardbaarheid van de bestuurlijke karaktertrek. De eigenschap dat élk desktopinstrument bestuurlijke trekken kan hebben of heeft, kan voeding geven aan vergaande managementbemoeienis. Individuele instrumenten ondersteunen bij het verwezenlijken van uw individuele kwaliteiten – bijvoorbeeld tekstverwerkers, tekenprogramma’s en programma’s die ondersteunen bij het componeren zijn hier voorbeelden van. Gebruiksgemak, betrouwbaarheid en de resterende ruimte voor autonomie zijn hier de belangrijkste criteria. Collectieve instrumenten ondersteunen bij bundeling van krachten ter verwezenlijken van collectieve, hogere doelen, die ook nog eens moeilijk meetbaar zijn – zoekmachines en Wiki’s3 hebben deze karaktertrek in sterke mate,4 systemen voor kennisbeheer eveneens. Collectieve instrumenten zijn pas sinds het algemeen worden van de internetinfrastructuur en het Web mogelijk geworden (Google is van 1998, de Wikipedia is van 2001) en zijn zeer recent beschikbaar gekomen voor bedrijfsvoering.5 Er zijn, in algemene termen, steeds een redactiefunctie, een aanbiedersfunctie en een gebruiksfunctie. Collectieve instrumenten zijn meer aanvaardbaar naarmate aanbieders (in Google: gevonden worden) én gebruikers (in Google: vinden) voordeel ervaren bij hun inspanningen. Dat verklaart ook waarom succesvol kennismanagement in de (vanouds professionele) advocatenpraktijk een culturele omwenteling vergt – een omwenteling die thans gaande is, naar ik meen.
3
Denk ook aan eBay of Marktplaats. Wellicht ten overvloede: Wiki’s zijn plaatsen op internet waar gezamenlijk wordt gewerkt aan informatieverzamelingen. Een indrukwekkend voorbeeld is de Engelse Wikipedia (http://en.wikipedia.org), een collectieve encyclopedie die zich qua omvang en kwaliteit kan meten met de Encyclopedia Brittannica.
4
Er is een groot aantal succesvolle collectieve instrumenten waarvan het merendeel vooralsnog in de informatica zelf wordt gebruikt (open source projec-
Outsourcing Desktopdiensten worden meestal besteld, ontworpen, gebouwd, beheerd, onderhouden en beschikbaar gesteld door anderen. Daarmee zijn vormen van vervreemding verbonden: de desktopdienst kan anders werken dan u gewoon was en als iets niet werkt, of niet naar uw zin, moet u in onderhandeling met specialisten die aan de dienst kunnen en mogen prutsen. De specialismen van die specialisten behoren doorgaans niet tot de kerntaken van een advocatenkantoor en worden daarom vaak uitbesteed of geoutsourcet. Outsourcing komt in alle sectoren voor en vraagt om juridische begeleiding, maar daarover wil ik het hier niet hebben.6 Wat is de resterende kerncompetentie? Schandalen als die bij WorldCom, Enron, Ahold en Parmelat hebben ertoe geleid dat het toezicht op de gegevensverwer-
ten). We weten er eigenlijk vanuit maatschappelijk gezichtspunt nog maar weinig van – economen weten er vaak maar moeilijk raad mee en soms leiden ze tot massale auteursrechtinbreuk (KaZaA). 5
Zie bijvoorbeeld: Matthew Parsons, Effective Knowledge
Managemet for Law Firms, Oxford University Press 2004.
6
Zie voor een checklist-achtige benadering van dergelijke begeleiding F.S.N. Mason e.a.,
Outsourcing, Alphen aan den Rijn : Adformatie Groep, 2002.
39
ADVOCATENDOSSIER 17
7
Zie voor een toegankelijke verhandeling daarover: Bruce Schneier, Secrets and Lies,
king van Amerikaanse beursgenoteerde bedrijven in de laatste jaren zeer sterk is verbeterd. Door de Sarbanes-Oxley wet van 2002 is een nieuwe praktijk ontstaan van toezicht op bedrijfsgegevensverwerking. Daarvan kunnen misschien ook Nederlandse advocatenkantoren iets opsteken. Dienen de verantwoordelijken voor outsourcing van desktopdiensten van advocatenkantoren persoonlijk garant te staan voor de kwaliteit van de gegevensverwerking ten behoeve van hun klanten? En geldt dat ook voor de rapportage over de procedures die daartoe intern worden ingesteld, gebruikt en gehandhaafd? Bevestigend antwoorden zou inhouden dat in ieder geval de expertise die nodig is om genoemde verantwoordelijkheid te kunnen nemen, behoort tot de kernactiviteit van advocatenkantoren. Het gewicht van de risico’s (die samenhangen met sterk asymmetrische kennisverdelingen, met vertrouwen dat kan worden beschaamd en met interne en externe gevaren die een kans krijgen door ontoereikende beveiliging)7 is afhankelijk van het karakter van desktopdiensten.
John Wiley & Sons, 2000
R i s i c o ’s v a n e - m a i l Het karakter van de e-maildienst op uw desktop is gemengd. De dienst is individueel, in die zin, dat hij geen beperkingen oplegt bij het formuleren van berichten, en vermoedelijk ook niet bij het ontvangen ervan (al kunnen spam-filters soms foutjes maken). Opmerkelijk is dat het vaak mogelijk is om een afschrift van uw zakelijke e-mailverkeer naar uw pc te downloaden en daar lokaal te archiveren. De dienst heeft ook een inmiddels vanzelfsprekend geworden economische kant: de berichtenuitwisseling gaat aanmerkelijk sneller en goedkoper dan met papierpost. Bestuurlijk is er van alles mogelijk: uw e-mailverkeer kan binnen (en buiten) uw bedrijf worden geadministreerd en gearchiveerd ten behoeve van alle mogelijke vormen van beheer en toezicht. Deze bestuurlijke kant van uw e-maildienst, waar gebruik wordt gemaakt van centrale archieven en adresboeken, bevat vermoedelijk een grote hoeveelheid bedrijfskritische informatie. Het e-mail instrument kent risico’s vanwege de grote bedrijfskritische verzamelingen met berichten – zowel centraal als decentraal, op de pc’s en laptops van individuele gebruikers. Die risico’s vragen om een professionele aanpak, en daarmee (in veel gevallen) om outsourcing.
8
Via outsourcing elders ondergebracht.
40
Ongeveer een jaar geleden werd ik gebeld door iemand die me vroeg waarom ik zo de pest aan hem had dat ik hem bestookte met beledigende e-mailberichten. Toen bleek dat een onverlaat de facultaire e-maildienst8 had gehackt en gebruikt om willekeurige beledigende berichten onder gestolen identiteiten te verzenden, aan willekeurige contactpersonen uit de verzameling e-mailadressen die in onze adresbestanden waren gevonden. Vervelend, maar vervelender, wanneer het een advocatenkantoor overkomt, en nóg vervelender wanneer daarbij de vertrouwelijke zakelijke berichten uit de kantoormailbox de wereld in worden gestuurd.
Wie is er verantwoordelijk voor de informatietechniek?
Juridisch is het niet ingewikkeld: de onverlaat is strafbaar, en de schade kan op hem worden verhaald. Maar wie weet of de onverlaat kan worden gevonden, en of hij de vermogensschade (die de waarde van uw goodwill vermoedelijk zal overstijgen) zal kunnen opbrengen? K e n n i s v a n r i s i c o ’s e n a l t e r n a t i e v e n Helpt het om uw e-maildiensten te outsourcen? Dat hangt ervan af. Dat zal immers niet gaan zonder stevige exoneratieclausules, zodat u voor schadevergoeding grotendeels blijft aangewezen op de dader. Eigenlijk wilt u het risico dat u een dergelijke ramp overkomt zo klein mogelijk houden. En het overlaten van specialistenwerk aan specialisten is natuurlijk een voor de hand liggend en in wezen gezond idee. Maar wel onder die voorwaarde dat u voldoende kennis in huis houdt om te kunnen beoordelen of die risico’s voldoende klein worden gehouden. Welke die kennis is, is voorwerp van discussie. Het merendeel van het vertrouwelijke en zakelijke e-mailverkeer van kleine en grote bedrijven gaat ‘open’ over het net en kan door elke router die dat verkeer doorgeeft, worden gelezen. Sniffen wordt dat genoemd, en er zijn gratis programmaatjes voor. Er zijn goede alternatieven voor dit open e-mailverkeer. Zorg dat u de mogelijkheden kent zodat, wanneer u meent dat het zin heeft ze te gebruiken, u kunt bevorderen dat ze worden verwezenlijkt.9
9
We overwegen het opzetten van een postacademische opleiding ten behoeve van juristen, die hen tevens steunt verantwoordelijk te blijven voor desktopdiensten die ze aan specialisten overlaten. Reacties over de vraag hoe het curriculum moet worden ingericht zijn welkom.
41