HET RECHT VERSUS DE MUUR drs. M.D. van Hoorn
De discussie over regulering van het internet – een kritische bespreking van Lessigs
Code
and
other
laws
of
cyberspace.
Afstudeerscriptie in het kader van de studie Recht & ICT aan de Faculteit Rechtsgeleerdheid van de Rijksuniversiteit Groningen. Maart 2009. Begeleider: mr. dr. J.J. Dijkstra
INLEIDING
3
1. HET INTERNET IS NIET ONREGULEERBAAR
6
1.1. INLEIDING 1.2. DE AARD VAN HET INTERNET 1.3. DE WENS OM TE REGULEREN 1.4. HET INTERNET IS TE REGULEREN 1.5. DE VERSCHUIVING NAAR EEN REGULEERBAAR INTERNET 1.6. EEN VOORBEELD VAN REGULERING VAN HET INTERNET DOOR DE OVERHEID 1.7. RESUMÉ
6 7 8 10 11 13 14
2. HET INTERNET WORDT GEREGULEERD DOOR ‘CODE’
16
2.1. INLEIDING 2.1. INTERNET OF CYBERSPACE? 2.2. DE MODALITEITEN OM TE REGULEREN 2.3. EEN CONCRETE UITWERKING VAN DE REGULERENDE MODALITEITEN 2.4. ARCHITECTUUR EN ‘CODE’ 2.5. RESUMÉ
16 17 19 21 22 24
3. ‘CODE IS LAW’
26
3.1. INLEIDING 3.2. DE UITWISSELBAARHEID VAN DE MODALITEITEN EN “CODE IS LAW” 3.3. VERSCHUIVING VAN MACHT 3.4. OPEN SOURCE VERSUS CLOSED SOURCE SOFTWARE 3.5. RESUMÉ
26 27 31 32 37
4. EEN NEDERLANDSE CASUS: HET LANDELIJK EPD
39
4.1. INLEIDING 4.2. LANDELIJK ELEKTRONISCH PATIËNTENDOSSIER 4.3. BEROEPSGEHEIM EN PRIVACY: JURIDISCHE DILEMMA’S VAN HET EPD 4.4. REGULERING DOOR HET RECHT 4.5. REGULERING DOOR DE ARCHITECTUUR 4.6. RESUMÉ
39 40 41 44 46 48
CONCLUSIE
51
BRONNENLIJST
55
2
Inleiding Het internet is een belangrijk onderdeel van onze maatschappij. Bijna iedereen maakt gebruik van het internet. Informatietechnologie raakt steeds verder verweven in onze samenleving. De vraag kan dan gesteld worden in hoeverre het internet, net zoals andere onderdelen van de maatschappij, zou moeten worden gereguleerd door wet en regelgeving. Reeds in de beginjaren van het internet ontstond de (internationale) discussie over regulering van het gebruik van het internet. Is het wenselijk het internet te reguleren? Kan het internet gereguleerd worden? Op welke manieren kunnen we het internet reguleren? Welke partijen hebben een rol in de regulering van het internet en wie is verantwoordelijk voor de regulering? Veel wetenschappers hebben zich bezig gehouden met de vraag óf en hoe het internet gereguleerd kan worden. Een invloedrijke oplossing werd in 1998 aangedragen door Joel Reidenberg. Hij formuleerde in zijn artikel Governing networks and rulemaking in Cyberspace zijn idee voor een zogenoemde Lex Informatica. 1 Dit idee is gebaseerd op de Middeleeuwse Lex Mercatoria. De Lex Mercatoria was een stelsel van regels, opgesteld door in Europa rondtrekkende handelaren. Zij brachten hun eigen recht mee, waarbij zij afspraken dat het voorrang had op het plaatselijk geldende recht. Bijzonder aan de Lex Mercatoria was het feit dat de wet spontaan ontstaan was en dat de burgers zelf verantwoordelijk waren voor handhaving van de wet. De toepassing van de wet gebeurde geheel vrijwillig. Bovendien had de wet een grensoverschrijdende werking. De Lex Mercatoria was een vorm van zelfregulering, die zowel onder kopers als verkopers zekerheid en stabiliteit bracht. De Lex Informatica van Joel Reidenberg is op het idee van de Lex Mercatoria gebaseerd. Volgens Reidenberg kan er zekerheid en stabiliteit op het internet komen, wanneer de gebruikers van het internet zelf een wet zouden creëren, die overal op het internet zou gelden en die vrijwillig toegepast en gehandhaafd zou worden: “for the information infrastructure, default ground rules are just as essential for participants in the Information Society as Lex Mercatoria was to merchants hundreds of years ago.”2 In de praktijk ziet hij dit voor zich als een set van regels die van toepassing is op het internet, en die wordt gehandhaafd door de technologie zelf. Iemand die voortgebouwd heeft op Reidenbergs theorie is hoogleraar Staatsrecht en Informaticarecht aan de Stanford Law School, Lawrence Lessig.3 Lessig is één van de oprichters van de Free Software Foundation, de Electronic Frontier Foundation en de Creative Commons. 4 Zijn publicatie die het meeste aansluit bij Reidenberg’s ideeën is het 1
Reidenberg 1998. Reidenberg 1998, p. 553. 3 Edwards 2006. 4 Voor meer details en al zijn publicaties zie Lessigs biografie op www.lessig.org/info/bio 2
3
in 1999 verschenen boek Code and other laws of cyberspace.5 In dit boek beargumenteert Lessig dat het internet, in tegenstelling tot wat sommigen beweren, wel degelijk gereguleerd kan worden, en dat regulering van het internet een goede zaak zou zijn. Volgens Lessig kan het internet worden gereguleerd door een viertal modaliteiten, te weten: •
Het recht
•
De markt
•
Sociale normen
•
De architectuur van zaken
Het recht is de meest voor de hand liggende methode om het internet te reguleren. Maar het recht alleen is niet sterk genoeg om deze klus te klaren. Hulp wordt geboden door de regulerende werking van de markt, en van sociale normen. Maar volgens Lessig is de belangrijkste regulerende kracht op het internet de architectuur van het internet zelf. De architectuur moet gezien worden als een menselijk bouwsel, zoals een muur, die het onmogelijk maakt te zien en te horen wat er aan de andere zijde gebeurt. Deze architectuur – wat hij noemt “code” – kan een plek van volledige vrijheid creëren, maar ook een plek van ultieme controle. Wat het internet uiteindelijk is, ligt geheel in onze handen. De code hoeft niet te zijn zoals die nu is. We kunnen de code redelijk eenvoudig opnieuw maken en het internet opnieuw vormgeven. Van belang daarbij is dat we goed nadenken over de waarden die we een dergelijk nieuw internet zouden willen meegeven, wie de waarden vaststelt en wie die waarden moet handhaven en controleren. Vanwege de sterke regulerende werking van de code, die, als we het over de regulering van het internet hebben, zelfs sterker lijkt te zijn dan het recht, durft Lessig in zijn boek een veel bediscussieerde stelling te introduceren: “Code is law”. Deze scriptie is bedoeld als analyserend en kritisch onderzoek naar Lessigs achterliggende theorie voor deze ‘gewaagde’ stelling. De stelling valt eigenlijk uiteen in drie deelstellingen:6 1.
Het internet is niet onreguleerbaar.
2. Het internet wordt gereguleerd door vier modaliteiten. 3. Code is de sterkste regulerende modaliteit op het internet. Deze drie substellingen worden in de eerste drie hoofdstukken van deze scriptie besproken. Daarbij is Lessigs theorie als uitgangspunt gebruikt, en zijn, indien mogelijk
Lessig 1999. In 2007 verscheen een geactualiseerde druk: Code v 2.0. Voor deze scriptie is voornamelijk gebruik gemaakt van deze laatste druk van het boek. 6 Hetcher geeft maar liefst 13 deelstellingen: “The net was unregulable; Libertarians believe the Internet is unregulable by nature; The internet is regulable; Libertarians hold a faulty conception regarding the nature of the Internet; Code is the most important regulator of the Internet; The Internet embodies values; Liberty is an important value that ought to be respected and promoted; There is an inverse correlation between regulability and liberty; The Internet is diminishing in its capability to promote liberty; The trend toward increased regulability of the Internet ought to be reversed; Open source code is less regulable than closed (proprietary) code; Open source code ought to be promoted; We need an Internet constitution.” Zie Hetcher 2000, p. 1921. 5
4
en nodig, ook andere, conflicterende meningen weergegeven. Omdat ik van mening ben dat zijn theorie zeker wel hout snijdt, maar dat de stelling dat code recht is toch wat ver gaat, heb ik gekozen voor de titel “het recht versus de muur”. Ik heb geprobeerd zo veel mogelijk Lessigs theorie te concretiseren in de vorm van voorbeelden. In het laatste hoofdstuk worden de theorie, de stellingen en de waarschuwingen en adviezen van Lessig met betrekking tot regulering door middel van het recht en door middel van code samengevoegd in een actuele, Nederlandse casus: de invoering van het landelijk Elektronisch Patiënten Dossier. Door middel van deze uitgewerkte casus hoop ik duidelijk te kunnen maken wat het belang is van Lessigs theorie en wat de problemen zijn die spelen binnen het onderwerp van regulering van het internet.
5
1 Het internet is niet onreguleerbaar 1.1. Inleiding In de beginjaren van het internet gold de consensus dat het internet niet gereguleerd kon worden. Dit standpunt werd met name door de Amerikaanse aanhangers van het libertarisme verkondigd. Het libertarisme is een politiek-filosofische stroming die vrijheid hoog in het vaandel heeft staan. De libertarianen voeren als belangrijkste standpunt dat deze vrijheid enkel bereikt kan worden wanneer de overheid zich zo min mogelijk met het leven van haar burgers bemoeit.7 De stroming ontstond na de Tweede Wereldoorlog, naar aanleiding van veel onvrede over het handelen van de overheid. 8 Er zijn duidelijke raakvlakken met zowel het liberalisme als het anarchisme, maar het libertarisme gaat niet zo ver te zeggen dat overheidsbemoeienis in alle aspecten van de maatschappij uitgesloten moet worden. De opkomst van het nieuwe medium internet zorgde voor vele nieuwe aanhangers van het libertarisme. Het nieuwe medium was in haar beginjaren nog vrij van overheidsbemoeienis, en de nieuwe libertarianen waren van mening dat dat zo moest blijven. Alleen dan zou vrije verspreiding van ideeën via het internet mogelijk zijn. Pogingen van overheden om het internet toch te reguleren, zouden zeker falen: het internet was onreguleerbaar. 9 John Perry Barlow is een voornaam aanhanger van dit libertarisme. Het volgende fragment uit zijn onafhankelijkheidsverklaring geeft duidelijk het standpunt van de libertarianen met betrekking tot het internet weer: het internet hoort vrij te zijn, vrij van overheidsbemoeienis. “Governments of the Industrial World, you weary giants of flesh and steel, I come from Cyberspace, the new home of Mind. On behalf of the future, I ask you of the past to leave us alone. You are not welcome among us. You have no sovereignty where we gather. We have no elected government, nor are we likely to have one, so I address you with no greater authority than that with which liberty itself always speaks. I declare the global social space we are building to be naturally independent of the tyrannies
Lessig 2007, p 2. Hamowy 2008. 9 Lessig 2007, p. 35 e.v. 7
8
6
you seek to impose on us. You have no moral right to rule us nor do you possess any methods of enforcement we have true reason to fear.”10 In de titel van dit hoofdstuk zit een dubbele ontkenning: het internet is niet onreguleerbaar. Deze is niet voor niets gekozen. De libertarianen zijn van mening dat het internet onreguleerbaar is. Dit hoofdstuk gaat nader in op Lessigs ontkenning van deze stelling: het internet is niet onreguleerbaar. Hij onderbouwt zijn standpunt door nader in te gaan op de aard van het internet. Die is van plastic, en het internet hoeft niet blijven wat het nu is. 11 We kunnen het internet aanpassen aan onze normen en wensen. Bovendien bestaat er een sterke wens om het internet te reguleren. Volgens Lessig is er dan ook sprake van een verschuiving in de richting van een reguleerbaar internet. Dit hoofdstuk houdt de volgorde van Lessigs redenering aan bij de bespreking van zijn standpunt.
1.2. De aard van het internet Volgens de libertarianen is het in de aard van het internet gelegen dat het internet onreguleerbaar is. In de werkelijke wereld is het haast onmogelijk om anoniem te zijn en ongezien te leven. In elke winkel waar we komen, worden we ‘gezien’. Op het internet kunnen we ‘zonder gezicht’ winkelen. Het internet is zó ontworpen dat anonimiteit de standaard lijkt te zijn. Iedere internetgebruiker kan zich ongezien op het internet voortbewegen. Of zoals het onderschrift van een bekende afbeelding van Peter Steiner luidt: “On the internet, nobody knows you’re a dog”. 12 Deze anonimiteit maakt het internet bijzonder lastig te reguleren. Volgens sommigen is dat een ‘feature’, een positief kenmerk van het internet; volgens anderen is er sprake van een ‘bug’, een imperfectie. Het internet werd in haar eerste vorm ontwikkeld in de jaren ’60 van de vorige eeuw als een project van het Amerikaanse leger.13 Het ARPANET (Advanced Research Projects Agency Network), zoals dat eerste netwerk heette, was een veilig en betrouwbaar communicatiemiddel. De ontwikkeling van de technologie die TCP/IP (Transmission Control Protocol / Internet Protocol) wordt genoemd, maakte het sinds 1977 mogelijk dat andere netwerken aan het ARPANET gekoppeld werden. Dit nieuwe geheel van netwerken kreeg de naam Internet: ‘interconnected network’. De wetenschappelijke wereld zag als snel de voordelen van het gebruik van TCP/IP in, en nam de technologie over voor haar eigen NSF network (National Science Foundation network). 14 Het
Barlow 1996. Barlow schreef de verklaring in 1996 naar aanleiding van het tot wet worden van de Amerikaanse Telecommunicatie Act, welke overheidsbemoeienis toestond op het internet en een einde maakte aan een ongecontroleerd en ongereguleerd internet in Amerika. 11 Grimmelmann 2005, p. 1730. 12 Steiner 1993. 13 Langford 2000, p.13. 14 Langford 2007, p. 25. 10
7
communicatiemiddel dat hiermee ontwikkeld werd, was bedoeld om gegevens en bestanden uit te wisselen tussen computers wereldwijd. Meer maakte de technologie nog niet mogelijk. Het internet was zo eenvoudig mogelijk gehouden, om de werking van het communicatiemiddel te kunnen garanderen. Langzaamaan breidde dit netwerk zich steeds verder uit, ook toen in de jaren negentig ARPANET ophield met bestaan. In 1990 waren er al twee miljoen gebruikers van het internet, in 1995 bijna 6 miljoen, in 2000 ruim 350 miljoen en in 2008 bijna 6,7 miljard.15 Toen men de betekenis van dit netwerk ging inzien en het in de jaren negentig van de vorige eeuw langzaamaan voor de gehele wereld beschikbaar stelde, bleef de onderliggende techniek nagenoeg hetzelfde. Door een gebrek aan centrale controle, de onmogelijkheid om de stroom van informatie te controleren, de mogelijkheden van encryptie om meeluisteren te voorkomen, het wereldwijde en grenzeloze karakter van het internet, en de onbekendheid van de overheden met de nieuwe technologie, werd het echter steeds lastiger om te identificeren wat voor gegevens verstuurd werden, waar de gegevens vandaan kwamen, en wie de gegevens verstuurde. Daardoor was het onmogelijk de vraag “wie doet wat waar” te beantwoorden.16 En omdat die vraag niet of nauwelijks beantwoord kon worden, was het bijzonder lastig om ongewenst gedrag op het internet te reguleren. Zelfs het achterhalen van het IP adres, dat uniek is voor iedere computer, werkte niet naadloos: een IP adres geeft alleen aan vanaf welke computer gegevens verzonden zijn, het wijst geen individuele gebruiker aan. Misbruik van een IP adres is redelijk eenvoudig, en dat maakt het IP adres geen betrouwbare methode voor het identificeren van gebruikers.17 In hoeverre regulering van het internet mogelijk is, is afhankelijk van de beschikbare informatie. Of zoals Lessig schrijft: “What you can’t know determines what you can control”. 18 En in hoeverre informatie over de gebruiker beschikbaar is, is in geval van het internet volledig afhankelijk van de techniek, de ‘aard’ van het internet. Als het zo is dat de techniek geen of weinig informatie over de gebruikers van internet kan geven, is slechts een zeer beperkte mate van regulering mogelijk. Vandaar dat de libertarianen zeggen dat de aard van het internet maakt dat het internet onreguleerbaar is.
1.3. De wens om te reguleren In de moderne tijd, waarin de privacy van mensen regelmatig ter discussie gesteld wordt, lijkt het wenselijk dat op het internet een grote mate van anonimiteit en daarmee privacy en vrijheid bewaard blijft. Maar de mogelijkheid om anoniem te zijn op het internet en
Zie voor statistieken met betrekking tot het wereldwijde gebruik van het internet: Internet World Stats, via www.internetworldstat.com. 16 Lessig 2007, p. 36. 17 Het vervalsen van het feitelijke IP-adres en de moeilijkheid om aan de hand van een IP adres niet alleen een computer en een lokatie van die computer, maar ook een gebruiker aan te wijzen was onderwerp van de recent verschenen film ‘Untraceable’ (2007). 18 Lessig 2007, p. 36. 15
8
daarmee de onmogelijkheid om het gedrag op internet te reguleren, heeft niet alleen positieve kanten. De daarmee ontstane vrijheid is een medaille met twee zijden. Een homofiele jongen die in een klein dorp woont, waar iedereen hem kent, en waar homo’s niet getolereerd worden, zal zich op het internet vrij voelen. Daar kan hij openlijk over zijn homoseksualiteit spreken. De anonimiteit en vrijheid van het internet zullen een bevrijding zijn. Maar een pedofiele man, die in een gemeenschap woont waarin pedofilie niet getolereerd wordt, kan zich op het internet richten op kinderpornografie. Wellicht zal dit voor deze man als bevrijding aanvoelen, maar voor de gemeenschap is hier eerder sprake van alternatieve criminaliteit. Op het internet zoals het oorspronkelijk ontworpen was, droeg iedereen Plato’s ring van Gyges. De ring maakt de drager onzichtbaar. Maar volgens Plato kan van niemand die een dergelijke ring in handen heeft, verwacht worden dat hij een ijzeren karakter heeft en alle verleidingen van deze onzichtbaarheid kan weerstaan.19 Iemand kan nog zo’n sterk gevoel voor ethiek, normen en waarden, rechtvaardigheid en rechtschapenheid hebben, wanneer je onzichtbaar bent, aan het controlerende oog van de overheid en de gemeenschap onttrokken, en je volstrekt anoniem kunt handelen, zal niemand weerstand kunnen bieden aan de verleidingen die deze anonimiteit biedt. Immers, ongewenst gedrag blijft ongezien en een reactie vanuit de gemeenschap of de overheid blijft uit. Elk gevoel voor moraal zal langzaamaan verdwijnen. Dat de anonimiteit op het internet deze uitwerking ook heeft, blijkt wel uit de ware explosie van computervirussen,
spamberichten,
kinderpornografie,
diefstal
van
identiteiten,
computerfraude, schendingen van het auteursrecht en andere criminele gedragingen op, en met gebruikmaking van het internet.20 Internet is niet meer weg te denken uit het dagelijks leven. Maar het internet heeft ook de deur geopend voor nieuwe vormen van oude criminaliteit. En deze zogenoemde computercriminaliteit levert steeds meer op en richt steeds vaker veel schade aan.21 Deze vorm van criminaliteit wordt mogelijk gemaakt door het anonieme karakter van de internetgebruikers, en het gebrek aan controle dat de overheid daardoor kan uitoefenen. Mede vanwege de hoge mate van criminaliteit keert Lessig zich in zijn boek dan ook tegen het standpunt van het libertarisme dat de overheid zich niet zou moeten bemoeien met het internet en pleit hij voor meer overheidscontrole. “We all love the net. But if some government could really deliver on the promise to erase all the bads of this space, most of us gladly sign up.”22
Plato, vertaling 2005. Govcert Trendrapport 2008. 21 Govcert Trendrapport 2008. 22 Lessig 2007, p. 27. 19
20
9
1.4. Het internet is te reguleren De libertarianen zijn dus van mening dat het internet niet te reguleren is en dat dat een goede zaak is. Toch hebben we net gezien dat er wel degelijk een sterke wens bestaat om het internet te reguleren. Het feit dat de libertarianen vasthouden aan hun standpunt, komt volgens Lessig voort uit de denkfout dat zaken moeten zijn zoals ze zijn, dat ze niet te veranderen zijn. Lessig noemt dat het is-isme, en hij heeft er een hoofdstuk van zijn boek aan gewijd. De aard van het internet is volgens hem niet gefixeerd, maar juist veranderlijk. Het internet als nieuwe, wereldwijde gemeenschap is lastig te reguleren. Maar het internet als techniek, als communicatiemiddel, is beduidend beter te sturen en te controleren. De techniek maakt sommige dingen mogelijk, en andere dingen juist niet. Deze techniek, de programmeercode van het internet, is niet vanzelf ontstaan, maar door programmeurs geschreven. En de code kan op redelijk eenvoudige wijze herschreven worden, om tot andere mogelijkheden en onmogelijkheden te komen. Het aanpassen van de code kan daarmee op twee manieren invloed hebben op de regulering van het internet. Allereerst kan met code bepaald worden wat mogelijk is en wat niet. Op die manier werkt de code zelf regulerend. Maar de code kan ook zodanig herschreven worden dat het regulering door de overheid mogelijk maakt, bijvoorbeeld doordat de code antwoord kan geven op de vraag “wie doet wat waar”, waarmee er van anonimiteit niet langer sprake is. Om te illustreren hoe een verschil in code kan bijdragen aan de mate van regulering, geeft Lessig een voorbeeld uit de praktijk.23 Toen het internet net in opkomst was, besloten de universiteiten van Chicago en Harvard het internet beschikbaar te stellen voor hun werknemers en studenten. De decaan van Chicago was een fervent aanhanger van het libertarisme en koos ervoor de toegang helemaal vrij te geven voor alle gebruikers, en de anonimiteit te bewaren. Er werd niet om identificatie van de gebruiker gevraagd. De decaan van de universiteit van Harvard wilde graag controle houden over het gebruik van het netwerk en liet de techniek zo ontwerpen dat vooraf gevraagd werd om identificatie. Zonder identificatie kon geen gebruik gemaakt worden van de techniek die toegang tot het internet verschafte. Door middel van techniek werden twee verschillende visies inzake vrijheid en anonimiteit op het internet gerealiseerd. Een simpel verschil in code waarmee de gebruikers toegang kregen tot het internet maakte dit mogelijk. “Regulability is thus a function of design”.24 Het oorspronkelijke ontwerp van het internet maakte regulering ontzettend lastig, met name door de mate van anonimiteit. Maar dat ontwerp kan aangepast worden, “and there is all the evidence in the world that it is changing”.25 Het internet is enorm gegroeid en ontwikkelt zich nog altijd in een razendsnel tempo. Toen Lessig aan de eerste versie van zijn boek werkte, in 1999, domineerden twee ideeën de discussie over het internet: de overheid kon het internet nooit reguleren, en dat Lessig 2007, p. 33 e.v. Lessig 2007, p. 34. 25 Lessig 2007, p. 32. 23
24
10
was een goede zaak. Tegen de tijd dat hij werkte aan de vernieuwde versie van het boek, in 2007, waren de meningen drastisch bijgeschaafd. Ervaring had geleerd dat de overheid inderdaad moeite heeft met het reguleren van het internet, maar in een wereld die overspoeld wordt door allerlei vormen van computercriminaliteit is de stemming tegen overheidsregulering aanzienlijk verzwakt. Bovendien begon men in te zien dat regulering wellicht toch niet zo onmogelijk was, als men altijd had gedacht. “Those who assume that cyberspace is by its nature immune from centralized control are wrong”.26
1.5. De verschuiving naar een reguleerbaar internet De partijen die een rol spelen bij de verschuiving van een onreguleerbaar naar een reguleerbaar internet zijn uiteraard de gebruikers, die een ‘beter’ internet willen, maar ook de commercie, die meer winst wil maken, en de overheid, om meer invloed te kunnen uitoefenen op het online gedrag van haar burgers. De commercie speelt bij de veranderingen een grote rol. De markt vraagt constant om efficiëntere methoden om meer winst te maken. Er komt dan ook steeds meer vraag naar identificatie en authenticatie van gebruikers. De technologieën die door de markt daarvoor worden ontwikkeld en gebruikt, maken het internet tevens beter reguleerbaar. Immers, een geïdentificeerde gebruiker is niet langer een anonieme gebruiker: bekend is wie hij is en wat hij doet. Dat maakt zijn gedrag beter te monitoren: gegevens kunnen opgeslagen en geanalyseerd te worden voor een effectievere en meer gerichte marketingstrategie.27 Maar het maakt het gedrag van de gebruiker ook beter reguleerbaar. Een niet minder belangrijke rol is dan ook weggelegd voor de overheid. Het is echter – onder meer door het grensoverschrijdende karakter van het internet – lastig om direct invloed uit te oefenen op het gedrag van internetgebruikers. Geen enkele overheid heeft wereldwijd macht of jurisdictie. Indirect uitoefening van haar invloed is wellicht eenvoudiger. De overheid kan haar invloed op indirecte wijze laten gelden door niet het gedrag van de internetgebruikers rechtstreeks te willen controleren, maar door het gedrag van de tussenpersonen te controleren. Bij tussenpersonen kan bijvoorbeeld worden gedacht aan Internet Service Providers, die de toegang tot het internet mogelijk maken. Het aantal tussenpersonen is vele malen kleiner dan het totale aantal internetgebruikers. Door tussenpersonen op te leggen hoe de toegang tot het internet geregeld moet zijn, reguleert zij de techniek. Wanneer de techniek gereguleerd is, kan het gebruik van de techniek ook gereguleerd worden. En zo worden de internetgebruikers dan weer gereguleerd. Lessig noemt dit de “regulatory two-step”.28
Mahoney 2004, p. 2305. Opgemerkt moet worden dat Lessig hier de Amerikaanse situatie beschrijft. Privacy-regelgeving in Europa maakt het de commercie veel lastiger persoonsgegevens te verzamelen, te verwerken en te gebruiken. 28 Lessig 2007, p. 62. 26 27
11
De “regulatory two-step” is de laatste jaren steeds vaker terug te vinden in de ontwikkeling van internettechnologieën. De kleine programmeur heeft plaats gemaakt voor softwaregiganten die meer in harde dollars geïnteresseerd zijn dan in de ideologie van het libertarisme. Lessig noemt als voorbeeld het bedrijf Network Associates, beheerder van de PGP encryptie technologie.29 Deze technologie was ontwikkeld om te voorkomen dat iedereen zonder al te veel moeite mee kon lezen in digitale communicatie. De programmeurs hadden hierbij ook de overheid in gedachten. Men moest privé met elkaar kunnen communiceren, zonder dat ‘meeluisteren’ (door de overheid) mogelijk was. Nu maakt het bedrijf juist reclame voor de mogelijkheden voor controle via achterdeuren, voor bedrijven en overheden. En zo lijkt East Coast Code – het recht dat aan de Amerikaanse oostkust gemaakt wordt – langzaamaan steeds meer grip te krijgen op West Coast Code – de code die voornamelijk in Silicon Valley aan de Amerikaanse westkust gemaakt wordt. Wanneer de commercie
de
productie
van
code
overneemt
van
de
kleine
ideologische
softwareprogrammeurs, wordt code beter reguleerbaar, simpelweg omdat de commercie reguleerbaar is, en omdat commercie zelf ook belang heeft bij regulering. Echter, bij deze theorie van Lawrence Lessig zijn wel een aantal belangrijke vraagtekens te plaatsen. Lessig zegt bijvoorbeeld dat het schrijven van de code steeds commerciëler wordt, en steeds meer een aangelegenheid wordt van een kleiner aantal grote softwarebedrijven.
30
Volgens Lessig is dit een duidelijk gevolg van de
commercialisering. Maar hij onderbouwt deze stelling nauwelijks.31 Is de commercie wel zo reguleerbaar als Lessig ons laat denken? Is de commercie wel de leidende factor achter alle nieuwe ontwikkelingen op internetgebied? Lessig waarschuwt voor regulering door de commercie, omdat de commercie alleen oog zou hebben voor haar eigen belangen, en niet voor het algemene belang. Maar hiervoor draagt hij nauwelijks argumenten aan. Critici, zoals Nunziato, plaatsen dan ook vraagtekens bij deze waarschuwing. 32 En áls de commercie inderdaad een leidende rol heeft, heeft dat dan inderdaad als gevolg dat de technologie ook daadwerkelijk beter te reguleren? En kunnen de nieuwe ontwikkelingen met betrekking tot wel wereldwijd ingevoerd worden? En zo ja, worden alle individuele gebruikers er dan door gebonden, of zal het toch nog mogelijk zijn te ‘ontsnappen’ aan de nieuwe beperkingen? Zelfs al worden de veranderingen in de richting van een reguleerbaar internet geïnitieerd door de commercie, waardoor het internet op globaal niveau beter te reguleren is, dan is het niet onwaarschijnlijk dat individuele gebruikers wel een weg vinden om de nieuwe technologieën te omzeilen en hun eigen koers te varen. “No control that they could effect would ever be perfect”. 33 Er zal altijd wel een
Lessig 2007, p. 71. Lessig 2007, p. 71. 31 Post 2000, p.1451 e.v. 32 Nunziato 2000, p. 14. 33 Lessig 2007, p. 73 29
30
12
mogelijkheid bestaan voor slimme en handige gebruikers aan nieuwe beperkingen te ontkomen. Maar wat belangrijker is, is dat niet-perfecte regulering ook regulering is. Het gedrag van de meeste internetgebruikers zal er wel door gecontroleerd kunnen worden. Sloten kunnen worden opengebroken, maar dat maakt een slot nog niet overbodig. Lessig vult dit aan: “Tiny controls, consistently enforced, are enough to direct very large animals”.34
1.6. Een voorbeeld van regulering van het internet door de overheid De invloed die de overheid kan uitoefenen werd recentelijk nog eens duidelijk gemaakt in de kwestie Google-China. China hanteert een bijzonder strenge censuur op alle mediauitingen, dus ook op het internet. Bepaalde websites zijn door middel van een door de overheid ingesteld nationaal filter onbereikbaar voor de Chinese burger. 35 De censuur geldt ook voor emailverkeer en zoekopdrachten. Deze technologie wordt dan ook wel de “Great Firewall” genoemd, de elektronische versie van de Chinese Muur.36 Onlangs nog bij de Olympische Spelen in Beijing (2008): de Chinese overheid had volledige toegang tot het internet beloofd, voor de internationale journalisten. Maar in werkelijkheid konden de websites van onder meer de BBC, Amnesty International en Deutsche Welle niet bereikt worden. Volgens de Chinese overheid was toegang tot deze websites alsnog beperkt, omdat deze sites niet voor het werk van de journalisten bereikbaar hoefden te zijn.37 Zoekmachines maken wereldwijd het internet vele malen toegankelijker. Niet langer is het nodig het exacte adres van een pagina te weten. Hoewel in eerste instantie zoekmachines alleen in staat waren te zoeken naar bestandsnamen, werd het al snel ook mogelijk om te zoeken op de inhoud van de bestanden, of het nu ging om teksten, afbeeldingen of andere vormen van media. In 1998 werd Google opgericht. Dit bedrijf kwam met een innovatieve zoekstrategie die beduidend betere zoekresultaten opleverde dan de toenmalige veelgebruikte zoekmachines, zoals Altavista en Yahoo!. Al snel nam de zoekmachine van Google de markt over en werd het ’s werelds meest gebruikte zoekmachine. 38 Internetgebruikers in China konden ook gebruik maken van Google. Maar een groot deel van de zoekresultaten betrof websites die vervolgens niet bereikbaar waren, omdat ze door de overheid waren afgeschermd. Zo kwamen zij via Google dus wel te weten dat de sites bestonden, doordat de websites getoond werden in de zoekresultaten,
Lessig 2007, p. 73 Zie voor meer informatie over de perscensuur in China de website van Amnesty International – Nederland, via www.amnesty.nl/in_actie_vervolg/china_vrijheid_van_pers_en_internet. 36 ‘Great firewall of China’, NOS Nieuws 25 maart 2008, via headlines.nos.nl. 37 ‘China censureert internet tijdens Spelen’, in: NRC Handelsblad 30 juli 2008. 38 Zie voor meer informatie de Nationale Search Engine Monitor van februari 2008 via www.checkit.nl/nationalesearchenginemonitor.html. 34 35
13
maar ze konden de daadwerkelijke websites niet bezoeken. De Chinese overheid besloot nog een stapje verder te gaan in de censuur en maakte ook zoekmachines als Google ontoegankelijk. In 2006 wilde de Chinese overheid wel een deal maken met Google: een plek in de Chinese interneteconomie in ruil voor gefilterde zoekresultaten. Als Google deel wilde uitmaken van de sterk in opkomst zijnde Chinese economie dan
moest het
meewerken aan het Chinese censuurbeleid. Google schoof elke ideologie tégen censuur en vóór de vrijheid van meningsuiting opzij en paste haar technologie aan de wensen van de Chinese overheid aan. 39 De ideologie “do no evil” werd volgens Google zelf niet opzij geschoven, maar er werd in deze kwestie gekozen voor “do a little evil to prevent worse”. Overigens was Google hierin niet de enige. Andere grote spelers in de internetwereld, zoals Microsoft en Yahoo!, gingen eerder al overstag. Overheden wereldwijd zijn gaan inzien dat ze het gedrag van mensen op het internet wel degelijk kunnen reguleren – al is het indirect – en zullen dan ook steeds vaker gebruik gaan maken van de reeds bestaande invloed die zij hebben op de commercie. “And when they do, the character of the Net will change. Radically so.”40
1.7. Resumé De libertarianen zijn van mening dat het internet onreguleerbaar is. Dat was in de beginjaren van het internet ook het geval, beaamt Lessig in zijn boek. Door de eenvoud van de techniek was nauwelijks te achterhalen wie ervan gebruik maakte. Maar het internet heeft zich enorm ontwikkeld en heeft vele nieuwe deuren geopend en mogelijkheden gecreëerd. Bovendien is de rol van de ontwikkelaars veranderd. Niet langer is de individuele programmeur verantwoordelijk voor de doorontwikkeling van stukjes van de techniek. Het zijn steeds vaker de grote softwaregiganten die wereldwijd invloed hebben op het gebruik van het internet. Te denken valt aan Microsoft, Yahoo!, Google en AOL. Tegenwoordig zijn het deze bedrijven die bepalen wat mogelijk is en wat niet, wat mag en wat niet. Deze grote bedrijven hebben er alle belang bij de voorschriften van de overheid te volgen om hun kracht en sterke positie te bewaren. En omdat deze bedrijven zich laten reguleren, kan via deze bedrijven ook het gebruik van hun producten – onderdelen van het internet – gereguleerd worden. Volgens deze ‘regulatory two-step’ kan het internet dus wel degelijk gereguleerd worden.41 Er kunnen echter wel vraagtekens geplaatst worden bij de theorie van de ‘regulatory two-step’ zoals deze door Lessig gepresenteerd wordt: heeft de overheid wel zo’n sterke invloed op de softwaregiganten? Wordt het internet daadwerkelijk beter te reguleren door deze bedrijven te reguleren? Is het wel mogelijk om dit wereldwijd door te McLaugin 2006. Een bezoek aan het Google in Dublin – waar het hoofdkantoor voor Europa, Afrika en West-Azië gezeteld is – leerde al snel dat Google niets kwijt wilde over deze kwestie, doordat elke vraag hieromtrent steevast beantwoord werd met “no comments”. 40 Lessig 2007, p. 80 41 Zie ook Van der Hof en Stuurman 2006, p. 210. 39
14
voeren? Er zijn voldoende bezwaren te noemen om Lessigs theorie, zoals in dit hoofdstuk besproken, in ieder geval deels onderuit te halen. Want als het zo eenvoudig was voor de overheid om haar invloed te laten gelden en het internet te reguleren, waarom is daarvan dan nog steeds slechts in zeer beperkte mate sprake? Waarom is het internet dan nog steeds voor een groot deel niet gereguleerd? Maar wat mij het meest tot nadenken heeft aangezet, is zijn idee dat niet-perfecte regulering ook regulering is. Dat sloten opengebroken kunnen worden, maar dat ze desondanks wel bijzonder nuttig kunnen zijn. Laten we beginnen met relatief eenvoudige vormen van overheidsregulering: wie weet waar dat toe kan leiden? In dit hoofdstuk ligt de nadruk op een vorm van indirecte overheidsregulering. Het internet kan echter ook op een meer directe manier gereguleerd worden. De techniek van het internet – door Lessig de ‘code’ genoemd – kan zodanig veranderd worden, dat er sprake is van een geheel ander internet met andere mogelijkheden en andere beperkingen. Daarover meer in het volgende hoofdstuk, waarin tevens Lessigs hoofdtheorie “Code is law” toegelicht en geanalyseerd wordt.
15
2 Het internet wordt gereguleerd door ‘code’ 2.1. Inleiding Het eerste deel van Lessigs boek bereidde de lezer voor aan de hand van vragen als “wat is het internet?”, “waarom is het internet volgens sommigen onreguleerbaar?”, “waarom zouden we het internet wel willen reguleren?” en “kunnen we het internet zodanig veranderen dat het wel te reguleren is?” De conclusie van dit deel is dat het internet ooit onreguleerbaar leek, maar dat de aard van het internet te veranderen is, waardoor regulering mogelijk gemaakt kan worden. De wens om te reguleren komt voort uit de opkomst van computercriminaliteit en terrorismebestrijding. Ter illustratie van mogelijke regulering van het internet door de overheid is het gebruik van zoekmachine Google binnen de strenge censuur van China besproken. Het internet is dus veranderbaar en wel degelijk te reguleren. In het tweede deel van zijn boek gaat Lessig nader in op de ‘tools’ of modaliteiten om het internet te reguleren.42 De werkelijke wereld wordt gereguleerd door vier modaliteiten, door Lessig gecategoriseerd als het recht en de wet, de markt, de sociale normen en de architectuur. Deze regulerende modaliteiten, die verderop in dit hoofdstuk nader worden besproken, zouden rechtstreeks overgebracht kunnen worden naar het internet, als je het internet beschouwd als onderdeel van de werkelijke wereld. 43 Lessig is echter geen aanhanger van de gedachte dat cyberspace hetzelfde is als de werkelijke wereld. Hij benadrukt in zijn boek dat het gaat om een andere wereld, dat er fundamentele verschillen zijn en dat er daarom met een andere blik gekeken moet worden naar de regulering van die andere wereld. Het meest opmerkelijke verschil in regulering is de rol van de architectuur als reguleringsmodaliteit. De architectuur speelt in de werkelijke wereld een onopvallende rol, maar vertolkt op het internet de hoofdrol. “Cyberspace presents something new to those
Het begrip ‘tools’ wordt in de literatuur vaak gebruikt om de mogelijkheden voor regulering samen te voegen en lijkt een voor de hand liggende term. Het begrip is echter misleidend. Als snel wordt er bij gedacht aan een ‘toolbox’, een gereedschapskist. De vergelijking tussen een verzameling van gereedschap en van reguleringsmodaliteiten is echter moeilijk te maken. Verschillende stukken gereedschap kunnen namelijk niet tegelijkertijd gebruikt worden en samenwerken. Ook hebben ze elk een eigen functie, en kunnen ze die functie niet van elkaar overnemen. Zoals later in dit hoofdstuk besproken zal worden, kunnen de verschillende regulerende modaliteiten wel degelijk tegelijkertijd ingezet worden, samenwerken en elkaar vervangen. 43 Op zich is het begrip “werkelijke wereld” vreemd gekozen. Er bestaat immers slechts één menselijke wereld. Het begrip dient hier ter onderscheid van wat sommigen zien als de virtuele wereld, of “cyberspace”. Er wordt ook wel gesproken van ‘meatspace’ tegenover ‘cyberspace’. Zie Shapiro 1998. 42
16
who think about regulation and freedom”.44 En dat nieuwe is de bijzondere rol van code – een vorm van architectuur. Het tweede deel van Lessigs boek presenteert dan ook de context van zijn veelbesproken stelling dat “code is law”. Ik begin dit hoofdstuk met de vraag: wat moeten we weten van de nieuwe wereld om te begrijpen hoe deze gereguleerd kan worden? Daarbij bespreek ik het verschil dat Lessig maakt tussen internet en cyberspace, en tussen de werkelijke wereld en cyberspace. Daarna komen zijn vier regulerende modaliteiten aan bod: eerst de regulerende functie van de modaliteiten in de werkelijke wereld, daarna de manier waarop de modaliteiten het internet reguleren. De werking van de modaliteiten wordt nader uitgelegd aan de hand van het voorbeeld van de veel besproken techniek van RFID: radio frequency identifcation.
2.1. Internet of Cyberspace? Het internet is een techniek, een communicatiemiddel. Brett Frischmann schrijft: “one perceives the internet in terms of its technical real-space operations”. 45 Het gaat dan onder meer om de techniek van e-mail, het world wide web (waaronder bijvoorbeeld internetbankieren, verspreiding van informatie en e-commerce), file transfer (FTP) en instant messaging (zoals MSN messenger). Mensen zijn echter vaak geneigd om voorbij de buitenste technische laag te kijken, en zich te richten op de ervaringen die mensen kunnen hebben bij het gebruik van het internet. Ze kijken dan vanuit een intern perspectief naar het internet, en spreken veelal van “cyberspace”, de virtuele wereld. Frischmann schrijft over cyberspace: “one perceives the internet in terms of the applications it enables and the ways in which those applications affect end users”.46 Niet zo zeer de techniek is in dit perspectief relevant, als wel de ervaring van mensen die gebruik maken van de techniek. Lessig benadrukt het verschil tussen internet en cyberspace nog eens extra door te schrijven: “[Cyberspace] is about making life different, or perhaps better. It is about making a different life”.47 Het gaat volgens hem dus echt om een virtuele wereld, waar mensen een ander, een tweede leven kunnen opbouwen. Er kan op nog vele andere manieren en vanuit andere invalshoeken naar het internet, dan wel naar cyberspace gekeken worden. Het zojuist besproken onderscheid lijkt echter ook naar voren te komen in het ontstaan van de begrippen zelf. Het woord internet is een samentrekking van de woorden “interconnected network”, een netwerk van computernetwerken. Een begrip dat duidelijk uit de techniek naar voren is gekomen. Het woord “cyberspace” is bedacht door sciencefiction auteur William Gibson. In zijn
Lessig 1999, p. 6. Frischmann 2003, p.206. 46 Frischmann 2003, p. 206. 47 Lessig 2007, p. 83. 44 45
17
boek Neuromancer (1984) schreef hij: “Cyberspace. A consensual hallucination experienced daily by billions of legitimate operators in every nations... A graphic representation of data abstracted from banks of every computer in the human system. Unthinkable complexity”. 48 Hij doelde op een puur fictieve situatie en nog niet op cyberspace zoals dat tegenwoordig bestaat. Dat werd voor het eerst gedaan door John Perry Barlow in 1990. Hij nam het begrip over van Gibson en koppelde het aan de techniek of de wereld die wij nu respectievelijk het internet of cyberspace noemen: “It is a silent world, all conversations are typed To enter it, one forsakes both body and place and becomes a thing of words alone. You can see what your neighbors are saying, but not what either they or their physical surroundings look like ... It extends across that immense region of electron states, microwaves, magnetic fields, light pulses and thought which scifi writer William Gibson named Cyberspace”.49 Wanneer Lessig spreekt over het internet of over cyberspace, spreekt hij over een andere wereld dan de werkelijke. Of sterker nog: meerdere andere werelden. Elke met een eigen set
van normen
en
waarden, rechten
en plichten, mogelijkheden en
onmogelijkheden, vastgelegd in de architectuur van deze verschillende werelden. Lessig noemt als voorbeeld van dergelijke online cyberspaces AOL, Cyber.Law, Lambda Moo en Second Life.50 Dit zijn sociale gemeenschappen, waar mensen in een online omgeving via communicatie en interactie werken aan een virtueel leven. Lessig is zeker niet de enige die cyberspace loskoppelt van de werkelijke wereld. 51 Konoorayar schrijft in zijn artikel over de problemen en de uitdagingen met betrekking tot de regulering van het internet: “The cyber space has no real connection with the real space. It cannot be divided on the basis of physical boundaries. Beyond the cables, telephone lines, satellites and computers that are known as backbones, the internet has no connection with the real world. Away from these backbones the internet creates a separate world, which is built of passwords and electronic data.”52 Er wordt dus door velen een nieuwe, virtuele wereld ervaren. Echter, het lijkt er op dat deze nieuwe-wereldervaring vaker opspeelt, wanneer een nieuwe techniek een grote invloed op het menselijk bestaan heeft, en uiteindelijk ook weer verdwijnt als de techniek volledig in de maatschappij geïntegreerd is. Dommering zegt zelfs dat het gaat om een nieuwe-wereldmythologie: “ regardless if we take the combustion engine, the telegraph, the telephone or the internet, in all those cases the books of history provide us with beautiful picture show the contemporary world responded, by imaging a futuristic society in which everything from now on would be different.”53 Dommering wil daarmee zeggen dat het idee van een nieuwe wereld bij elke nieuwe invloedrijke technologische ontwikkeling opnieuw opspeelt. Gibson 1984, p. 51. Barlow 1990. 50 Lessig 2007, p. 88-101. 51 Tavani 2007. 52 Konoorayar 2003, p. 414. 53 Dommering 2006, p. 3. 48 49
18
Wanneer de technologie uiteindelijk volledig in de maatschappij is geïntegreerd, kijkt men er vaak anders tegen aan, en is het niet meer dan een techniek. Niemand zal nu immers nog zeggen dat de wereld van de telefonie een andere wereld is, los van de werkelijke wereld. “It takes time before people become accustomed to new technology”, schrijven Kleve en De Mulder.54 Mijn mening sluit het meeste aan bij die van Dommering. In tegenstelling tot Konoorayar ben ik van mening dat het internet (en daarmee dus ‘cyberspace’) niet zou bestaan zonder de door hem genoemde ‘backbones’: kabels, computers en netwerken. Het enige andere element dat het internet maakt wat het is, is menselijke interactie, communicatie, gedrag. En die mensen zijn allemaal onderdeel van de werkelijke wereld. En in deze werkelijke wereld dragen zij ook de verantwoordelijkheid voor hun gedrag.55 De ervaringen die iemand kan hebben bij het gebruik van het internet rechtvaardigen mijns inziens nog niet dat er gesproken wordt van een andere, een nieuwe wereld. Het verschil dat Lessig maakt tussen de werkelijke wereld en de virtuele wereld, bestaat naar mijn idee niet. Het gaat om een techniek, niets meer dan dat. De begrippen ‘internet’ en ‘cyberspace’ zijn volgens mij dan ook verwisselbaar.56
2.2. De modaliteiten om te reguleren We hebben zojuist gezien dat er wel degelijk een wens bestaat het internet te reguleren. En Lessig is, in tegenstelling tot bijvoorbeeld de libertarianen, ook van mening dat het mogelijk is het internet te reguleren. Hij stelt dat het internet gereguleerd kan worden door middel van dezelfde regulerende modaliteiten die ook de werkelijke wereld reguleren: •
het recht en de wet57
•
de markt
•
de sociale normen
•
de architectuur
Laten we eerst eens kijken wat de werking van deze modaliteiten in de werkelijke wereld is. De meest voor de hand liggende methode is wellicht de regulering via het recht en de wet. De overheid kan geboden en verboden in de wet vastleggen. Een bedreiging met straf
Kleve en De Mulder 2005, p. 105. Shapiro 1998, p. 710. 56 Ik zal zelf zo veel mogelijk de term ‘internet’ gebruiken, om misverstanden te voorkomen. Daar waar Lessig spreekt over ‘cyberspace’, zal ik ook die term hanteren. 57 Lessig spreekt van “the law”, een begrip dat zich lastig naar het Nederlands laat vertalen. Want bedoelt hij de smalle betekenis van de wet, of de ruime betekenis van het recht. De laatste omvat immers naast de wet ook de jurisprudentie, verdragen, overeenkomsten, richtlijnen, verordeningen, algemene maatregelen van bestuur, etc. Voor het gemak en voor alle zekerheid, ga ik er vanuit dat hij bedoelt ‘het recht’, aangezien het Amerikaanse recht vooral jurisprudentie omvat, meer dan wetten. 54 55
19
– een gevangenisstraf of een boete – kan potentiële overtreders tegenhouden gedrag te vertonen dat in strijd is met de wet. Het recht heeft zo een regulerende werking. Een tweede regulerende modaliteit is de markt of de commercie. De prijs, de kwaliteit en de beschikbaarheid zijn onderdeel van de markt. Deze factoren hebben een beperkende werking op het gedrag van mensen en derhalve heeft de markt een regulerende werking. Als een product veel duurder wordt dan het concurrerende product, dan zullen meer mensen besluiten te kiezen voor het goedkopere, concurrerende product. Opmerkelijk aan deze modaliteit is dat er niet gedreigd wordt met een straf. De handhaving vindt plaats a la minute en niet achteraf. Het recht en de sociale normen hebben een zogenaamde ‘ex post’ handhaving: hoewel van tevoren is vastgesteld wat gewenst en wat ongewenst gedrag is, wordt er feitelijk pas opgetreden tegen ongewenst gedrag, wanneer dit gedrag al heeft plaats gevonden. De markt daarentegen heeft een simultane regulerende werking, op hetzelfde moment als de handeling plaatsvindt. In nauw verband met de wet staat de derde regulerende modaliteit, die van sociale normen. Een voorbeeld van een sociale norm is het gebruik van het gender-toilet: dames gebruiken het toilet voor dames, heren dat voor heren. Deze regel is nergens vastgelegd, maar is een algemeen geldende sociale norm. Slechts een enkeling zal zich niet aan deze norm houden. Op overtreding van de sociale normen kan ook een straf gesteld worden. Veelal zal dit gehandhaafd worden door de directe omgeving van degene die de norm geschonden heeft. Dat maakt dat sociale normen een eerste en doorgaans een sterke beperkende en daarmee regulerende werking hebben. Schending van sociale normen kan leiden tot aantasting van iemands goede naam of reputatie. Lessig omschrijft deze regulerende modaliteit als: “those normative constraints imposed not through the organized and centralized actions of the state but through the many slight and sometimes forceful sanctions that members of a community pose on each other”.58 De vierde en laatste regulerende modaliteit, de architectuur van dingen, vindt nog eerder plaats dan regulering door de markt. De architectuur werkt namelijk ‘ex ante’, vóórdat de handeling plaats kan vinden.59 De architectuur kan omschreven worden als het ontwerp, de fysieke kenmerken. Hierbij valt te denken aan de natuurwetten – zoals de zwaartekracht, welke een duidelijk beperkende werking heeft op het menselijk gedrag – maar ook aan alles dat door mensen gemaakt is, zoals allerlei materialen, bouwwerken en technologische ontwikkelingen. Tegen natuurkrachten kunnen we lang niet altijd op. Maar door de mens gemaakte architecturen hebben we wel degelijk onder controle. Denk bijvoorbeeld aan een muur, die het onmogelijk maakt te zien en te horen wat er aan de andere kant van de muur gebeurt. We kunnen een muur echter ook zo bouwen, dat we er wel door heen kunnen kijken (bijvoorbeeld met glazen bouwblokken of ramen) of kunnen horen wat er zich aan de andere kant er van afspeelt.
58 59
Lessig 2007, p. 340. Leenes en Koops 2005, p. 331
20
Het bijzondere van de architectuur als regulerende modaliteit is niet alleen haar ex ante werking, maar vooral ook het feit dat er geen menselijke interactie meer nodig is om de architectuur een beperkende werking te laten hebben. De architectuur heeft een zogenaamde ‘zelfexecuterende werking’: de architectuur hoeft alleen maar gecreëerd te worden en de regulerende werking gaat er als vanzelf vanuit.60 Een betonnen muur belet ons nou eenmaal te horen en te zien wat er aan de andere kant van de muur gebeurt. Het grootste verschil tussen het recht en de architectuur is volgens Koops het feit dat de architectuur bepaalt hoe we ons kúnnen gedragen, terwijl het recht bepaalt hoe we ons zóuden moeten gedragen.61 Lessig onderscheidt dus vier regulerende modaliteiten: het recht en de wet, de markt, de sociale normen en de architectuur. Hoewel Lessig zelf weinig tot niets zegt over de manier waarop hij tot deze indeling gekomen is, wordt zijn categorisering door anderen regelmatig overgenomen. Andere indelingen komen in de literatuur ook voor. Reidenberg noemt bijvoorbeeld: “a complex mix of state, business, technical and citizen mechanisms”. 62 Andere wetenschappers noemen “technological, socio-economic, and legal and regulatory safeguards”. 63 Grofweg kunnen we stellen dat dit vergelijkbare indelingen zijn.
2.3. Een concrete uitwerking van de regulerende modaliteiten De werking van de verschillende modaliteiten kan geconcretiseerd worden met een voorbeeld. Naar aanleiding van een artikel van Ronzani heb ik ervoor gekozen de regulering van de technologie van RFID – radio frequency identification – kort uit te werken.64 RFID is de technologie die unieke identificatie mogelijk maakt, door middel van radiosignalen. Niet alleen producten, maar ook dieren en zelfs mensen kunnen geïdentificeerd worden, wanneer zij voorzien zijn van een zogenaamde RFID-tag, een soort streepjescode met een unieke radiofrequentie. Het voordeel van RFID boven de techniek van de streepjescode, is dat de radiosignalen van de RFID-tags op een grotere afstand ‘gelezen’ kunnen worden. Neem bijvoorbeeld een levering aan een grote boekhandel. Zonder een doos te openen kan een tag-reader ‘lezen’ of de bestelling juist en compleet is. Hierdoor wordt het logistieke proces geoptimaliseerd en weten klanten direct of de door hen gewenste titel op voorraad is, nog voordat het boek daadwerkelijk in de winkel ligt. 65 Andere toepassingen van deze technologie zijn te vinden in antidiefstal systemen, systemen ter identificatie van vee en de nieuwe OV-chipkaart. Voor het
Grimmelmann 2005, p. 1737. Koops 2007, p. 2. 62 Reidenberg 1997, p. 96. 63 Maghiros 2006. 64 Ronzani 2008. 65 Boekhandels hanteren bijvoorbeeld dit systeem. Zie voor andere toepassingen van RFID in de detailhandel: www.rfidnederland.nl. 60 61
21
identificeren van individuen wordt gebruik gemaakt van RFID in het biometrisch paspoort, zoals dat sinds 2003 wordt uitgegeven. Alle belangrijke persoonsgegevens zijn opgeslagen in de RFID tag, en deze zijn alleen door douanebeambten uit te lezen. Zo wordt ‘look-a-like fraude’ voorkomen. 66 Omdat het gebruik van de RFID technologie eenvoudig een aantasting van iemands privacy kan betekenen, is de technologie niet onbesproken. Het is dan ook van belang het gebruik ervan van begin af aan goed te reguleren. De vier reguleringsmodaliteiten hebben elk hun eigen, beperkende, regulerende werking op de RFID technologie. Zo is onze privacy goed beschermd door de wet. Niet alleen in de Nederlandse Grondwet (artikel 10, 11, 12 en 13 Gw), maar ook in het Europese verdrag voor de Rechten van de Mens en de Fundamentele Vrijheden (EVRM, artikel 8) en het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR, artikel 17). Schendingen van deze privacyrechten zijn volgens deze regelingen alleen toegestaan in hoogst uitzonderlijke situaties, zoals de nationale veiligheid, de openbare veiligheid, het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden. Daar waar onze privacy in het gedrang dreigt te komen door het gebruik van RFID, wordt dit gebruik dus beperkt en gereguleerd door de wet en door meerdere verdragen. Ook de markt heeft een regulerende werking. Verlaging van de kostprijs van de RFID-tags en verbeterde prestaties hebben vele nieuwe mogelijkheden gecreëerd. Het gebruik van RFID wordt ook gereguleerd door sociale normen. Zo vinden wij het (nog) niet wenselijk dat mensen een RFID chip geïmplanteerd krijgen, terwijl dit feitelijk wel tot de mogelijkheden behoort en ook best nuttig kan zijn, bijvoorbeeld in het geval van (psychiatrische) patiënten of gevangenen. Tenslotte wordt het gebruik gereguleerd door de beperkingen van de technologie zelf. Het ontwerp van RFID, ook wel de architectuur genoemd, heeft specifieke eigenschappen, die grotendeels bepaald worden door de mogelijkheden en beperkingen van radiogolven, de versleuteling en van het soort informatie dat wordt opgeslagen.67
2.4. Architectuur en ‘code’ We hebben nu gezien hoe de door Lessig genoemde modaliteiten – het recht, de markt, sociale normen en de architectuur – een regulerende, beperkende werking kunnen hebben op het gedrag van mensen. De verschillen tussen de regulerende modaliteiten is geïllustreerd aan de hand van het voorbeeld van RFID. De overheid kan in de wet vastleggen welk gebruik van deze technologie is toegestaan. Door de technologie duurder te maken of op kleinere schaal beschikbaar te stellen, kan het gebruik van RFID ook beperkt worden. Zo heeft ook de markt een regulerende werking. Sociale normen kunnen
66 67
Studiecommissie RFID 2005, p. 39. Een vergelijkbare discussie wordt gevoerd met betrekking tot de ov-chipkaart.
22
verhinderen dat RFID technologie in mensen wordt geïmplanteerd. En ook de techniek zelf, het ontwerp van de techniek, de architectuur van de techniek is een beperkende modaliteit wanneer het gaat om het gebruik van de techniek. Naar analogie zijn dezelfde vier reguleringsmodaliteiten ook van toepassing op het internet. Wetten, zoals de auteurswet, de grondwet en de strafwet reguleren niet alleen het gedrag offline, maar ook het gedrag online.68 Ook de markt heeft een regulerende rol en die begint al bij de toegang tot het internet. De prijs die Internet Service Providers (ISP’s) vragen voor toegang tot het internet, bepaalt in belangrijke mate wie toegang heeft tot het internet. Op het internet gelden dezelfde sociale normen als in de werkelijke wereld. Daarnaast kent cyberspace haar eigen set van normen en waarden, de nettiquette.69 Het versturen van spam of het lastig vallen van een forum zijn schendingen van de nettiquette. Dergelijke schendingen worden doorgaans niet door de overheid bestraft, maar wel door andere internetgebruikers. Overtreders van de nettiquette kunnen bijvoorbeeld uitgesloten worden van het forum, van het gebruik van de e-mail dienst of zelfs door de Internet Service Providers afgesloten worden van de toegang tot het internet. Reidenberg was de eerste die het idee van regulering via informatietechnologie formuleerde, met het begrip Lex Informatica: “the formulation of information policy rules through technology”. 70 In zijn veel geciteerde artikel stelt hij dat het recht en de regulering door de overheid in de wereld van informatietechnologie niet de enige bron van regulering zijn. Het ontwerp of de architectuur van de technologie kunnen beperkingen opleggen voor gebruikers. Reidenberg schrijft: “the set of rules for information flows imposed by technology and communication networks form a Lex Informatica that policymakers must understand, consciously recognize, and encourage.”71 De architectuur van het internet is de code van het internet: de programma’s en protocollen waarop het internet draait. Door middel van de code kan het internet op vele manieren gereguleerd worden. De code van encryptie maakt het mogelijk de vertrouwelijkheid van online communicatie te waarborgen; filtersoftware maakt het mogelijk spam in e-mail te weren of ongewenste informatie op het World Wide Web te filteren; de toegang tot websites kan beveiligd en beperkt worden door het gebruik van De discussie of er voor online gedrag aparte wetgeving of nieuwe wettelijke regels opgesteld zouden moeten worden valt buiten het onderwerp van deze scriptie. Zie daarvoor mijn paper getiteld “Wettelijke normering van informatietechnologie: (op)nieuw?” uit 2008. Daarin zijn meerdere standpunten in deze discussie geanalyseerd. Het paper is gebaseerd op onder meer: C. Alberdingk-Thijm, Het nieuwe informatierecht: nieuwe regels voor het internet (2004); P. Kleve, Juridische iconen in het informatietijdperk (2004); J.E.J. Prins, Overtollig recht inzake informatietechnologie (1995); R. De Mulder, ‘Wetgeving maakt technologie tot veelkoppige draak’ in Nederlands Juristen Blad (1993/39); C. Stuurman, Technische normen en het recht (1995); J.M. Smits, Normalisatie: recht of techniek? (1993). 69 De Engelstalige term ‘netiquette’ – ontstaan uit net-etiquette – wordt ook veel gebruikt, maar correct Nederlands volgens het Groene Boekje en Van Dale is ‘nettiquette’. Voor voorbeeld normen zie Shea 1994. 70 Dit is de subtitel van zijn artikel. Reidenberg 1998. 71 Reidenberg 1998, p. 554. 68
23
wachtwoorden. Door de code aan de passen, is het mogelijk controle uit te oefenen op het gebruik van het internet en van cyberspace. En dat is een bijzonder sterke vorm van controle. Net zoals een deur met een slot iemand kan beperken een ruimte binnen te treden, kan een website met een wachtwoord iemand beperken deze cyberplace te betreden. Verschil met de architectuur in de werkelijke wereld is de eenvoud waarmee de architectuur van de cyberplaces of van internet als geheel aangepast kan worden. Code is niet gefixeerd, maar is juist heel flexibel. Lessig illustreert dat aan de hand van de vergelijking die beschreven is in het eerste hoofdstuk, die tussen het libertariaanse internet uit het begin van de jaren negentig – Lessig noemt dit ook wel Net95 – en het huidige internet.72 De makers van de code kunnen de code aanpassen aan het recht, de belangen van de markt en de sociale normen. De code is dan ook nauwelijks neutraal, of zoals Lessig schrijft: “code embeds values”.73 Hoewel de overheid ook in de werkelijke wereld wel gebruik heeft gemaakt van de architectuur om gedrag te reguleren, lijkt in het geval van het internet de architectuur de meest geschikte, de meest eenvoudige, de goedkoopste en wereldwijd de meest effectieve reguleringsmodaliteit.
2.5. Resumé Lessig besteedt een groot deel van zijn boek aan de bespreking van vier factoren die regulerend werken in een maatschappij. Te weten: het recht, de markt, de sociale normen en de architectuur van zaken. Hij legt uit hoe deze modaliteiten de maatschappij reguleren. Vervolgens licht hij toe hoe dezelfde modaliteiten ook cyberspace kunnen reguleren. Naar mijn mening maakt hij een onlogische stap. Want als internet (of cyberspace) onderdeel is van de werkelijke wereld, wat volgens mij zo is, dan lijkt het mij niet meer dan logisch dat dezelfde modaliteiten ook een regulerende werking op het internet hebben. Lessig maakt echter een onderscheid tussen cyberspace en de werkelijke wereld. Ik kan voor een klein deel wel in zijn onderscheid mee gaan. Zelfs als je niet van mening bent dat cyberspace een aparte plek is, buiten de werkelijke wereld, dan valt wel te constateren dat de online mogelijkheden in een zekere mate verschillen van de mogelijkheden en het leven offline.74 Maar het door hem gemaakte onderscheid wordt niet heel duidelijk neergezet en is onvoldoende onderbouwd. Zo geeft hij bijvoorbeeld niet aan wat het belang van het onderscheid is. Ik kan mij voorstellen dat hij het verschil tussen de bestaande technieken en de nieuwe techniek van het internet er mee heeft willen benadrukken. Dat het internet zo bijzonder is omdat we, door gebruik te maken van de code, volledig kunnen vastleggen wat het precies is. Maar ook het internet kent haar fysieke, architecturale grenzen: hardware, het feit dat zaken opgeslagen moeten Lessig 2007, p. 35. Lessig 2007, p. 114 74 Te denken valt aan de grenzeloosheid van het internet, het wereldwijde karakter, de anonimiteit. Dit zijn allemaal kenmerken die we, gecombineerd, in de werkelijke wereld nauwelijks terugzien. Zie ook Dobrzeniecki 2005. 72 73
24
worden, bandbreedte, etc. Met een blik op de toekomst gericht, wordt het ongetwijfeld wel steeds lastiger om deze grenzen te kunnen definiëren: er zal steeds meer mogelijk zijn, en de grenzen zullen steeds verder uit het zicht verdwijnen.75 Toch had Lessig naar mijn idee de hele discussie over het verschil tussen cyberspace en internet achterwege kunnen laten. Het voegt niets aan zijn stelling toe en schept alleen maar verwarring, doordat het afleidt van het eigenlijke onderwerp: de regulerende werking van de vier verschillende modaliteiten. Had hij het internet als voorbeeld genomen van hoe de modaliteiten werken, dan was dat voldoende geweest om uit te leggen wat de bijzondere rol is van de architectuur, als het gaat om regulering van het internet. Want dat is feitelijk zijn punt van dit deel van zijn boek: de architectuur heeft in de regulering van het internet – of van willekeurig welke techniek dan ook – een veel grotere rol, dan in de rest van de wereld. En die rol zou wel eens groter kunnen zijn dan de rol van het recht.
Kijk alleen al naar de ontwikkeling van games. De eerste spelers in een computerspel werden bijvoorbeeld weergegeven als een streepje. Denk bijvoorbeeld aan het spel Pong, uit het begin van de jaren zeventig van de vorige eeuw. Dit spel werd gespeeld op de Atari computer, en was wereldwijd een populair spel. Maar tegenwoordig worden de spelende karakters steeds menselijker vormgegeven. Dat is ook de reden dat er steeds meer discussie plaatsvindt over zaken als kinderpornografie in de wereld van online games, zoals Second Life. Zie hierover J.J. Dijkstra, “Virtuele kinderporonografie en vrije meningsuiting”, in: IK, jaargang 7, nummer 7, 2008, p. 31 en A. Schmidt, ‘Recht om te spelen’, JAVI 2003-3, p. 87-100.
75
25
3 ‘Code is law’ 3.1. Inleiding In het eerste hoofdstuk is aandacht geweest voor de ontwikkeling van het internet van een klein lokaal netwerk naar een netwerk van netwerken, met wereldwijd bereik. In het tweede hoofdstuk is deze bespreking voortgezet met het ontstaan van de nieuwe-wereldervaring, of ‘mythologie’ zoals Dommering het noemt.76 Degenen die naar het internet kijken en meer zien dan een techniek of een communicatiemiddel, beschouwen het internet als een nieuwe, virtuele wereld, die we cyberspace noemen. Lessig spreekt zelfs van meerdere cyberspaces, elk met hun eigen ingebouwde normen en waarden. Deze bespreking van het ontstaan van het internet en cyberspace is van belang voor de vragen of het wenselijk is het internet te reguleren, of het internet wel gereguleerd kan worden en hoe het internet gereguleerd kan worden. Het vrije internet uit het begin van de jaren negentig was volstrekt anoniem en kon nauwelijks gereguleerd worden. En er bestond ook geen wens om het te reguleren. Het internet van vandaag de dag heeft zich sterk ontwikkeld. De belangen zijn groter geworden: de commercie heeft een sterk economisch belang, de overheid heeft een belang bij de aanpak van criminaliteit en terrorisme. En ook onder de gebruikers van internet is de wens om het internet beter te reguleren steeds sterker geworden. Bovendien hebben we gezien dat de architectuur van het internet het op redelijk eenvoudige en goedkope manier mogelijk maakt gedrag van mensen op het internet effectief en efficiënt te reguleren. De code van het internet maakt het steeds minder een plek van vrijheid en anonimiteit, en steeds meer een plek van controle. Daar waar de overheid met het recht als reguleringsmodaliteit nauwelijks grip op kan krijgen, lijkt wel reguleerbaar door het inzetten van de code als regulerende modaliteit. Lessig concludeert dan ook dat de regulerende werking van code op het internet wel eens veel sterker zou kunnen zijn dan de regulerende werking van het recht. Lessig claimt met betrekking tot cyberspace zelfs dat “code is law”.77 De gevolgen van deze stelling zijn groot en hebben betrekking op een verschuiving van macht en aansprakelijkheid, de transparantie en de mogelijkheid van controle. Dit zijn de onderwerpen van dit derde hoofdstuk. Ik begin met Lessigs theorie dat de regulerende modaliteiten uitwisselbaar zijn en dat op het internet het beste kan worden gekozen voor code als regulerende modaliteit. Daarbij komt Lessigs veel besproken stelling “code is law” aan bod. Lessig is van mening dat het recht en de code uitwisselbare modaliteiten zijn als het gaat om regulering van het 76 77
Dommering 2006, p.3. Lessig 2007, p. 1.
26
internet.
Hij
waarschuwt
daarbij
voor
onzuivere
en
indirecte
vormen
van
overheidsregulering. Ook waarschuwt hij voor een verschuiving van macht van de overheid naar de private partijen, zoals softwaregiganten. De private partijen hebben namelijk geen democratische autoriteit, zoals de overheid die wel heeft. 78 Zijn derde waarschuwing heeft te maken met de ontransparantie van de regulering, wanneer deze plaats gaat vinden door middel van de door de private partijen gemaakte code. Deze code laat zich dan minder goed controleren dan het door de overheid in alle openheid gemaakte recht. Lessig adviseert daarom om open source software te gebruiken. Bij open source software wordt niet alleen het programma gepubliceerd, maar ook de broncode. Doordat deze broncode door iedereen bekeken kan worden, is er goed zicht op de werking van de code. Bovendien laat open source software zich lastig reguleren, omdat iedereen de code op elk moment weer kan aanpassen en regulerende elementen uit de code kan verwijderen. Open source software kan dus de autoriteit van de private partijen vergroten en kan overregulering door de overheid tegen gaan. In dit hoofdstuk zal ik eerst de uitwisselbaarheid van het recht en de code behandelen, om daarna de gevolgen van de uitwisselbaarheid en van het inzetten van code als het recht te bespreken.
3.2. De uitwisselbaarheid van de modaliteiten en “Code is Law” De claim dat code recht is veronderstelt dat de modaliteiten ‘recht’ en ‘code’ uitwisselbaar zijn. Laten we eens kijken of dat inderdaad het geval is en wat daarvan de gevolgen kunnen zijn. Elk van de vier reguleringsmodaliteiten – het recht, de markt, sociale normen en de architectuur – is wat Lessig noemt een “distinct modality of regulation”. De afzonderlijke modaliteiten kunnen elkaar versterken, maar ook tegenwerken. Zo kan de architectuur van het internet de regulering van het internet door het recht versterken, maar het kan deze regulering door het recht ook tegenwerken of zelfs onmogelijk maken. Wu schrijft daarover: “code itself is not necessarily regulation enhancing – code can be used to foil regulation [by law]”. 79 Door het karakter van het internet als massamedium, is het gevoelig voor massaongehoorzaamheid ten opzichte van het recht dat het probeert te reguleren. 80 Als voorbeeld bespreekt Wu het gebruik van zogenoemde Peer-to-peer software (P2P). Deze software wordt gebruikt voor het uitwisselen van onder meer muziek, films en software van het internet, tussen verschillende internetgebruikers. Dat uitwisselen gebeurt doordat een gebruiker zijn bestanden upload naar een server, waarvandaan een andere gebruiker het weer kan downloaden. De uitwisseling kan gezien worden als een vermenigvuldiging in de zin van de Auteurswet. Wanneer hiervoor niet betaald wordt aan de auteursrechthebbende, is er dus sprake van een inbreuk op het Mifsud Bonnici 2007, p. 133 en 136. Wu 2003, p. 112. 80 Wu 2003, p. 132. 78 79
27
auteursrecht. De gebruikers van P2P software schijnen zich hier weinig tot niets van aan te trekken. Het enorme succes dankt de P2P software namelijk aan twee zwakheden van het wettelijke auteursrecht. De eerste is de besproken ex post werking van het recht. Het auteursrecht is volledig afhankelijk van handhaving nádat schending van het recht heeft plaatsgevonden. Dreiging met handhaving heeft vooral op het internet onvoldoende effect om schending tegen te gaan. Dat heeft te maken met het wereldwijde, grenzeloze karakter van het internet, maar ook met de snelheid waarmee het internet zich ontwikkeld en het gebrek aan controlemogelijkheden. Maar het heeft ook te maken met de sociale normen die op het internet gelden. De tweede zwakheid is namelijk gelegen in de zojuist genoemde massaongehoorzaamheid: het auteursrecht kent op het internet een ongekend gebrek aan normatieve steun onder de gebruikers van P2P software. Volgens een onderzoek van Pew in 2000 beschouwt 78% van de gebruikers van P2P software het uitwisselen van muziek via uploaden en downloaden niet als stelen; 61% van de P2Pgebruikers houdt zich niet bezig met het feit dat er auteursrecht rust op het gedownloadde werk. 81 De architectuur van P2P software – zogenoemde filesharing protocols –zetten daarmee niet alleen de wet opzij, maar ook de sociale normen. Wu schrijft: “Those who benefit from copyright laws benefit from the norm that physically stealing a CD or DVD is socially unacceptable. They are hurt, however, by the norm that makes copying the same CD at home acceptable.”82 De muziekindustrie heeft dan ook niet alleen aanpassingen van de wet gepoogd door te voeren, maar heeft tevens geïnvesteerd in het veranderen van de sociale normen. Zo heeft zij geprobeerd het delen van de auteursrechtelijk beschermde bestanden via P2P software direct aan te pakken, onder meer door de CD’s een kopieerbeveiliging te geven, waardoor ze niet langer geupload kunnen worden. Het voorbeeld van de muziekindustrie geeft aan dat regulering gezien moet worden als de som van de vier regulerende modaliteiten. De vraag of regulering effectief zal zijn, heeft dan ook alles te maken met de samenwerking tussen de modaliteiten. Zoals Wu omschrijft de samenwerking tussen het recht en de code als volgt: “The reason that code matters for law at all is its capability to define behaviour on a mass scale. This capability can mean constraints on behaviour, in which case code regulates. But is can also mean shaping behaviour into legally advantageous forms”.83 Lessig vult dit aan met: “Changes in any one [modality] will affect the regulation of the whole”.84 Het gaat dus om de onderlinge interactie. De ene keer zal de ene modaliteit meer aandacht krijgen en sterker ingezet kunnen worden, de volgende keer geldt dat voor een andere modaliteit. Het downloaden van muziek is vooralsnog niet strafbaar en valt dus ook niet onder de term “stelen”. Het probleem van P2P software is echter dat het downloaden vaak alleen mogelijk is, als dezelfde bestanden tegelijkertijd ook geupload worden. En het uploaden kan beschouwd worden als verdere verspreiding en openbaarmaking, en dat is, zonder toestemming van de rechthebbende, wel strafbaar. Zie ook: L.R. Fokken, T. van Zuylen en L. Gerding, ‘Auteursrechten in cyberspace. De legaliteit van downloaden, uploaden en p2p-netwerken’, Terechtgesteld (42) 2008-2, p. 26-31. 82 Wu 2003, p. 144. 83 Wu 2003, p. 129. 84 Lessig 2007, p. 123. 81
28
Het in het vorige hoofdstuk genoemde voorbeeld van het gender toilet hoeft niet gereguleerd te worden door de wet, de regulering door de sociale norm is afdoende. Kijken we naar de regulering van het internet, dan is Lessig van mening dat het beste gekozen kan worden voor code als belangrijkste regulerende modaliteit. Op dit moment richt de overheid nog al haar pijlen op regulering door het recht, maar Lessig stelt voor dat ze haar pijlen beter op de code kan gaan richten. Code de rol van het recht overnemen, als het gaat om de regulering van het internet. En zo komt Lessig dan ook tot zijn stelling dat code en het recht uitwisselbaar zijn bij de regulering van het internet. Lessig heeft dit idee van uitwisselbaarheid zeer aannemelijk gemaakt. Maar niet iedereen is het met hem eens. Wagner stelt zichzelf de vraag of Lessig’s idee dat het recht en de code uitwisselbaar zijn, wel zo eenvoudig is als door Lessig voorgesteld wordt.85 Immers het feit dat de code op kan treden als regulerende modaliteit, wil nog zeggen dat het met het recht uitwisselbaar is. Ook Kleve en De Mulder geven er de voorkeur aan beide modaliteiten als twee naast elkaar regulerende modaliteiten te blijven beschouwen, en niet het één te vervangen door de andere.86 Ook Wu heeft enige problemen met het idee van uitwisselbaarheid. Hij is van mening dat het gebruik van de code als regulerende modaliteit niet een mechanisme is van “change”, maar van “avoidance”. 87 Volgens hem wordt de code veelal ingezet om het recht te omzeilen en wettelijke sancties te voorkomen. “The description of how code works to influence law’s effects, fits most of the major effects to use code for legal advantages”.88 Het is volgens hem de weg van de minste weerstand, die uiteindelijk niet stevig genoeg zal blijken. Er zijn anderen die deze mening delen en die vinden dat Lessigs inzicht in de onderlinge samenwerking en verhoudingen tussen de verschillende regulerende modaliteiten te simpel gepresenteerd wordt. Zij hechten veel belang aan de zwaarte en de autoriteit die het recht kent, en waarschuwen voor laconiek gebruik van code, waar ook gekozen kan worden voor regulering door het recht. Wall schrijft: “While code can do the work that satisfies law’s desire surely it is of paramount importance that the law remains the authority.”89 Het grote gevaar van de ogenschijnlijke uitwisselbaarheid van de verschillende modaliteiten schuilt hierin dat een regulerende partij, zoals de overheid, op onzuivere gronden kiest voor een modaliteit, bijvoorbeeld vanwege lagere kosten of een directere effectiviteit. Dat kan ten kosten zijn van de transparantie van de regulering. Lessig erkent dit en zijn verhaal sluit zich verderop in het boek wel degelijk aan bij dat van Wu en Wall. Hij sluit dit deel van zijn boek namelijk af met een waarschuwing voor vormen van indirecte en onzichtbare regulering. Hij schrijft: “we should worry about a regime that makes invisible regulation easier; we should worry about a regime that makes it easier to regulate”.90 Met name het Wagner 2005. Kleve en De Mulder 2005. 87 Wu 2003, p. 112. 88 Wu 2003, p. 129. 89 Wall 2005, p. 10. 90 Lessig 2007, p. 136. 85
86
29
internet leent zich uitstekend voor een nieuwe aanpak van regulering. En als de overheid ertoe overgaat de architectuur als reguleringsmodaliteit in te zetten, moeten wij als burgers extra alert zijn: “Governments have used architecture to regulate behaviour forever. But what is new, is its significance”.91 Dommering heeft tenslotte kritiek op metaforische en retorische vergelijking tussen ‘East Coast Code’ en ‘West Coast Code’.92 East Coast Code is een term die Lessig hanteert om regulering door de overheid aan te duiden. Het centrale overheidsorgaan van Amerika bevindt zich immers in Washington, aan de oostkust van het land. West Coast Code is softwarecode, gemaakt door de programmeurs en de grote softwarebedrijven in bijvoorbeeld Sillicon Valley, aan de westkust van het land. Softwarecode bestaat uit instructies, commando’s die het programma kan uitvoeren. Maar die commando’s op zich maken het nog geen ‘recht’. En het feit dat de commando’s geschreven zijn, niet in een beschrijvende, maar in een prescriptieve taal, maakt nog niet dat de commando’s normatief zijn, zoals het recht. Want er zijn vele vormen van prescriptieve talen, en slechts enkelen zijn normatief. Dommering licht dit als volgt toe: “The language of a leaflet that instructs me how to use a sawing machine is in many respects identical to the language of a catholic catechism. But they differ fundamentally because the former is an instruction of fact based on the sum total of all gathered experiences how to use a sawing machine prudently, whereas the latter contains a body of value judgments about how the Roman Catholic Church thinks I should behave in moral difficult situations”. 93 De instructies die in code zijn vastgelegd hebben volgens Dommering geen enkele autoriteit en er bestaat dan ook geen reden om ze behandelen als ‘value judgments’.94 Dit sluit aan bij het verschil dat Koops maakt: het recht geeft aan wat we zouden moeten doen, de code geeft aan wat we kunnen doen.95 Om deze reden slaat Lessigs vergelijking tussen het recht en code volgens Dommering en Koops de plank mis. Maar ook met betrekking tot de kritiek op dit punt van zijn verhaal heeft Lessig zijn tekst verfijnd in de laatste druk van zijn boek. De techniek heeft dan misschien geen autoriteit, maar we kunnen het wel maken zoals we willen. De techniek is met haar beperkende werking immers nooit helemaal neutraal en zal altijd normatief werken. Het verdient volgens Lessig dan ook aanbeveling verstandig en goed doordacht om te gaan met dit normatieve karakter dat het internet volgens hem wel degelijk kan hebben. We moeten goed nadenken over de normen en de waarden die we in de techniek willen opnemen. En over de vraag wie die normen en waarden gaat vaststellen, controleren en handhaven. Want als we dat overlaten aan degenen die de techniek ontwikkelen, dan zal er een grote verschuiving van macht gaan plaatsvinden van de overheid naar de private partijen.
Lessig 2007, p. 138. Lessig 2007, p. 72. 93 Dommering 2006, p. 9. 94 Dommering 2006, p. 9. 95 Koops 2007, p.2. 91
92
30
3.3. Verschuiving van macht Code speelt bij de regulering van het internet dus een grote rol. Zo groot zelfs, dat de rol van code groter lijkt te zijn dan die van het recht. Als dat daadwerkelijk het geval is, is een waarschuwing voor een verschuiving van de regulerende macht op haar plaats. Immers, degene die de code beïnvloedt en maakt, de softwareprogrammeur, is opeens de “prima architect” van het internet. William Mitchell schrijft: “Control of code is power.”96 En hij stelt zichzelf daarbij de vraag: “Who shall write that software that increasingly structures our daily lives?” 97 Want als de code wet is, dan is de programmeur wetgever. Lessig schrijft dan ook: “As the world is now, code writers are increasingly lawmakers”.98 Lessig was overigens niet de eerste die dit opmerkte. Weizenbaum schreef hierover al in 1976: “The computer programmer is a creator of universes for which he alone is responsible. Universes of virtually unlimited complexity can be created in the form of computer programs.” 99 En Raab en De Hert schrijven: “There is a shift from government to governance”.100 De focus verschuift weg van de overheid en haar constitutionele wet- en regelgeving in de richting van andere, private partijen. Deze partijen lijken daarbij dezelfde autoriteit en verantwoordelijkheid te hebben gekregen als de overheid. Sommigen zullen van mening zijn dat dit een positieve ontwikkeling is. Anderen zullen juist van mening zijn dat van regulering en autoriteit geen sprake is wanneer de beperkingen niet opgelegd zijn door de overheid. Dergelijke gedragsbeperkende bijdragen van private partijen zijn volgens Raab en De Hert: “Enfeebled or nullified without the state and its legal weapons supporting, encouraging, mandating or steering the other contributions and contributor”. Zij spreken dan ook van een multi-level regulering van het internet, waarbij verschillende partijen betrokken kunnen zijn, maar er altijd een ondersteuning vanuit de overheid is. Deze multi-level regulering kan uitgelegd worden aan de hand van het thema ‘bescherming van privacy’. Zo kan de overheid regels met betrekking tot de bescherming van privacy vastleggen in de wet. Degenen die werken met persoonsgegevens kunnen besluiten richtlijnen (sociale normen) vast te leggen, om vertrouwen in hun werk te krijgen van de betrokken individuen. Softwareprogrammeurs zullen nauw betrokken zijn bij het gebruik van zogenaamde Privacy Enhancing Technologies (PET’s).101 De individuen van wie gegevens verzameld zijn, kunnen gebruik maken van de PET’s en kunnen tevens betrokken worden bij het opstellen van de richtlijnen. Actiegroepen en de media kunnen een algemene normatieve rol spelen. Zo zijn dus meerdere partijen op verschillende niveaus betrokken bij de regulering van de Mitchell 1996, p. 112. Mitchell 1996, p. 112. 98 Lessig 2007, p. 79. 99 Weizenbaum 1976, p. 221. 100Raab en De Hert 2007, p. 5. 101 Leenes en Koops 2005. 96 97
31
bescherming van privacy. Maar de overheid en de door haar vastgestelde wetten en regels zullen volgens Raab en De Hert altijd als basis moeten dienen. De werkelijkheid is echter dat initiatieven voor regulering – en daarmee ook het vaststellen en handhaven van de regels – steeds vaker vanuit andere partijen dan de overheid zullen gaan komen. Daarmee zou dus een verschuiving van (een deel van) de macht kunnen plaatsvinden. Het is nog niet duidelijk hoe deze verschuiving van de macht zal uitpakken. Het internet staat immers nog steeds in de kinderschoenen. De meningen zijn sterk verdeeld. Is het niet zo dat regulering alleen door overheden kan plaatsvinden, nu andere partijen geen onderdeel van het democratische proces zijn waarbinnen wet- en regelgeving normaal gesproken tot stand komt? De wegen die we kunnen bewandelen om de overheid verantwoordelijk te houden voor haar regulering in de Nederlandse democratische rechtsstaat, zijn onbegaanbaar als de regulering bij private partijen vandaan komt, zoals dat doorgaans het geval is bij regulering door middel van code. Je zou echter ook kunnen kiezen voor een nieuw libertarisme, dat pleit voor vrijheid en dat de macht bij de gebruikers van het internet neerlegt. Zelf denk ik dat we uiterst voorzichtig moeten omgaan met het overdragen van de “macht” aan private partijen. Was het vroeger zo dat regulering direct gericht was op menselijk gedrag, tegenwoordig is steeds meer regulering gericht op technologieën die menselijk gedrag beïnvloeden, in plaats van op het gedrag zelf. Regulering wordt dus steeds indirecter. De software-industrie heeft de mogelijkheid bepaald gedrag als onwenselijk te bestempelen en het door middel van code te voorkomen. En dat maakt het mogelijk dat de software-industrie volledig uit eigen belang kan handelen bij het maken van software met een normatief en regulerend tintje. Een voorbeeld hiervan is de situatie van Google in China, die eerder in deze scriptie besproken is. Lessig waarschuwt voor deze ontwikkeling en roept de lezers van zijn boek op goed na te denken over de waarden en normen die zij belangrijk vinden en die zij geïncorporeerd willen zien in de code. Lessig waagt zich verder niet aan de discussie wat de uitkomst van of de oplossing voor de machtsproblematiek is. Wat hij een belangrijk aspect binnen deze discussie vindt, is de transparantie van regulering door code. Hij zet zijn betoog daarom voort met een verhandeling over de voordelen van transparante, open source software tegenover commerciële, gesloten software, als het gaat om een zo democratisch mogelijke totstandkoming van de regulering van het internet, door middel van code.
3.4. Open source versus Closed source software Lessig adviseert zo veel mogelijk gebruik te maken van open source software ter bevordering van de transparantie en de controle en om overregulering tegen te gaan. Voor een begrip van het verschil tussen ‘open source software’ en ‘closed source software’ is het
32
nodig enig inzicht te hebben in de totstandkoming en de werking van software. 102 Software bestaat uit twee delen: de broncode en de machinecode. De broncode is de code die de programmeur geschreven heeft. In de broncode staan allerlei instructies, die het programma laten functioneren. Bijvoorbeeld: “als op knop x gedrukt is, open dan scherm y”. Deze broncode is misschien niet voor iedereen begrijpelijk, maar een programmeur kan er prima mee overweg. Zolang het programma nog in deze code staat, is het programma als zodanig nog niet te gebruiken. De computer begrijpt deze ‘mensentaal’ namelijk niet. Daarvoor moet de broncode gecompileerd worden. De voor mensen begrijpelijke broncode wordt dan omgezet in voor de computer begrijpelijke machinecode. Deze machinecode is binair, wat betekent dat het enkel uit enen en nullen bestaat. De machinecode is daardoor zelfs voor de programmeur onbegrijpelijk. Het programma is nu klaar voor distributie en gebruik. Een eenmaal gecompileerd programma kan en mag niet zomaar ‘gedecompileerd’ worden.103 Dat betekent dat de broncode niet teruggehaald kan worden uit de machinecode. Het bewaren van de oorspronkelijke broncode is dan ook belangrijk. Wanneer op een later moment wijzigingen in het programma moeten worden aangebracht, dan moet dat gebeuren in de originele broncode, die daarna opnieuw gecompileerd en gedistribueerd kan worden. Het programma kan in beide vormen – broncode en machinecode – worden gedistribueerd. De meest voorkomende manier is het aanbieden van het programma in machinecode. Het programma kan dan gekocht of gedownload worden, en kan direct gebruikt worden. We spreken dan van ‘closed source software’: software waarvan de broncode ontoegankelijk is en niet meegeleverd wordt. De softwareontwikkelaar is de enige die bij de broncode kan, en deze indien gewenst kan wijzigen. De belangrijkste reden om de broncode niet vrij te geven is het intellectuele eigendom van de maker op de broncode. De maker kan bijvoorbeeld van plan zijn delen van de code te hergebruiken voor andere software. Het komt ook vaak voor dat de software een belangrijke positie in de markt heeft en moet strijden met vele concurrenten. Het niet vrijgeven van de broncode kan dan vergeleken worden met het niet verklappen van een recept door een chef-kok. Maar je zou het ook kunnen vergelijken met het uitnodigen van gasten in je eigen huis. Door de broncode publiekelijk beschikbaar te maken, loopt de maker het risico Lessig 2007, p. 139. Lessig spreekt in zijn boek niet van open source software maar van ‘free software’ en niet van closed source software, maar van ‘proprietary software’. Open en closed source software zijn echter termen die vaker gebruikt worden in de literatuur. Bovendien zijn de termen eigendoms-software en vrije software naar mijn mening ook gewoon onjuist. Want open source software hoeft helemaal niet zonder eigendom te zijn en is zeker niet altijd vrij of gratis beschikbaar. In deze scriptie wordt dan ook vastgehouden aan de termen open source software en closed source software. 103 In technische taal spreken we dan van ‘reverse engineering’. Behalve dat het vaak technisch niet mogelijk is, is het in principe ook niet toegestaan programma’s terug te brengen naar de broncode, omdat er dan sprake is van een schending van de auteursrechten van de maker van de software. Uitzondering op dit verbod van ‘reverse engineering’ is het realiseren van interoperabiliteit van het betreffende programma met andere computerprogramma’s of het gehele computersysteem. De aangepaste broncode mag vervolgens onder geen beding verder geopenbaard worden of verspreid worden als nieuwe software. Zie hiervoor artikel 45m van de Auteurswet. 102
33
dat elke onbewuste en bewuste slordigheid opgemerkt wordt. Dat kan echter ook een voordeel zijn. “Given enough eyeballs, all bugs are shallow”, schrijft Raymond dan ook.104 Wanneer genoeg programmeurs de code bekijken, komen de fouten en de problemen van de code vanzelf aan het licht en zal er ongetwijfeld iemand opstaan die de oplossing voor het probleem heeft. Het feit dat de code gecontroleerd kan worden is een belangrijk kenmerk van open source software. Tegen dit kenmerk liep het Amerikaanse softwarebedrijf Diebold op. Diebold is de maker van de software die door stemmachines gebruikt wordt. Stemmachines zijn computers die ingezet worden bij verkiezingen, waarop burgers hun stem elektronisch kunnen uitbrengen. Maar dan moet de software waarop deze computers draaien, wel correct zijn. De software van Diebold was schrikbarend slecht beveiligd tegen onder meer fraude. Dat bleek toen een deel van de broncode uitlekte. De studenten die de broncode hadden weten te bemachtigen waarschuwden voor de slechte beveiliging en de fouten in de broncode. De zaak kwam voor de rechter en de fouten in de software werden wereldlijk bekend. Maar Diebold bleef weigeren de volledige broncode voor nader onderzoek ter beschikking te stellen. Een dubieuze zaak, mede omdat de directeur van het bedrijf in de media beloofd had “to deliver the state of Ohio for the president” tijdens de presidentiële verkiezingen in 2004. 105 Als in een land waar voor het eerst op ogenschijnlijk democratische wijze verkiezingen gehouden worden, een dergelijke situatie zich voordoet, zou iedereen wereldwijd kritiek hebben op het zogenaamde democratische aspect van deze verkiezingen. Echter, in een land dat reeds sinds lange tijd democratisch is en verkiezingen kent, rekent de burger er op dat de inzet van computer bij verkiezingen betrouwbaar is. Het vertrouwen is groot en er is nauwelijks een kritisch oog. De critici die zich tegen de stemcomputers van Diebold richten, werden dan ook weer fel bekritiseerd door anderen. Zo ging het ook in Nederland, waar een vergelijkbare situatie met stemcomputers zich voordeed. In eerste instantie had niemand oog voor de daadwerkelijke werking van de stemmachines. Maar de stichting Wij Vertrouwen Stemcomputers Niet begon in 2006 aandacht te vragen voor het principiële punt dat stemcomputers de verkiezingen voor de burger oncontroleerbaar maken. 106 In eerste instantie werd nauwelijks gereageerd op deze kritiek. Maar langzaamaan draaide de consensus bij en begon ook de overheid in te zien dat er wel eens iets aan de hand zou kunnen zijn met de software van de stemmachines. Zij konden dit echter niet controleren, want het betrof closed source software. Het was duidelijk dat de politiek te weinig aandacht had gehad voor de architectuur en de techniek, en alle macht in handen van de automatiseerders had gelegd. In 2007 schreef de Adviescommissie Inrichting Verkiezingsprocedure het rapport “Stemmen met vertrouwen”.107 Hierin werd alles tot in Raymond 2001, p. 19. Kennedy 2004, p. 779. 106 Zie voor meer informatie over deze stichting: www.wijvertrouwenstemcomputersniet.nl. 107 Adviescommissie inrichting verkiezingsproces Rapport 2007. 104 105
34
detail uitgewerkt en dit betekende de facto het einde van de stemcomputer in Nederland. Toen in Nederland besloten werd dat stemcomputers nog niet bruikbaar waren bij verkiezingen, schreef de Stichting tegen de stemcomputers: “Er is een eind gekomen aan de periode met geheime software, geheime testrapporten en geheime maatregelen. De overheid gaat de controle over de verkiezingen terugnemen van de bedrijven die het proces voor onze campagne volledig in handen hadden.”108 Ook in Amerika draaide de consensus van het volk en de politiek bij: “You control the machines; you won’t show us how they work; and you promise a particular result in the election. Is there any doubt people would be suspicious?”
109
De onderzoekers die zich met de Diebold-zaak
bezighielden, concludeerden dat het gebruik van open broncode de transparantie en daarmee de beveiliging aanzienlijk zou kunnen verbeteren.110 In de non-digitale wereld is de transparantie van de stemtelling duidelijk. Het feit dat de stemcomputers niet meer gebruikt worden vanwege de incorrect werkende software, hoeft niet te betekenen dat er nooit weer stemcomputers zullen komen. Van belang voor eventuele nieuwe machines met nieuwe software is echter wel dat de werking ervan volledig gecontroleerd kan worden. Want wanneer gebruik gemaakt wordt van techniek, vereist de architectuur van de digitale wereld een grote mate van zekerheid dat de software doet wat ervan gezegd wordt dat het doet. Open source software lijkt hier een goede oplossing te kunnen bieden. Dergelijke software is transparant en daardoor controleerbaar. Dit in tegenstelling tot closed source software. De vraag rijst dan ook hoe het zit met de regulering van closed en open source software. Want doordat open source software door iedereen bekeken en aangepast kan worden laat het zich moeilijk reguleren. Dit is het tweede kenmerk van open source software. Dit kan uitgelegd worden aan de hand van de in 1996 door softwarebedrijf Netscape ontwikkelde techniek: SSL. SSL is een protocol dat, door middel van cryptografie en authenticatie, een beveiligde verbinding met het internet tot stand brengt. Wanneer via deze beveiligde methode gecommuniceerd wordt, kan deze communicatie niet onderschept worden. Dit kan belangrijk zijn bij e-commerce, internetbankieren of andere transacties via het internet. Maar uiteraard heeft een dergelijke technologische ontwikkeling ook tegenstanders. De grootste tegenstander in deze was de Franse overheid. Zij wilde te allen tijde inzicht kunnen krijgen in de informatie en de gegevens die via het internet verstuurd werden. Het SSL protocol van Netscape stond hieraan in de weg. De Franse overheid verzocht Netscape daarom om een achterdeur te programmeren in het protocol, zodat zij alsnog, ook wanneer gegevens via SSL verstuurd werden, inzicht kon krijgen in de verstuurde gegevens. Dit door Lessig beschreven voorbeeld gaat niet over de vraag of Netscape al dan niet gehoor moest geven aan het verzoek van de Franse overheid. Waar het hier om gaat is het feit dat Netscape het SSL protocol had vrijgegeven voor Wijvertrouwenstemcomputersniet 2007. Kennedy 2006. 110 Jacobs 2003 en Rubin 2006. 108 109
35
gebruik als open source software. Dat betekent dat iedereen die de benodigde programmeerkennis had, het protocol naar eigen wens kon aanpassen. Wanneer Netscape haar protocol aan de het verzoek van de Franse overheid zou aanpassen, dan zou dat gewijzigde protocol slechts een alternatief vormen voor alle andere beschikbare vormen van het protocol, die inmiddels door andere programmeurs ontwikkeld waren. De gebruikers van de SSL techniek, die geen belang hadden in een voor de Franse overheid ingebouwde achterdeur, konden eenvoudig kiezen voor een andere variant van SSL, om daarmee alsnog beveiligd te communiceren en gegevens te versturen. De regulerende rol van de overheid werd dus in belangrijke mate beperkt door het karakter van open source software. De Franse overheid kon dreigen met maatregelen wanneer Netscape niet aan haar verzoek wilde voldoen, maar uiteindelijke is het open, transparante, flexibele karakter van open source software bepalend voor het feit of software gereguleerd kan worden of niet. Volgens Lessig: “The point is simple, its implication is profound”. 111 De overheid kan wel degelijk regulerend optreden en beperkingen opleggen, maar dat zal alleen effectief zijn als de open source beweging er achter staat. Zonder normatieve steun vanuit deze groep internetgebruikers, zal de door de overheid ontwikkelde software niet gebruikt worden en zal deze regulering door de overheid zinloos zijn. De architectuur van het programma, het protocol of van het gehele internet, is op deze manier een belangrijk controlemechanisme voor regulering. Lessig schrijft dan ook in zijn boek: “Open code means open control”, en tevens “regulable code is closed code”.112 Het feit dat open source software moeilijker te reguleren is, is volgens Lessig een positief kenmerk. Want in de architectuur van het internet schuilen mogelijkheden, maar ook gevaren. En één van die gevaren is overregulering en onzuivere regulering door de overheid.113 Om dat te voorkomen, is het belangrijk dat er zo veel mogelijk gekozen wordt voor open source software, zodat eventuele regulerende invloeden van de overheid of zelfs een private instelling, transparant zijn en gecontroleerd kunnen worden. Dommering beaamt Lessigs waarschuwing voor overregulering: “The Internet is a medium which enabled maximum access and maximum individual expression but it enabled also maximum control over individual behaviour. The stretched out arms of the World Wide Web take the user in a fond embrace as soon as he has plunged into free cyberspace.”114 Door gebruik te maken van de twee belangrijkste kenmerken van open source software – de controleerbaar en de moeilijkheid om het te reguleren – kunnen de eventuele nadelige gevolgen van de uitwisseling van de modaliteiten recht en code en de verschuiving van macht die hierdoor zal plaatsvinden, beperkt worden.
Lessig 2007, p.150 Lessig 2007, p.149 en p. 151. 113 Spinello 2001, p. 140. 114 Dommering 2006, p. 11. 111
112
36
3.5. Resumé In de vorige hoofdstukken hebben we gezien dat het internet gereguleerd kan worden en dat de wens om te reguleren bestaat. Lessigs regulerende modaliteiten zijn kort besproken: het recht, de markt, de sociale normen en de architectuur. Ook is aangegeven hoe deze modaliteiten het internet kunnen reguleren. Opvallend daarbij was het feit dat de architectuur van het internet een zeer sterke regulerende modaliteit lijkt te zijn. Dan is de regulerende werking van de architectuur misschien wel sterker dan die van het recht. Als het gaat over de regulering van het internet gaat Lessig zelfs nog een stapje verder en is hij van mening dat de modaliteiten elkaar kunnen vervangen. Hij voegt daar aan toe: “Code is law”. Maar als dat klopt, als de architectuur het recht kan vervangen, dan zal er ongetwijfeld ook een verschuiving van regulerende macht plaats gaan vinden. Want het recht wordt vormgegeven door de overheid, maar dat geldt doorgaans niet door de architectuur. Die ligt veelal in handen van private partijen: softwarebedrijven. Daardoor kent de regulering door de architectuur niet dezelfde waarborgen als regulering door het recht. Immers, de overheid moet haar beleid te allen tijde inzichtelijk en transparant houden en kan aangesproken worden op wanbeleid. Dezelfde bestuursrechtelijke controle bestaat niet voor private partijen. Om die reden is het belangrijk dat zo veel mogelijk gekozen wordt voor open source software. Doordat de broncode van open source software beschikbaar is, is op elk moment en door elke gebruiker controle mogelijk van de werking van de architectuur en kan de architectuur aan de eigen wensen aangepast worden. Door deze eigenschappen is open source software bovendien moeilijk te reguleren. Door het gebruik van open source software kan dus gewaakt worden voor overregulering door ofwel de overheid ofwel de private partijen. Zelf denk ik dat het wel wat mee zal vallen met de mate waarin mensen open source software zullen aanpassen aan hun eigen wensen. Regelgeving, en ook regulering door code, is niet absoluut. Er zullen altijd mensen zijn die tegen de regels in gaan. Maar de massa zal de paden volgen die door de regelgeving aangegeven worden. Bovendien heeft lang niet iedere gebruiker van het internet voldoende kennis van het internet om de code te kunnen begrijpen. Het is dan ook de vraag in hoeverre open source software gecontroleerd gaat worden en of overheid geen enkele regulerende invloed er op kan hebben. Meer in het algemeen kun je je op dit punt afvragen of Lessigs verhaal zichzelf niet in de staart bijt. Open source code kan dus moeilijker gereguleerd worden volgens Lessig. Door transparantie toe te voegen aan de architectuur kunnen gebruikers de software aanpassen aan hun eigen wensen. Maar de architectuur is toch juist bedoeld om te reguleren? Lessigs verhaal gaat immers over regulering van het internet – of van techniek in het algemeen – door code in te zetten als regulerende modaliteit. Het gaat het doel van deze scriptie voorbij deze vragen hier te beantwoorden. Het moge duidelijk zijn
37
dat er nog wel enige vraagtekens geplaatst kunnen worden bij Lessigs argumenten voor het gebruik van open source software. Lessigs theorie van “code is law” is nu uitgewerkt en de kritieken die het kent zijn besproken. Maar we moeten niet vergeten dat Lessig in zijn boek vooral uitgaat van de Amerikaanse situatie, het Amerikaanse rechtsstelsel en Amerikaanse voorbeelden. Om zijn theorie nader te concretiseren is het interessant om deze toe te passen op een Nederlandse casus die op dit moment zeer actueel is: de invoering van een landelijk elektronisch patiëntendossier. Daarover gaat het volgende en laatste hoofdstuk.
38
4 Een Nederlandse casus: het landelijk EPD 4.1. Inleiding In de voorgaande hoofdstukken is Lessigs theorie “code is law” geïntroduceerd en uitgewerkt. Het eerste hoofdstuk gaat in op zijn deelstelling dat het internet gereguleerd kan worden en dat er ook een wens bestaat om het internet te reguleren. Het tweede hoofdstuk bespreekt de modaliteiten waarmee het internet gereguleerd kan worden: het recht, de markt, sociale normen en de architectuur. Ook is daarbij gekeken naar de rol van de architectuur bij de regulering van een techniek als het internet. Opmerkelijk is dat code een belangrijkere rol lijkt te spelen dan het recht, als het gaat om de regulering van het internet. Onderwerp van het derde hoofdstuk is het gevolg dat de uitwisseling van de modaliteiten recht en code kan hebben: een verschuiving van macht van de overheid naar de private partijen. Hierbij ontbreekt echter enige democratische autoriteit. Om eventuele nadelige gevolgen hiervan te voorkomen of te beperken zou zo veel mogelijk gekozen moeten worden voor open source software. Dit type software is, anders dan gesloten software, goed controleerbaar en moeilijk reguleerbaar. Bijgevolg is dat overregulering voorkomen kan worden. Deze theorie en Lessigs argumenten zijn in de vorige hoofdstukken uitgewerkt. Maar Lessig is een Amerikaan. En zijn theorie is dan ook voornamelijk gericht op de Amerikaanse situatie en het Amerikaanse rechtsstelsel. Bij het lezen van zijn boek kun je je afvragen hoe zijn theorie van toepassing kan zijn in de Nederlandse situatie. Het duidelijkste verschil is dat tussen het Amerikaanse begrip “law” en het Nederlandse begrip “recht”. Want bedoelt Lessig met “law” eigenlijk wel het brede begrip recht, dat naast de wet ook verdragen, richtlijnen, overeenkomsten, afspraken, maatregelen van bestuur en dergelijk omvat, of dacht hij bij het gebruik van het begrip eerder aan de betekenis van “wet”. En uiteraard zit er ook een groot verschil in het recht zelf, bijvoorbeeld met betrekking tot privacy en het gebruik van persoonsgegevens. Het gebruik hiervan door de commercie is in Europa bijvoorbeeld veel sterker aan banden gelegd dan in Amerika. Dit laatste hoofdstuk is bedoeld om de ideeën van Lessig samen te pakken en te illustreren aan de hand van een actuele Nederlandse casus die betrekking heeft op het internet: de invoering van een landelijk elektronisch patiëntendossier. Ik zal beginnen met een korte introductie tot het landelijk elektronisch patiëntendossier (of kortweg EPD), de redenen waarom dit EPD ingevoerd wordt en de voor- en de nadelen van een dergelijk systeem. Daarna komen een tweetal belangrijke juridische dilemma’s bij het gebruik van
39
een landelijk EPD aan de orde: het beroepsgeheim van artsen en de privacy van patiënten. Vervolgens wordt geanalyseerd in hoeverre twee van Lessigs regulerende modaliteiten – het recht en de code – een regulerende werking hebben met betrekking tot deze twee dilemma’s bij het gebruik van een landelijk EPD. Het hoofdstuk wordt afgesloten met een analyse van Lessigs deelstellingen en in hoeverre de Nederlandse overheid daarmee rekening gehouden heeft bij het initiëren van het EPD.
4.2. Landelijk elektronisch patiëntendossier Jaarlijks vinden ongeveer 19.000 ziekenhuisopnames plaats als gevolg van vermijdbare medicatiefouten. Zo blijkt uit een studie van het Ministerie van Volksgezondheid, Welzijn en Sport (VWS): “De helft van het aantal vermijdbare medicatiefouten is te vermijden door het hebben van meer inzicht in de medicatiegegevens van patiënten bij het voorschrijven van medicatie.” 115 Dit was één van de redenen waarom de Minister van VWS gekozen heeft voor de invoering van een landelijk EPD. Een elektronisch patiënten dossier is een middel om op digitale wijze gegevens van patiënten te delen.116 De Groep Gegevensbescherming Artikel 29 – het onafhankelijke Europese adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer – omschrijft het EPD als volgt: “een volledig medisch dossier of soortgelijk document van de fysieke en mentale gezondheidstoestand van een individu in het heden en het verleden, dat in elektronische vorm is opgezet en deze gegevens onmiddellijk beschikbaar maakt ten behoeve van medische behandeling en andere nauw daarmee samenhangende doeleinden.” 117 Naast EPD worden ook de termen “elektronisch medisch dossier”, “elektronisch gezondheidsdossier” en “geautomatiseerd patiënten dossier” gebruikt. 118 Deze termen zijn onderling inwisselbaar. De minister van VWS is zoals gezegd bezig met het ontwikkelen van een landelijk EPD. Zorgverleners die aangesloten worden bij dit landelijke EPD kunnen gegevens over patiënten in heel Nederland uitwisselen.119 Dat kan bijzonder zinvol zijn wanneer iemand bij meerdere zorgverleners patiënt is, of als gebruik gemaakt wordt van de spoedeisende hulp. Vooralsnog zal het systeem alleen die informatie bevatten die door de zorgverlener genoteerd is in het medisch dossier van de patiënt. In dit medisch dossier noteert de zorgverlener in ieder geval de basisgegevens van een patiënt: de anamnese, de diagnose, de ingestelde behandeling, de voortgang van de behandeling, operatieverslagen, laboratoriumuitslagen, verwijs- en ontslagbrieven, röntgenfoto’s, verpleegkundige rapportages, bevinden van vroegere zorgverleners of geraadpleegde deskundigen. 120 Ministerie van VWS Rapport 2007, p. 3. Kamerstukken II 2007/08, 31 466, nr. 3, p. 1. 117 Groep Gegevensbescherming Artikel 29 Werkdocument 2007, p. 4. 118 Groep Gegevensbescherming Artikel 29 Werkdocument 2007, p. 4. 119 Kamerstukken II 2007/08, 31 466, nr. 3, p. 1. 120 Liem 2008. 115
116
40
Persoonlijke
aantekeningen,
zoals
vermoedens
of
indrukken,
vallen
onder
‘werkaantekeningen’ en mogen niet in het dossier. Dergelijke gegevens kunnen op dit moment ook niet opgevraagd worden door de patiënt of een andere zorgverlener.121 Het EPD kent enkele belangrijke voordelen. Zo vermindert het delen van medische gegevens de kans op medische fouten. Iedere behandeld arts kan direct zien welke medicijnen de patiënt gebruikt, of voor welke medicijnen de patiënt allergisch is. De patiënt hoeft bovendien niet aan elke arts of andere zorgverlener opnieuw zijn of haar medische verleden te vertellen. En wanneer de patiënt gebruik moet maken van een nacht- of weekenddienst, en daarbij niet bij de eigen huisarts terecht kan, dan kan de eigen huisarts op een later moment de gegevens van deze behandeling – zogenoemde huisartswaarneemgegevens
– alsnog eenvoudig en snel inzien. Zo wordt de
samenwerking tussen artsen ondersteund. En dat is vanzelfsprekend van groot belang. Bovendien kan het EPD zorgen voor een solide basis voor verdere innovaties met ICT in de gezondheidszorg. De architectuur van het EPD is bijzonder complex. Via een zogenoemd Landelijk Schakelpunt worden alle elektronische dossiers, die bij de zorgverleners zelf opgeslagen zijn, aan elkaar gekoppeld.122 Zorgverleners kunnen met een speciale pas inloggen op het systeem. 123 Door een Burger Service Nummer in te typen – dat uniek is voor iedere Nederlandse burger – kan de zorgverlener toegang krijgen tot het dossier van een patiënt, ook als dat dossier bewaard wordt bij een andere zorgverlener.
Ik zal in deze scriptie
verder niet ingaan op de architectuur van het EPD. Het is voldoende om te constateren dat het hier om een zeer complex ICT project gaat. En waar het gaat om een complex ICT project waarbij informatie met betrekking tot personen verwerkt wordt, is het van groot belang dat de gevolgen van het gebruik van een dergelijke systeem van tevoren goed doordacht worden. Dat lijkt in geval van het EPD onvoldoende te zijn gebeurd, waardoor zich nu twee belangrijke juridische implicaties voordoen bij het gebruik van het landelijke EPD: uitholling van het medisch beroepsgeheim en inperking van de privacy van de patiënt. Deze worden in de volgende paragraaf behandeld.
4.3. Beroepsgeheim en privacy: juridische dilemma’s van het EPD De invoering van een landelijk EPD zoals dat door de Minister van VWS in gang is gezet, kent, zoals gezegd, een aantal belangrijke voordelen. “De drijfveer achter het EPD is nobel”, schrijft Visser.124 Maar het systeem kent ook een aantal belangrijke dilemma’s of nadelen. Twee juridische dilemma’s wil ik in dit hoofdstuk nader bespreken: de uitholling van het medisch beroepsgeheim van artsen en de schending van de privacy van patiënten. De Vrije Huisarts Analyse 2005 en Kamerstukken II 2007/08, 31 466, nr. 3, p. 2. NICTIZ 2007. 123 He gaat hier om de zogenoemde UZI pas: unieke zorgverlener identificatie. Zie voor meer informatie hierover www.uziregister.nl. 124 Visser 2008. 121
122
41
Beiden staan in nauw verband met elkaar en kunnen dan ook gezamenlijk besproken worden. Ik zal eerst het medisch beroepsgeheim introduceren: wat is dit voor geheim, wie is er aan gehouden, hoe wordt dit door het recht gereguleerd en tenslotte, in de volgende paragraaf, op welke wijze gaat het EPD om met het medisch beroepsgeheim en hoe wordt het medisch beroepsgeheim door de architectuur van het EPD beschermd. De vragen die met betrekking tot de privacy van patiënten gesteld worden zijn: hoe ver gaat de privacy, hoe wordt dit door het recht gereguleerd en hoe reguleert de architectuur van het EPD de privacy van patiënten. Het beroepsgeheim van artsen bestaat al vele eeuwen. 125 De Griekse arts Hippocrates liet rond het jaar 400 voor Christus als eerste zijn leerlingen beloven dat zij de beroepsregels, zoals hij die had opgesteld, zouden naleven. Onderdeel van deze eed van Hippocrates was het beroepsgeheim: “Al hetgeen mij ter kennis komt in de uitoefening van mijn beroep, of in het dagelijks verkeer met mensen en dat niet behoort te worden rondverteld, zal ik geheim houden en niemand openbaren.” 126 Tegenwoordig bevat de artseneed de volgende woorden: “Ik zal geheim houden wat mij is toevertrouwd.”127 Het uitspreken van de artseneed vindt plaats ter afronding van de medische opleiding. Juridisch gezien heeft dit geen enkele betekenis.128 Daarom is het medisch beroepsgeheim ook wettelijk vastgelegd in de Wet op de Geneeskundige Behandelovereenkomst, de WGBo. Daarin is te lezen dat de zorgverlener zorg draagt dat “aan anderen dan de patiënt geen inlichtingen over de patiënt dan wel inzage in of afschrift van de bescheiden worden verstrekt”.129 Het medisch beroepsgeheim is dus een zwijgplicht met betrekking tot al datgene dat betrekking heeft op de patiënt. Artsen hebben op grond van deze zwijgplicht ook een verschoningsrecht: zij hoeven geen antwoorden te geven aan de rechter-commissaris of de politie, als zij daarmee anders in strijd met het medisch beroepsgeheim zouden handelen. Ook hebben zij geen aangifteplicht. De wet geeft een limitatieve opsomming van uitzonderingsredenen op grond waarvan het delen van patiëntgegevens niet in strijd is met het medisch beroepsgeheim: -
de patiënt heeft toestemming gegeven, of
-
het betreft een plaatsvervanger of een ander lid van het directe behandelteam, of
-
er is sprake van een wettelijke plicht, bijvoorbeeld de Infectiewet.
Het medisch beroepsgeheim dient twee belangen.130 Allereerst het algemene belang dat iedereen zich vertrouwelijk bij een zorgverlener moet kunnen melden. Daarnaast dient het een individueel belang van de patiënt: vertrouwen en privacy. Grondslag van het medisch beroepsgeheim is voor een belangrijk deel dus het beschermen van de privacy Hooghiemstra 2004. KNMG 2004, p. 4. 127 KNMG 2004, p. 5. 128 Peters 2003, p. 12. 129 Artikel 7:457 lid 1 Burgerlijk Wetboek. 130 Hooghiemstra 2004. 125
126
42
van de patiënt. De informatie die de arts heeft over de patiënt betreft zeer gevoelige persoonsgegevens. Dit valt te lezen in de Europese Richtlijn inzake de bescherming van gegevens.131 Gevoelige persoonsgegevens zijn volgens de Richtlijn: “gegevens waaruit de raciale
of
etnische
afkomst,
de
politieke
opvattingen,
de
godsdienstige
of
levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, als ook gegevens die de gezondheid of het seksleven betreffen.”132 Het Hof van Justitie van de Europese Gemeenschap heeft deze Richtlijn aangehaald in de zaak Bodil Lindqvist.133 Daarin heeft zij bevestigd dat gegevens betreffende de gezondheid gevoelige persoonsgegevens
zijn
die
extra
bescherming
nodig
hebben.
De
Groep
Gegevensbescherming Artikel 29 – een onafhankelijk Europees adviesorgaan dat moet zorgen voor een correcte toepassing van de Richtlijn – meent bovendien dat alle medische documentatie, opgenomen in (elektronische) dossiers beschouwd moet worden als gevoelige
persoonsgegevens.
134
De
aanduiding
van
informatie
als
gevoelige
persoonsgegevens heeft gevolgen voor het toegestane gebruik van deze informatie. Dit toegestane gebruik wordt geregeld in de Richtlijn en in de Wet Bescherming Persoonsgegevens, de WBP. Uitgangspunt is een algemeen verbod op de verwerking van dergelijke gegevens. 135 Dat betekent dat zij niet mogen worden verzameld, vastgelegd, geordend, bewaard, bijgewerkt, gewijzigd, opgevraagd, geraadpleegd, gebruikt, ter beschikking gesteld, samengebracht, met elkaar in verband gebracht, afgeschermd, uitgewist of vernietigd. Uitzonderingen op dit algemene verbod zijn vergelijkbaar met de rechtvaardigingsgronden die de WGBo geeft voor het schenden van het medisch beroepsgeheim. De arts heeft dus een beroepsgeheim en een verschoningsrecht ter bescherming van de privacy van de patiënt. Het dossier dat hij over de patiënt bijhoudt, mag hij alleen met anderen delen wanneer de patiënt daartoe toestemming heeft gegeven, wanneer de ontvangende derde zijn plaatsvervanger is of lid is van het behandelteam, of wanneer er een wettelijke verplichting bestaat. Overigens zijn niet alleen artsen gehouden aan het medisch beroepsgeheim. Deze geldt ook voor apothekers, fysiotherapeuten, tandartsen, verloskundigen en ondersteunende hulpverleners.136 De vraag rijst nu in hoeverre het medisch beroepsgeheim en de daarmee samenvallende privacy van de patiënt bij gebruik van het landelijk EPD worden beschermd door het recht. Het antwoord is kort: het EPD biedt onvoldoende bescherming. Laten we stap voor stap bekijken waardoor dat komt. Richtlijn 95/46/EG van oktober 2005. Dit is de Richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. 132 Artikel 8 lid 1 Richtlijn 95/46/EG. 133 Rechtszaak C-101/01, Bodil Lindqvist versus Åklagarkammaren i Jönköping (openbare aanklager in Jönköping, Zweden). 134 Groep Gegevensbescherming Artikel 29 Werkdocument 2007, p. 8. 135 Artikel 8 lid 1 Richtlijn en artikel 8 WBP en Kamerstukken II 2007/08, 31 466, nr. 3, p. 4. 136 Zie de website van het Centrum voor ethiek en gezondheid: www.ceg.nl. 131
43
4.4. Regulering door het recht Het doel van het landelijke EPD is een snelle en efficiënte uitwisseling van patiëntgegevens. 137 Het dossier blijft bij de behandeld arts, maar kan door andere zorgverleners geraadpleegd worden, via het EPD. Is dit niet in strijd met zowel de WGBo, als de WBP, als de Richtlijn? Immers, het EPD maakt het mogelijk dat een grotere bevolkingsgroep dan voorheen – namelijk iedereen met een zogenoemde BIG registratie – toegang krijgt tot alle dossiers van alle Nederlandse patiënten. Houdt de arts zich dan nog wel aan zijn beroepsgeheim? En bovendien werkt het systeem zonder dat de patiënt daarvoor toestemming heeft gegeven. Is dat geen schending van zijn privacy? Eind 2008 heeft de minister het mogelijk gemaakt bezwaar aan te tekenen tegen koppeling van het dossier aan het EPD. Maar de informatie die de Minister daarbij over het EPD heeft verstrekt was zeer eenzijdig en heeft lang niet alle burgers bereikt.138 Bovendien moet het niet maken van bezwaar niet gezien worden als het geven van toestemming. De Minister heeft de zaken hiermee omgedraaid. Van de eerste rechtvaardigingsgrond voor voor het uitwisselen van patiëntgegevens is derhalve geen sprake. Dat geldt ook voor de tweede rechtvaardigingsgrond. Alle BIG-geregistreerde zorgverleners – dat zijn er ongeveer 400.000 – kunnen toegang krijgen tot het EPD. Wanneer zij toegang hebben tot het EPD kunnen zij bij alle dossiers van alle patiënten in Nederland. Weliswaar moeten zij in het systeem aangeven dat er sprake is van een behandelrelatie, maar we kunnen niet verwachten dat alle gebruikers van het systeem dit altijd naar waarheid zullen invullen.139 Bovendien is het zo dat als eenmaal is aangegeven dat een patiënt een behandelrelatie heeft met een zorginstelling, bijvoorbeeld een ziekenhuis, vervolgens alle zorgverleners binnen die zorginstelling ‘legitiem’ toegang tot het dossier hebben. Zo werd tijdens een discussieavond van de Kenniskring van Noordelijke Informaticarechtjuristen begin 2009 de volgende metafoor gebruikt: “een kaartje voor het pretpark geeft toegang tot alle attracties”. Tenslotte hoeft de patiënt per behandelde zorgverlener slechts eenmaal aan te geven dat er sprake is van een behandelrelatie, en de zorgverlener heeft voor onbepaalde tijd onbeperkt toegang tot het dossier van deze patiënt.140
Kamerstukken II 2007/08, 31 466, nr. 3, p. 1. De brief en de folder die door het Ministerie verstuurd zijn, zijn terug te vinden op de website van het Informatiepunt BSN in de zorg en landelijk EPD: www.infoEPD.nl. Zie ook Mommers 2008. 139 Toen bekende Nederlander en voetballer Van Persie in 2005 verdacht werd van verkrachting, probeerden 200 agenten van het korps in Rotterdam-Rijnmond zijn dossier in te zien. De agenten waren daartoe niet bevoegd. Het systeem gaf de informatie niet vrij, maar registreerde wel wie onbevoegd bij de informatie probeerde te komen. Zo konden de agenten achteraf alsnog een officiele waarschuwing krijgen. 140 Kamerstukken II 2007/08, 31 466, nr. 3. 137
138
44
De patiënt kan via de loggegevens van het systeem zien wie wanneer toegang heeft gehad tot zijn dossier.141 Als de patiënt van mening is dat er iemand in zijn dossier gekeken heeft, die daar volgens hem niets te zoeken had, dan kan hij dit melden bij een centraal meldpunt. Dit meldpunt verricht dan nader onderzoek. Maar een zorgverlener die bewust zonder behandelrelatie een dossier heeft ingezien kan altijd nog zeggen dat hij per ongeluk het verkeerde Burger Service Nummer heeft ingetoetst. Misbruik van de mogelijkheden van en de toegang tot het systeem wordt door het systeem zelf in de hand gewerkt. Zowel het beroepsgeheim van de arts als de privacy van de patiënt komen behoorlijk op de tocht te staan door de invoering van het landelijke EPD. Uiteindelijk
is
rechtvaardigingsgrond
bij
de
opzet
van
voor
de
uitwisseling
het van
EPD
gekozen
voor
patiëntgegevens,
de
de
derde
wettelijke
verplichting. Hoewel de Minister in eerste instantie de toestemming van patiënt als grondslag
voor
het
EPD
zag,
noemt
hij
nu
de
wettelijke
verplichting
als
grondslag. 142 Deelname aan het landelijk EPD is voor alle zorgverleners wettelijk verplicht. 143 Daarvoor heeft de Minister een nieuwe wet in het leven geroepen, de kaderwet Elektronische Zorginformatie Uitwisseling, onderdeel van de Wet Gebruik Burgerservicenummer.144 Kortom, er is wel een rechtvaardiging voor de uitwisseling van patiëntgegevens, maar die is gecreëerd naar aanleiding van het systeem, is kan achteraf eigenlijk maar moeilijk een grondslag genoemd worden. Bovendien gaat het aan de bestaande regeling voorbij: het gaat niet langer om een uitzonderingsgrond, maar om een regel.145 Ook is er niet altijd sprake van een behandelrelatie, en het is zeker niet zo dat de patiënt toestemming heeft gegeven. Het delen van de medische gegevens van een patiënt via het EPD kan derhalve gezien worden als een uitholling van het medisch beroepsgeheim en de privacy van de patiënt.146 Het recht lijkt ontoereikend om het gebruik van het EPD te reguleren. Bovendien is eventueel misbruik van het EPD zeer gevoelig voor een groot nadeel van regulering door het recht: de ex post werking ervan. Er kan pas handhavend worden opgetreden tegen inbreuken op het medisch beroepsgeheim wanneer de inbreuk reeds heeft plaatsgevonden. Feitelijk is het leed dan al geschied. Het beroepsgeheim is doorbroken en de privacy geschaad. En in geval van gevoelige gegevens valt dat niet terug te draaien. Een zorgverlener die zich onbevoegd toegang verschaft tot een patiëntendossier kan achteraf de bekeken informatie niet teruggeven. Er kan niet worden teruggegaan naar de situatie dat de zorgverlener het dossier nog niet gezien had. Kamerstukken II 2007/08, 31 466, nr. 3, p. 11. Kamerstukken II 2007/08, 31 466, nr. 3, p. 9. 143 Artikel 16 Wet Gebruik Burgerservicenummer. 144 In deze kaderwet is tevens geregeld dat een zorgverlener die misbruik maakt van het systeem streng gestraft wordt in de vorm van een bestuurlijke boete. 145 Kamerstukken II 2007/08, 31 466, nr 4. 146 Zie ook: M.J. Bonthuis, ‘Privacy en landelijk Elektronisch Patiënten Dossier’, P&I 2008-3, p. 119123 en M.J. Bonthuis, ‘Addendum bij Privacy en landelijk Elektronisch Patiënten Dossier’, P&I 2008-4, p. 190-191. 141
142
45
Handhaving en sanctionering werken dus slechts door de afschrikwekkende werking die er vanuit kan gaan. Maar dan is het eigenlijk al te laat. Bovendien bestaat het medisch beroepsgeheim al eeuwen. Het dient dan ook niet lichtzinnig terzijde te worden geschoven. “Zeker niet als dit de kans op misbruik aanzienlijk vergroot”.147 We hebben dus gezien dat de uitwisseling van patiëntgegegevens met behulp van het EPD niet afldoende gereguleerd wordt door het recht.148 Of beter gezegd, de Minister heeft de regulering aangepast om de uitwisseling van patiëntgegevens middels het EPD mogelijk te maken. Dit is gebeurd met de eerder genoemde Kaderwet. In feite is er nu sprake van een omgekeerde situatie. De ICT zou moeten voldoen aan de door het recht gestelde regels. Maar nu de automatiseerders een systeem hebben ontwikkeld waarbij dat niet het geval was, wil de Minister het recht aanpassen aan het systeem. Je zou kunnen zeggen dat de automatiseerders alle macht in handen hebben. Zij bepalen niet alleen wat de werking van het systeem is, wat de mogelijkheden van het systeem zullen zijn, maar hebben met hun werk ook invloed op het nieuw te ontwikkelen recht. En die regulering door het recht lijkt op dit moment niet afdoende te zijn. Daarom bespreek ik in de volgende paragraaf in hoeverre gebruik van het systeem gereguleerd wordt door de nieuwe machthebbers, de architecten van de code, de automatiseerders.
4.5. Regulering door de architectuur In de vorige paragraaf zijn twee juridische dilemma’s besproken die zich voordoen bij het gebruik van het landelijk EPD: de uitholling van het medisch beroepsgeheim en de schending van de privacy van patiënten. We hebben gezien dat het EPD eigenlijk niet voldoet aan de door het recht gestelde regels met betrekking tot dit beroepsgeheim en deze privacy. Het systeem wordt echter ook gereguleerd dor de architectuur ervan, de code. De techniek van het EPD is door mensen ontworpen. De techniek is van plastic en flexibel. We kunnen het volledig ontwerpen zoals we dat zelf willen. En we kunnen het de waarden meegeven die we belangrijk vinden. We hebben in de vorige hoofdstukken gezien dat we, door te bepalen wat kan, kunnen we bepalen wat mag. En dat is het grote voordeel van regulering door code, ten opzichte van regulering door het recht. Het recht werkt ex post. Dat betekent dat het leed reeds is geschiedt, op het moment dat het recht wordt overtreden. En dat kan in geval van inzage in gevoelige informatie niet meer teruggedraaid worden. Code kan daarentegen vooraf reguleren, ‘ex ante’. Code bepaalt niet alleen wat mag, maar ook wat kan. Door de code zo te programmeren dat schending van belangrijke waarden onmogelijk is, kan onwenselijk gedrag worden voorkomen. Daardoor zal handhaving en sanctionering voor een groot deel overbodig worden. En zo
Visser 2008. De Tweede Kamer heeft in maart 2009 gevraagd om een onderzoek of er afdoende borging in wet- en regelgeving bestaat om goed met het EPD te kunnen werken. Zie Kamerstukken II 2008/09, 31 466, nr. 43.
147
148
46
wordt het tevens onmogelijk gemaakt dat enig leed geschiedt dat niet meer teruggedraaid kan worden.149 Dat is een sterke bescherming van zowel het medisch beroepsgeheim als de patiëntprivacy. Het ontwerp van
het huidige EPD is duidelijk onvoldoende doordacht. De
Minister en het NICTIZ hebben te weinig aandacht gehad voor de besproken juridische dilemma’s. De Minister heeft zich te veel laten leiden door de automatisering. De automatiseerders kunnen zeggen dat bepaalde dingen wel of niet in het systeem ingebouwd kunnen worden Maar als automatiseerder durf ik te stellen dat nagenoeg alles in een dergelijk systeem kan worden gebouwd, mits het van tevoren goed is doordacht, en mits er voldoende tijd voor wordt uitgetrokken. Daarbij dient met alle aspecten rekening te worden gehouden: uiteindelijke werking, kosten, gebruiksvriendelijkheid, beveiliging en belangrijke waarden die moeten worden ingebouwd. Verschillende belangen moeten tegen elkaar worden afgewogen, immers “architecture is policy” zeggen Mitchell Kapor en John Perry Barlow van The Electronic Frontier Foundation. 150 Het belang van het medisch beroepsgeheim en de privacy wegen mijn inziens dusdanig zwaar dat hiermee bij de bouw van het systeem rekening gehouden had moeten worden. Als de Minister hier meer aandacht voor had gehad, dan had hij de code kunnen gebruik als “regulatory twostep”.151 Door de code te beïnvloeden kan de overheid het gebruik van het EPD reguleren en daarmee het medisch beroepsgeheim en de bescherming van de privacy van de patiënt beter borgen. Lessig waarschuwt hierbij voor een verschuiving van macht van de overheid naar de private partijen. Hoewel (of wellicht juist doordat) de Minister onvoldoende gebruik heeft gemaakt van de regulerende werking van de code, heeft er reeds een verschuiving van macht plaatsgevonden. Het systeem dat ontwikkeld is, voldoet niet aan de huidige wettelijke bepalingen. In plaats van een systeem te ontwikkelen dat afdoende rekening houdt met de plaats van het medisch beroepsgeheim in de zorg en in de WGBo, hebben de automatiseerders de macht gegrepen en bepalen zij wat mogelijk is en wat niet. En nu wil de Minister de wet aanpassen aan het door de technici ontwikkelde systeem. Dit lijkt mij een omgekeerde wereld, ondanks dat de wetgever uiteindelijk bij de regulering wordt betrokken.152 De Kamer wordt immers voor een voldongen feit geplaatst. En het is precies waarvoor Lessig waarschuwde. Immers, de automatiseerders die in opdracht van NICTIZ het EPD ontwikkelen, hebben geen democratische legitimiteit of autoriteit en kunnen niet, zoals de overheid, verantwoordelijk worden gehouden. Daar komt nog bij dat het een closed source softwareproject betreft. Daardoor is de werking van het systeem niet transparant en kan het niet worden gecontroleerd. Het was beter geweest als de overheid had gekozen voor een open source systeem. Vooral ook omdat de overheid steeds vaker voor open source kiest. En je zou toch verwachten dat ze wel geleerd zouden Computercriminaliteit natuurlijk daar gelaten. Kapor’s oorspronkelijke stelling luidde “architecture is politics”. Kapor 2006. 151 Lessig 2007, p. 62. 152 Luyendijk 2009. 149
150
47
hebben van het stemmachinefiasco en gebruik zou maken van de voordelen die een open karakter van de software kan bieden. Ze had beter een voorbeeld kunnen nemen aan de Amerikaanse overheid. Zij heeft bij de invoering van een EPD bewust gekozen voor een deels open source systeem: VistA. 153 Dit systeem is ontwikkeld door het Amerikaanse ministerie van ‘Veterans Affairs’, VA, en wordt gebruikt in meer dan 150 ziekenhuizen en 800 klinieken. Doordat vele programmeurs hun ideeën daarin kwijt kunnen, is een bijzonder efficiënt VistA-systeem ontstaan. Al met al kan geconcludeerd worden dat bij de ontwikkeling van het landelijke EPD te weinig aandacht is geweest voor de verwerking van het medisch beroepsgeheim en de privacy van de patiënt in de code van het systeem. Op wellicht eenvoudige wijze hadden deze zaken in de code kunnen worden ingebouwd, waardoor de vertrouwelijke omgang met patiëntgegevens binnen de zorg geborgd zou zijn. Er is naar mijn mening te weinig gebruik gemaakt van de regulerende werking van de code.
4.6. Resumé Bij het landelijke EPD zoals dat nu ontwikkeld wordt, wordt onvoldoende rekening gehouden met de positie van het Nederlandse medische beroepsgeheim in de zorg en de manier zoals dit nu gereguleerd is in de WGBo. Dat is naar mijn mening zeer onwenselijk. Dit probleem wordt opgelost door, met behulp van een andere wet, de Kaderwet Elektronische Zorginformatie Uitwisseling, het medisch beroepsgeheim uit te hollen. Toch heeft de Minister wel voor deze route gekozen. Omdat het EPD onvoldoende steun had vanuit de wet, en een wettelijke grondslag voor schendingen van het medisch beroepsgeheim en de privacy van de patiënten niet aanwezig was, heeft de Minister met aanpassing van de Wet gebruik burgerservicenummer deze wettelijke grondslag alsnog gecreëerd. Opmerkelijk is het feit dat iets dat zo ingrijpt op het medisch beroepsgeheim niet geregeld wordt in Wet op de Geneeskundige Behandelovereenkomst, waar we het beroepsgeheim zelf terugvinden, maar in de Wet gebruik burgerservicenummer. De reden hiervoor is dat het burgerservicenummer de basis vormt van de werking van het EPD. Ook hierbij valt dus op te merken dat de Minister meer bezig is met de techniek, dan met het recht. De Minister heeft met dit technische project alle waarschuwingen van Lessig in de wind geslagen. Hij heeft onvoldoende oog gehad voor de juridische dilemma’s die spelen bij een dergelijk systeem. Daarbij heeft hij zich volledig gericht op regulering door het recht, terwijl code in dit geval, net als bij het internet, wellicht de sterkere regulerende modaliteit is. Dat komt doordat de techniek vooraf reguleert: door vast te leggen wat kan, wordt bepaald wat mag. En dat is in geval gevoelige persoonsgegevens zoals medische gegevens van patiënten van groot belang. De techniek is normatief doordat het 153
Zie voor meer informatie over het VistA systeem: www.worldvista.org.
48
belangrijke waarden kan bevatten. De techniek is bovendien volledig vormbaar en is daarmee een goedkoop, snel, effectief en efficiënt alternatief voor het recht als regulerende modaliteit. De Minister heeft de macht bij de automatiseerders gelegd, en daardoor een verschuiving van de macht van de overheid naar een private partij mogelijk gemaakt. Dat had kunnen worden recht gebreid, wanneer gekozen zou zijn voor een open source systeem, dat door anderen gecontroleerd kan worden. Daarentegen is een closed source software systeem ontwikkeld, waardoor er geen enkele transparantie en inzicht in de werking van het systeem bestaat, voor anderen dan de ontwikkelaars ervan. Een open source systeem kan ongetwijfeld op meer steun rekenen, met name door het fiasco van de incorrect werkende stemmachines. Langzaamaan raakt de overheid doordrongen van het feit dat het landelijk EPD nog een aantal belangrijke steken laat vallen en dat het in haar huidige vorm nog onbruikbaar is. Het is belangrijk dat een dergelijke complexe techniek van tevoren goed wordt doordacht. De architectuur moet tot in ieder klein detail uitgewerkt zijn. Alleen dan kan er optimaal gebruik gemaakt worden van de regulerende werking van de code. De overheid probeert nu hier en daar een aantal van de loshangende draadjes aan elkaar te knopen. Maar een in eerste instantie slecht functionerend of slecht beveiligd systeem op een later moment aanpassen is niet verstandig. Je kunt het vergelijken met het bouwen van een muur. Wanneer een eerste deel van de betonnen muur eenmaal droog is, kun je er niet nog op verder bouwen, zonder een risico op haarscheuren. En deze haarscheuren zijn weer een risico voor lekkage. En wanneer het gaat om de privacy van patiënten en het beroepsgeheim van artsen en andere zorgverleners is dat het laatste wat je wilt. De oplossing voor de problemen die spelen bij het gebruik van een landelijke EPD is niet zomaar te geven. Maar waarschijnlijk ligt deze in een combinatie van wetgeving, organisatie, procedures en technologie. Van der Wel voegt deze elementen samen onder de noemer Privacy Enhancing Organization (PEO). “Alleen zo ontstaat de combinatie van openbaarheid, kracht en eenduidigheid van voorschrift die hier nodig is.” 154 Alle waarschuwingen en adviezen die Lessig in zijn boek verwoord heeft, zijn bij dit belangrijke ICT-project in de wind geslagen, en de gevolgen daarvan komen nu langzamerhand aan het licht. Als het internet, de stemcomputer, de ov-chipkaart en andere innovatieve technologische ontwikkelingen ons iets geleerd hebben, dan is het wel dat “ongeclausuleerde toegang tot grote hoeveelheden informatie heel handig, maar ook bijzonder schadelijk kan zijn. Helaas legt de overheid een grote naïviteit aan de dag, bij de omgang met persoonsgegevens.” 155 Privacybescherming en instandhouding van het medisch beroepsgeheim lijken ondergeschikt gemaakt te worden aan doelmatigheid.156 Het uitstel van landelijke implementatie van het EPD dat door de Tweede Kamer en de Van der Wel 2005, p. 3. Mommers 2008. 156 Zie ook Leijendekker 2008. 154 155
49
Minister is overeengekomen, kan enige ruimte bieden om systeem nader te analyseren en te evalueren.157 Want momenteel is het met te weinig waarborgen omgeven, zowel door het recht, als door de code.
Dit bevestigde Minister Ab Klink van VWS in het Tweede Kamer debat over het EPD op 22 januari 2009. Zie ook Schonck 2009.
157
50
Conclusie
Deze scriptie is een analyse van een belangrijk werk van jurist, wetenschapper en auteur Lawrence Lessig. Zijn boek, getiteld Code and other laws of cyberspace, behandelt zijn stelling dat code recht is, als het gaat om de regulering van het internet: “code is law”. In de eerste drie hoofdstukken worden Lessigs substellingen behandeld, aan de hand van zijn eigen theorie en de daarop gegeven kritieken: 1.
Het internet is niet onreguleerbaar.
2. Het internet wordt gereguleerd door vier modaliteiten. 3. Code is de sterkste regulerende modaliteit. In het eerste hoofdstuk is een analyse gemaakt van de werking en het ontstaan van het internet. In de eerste jaren van het bestaan van het internet was het en communicatiemiddel dat slechts een aantal basis mogelijkheden kende. Het was in staat gegevens en bestanden te versturen tussen computers. Omdat het systeem niet in staat was andere informatie mee te zenden, zoals informatie over de verzender of de ontvanger, of over de inhoud van de verzonden informatie, was regulering nagenoeg onmogelijk. Immers, als je niet weet wie wat waar doet, kun je het gedrag niet effectief reguleren. Lessig schrijft: “What you don’t know determines what you can control.”158 Het internet was in die tijd een vrijhaven. En dat heeft de Amerikaanse libertariaanse stroming geïnspireerd. Deze stroming heeft vrijheid en afwezigheid van overheidsbemoeienis als uitgangspunt. Zij waren dan ook van mening dat het internet niet alleen niet gereguleerd kon worden, maar ook dat dit een goede zaak was. Dat het internet niet hoeft te blijven wat het is, is duidelijk geworden uit het ongekende tempo waarin het zich ontwikkeld heeft. Was het internet van het begin van de jaren negentig nog onreguleerbaar, tegenwoordig biedt het wel degelijk mogelijkheden voor regulering. Het libertariaanse idee dat het internet niet gereguleerd kan worden, kan tegenwoordig eenvoudig weerlegd worden. De overheid kan bijvoorbeeld kiezen voor een indirecte vorm van regulering, door het reguleren van de tussenpersonen of het reguleren van de techniek. Lessig spreekt dan van de ‘regulatory two-step’.159 Het internet is dus niet onreguleerbaar. En er bestaat in deze tijd van computercriminaliteit en terrorisme tevens een sterke wens om het internet te reguleren. Lessig schrijft: “We all love the net. But if some government could really deliver on the promise to erase all the bads of this space, most of us gladly sign up.”160 Zelfs al is de regulering niet perfect, dan kan het alsnog het gewenste effect hebben. Immers, sloten kunnen worden opengebroken, maar dat maakt een slot op een deur of een op een fiets nog niet overbodig. Het feit dat het gebruik van het internet zich wel
Lessig 2007, p. 36. Lessig 2007, p. 62. 160 Lessig 2007, p. 33 e.v. 158 159
51
degelijk laat reguleren, heb ik geïllustreerd aan de hand van de situatie van Google in China. De Chinese kent een sterke censuur, ook op het internet. De zoekmachine van Google was bijvoorbeeld volledig geblokkeerd voor internetgebruikers in China. Maar de Chinese overheid heeft een deal gesloten met Google: een plek in de Chinese interneteconomie in ruil voor gefilterde zoekresultaten. Een voor beide partijen voordelige deal. In het tweede hoofdstuk ben ik nader ingegaan op de wijze waarop het internet gereguleerd kan worden. Daarbij zijn de regulerende modaliteiten die door Lessig genoemd worden, uitvoerig besproken: het recht, de markt, sociale normen en de architectuur van zaken. Het recht, zoals de auteurswet, de grondwet en de strafwet reguleren niet alleen het gedrag offline, maar ook het gedrag online. Ook de markt heeft een regulerende werking. Zo bepaalt de prijs voor toegang tot het internet voor een groot deel wie toegang heeft en wie niet. Het internet kent ook sociale normen. Denk bijvoorbeeld maar aan de nettiquette. Maar de belangrijkste regulerende modaliteit op het internet is de architectuur van het internet, de code. Door de code aan te passen aan de normen die we belangrijk vinden, kan aangegeven worden wat mag en wat kan. Het inzetten van code als regulerende modaliteit heeft een aantal voordelen. Niet alleen wordt ermee bepaald wat mag, maar ook wat kan. Ongewenst gedrag kan erdoor onmogelijk gemaakt worden. Code heeft dus een ‘ex ante’ werking: nog voordat de onwenselijke gedraging heeft plaatsgehad, wordt het gedrag reeds beperkt. Ook is code sneller, eenvoudiger en goedkoper aan te passen dan het recht. Dat maakt het in geval van het internet de meest effectieve en efficiënte regulerende modaliteit. En om het internet te reguleren is code wellicht meer geschikt dan het recht. Lessig concludeert dan ook: “code is law”.161 Deze stelling is in het derde hoofdstuk nader bekeken. Volgens Lessig kunnen het recht en de code uitgewisseld worden als het gaat om regulering van het internet. En vanwege de voordelen van de code boven het recht, raadt hij dit ook aan. Maar hij geeft daarbij wel een aantal waarschuwingen. Zo moeten we uitkijken voor indirect en onzuivere vormen van regulering. De overheid zou gemakshalve kunnen kiezen voor regulering via code, terwijl het gaat om zaken die eigenlijk in het recht geregeld zouden moeten worden. Ook waarschuwt hij voor een mogelijke verschuiving van de macht. Wanneer we code het internet laten reguleren, is het waarschijnlijk dat de regulerende macht in de handen van de automatiseerders komt. Maar deze automatiseerders kennen niet, zoals de overheid, een democratische autoriteit en zijn niet op dezelfde wijze verantwoordelijk te houden. De private partijen zijn daardoor nauwelijks controleerbaar. De oncontroleerbaarheid van de automatiseerders wordt nog eens versterkt als er gekozen wordt voor closed source software. Deze software wordt dan alleen in machinetaal gedistribueerd. Machinetaal is echter voor de mens niet te begrijpen. De 161
Lessig 2007, p. 1.
52
werking van de software kan dus niet gecontroleerd worden. Redenen om te kiezen voor closed source software kunnen sterk zijn. De automatiseerder wil bijvoorbeeld de code hergebruiken in een ander programma. Of het programma heeft een sterke concurrentiepositie in de moordende markt van de software, en de automatiseerder wil niet dat anderen het geheim daarvan kunnen achterhalen en er ook gebruik van kunnen maken. Een andere reden om niet te kiezen voor open source software kan zijn dat de automatiseerder geen meekijkers wenst. Open source software, waarvan niet alleen de machinecode, maar ook de broncode geopenbaard wordt, kan namelijk door iedereen met enige programmeerkennis worden bekeken en aangepast. Maar de keuze voor open soure software kent uiteraard ook vele voordelen. Het belangrijkste voordeel is de transparantie ervan, waardoor controle mogelijk wordt. Dat zal het vertrouwen in de software vergroten. Om het verschil tussen open en closed source software te verduidelijken heb ik in dit hoofdstuk de zaak Diebold en de stichting Wij Vertrouwen Stemcomputers Niet aangehaald. Hieruit bleek dit voordeel van open source software nogmaals: open source software maakt het mogelijk het regulering door private partijen te controleren. In de situatie van Netscape in Frankrijk werd duidelijk dat open source software nog een belangrijk voordeel kent, boven closed source software: het is moeilijk te reguleren. Doordat iedereen op ieder moment de werking van de software kan bestuderen, kan de overheid geen stiekeme achterdeurtjes inbouwen die onopgemerkt blijven. Bovendien kunnen programmeurs de code aanpassen en het achterdeurtje er weer uit halen, om de software vervolgens opnieuw te distribueren. Hiermee is de analyse van Lessig stelling compleet. Maar wat aldoor op de achtergrond mee speelt is het feit dat Lessig een Amerikaan is, en zijn theorie voornamelijk gebaseerd is op het Amerikaanse recht en Amerikaanse situaties. Daarom heb ik in het laatste hoofdstuk zijn theorie naast een actuele Nederlandse casus gelegd: de invoering van een landelijk Elektronisch Patiënten Dossier, kortweg EPD, door de Minister van VWS. Het doel van het EPD is het snel, eenvoudig en efficiënt delen van patiëntgegevens. De dossiers van de patiënten blijven bij de zorgverlener, maar worden via het EPD toegankelijk gemaakt voor andere zorgverleners. Het EPD kent echter twee juridische dilemma’s. Dat zijn de uitholling van het beroepsgeheim van artsen en een schending van de privacy van patiënten. Het EPD zoals dat nu ontwikkeld is, past niet binnen het kader dat de WGBo stelt voor de uitwisseling van patiëntgegevens in de zorg. Het systeem wordt dus onvoldoende door het recht gereguleerd. De Minister wil daarom nu het recht aanpassen aan het systeem. Lessig waarschuwde voor een verschuiving van de macht, maar deze heeft dus reeds plaatsgevonden. Want nu het recht aan het systeem aangepast wordt, hebben de automatiseerders alle macht in handen. Een uitgelezen kans voor de code om het systeem te reguleren. Maar voor regulering door de code, moet er vooraf goed over de code nagedacht worden. Over de beveiliging ervan, de gebruiksvriendelijkheid, de uiteindelijke werking, de kosten, het tijdpad en de in te
53
bouwen normen en waarden. Code bevat vele adviezen en waarschuwingen, die de overheid op weg hadden kunnen helpen met een goede aanpak van dit complexe ICT project. 162 Maar de twee genoemde juridische dilemma’s geven aan dat de overheid duidelijk te weinig over het systeem en de gevolgen ervan heeft nagedacht. Bovendien is gekozen voor een closed source systeem, dat niet gecontroleerd kan worden. De regulering die plaatsvindt door de code, komt tot stand door het werk van de automatiseerders, en is niet te controleren. De adviezen en waarschuwingen die Lessig in zijn boek zo duidelijk heeft genoemd en uitgewerkt, zijn in de wind geslagen door de Nederlandse overheid. Op allerlei manieren probeert zij het project te redden. Het recht reguleert het systeem onvoldoende, dus past ze het recht aan. Maar achteraf een systeem aanpassen aan nieuwe gedachtegangen en grondslagen is niet verstandig. Je kunt het vergelijken met het bouwen van een muur. Wanneer een eerste deel van de betonnen muur eenmaal droog is, kun je er niet nog op verder bouwen, zonder een risico op haarscheuren. En deze haarscheuren zijn weer een risico voor lekkage. En wanneer het gaat om de privacy van patiënten en het beroepsgeheim van artsen en andere zorgverleners is dat het laatste wat je wilt. De titel van deze scriptie luidt “Het recht versus de muur”. Een muur heeft een beperkende werking, doordat we niet kunnen horen of zien wat er aan de andere kant ervan gebeurt. Op dezelfde manier heeft ook de architectuur van het internet een regulerende werking. Lessig spreekt dan van “code”. Code kan dus – tot een bepaalde hoogte – vergeleken worden met een muur. Wanneer het gaat om regulering van het internet lijkt het te gaan om een wedloop tussen regulering door het recht en regulering door de code.: het recht versus de muur. Het doel van deze scriptie was een analyse van Lessigs theorie. Hij heeft zijn boek op een prettige toon geschreven. Door zijn theorie regelmatig met allerlei voorbeelden te concretiseren, maakt hij zijn theorie makkelijk aan te nemen. Maar aantal van zijn argumenten kennen wel degelijk kritiek. In veel gevallen gaat het om kritiek vanuit libertariaanse hoek. In andere gevallen heeft hij zijn stellingen onvoldoende beargumenteerd. Maar over het algeheel genomen kan ik zeggen dat zijn theorie, hoewel wellicht soms voor de hand liggend, en af en toe onvoldoende uitgewerkt, zeker hout snijdt en meer gehoor zou moeten worden. Lessigs opmerking “the point is simply, its implication profound” kan ook over zijn eigen boek gezegd worden.163 Zijn boek zou als basisliteratuur en handboek moeten gelden voor alle overheden en private partijen die zich bezig houden met het ontwikkelen van het internet of van ICT projecten en software. Want hoewel het boek niet uitlegt hoe een dergelijk systeem gemaakt kan worden, legt het wel toe hoe een dergelijk systeem gemaakt zou moeten worden.
162 163
Nadel 2000, p. 836 Lessig 2007, p.150
54
Bronnenlijst Adviescommissie inrichting verkiezingsproces Rapport 2007 Stemmen met vertrouwen. Den Haag: Adviescommissie inrichting verkiezingsproces 2007. Barlow 1990 J.P. Barlow, Crime and puzzlement 1990. <w2.eff.org> Barlow 1996 J.P. Barlow, ‘A declaration of the independence of cyberspace’, 1996. < homes.eff.org/~barlow/Declaration-Final.html> De Vrije Huisarts Analyse 2005 De ontwikkeling van het elektronisch patiënten dossier. Analyse van de Vrije Huisarts 2005. <www.devrijehuisarts.org> Dobrzeniecki 2005 K. Dobrzeniecki, ‘How should we deal with human rights in cyberspace? Some remarks’, International Review of Law, Computers and Technology (19) 2005-3, p. 253-258. Dommering 2006 E. Dommering, ‘Regulating cyberspace: code is not law’, in: E.J. Dommering en L.F. Asscher (eds.), Coding regulation: essays on the normative role of information technology. Den Haag: T.M.C. Asser Press 2006. Edwards 2006 L. Edwards, ‘E-valuating privacy: law, privacy, code and values’, Florida journal of International law (18) 2006. Frischmann 2003 B.M. Frischmann ‘The prospect of reconciling internet and cyberspace’, Loyola University Chicago Law Journal(45) 2003, p. 205-234.
55
Gibson 1984 W.F. Gibson, Neuromancer. Berkeley: Ace Books 1984. Govcert Trendrapport 2008 Inzicht in cybercrime: trends en cijfers. Den Haag: Govcert 2008. Grimmelmann 2005 J. Grimmelmann, ‘Regulation by software’, The Yale Law Journal (114) 2005, p. 1719-1758. Groep Gegevensbescherming Artikel 29 Werkdocument 2007 Werkdocument inzake de verwerking van persoonsgegevens betreffende gezondheid in elektronische medische dossiers (EMD) 2007. Hamowy 2008 R. Hamowy, The encyclopedia of libertarianism. Thousand Oaks: SAGE Publications 2008. Hetcher 2000 S. Hetcher, ‘Climbing the walls of your electronic cage’, Michican Law Review (98( 2000-6, p. 1916-1940. Van der Hof en Stuurman 2006 S. van der Hof en K. Stuurman, ‘Code as law?’, in: B.J. Koops, A.M.B. Lips, J.E.J. Prins, & M.H.M. Schellekens (eds.), Starting Points for ICT Regulation. De Haag: T.M.C. Asser Press (IT & Law, 9) 2006. p. 203-228. Hooghiemstra 2004. T.F.M. Hooghiemstra, ‘Juridische aspecten van het EPD’, Nederlands Tijdschrift voor Klinische Chemische Labgeneeskunde (29) 2004-4, p. 219-225. Jacobs 2003 B. Jacobs en J.H. Hoepman, ‘Open source software: bron van vertrouwen?’, I&I (21) 2003-6, p. 12-19. Kapor 2006 M. Kapor, ‘Architecture is politics (and politics is architecture)’, 22 april 2006.
56
Kennedy 2004 D. Kennedy, ‘Election Science’, Science Express (306) 2004-5697, p. 779. Kennedy 2006 R.F. Kennedy jr., ‘Was the 2004 election stolen?’, Rolling Stone 2006-6. Kleve en De Mulder 2005 P. Kleve en R. de Mulder, ‘Code is Murphy’s law’, International Review of Law, Computers and Technology (19) 2005-13, p. 95-107. KNMG 2004 KNMG, Nederlandse artseneed 2004. <www.artsennet.nl> Konoorayar 2003 V. Konoorayar, ‘Regulating cyberspace: the emerging problems and challenges’, Cochin University Law Review 2003, p. 413-435. Koops 2007 B.J. Koops, Criteria for normative technology. An essay on the acceptability of ‘code is law’ in light of democratic and constitutional values. Tilburg university legal studies working paper (007) 2007. Langford 2000 D. Langford, Internet ethics. Londen: MacMillan Press 2000. Leenes en Koops 2005 R.E. Leenes, en B.J. Koops, ‘Code: privacy’s death or saviour’, International Review of Law, Computers and Technology (19) 2005-3, p. 329-341. Leenes en Koops 2006, R.E. Leenes en B.J. Koops, ‘Code and privacy – or how technology is slowly eroding privacy’, in: E.J. Dommering en L.F. Asscher (eds.), Coding regulation: essays on the normative role of information technology. Den Haag: T.M.C. Asser Press 2006. Leijendekker 2008 M. Leijendekker, ‘Efficiëntie is belangrijker dan bescherming van privacy’, NRC Handelsblad 12 december 2008.
57
Lessig 1999 L. Lessig, Code and other laws of cyberspace. New York: Basic Books 1999. Lessig 2007 L. Lessig, Code v.2.0. New York: Basic Books 2007. Liem 2008 S.L. Liem, ‘De bescherming van patiëntengegevens’, Nederlands Tijdschrift Tandheelkunde (115) 2008-3, p. 162-164. Luyendijk 2009 W. Luyendijk, ‘Tweede Kamer bespreekt EPD’, NRC Handelsblad 20 januari 2009. Maghiros 2006 L. Maghiros, Y. Punie (eds.) ‘Safeguards in a World of ambient intelligence’, The 2nd IET International Conference on Intelligent Environments, conference book 2006 (2). Athene: National Technical University. p. 245-249. Mahoney 2004 J.D. Mahoney, ‘Lawrence Lessig’s dystopian vision’, Virginia Law Review (90) 2004, p. 2305 ev. McLauglin 2006 A. McLauglin, ‘Google in China’ 27 januari 2006. < googleblog.blogspot.com/2006/01/google-in-china.html> Mifsud Bonnici 2007 G.P. Mifsud Bonnici, Self-regulation in cyberspace. (proefschrift Rijksuniversiteit Groningen) 2007. Ministerie van VWS Rapport 2007 Business cases waarneemdossier huisartsen en elektronisch medicatiedossier (opdracht uitgevoerd door Squarewise) 2007. Mitchell 1996 W.J. Mitchell, City of bits: space, place and the Infobahn. Cambridge, MA.: MIT Press 1996.
58
Mommers 2008 L. Mommers, ‘Patiëntdossier is overbodig en gevaarlijk’, NRC Handelsblad 17 juni 2008. Nadel 2000 M.S. Nadel, ‘Computer code vs. legal code: setting the rules in cyberspace’, Federal Communications Law Journal (52) 2000-3, p. 821-836. NICTIZ 2007 NICTIZ, Informatiesysteemarchitectuur Aorta. Leidschendam: NICTIZ 2007. Nunziato 2000 D.C. Nunziato, ‘Exit, voice and values on the net’, Berkeley Technology Law Journal (13) 2000-753, p. 1-20. Peters 2003 M. Peters, ‘Nederlandse artseneed vernieuwd’, Relevant (29) 2003-4. Plato Plato, De ideale staat. Amsterdam: Atheneum-Polak & Van Gennep 2005 (Politeia, vertaald door G. Koolschijn). Raab en De Hert 2007 Ch. D. Raab en P. de Hert, The regulation of technology: policy tools and policy actors. Tilburg university legal studies working paper (004) 2007. Raymond 2001 E.S. Raymond, The cathedral and the bazaar. Sebastopol: O’Reilly 2001. Reidenberg 1997 J. Reidenberg, ‘Governing networks and rule-making in cyberspace’, in: B. Kahin en C. Nesson (eds.), Borders in cyberspace: information policy and the global information infrastructure. Cambridge, MA: MIT Press 1997. Reidenberg 1998 J. Reidenberg, ‘Lex informatica: the formulation of information policy rules through technology’, Texas Law Review (76) 1998-3.
59
Ronzani 2008 D. Ronzani, “Modality mix of RFID regulation”, Journal of International Commercial Law and Technology (3) 2008-4. Rubin 2006 A.D. Rubin, Brave new ballot: the battle to safeguard democracy in the age of electronic voting. E-book 2006. Schonck 2009 R. Schonck, ‘Klink verliest geloofwaardigheid door uitstel EPD’, NRC Handelsblad 27 januari 2009. Shapiro 1998 A.L. Shapiro, ‘The disappearance of cyberspace and the rise of code’, Seton Hall Constitutional Law Journal 1998-703, p. 709-733. Shea 1994 V. Shea, Netiquette. San Rafael: Albion Books 1994. Spinello 2001 R.A. Spinello, ‘Code and moral values in cyberspace’, Ethics and Information Technology 2001-3, p. 137-150. Steiner 1993 P. Steiner, ‘On the internet nobody knows you’re a dog’ (cartoon) The New Yorker (69) 5 juli 2003, p. 61. Studiecommissie RFID 2005 G.J. Zwenne, B. Schermer (eds.), Privacy en andere juridische aspecten van RFID: unieke identificatie op afstand van producten en personen. Den Haag: Elsevier Juridisch 2005. Tavani 2007 H.T. Tavani, ‘Regulating cyberspace: concepts and controversies’, Emerald Insight (25) 2007-1, p. 37-46. Visser 2008 D.J. Visser, ‘Patiëntendossier schendt eed van arts’, NRC Handelsblad 15 september 2008.
60
Wagner 2005 R.P. Wagner, ‘On software regulation’, Southern California Law Review (78) 2005, p. 457 – 477. Wall 2005 D.S. Wall, ‘Digital realism and the governance of spam as cybercrime’, European journal on criminal policy and research (10) 2005-4, p. 309-335. Weizenbaum 1976 J. Weizenbaum, Computer power and human reason: from judgement to calculation. San Francisco: W.H. Freeman 1976. Van der Wel 2005 J. van der Wel, ‘Spoort de medische praktijk nog met de wettelijke regeling van het beroepsgeheim?’, Journaal Privacy Gezondheidszorg 2005. Wijvertrouwenstemcomputersniet 2007 Wat is er gebeurd? – een overzicht van de ontwikkelingen sinds juli 2006. < www.wijvertrouwenstemcomputersniet.nl/Wat_is_er_gebeurd > Wu 2003 T. Wu, ‘When code isn’t law’, Virginia Law Review (89) 2003, p. 101-170.
61