Verantwoordelijk voor ICT Aernout Schmidt, eLaw@Leiden1 Advocaten gebruiken de informatietechniek (ICT) doorgaans met vrucht, maar hebben zelden belangstelling voor de werking ervan. Intussen is ICT alomtegenwoordig. We zijn geneigd de techniek vergaand over te laten aan specialisten. Is dat verontrustend? Zijn er grenzen? Wat zijn de risico’s eigenlijk? Wat kunnen we eraan doen? 1. De Desktop Wie The Servant gezien heeft herkent het gevoel. Hoe een dienaar zich in het bestaan kan binnendringen om de zeggenschap uiteindelijk vrijwel volledig over te nemen. Het verschijnsel kan moeiteloos worden herkend in ICT-omgevingen, waar de dienstverlening zich soms van slaaf tot meester lijkt op te werken. De informatietechniek blijkt over een bijzondere eigenschap te beschikken: zich overal te nestelen, onmisbaar te maken en daardoor ook invloed te krijgen op het eigenlijke werk. Iets als een mechanisch en overbemand secretariaat dat voortdurend over uw schouder meekijkt, overal formulieren voor heeft en steeds vaker en dwingender suggesties doet over de wijzen waarop het werk beter kan worden gedaan, ook in de advocatenpraktijk.2 Een goed functionerend secretariaat is gevoelig voor de procedures en de ondersteuning die er voor u toe doen. Anders dan ICT-ondersteuning wordt die samenwerking voortdurend gestuurd via mondelinge terugkoppeling zodat de kwaliteit ervan in de ervaring groeit. Een goed functionerend secretariaat weet dan ook wanneer het u met rust moet laten en wanneer u door anderen met rust gelaten moet worden. En – ook anders dan bij ICT-ondersteuning – u bent verantwoordelijk voor wat het secretariaat doet. U kunt dat ook zijn, omdat de taken en bevoegdheden zijn verdeeld, omdat u elkaars kwaliteiten kent en omdat u de uitgaande post tekent. Maar inmiddels heeft de ICT zich bij en tussen u en het secretariaat gevoegd om daar een ondersteunende én administrerende functie te vervullen, ook in de sturende betekenis van het woord. Voor zover de ICT taken heeft overgenomen van het secretariaat leidt dat tot verandering: mondelinge terugkoppeling naar ICT heeft doorgaans weinig effect, de digitale agenda reserveert zelden momenten voor reflectie of verdieping en sommige juristen voelen zich zo weinig verantwoordelijk voor ICT-ondersteuning, dat ze afthans geworden personal computers voor oud vuil op straat zetten. Eigenlijk is het gek om het over ICT te hebben. Dat kan van alles betekenen. Ik noem de ICT die ik bedoel in het vervolg de “desktop.” En daarmee doel ik op het hele samenstel van informatiseringsdienstverleners, netwerkbeheerders, computerprogramma’s en
1
Aernout Schmidt (
[email protected]) is hoogleraar Recht en Informatica aan eLaw@Leiden, Centrum voor Recht in de Informatiemaatschappij, Universiteit Leiden. 2 Onder meer in rol- en urenadministraties, in dossier- en archiefvorming, als instrument voor de fiscale en overige bedrijfsverantwoording, in alle vormen van communicatie (als e-mail, voice over IP), bij netwerkvorming, bij relatiebeheer, bij marketing en ten slotte bij kennisontsluiting en -beheer.
computers dat u bij uw werk achter uw bureau ondersteunt en u in toenemende mate in zijn greep lijkt te krijgen. Het gaat me hier niet om de emoties die dat oproept en die de impuls zouden kunnen zijn om een remake van The Servant te willen maken en die The Desktop te noemen. Die emoties zijn er natuurlijk wel maar hebben, denk ik, vooral te maken met een natuurlijke reactie op een veranderende wereld. Naar aanleiding van de industriële revolutie heeft een algemeen misnoegen met het verschijnsel dat de natuur plaatselijk werd verdrongen door mechanisering geleid tot het ontstaan van een hele discipline die zich is gaan bezighouden met collectieve attitudes. Zoals de vlucht van de landarbeider naar de fabriek een culturele revolutie inluidde, valt te verwachten dat in deze jaren de vlucht van de individuele professional naar grotere verbanden culturele sporen na zal laten die niet door iedereen worden verwelkomd. Alleen is het nu niet de fysieke, maar de literaire natuur die locaal wordt verdrongen door literaire mechanica. Er zijn tekenen die dit beeld lijken te bevestigen voor de rechtspraktijk: advocaten en consultants klonteren samen in mega-kantoren, kantongerechten zijn onderdeel van arrondissementsgerechten geworden, het OM en de rechtspraak worstelen met behoud van individuele onafhankelijkheid onder de hoede van het College van PG’s en de Raad voor de Rechtspraak. Overal duiken policies op. En die policies lenen zich er bij uitstek voor om in de vorm van diensten naar uw desktop te worden overgeheveld en u in uw werk te sturen. Wat gebeurt er eigenlijk? 2. Karakters van Desktopdiensten Het is natuurlijk niet zo dat de desktop alleen maar wordt ervaren als een ding dat uw autonomie en creativiteit inperkt. Er zijn ook desktopdiensten die algemeen enthousiasme oproepen. Mijn stelling is dat hoe u en ik een dienst op de desktop beoordelen samenhangt met het karakter ervan, met de verwachting die we ervan hebben en de mate waarin we de policy aanvaarden die de dienst oplegt. Elk instrument dat u via uw desktop kunt gebruiken heeft vier relevante eigenschappen, 3 de één meer, de ander minder. Elk desktopinstrument heeft zowel economische, als bestuurlijke, als individuele, als collectieve karaktertrekken. Tezamen bepalen ze het karakter van een instrument. Soms is één van die karakteristieken zo overheersend aanwezig, dat het instrument (of de daarin verwezenlijkte policy) erdoor wordt getypeerd. De voornaamste karaktertrek van economische instrumenten is dat ze u ondersteunen om uw werk doelmatiger te doen door een resultaat aan te bieden. Rekenprogramma’s zijn de oudste elementen van de desktop – zij zijn voornamelijk economisch. Zo herken ik bijvoorbeeld programma’s die hulpberekeningen uitvoeren voor alimentaties als van voornamelijk economisch karakter. Ook de dienst die u vertelt hoeveel declarabele uren u dit jaar weer heeft kunnen noteren heeft een (deels) economisch karakter. Economische instrumenten zijn meer aanvaarbaar, naarmate ze u tijd besparen en resultaten opleveren die u vertrouwt op basis van een (reken)model dat u aanvaardt.
3
Hier is geen plaats om de navolgende typering (die is gebaseerd op het werk van Douglas en Wildavski, Risk and Culture, University of California Press 1982) nader te verantwoorden.
De voornaamste karaktertrek van bestuurlijke instrumenten is dat ze u ondersteunen om uw werk binnen de geldende formele kaders (juridische én administratieve) uit te voeren – ik denk daarbij aan programma’s voor administratie en beheer. Bestuurlijke instrumenten zijn in de geschiedenis van de informatica ontstaan in aansluiting op het gebruik van meer economische. Naarmate er meer economische instrumenten werden ingezet om transacties te ondersteunen werd van hogerhand ingezien dat het gebruik ervan kon worden geregistreerd en bewerkt teneinde beelden te krijgen die van belang zijn voor beleidsvorming en handhaving. In potentie kan elk desktopinstrument informatie afscheiden die weer bestuurlijk kan worden gebruikt. De mate waarin dat gebeurt bepaalt het gewicht van de bestuurlijke karaktertrek van dat instrument. De mate waarin u de achterliggende bevoegdheidsverdeling aanvaardt, tezamen met de mate waarin uw privacy bij het gebruik ervan wordt geëerbiedigd én de mate waarin de interpretatie die van hogerhand aan de geadministreerde gegevens wordt gegeven beter klopt, spelen een rol bij de aanvaardbaarheid van de bestuurlijke karaktertrek. De eigenschap dat élk desktopinstrument bestuurlijke trekken kan hebben of heeft, kan voeding geven aan vergaande managementbemoeienis. De voornaamste karaktertrek van individuele instrumenten is dat ze u ondersteunen wanneer het op het verwezenlijken van uw individuele kwaliteiten aankomt – ik denk dat tekstverwerkers, tekenprogramma’s en programma’s die ondersteunen bij het componeren hier voorbeelden van zijn. Zij ondersteunen – als het palet van een schilder – creatieve activiteiten. Gebruiksgemak, betrouwbaarheid en de resterende ruimte voor autonomie zijn hier de belangrijkste criteria. De voornaamste karaktertrek van collectieve instrumenten is dat ze u ondersteunen wanneer het erom gaat de krachten te bundelen bij het verwezenlijken van collectieve, hogere doelen die ook nog eens moeilijk meetbaar zijn – zoekmachines en Wiki’s4 hebben deze karaktertrek in sterke mate,5 systemen voor kennisbeheer eveneens. Collectieve instrumenten zijn pas sinds het algemeen worden van de Internetinfrastructuur en het Web mogelijk geworden (Google is van 1998, de Wikipedia is van 2001) en zijn zeer recent beschikbaar gekomen voor bedrijfsvoering.6 Collectieve instrumenten zijn samengesteld van aard: er is, in algemene termen, steeds een redactiefunctie, een aanbiedersfunctie en een gebruiksfunctie. Collectieve instrumenten zijn meer aanvaardbaar naarmate aanbieders (in Google: gevonden worden) én gebruikers (in Google: vinden) voordeel ervaren bij hun inspanningen. Dat verklaart ook waarom succesvol kennismanagement in de (vanouds professionele) advocatenpraktijk een culturele omwenteling vergt – een omwenteling die thans gaande is, naar ik meen. 4
Denk ook aan eBay of Marktplaats. Welicht ten overvloede: Wiki’s zijn plaatsen op Internet waar gezamenlijk wordt gewerkt aan informatieverzamelingen. Een indrukwekkend voorbeeld is de Engelse Wikipedia (http://en.wikipedia.org), een collectieve encyclopedie die zich qua omvang en kwaliteit kan meten met de Encyclopedia Brittannica. 5 Er is een groot aantal succesvolle collectieve instrumenten waarvan het merendeel vooralsnog in de informatica zelf wordt gebruikt (open source projecten). We weten er eigenlijk vanuit maatschappelijk gezichtspunt nog maar weinig van – economen weten er vaak maar moeilijk raad mee en soms leiden ze tot massale auteursrechtinbreuk (KaZaA). 6 Zie bijvoorbeeld: Matthew Parsons, Effective Knowledge Managemet for Law Firms, Oxford University Press 2004.
3. Outsourcing Werk wordt, op goede economische gronden, waar mogelijk overgelaten aan diensten op de desktop. Daaraan is het verschijnsel verbonden, dat delen van wat u vroeger zelf deed zijn vertaald in modellen en programma’s die dat nu voor u doen. Meestal worden die desktopdiensten besteld, ontworpen, gebouwd, beheerd, onderhouden en beschikbaar gesteld door anderen. Daarmee zijn vormen van vervreemding verbonden: de desktopdienst kan anders werken dan u gewoon was en als iets niet werkt, of niet naar uw zin, moet u in onderhandeling met specialisten die aan de dienst kunnen en mogen prutsen. De specialismen van die specialisten behoren doorgaans niet tot de kerntaken van een advocatenkantoor en worden daarom vaak uitbesteed of ge-outsourced. Outsourcing komt in alle sectoren voor en vraagt om juridische begeleiding,7 maar daarover wil ik het hier niet hebben. Het gaat hier om de vraag wat daarbij als resterende kerncompetentie moet worden opgevat. Schandalen als die bij WorldCom, Enron, Ahold en Parmelat hebben ertoe geleid dat het toezicht op de gegevensverwerking van Amerikaanse beursgenoteerde bedrijven in de laatste jaren zeer sterk is verbeterd. Rond de Sarbanes-Oxley wet van 2002 is een nieuwe praktijk ontstaan van toezicht op bedrijfsgegevensverwerking. Daarvan valt mogelijk ook voor de Nederlandse advocatenpraktijk iets op te steken. De vraag is dan, of ook de verantwoordelijken voor outsourcing van desktopdiensten van advocatenkantoren persoonlijk garant dienen te staan voor de kwaliteit van de gegevensverwerking ten behoeve van hun klanten. En voor de rapportage over de procedures die daartoe intern worden ingesteld, gebruikt en gehandhaafd. Een bevestigend antwoord op die vraag zou inhouden, dat ten minste die expertise, die nodig is om genoemde verantwoordelijkheid te kunnen nemen, behoort tot de kernactiviteit van advocatenkantoren. Het gewicht van de risico’s (die samenhangen met sterk asymmetrische kennisverdelingen, met vertrouwen dat kan worden beschaamd en met interne en externe gevaren die een kans krijgen door ontoereikende beveiliging8) is afhankelijk van het karakter van desktop diensten. 4. e-Mail, bijvoorbeeld Het karakter van de e-maildienst op uw desktop is gemengd. De dienst is individueel, in die zin, dat hij u geen beperkingen oplegt bij het formuleren van berichten, en vermoedelijk ook niet bij het ontvangen ervan (al kunnen spam-filters soms foutjes maken). Opmerkelijk is dat het vaak mogelijk is om een afschrift van uw zakelijke emailverkeer naar uw PC te downloaden en daar locaal te archiveren. De dienst heeft een inmiddels vanzelfsprekend geworden economische kant: de berichtenuitwisseling gaat aanmerkelijk sneller en goedkoper dan met papierpost. Bestuurlijk is er van alles mogelijk: uw e-mailverkeer kan binnen (en buiten)9 uw bedrijf worden geadministreerd 7
Zie voor een checklist-achtige benadering van dergelijke begeleiding F.S.N. Mason e.a., Outsourcing, Alphen aan den Rijn : Adformatie Groep, 2002. 8 Zie voor een toegankelijke verhandeling daarover: Bruce Schneier, Secrets and Lies, John Wiley & Sons, 2000 9 De strijd tegen international terrorisme heeft veiligheidsdiensten er naar verluidt toe gebracht alle emailverkeer over publieke infrastructuren op te vangen en verkeersgegevens en inhoud automatisch te screenen – en ten behoeve van de reguliere opsporing worden ook nu al gegevens die bij Service Providers toch al beschikbaar zijn op verzoek ter inzage gegeven (zie onder meer: Aernout Schmidt en Gerrit-Jan Zwenne, Recht en Risico, Mediaforum, 2005, p. 292-302 en H.H. Kielman en W.I. Koelewijn, Minder registers, meer gegevens, AA 2005, p.451-457) .
en gearchiveerd ten behoeve van alle mogelijke vormen van beheer en toezicht. Deze bestuurlijke kant van uw e-maildienst, waar gebruik wordt gemaakt van centrale archieven en adresboeken, bevat vermoedelijk een grote hoeveelheid bedrijfskritische informatie. Eigenlijk heeft e-mail in zijn zuivere vorm nauwelijks collectieve kanten. Het e-mail instrument heeft risico’s. Het leidt tot grote bedrijfskritische verzamelingen met berichten – zowel centraal als decentraal, op de PC’s en laptops van individuele gebruikers. Die risico’s vragen om professionele aanpak, en daarmee (in veel gevallen) om outsourcing. Ongeveer een jaar geleden werd ik gebeld door een mij onbekende collega (geen vakbroeder) uit Groningen die me vroeg waarom ik toch zo de pest aan hem had, zozeer, dat ik hem bestookte met beledigende e-mailberichten. Het kostte nogal wat moeite hem ervan te overtuigen dat het misschien wel zo leek dat die berichten van mij afkomstig waren, maar dat de een of andere onverlaat onze facultaire e-maildienst10 had gehackt en had gebruikt om willekeurige beledigende berichten onder gestolen identiteiten te verzenden aan willekeurige contactpersonen uit de verzameling e-mailadressen die in onze adresbestanden waren gevonden. Heel vervelend. Nog vervelender, wanneer het een advocatenkantoor overkomt – en nóg vervelender wanneer daarbij de vertrouwelijke zakelijke berichten uit de kantoormailbox de wereld in zouden worden getetterd. Juridisch is hier niet iets ingewikkelds aan de hand. Wat de onverlaat deed is strafbaar, en de schade kan op hem worden verhaald. Daarbij zijn wel praktische kanttekeningen te plaatsen: wie weet of de onverlaat kan worden gevonden, en zo ja, of hij de vermogensschade (die de waarde van uw goodwill vermoedelijk zal overstijgen) zal kunnen opbrengen? Helpt het om uw e-maildiensten te outsourcen? Dat hangt ervan af. Dat zal immers niet gaan zonder stevige exoneratieclausules, zodat u voor schadevergoeding grotendeels blijft aangewezen op de dader. Eigenlijk wilt u het risico dat u een dergelijke ramp overkomt zo klein mogelijk houden. En het overlaten van specialistenwerk aan specialisten is natuurlijk een voor de hand liggend en in wezen gezond idee. Maar wel onder die voorwaarde, dat u voldoende kennis in huis houdt om te kunnen beoordelen of die risico’s voldoende laag worden gehouden. Welke die kennis is, is voorwerp van discussie. Wanneer we het over de state-of-the-art hebben, lijkt het zo te zijn dat het merendeel van het vertrouwelijke en zakelijke emailverkeer van kleine en grote bedrijven “open” over het net gaat en daarmee voor elke router die dat verkeer doorgeeft kan worden gelezen. Sniffen wordt dat genoemd, en er zijn gratis programmaatjes voor. Er gaan geruchten dat dergelijke afluisterpraktijken in toenemende mate commercialiseren en specialiseren, dat wil zeggen dat ze niet meer vrijwel uitsluitend door nieuwsgierige zonderlingen worden verricht en steeds vaker op specifieke bedrijven worden gefocused. Er zijn goede alternatieven voor “open” emailverkeer. Kent u die mogelijkheden voldoende om, wanneer u van oordeel bent dat het zin heeft daarvan gebruik te gaan maken er ook voor te zorgen dat ze worden verwezenlijkt?
10
Via outsourcing elders ondergebracht.
Die laatste vraag houdt me bezig. We overwegen om bij ons Centrum een postacademische opleiding op te zetten ten behoeve van juristen, die hen tevens steunt verantwoordelijk te kunnen blijven voor desktopdiensten die ze aan specialisten overlaten. Wie invloed wil hebben op het in te richten curriculum kan me bereiken via het eerder vermelde, niet beveiligde, e-mailadres.