Deze zomer van 2016 tekent zich niet alleen door een reeks van internationale sportgebeurtenissen, maar getuigt tevens van een brede, niet-aflatende stroom digitale wet- en regelgeving. Nog op de tekentafel of recent in werking. Hieruit blijkt dat de tijd van juridische Spielerei in de informatiemaatschappij definitief achter ons ligt. Velen krijgen met dit omvangrijke raamwerk te maken, maar voor bestuurder en ondernemer zijn de spelregels inmiddels van strategisch belang geworden; ongeacht de staat van digitale transitie waarin de organisatie zich bevindt. Mijn pleidooi luidt dan ook: kijk eens wat vaak vaker in de spiegel van de wetgever.
Wie denkt dat recht bedoeld is voor juristen, slaat de plank mis. Juridische normering richt zich primair op dat deel van de samenleving wat zij boogt te regelen. Met alle gevolgen van dien. Neem het wegenverkeersrecht. Een automobilist behoort tijdens het besturen zelf de verkeersregels toe te passen. Achteraf op de compliance-kennis van de juridische dienst van verzekeraar of eigen bedrijf vertrouwen, biedt geen soelaas. Een ronduit flauwe, maar daarom niet minder treffende constatering. De noodzaak van het verwerven van begrip en kennis van ict-recht door niet-juristen staat dus buiten kijf. Digitaal recht hoort tenminste op hoofdlijnen thuis in de bestuurskamer van ieder bedrijf en overheidsorganisatie omdat dit rechtsgebied het fundament vormt voor – besturen en ondernemen in – informatiesamenleving en single digital market en dat geldt zo mogelijk in het bijzonder voor ict-bedrijven, die vanouds zowel aan inkoop- als verkoopkant bits en bytes in hun dna hebben.
Wetgevingstrends
We benoemen vier legislatieve trends in de informatiemaatschappij, speciaal in het cruciale domein privacy en digitale veiligheid.
– Om het algemene probleem van een gebrek aan vertrouwelijkheid van gegevensverwerking het hoofd te bieden, kent Nederland inmiddels uiteenlopende netwerk- en informatiebeveiligingswetgeving. Deze categorie regelgeving schrijft vooral passende technische en organisatorische maatregelen voor om gegevens te beschermen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
– Daarnaast gaat het om de opkomst en uitbreiding van wettelijke meldplichten bij incidenten in relatie tot ict, waaronder het lekken van persoonsgegevens.
– Verder noteren we de uitbreiding van de juridische bevoegdheden van toezichthouders, inclusief forse verhoging van sancties bij overtreding van wettelijke beveiligingsvoorschriften.
– Tenslotte ziet de laatste wetgevingstrend toe op de verbreding en versterking van de juridische bevoegdheden van het opsporingsapparaat, inclusief inlichtingen- en veiligheidsdiensten.
Europa
Voor slimme bestuurders en ondernemers – die de juiste beslissing over het digitale recht al hebben genomen – vormt de hoeveelheid en diversiteit van dit legislatieve raamwerk ontegenzeggelijk een probleem. We gaan hier de discussie niet aan of de wetgevers uit Europa en Nederland wellicht te veel willen regelen. In plaats daarvan wijzen we op een aantal in het oogspringende wetten met relevante voor het digitale domein. Deze zijn of van kracht, of aangenomen maar nog niet in werking of liggen op de departementale of parlementaire tekentafel. In willekeurige volgorde: EU-US Privacyschild (van kracht sinds 12 juli 2016 – nieuwe regels voor trans-Atlantische gegevensverwerking), Algemene Vordering Gegevensbescherming (in werking op 25 mei 2018 – nieuw kader gegevensverwerking), Verordening elektronische identiteiten en vertrouwensdiensten – eIDAS (van kracht sinds 1 juli 2016 – over DigiD’s, elektronische handtekeningen en andere vertrouwensdiensten), Richtlijn netwerk- en informatiebeveiliging – NIB-richtlijn (omzetting voor 1 mei 2018 – regels voor informatiebeveiliging), Revised Payment Service Directive – PSD2 (van kracht 12 januari 2016 – belangrijke bepalingen in werking op 13 januari 2018 – kansen voor Fintech), Verordening 2015/2120 inzake netneutraliteit (van kracht sinds 30 april 2016 – verbod op het afknijpen van elektronische diensten), Richtlijn toegankelijkheid overheidwebsites (informeel politiek akkoord op 3 mei 2016 – standaarden), Voorstel pakket nieuwe e-commerce regels (25 mei 2016 – zakendoen op afstand), Roaming verordening (nieuwe verlaging mobiele kosten sinds 30 april 2016), Richtlijn bescherming bedrijfsgeheimen (vastgesteld op 27 mei 2016 – rechtsbescherming knowhow) en bijvoorbeeld de herziening Richtlijn ePrivacy (consultatieronde afgesloten op 5 juli 2016, voorstel verwacht voor het einde van 2016 – telecomprivacy).
Nederland
Vergeet Nederland niet als autonome wetgever. Ook hier zien we namelijk uiteenlopende onderwerpen de revue passeren, die de informatie- en communicatietechnologie in het hart raken. Zo ligt het wetsvoorstel Computercriminaliteit III sinds 22 december 2015 bij de Tweede Kamer, werd op 1 januari 2016 Wet meldplicht datalekken en uitbreiding bestuurlijke bevoegd van kracht en gaat de senaat na het zomerreces het op 7 juli 2016 door de Tweede Kamer aangenomen wetsvoorstel online-kansspelen behandelen. We wijzen in het bijzonder nog op twee legislatieve blauwdrukken.
Meldplicht cybersecurity
Allereerst diende de regering op 19 januari een voorstel voor de Wet gegevensverwerking en meldplicht cybersecurity in (houdende regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken). Dit wetsvoorstel introduceert opnieuw een meldplicht, nu voor een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen, en stelt regels over het verwerken van gegevens ten behoeve van de taken van de Minister (ingevolge de huidige portefeuilleverdeling de Staatssecretaris) van Veiligheid en Justitie op het terrein van cybersecurity.
Medewerking ICT-sector
Ronduit belangrijk is een onderbelicht deel van de omvangrijke herziening van ons faillissementrecht. Eind 2012 maakte het ministerie van Veiligheid en Justitie een begin met een herijking van het faillissementsrecht. Het gaat om modernisering, versterking van het reorganiserend vermogen van bedrijven en fraudebestrijding. In het laatstgenoemde kader is op 14 juli 2015 het wetsvoorstel versterking rechtspositie curator bij de Tweede Kamer ingediend. Met betrekking tot het gebruik van digitale technologie algemeen en cloud computing in het bijzonder zijn tenminste twee wettelijke voorschriften relevant. Artikel 105a verplicht de gefailleerde terstond de administratie aan de curator over te dragen met daarbij de noodzakelijke middelen, zoals encryptiesleutels, om de inhoud binnen redelijke termijn leesbaar te kunnen maken. Artikel 105b verplicht derden, die de administratie van de failliet in de uitoefening van hun beroep of bedrijf geheel of gedeeltelijk onder zich hebben, om de administratie desgevraagd aan de curator ter beschikking te stellen. Ingrijpende verplichtingen.
Het goede nieuws
Doorgaans beschouwen bestuurder en ondernemer voorgeschreven piketpalen als een ongelukkig fait accompli – een last – daarbij het recht marginaliserend tot louter een kostenpost. Een typisch voorbeeld van twintigste-eeuw-denken. Wet- en regelgeving, hoe divers, omvangrijk of complex ook, gaat namelijk om meer dan compliance. (In goed Nederlands speken we overigens van het voldoen aan wettelijke voorschriften.) Vooral door de strategische inzet van het ict-recht per organisatie ontstaan aantrekkelijke voordelen. Juridische normering en naleving reduceren dan niet alleen bedrijfsrisico’s, zoals aansprakelijkheid door niet-nakoming, maar kunnen eveneens bedrijfsmiddelen optimaliseren en economische waarde creëren.
Concurrentiewapen
Een dergelijke conclusie klinkt goed en weldoordacht, maar gaat de vlieger überhaupt op? Voor een van de meest pregnante voorbeelden uit de automatiseringssector zorgde Bill Gates. Zijn start-up Microsoft Corporation kreeg destijds van grootmacht IBM het verzoek om een besturingssysteem voor de IBM Personal Computer te ontwikkelen. Gates, mede gevormd door zijn vader die een advocaat was met een florerende ondernemerspraktijk was, accepteerde de opdracht. Dat was 1980. Hij verkocht PC-Dos niet, maar gaf de auteursrechten op de softwarecode uitsluitend in licentie aan IBM en behield op deze wijze de intellectuele eigendom. Niet-exclusief dus. De constructie bood Microsoft gelegenheid het besturingssysteem – als MS-DOS – zelf te vercommercialiseren en marktaandeel als platformleverancier te veroveren. Buitengemeen succesvol en exemplarisch voor nut van de strategische inzet van het digitale recht.
Productontwikkeling
Nog een voorbeeld dat rechtskennis en strategische inzet zich terugbetalen: in research & development. Onze privacytoezichthouder constateerde in 2015 dat de Amerikaanse sportproducent Nike de gebruikers van haar Nike+ Running app onvoldoende over de verwerking van hun gezondheidsgegevens informeerde. Nike verzamelde en bewaarde namelijk allerlei gezondheidsgegevens van gebruikers van deze app, die wereldwijd mogelijk 50 miljoen keer is gedownload op Android-apparaten. Zo registreert de populaire fitness-app gewicht, verbranding van calorieën, en hoeveel, hoe vaak en hoe intensief de app-gebruiker sport. Nike bewaarde de sportieve prestaties over langere tijd, waardoor bijvoorbeeld trends in conditie op te maken zijn. Dat de sportgigant deze bijzondere persoonsgegevens (een afzonderlijke wettelijk benoemde categorie) alleen mag verwerken met uitdrukkelijke toestemming van de gebruikers, kon voor haar als multinational geen verassing zijn. Toch was dat kennelijk zo.
Beleidsprogramma’s
De complexiteit van wet- en regelgeving in het kader van naleving kan tot slot ook strategisch worden aangepakt, bijvoorbeeld door middel van opstellen van beleids- en trainingsprogramma’s. Om eens wat te noemen: wat is nu precies een datalek juridisch beschouwd? Een ambtenaar van de Gemeente Amersfoort stuurde in januari 2016 een email naar een verkeerd adres, waarin waren bijgesloten zorggegevens van 1900 burgers. De verantwoordelijke wethouder werd pas in april geïnformeerd, die vervolgens het incident aan de Autoriteit Persoonsgegevens meldde, zoals wettelijk is voorgeschreven. Wie parate kennis ontbeert, zoals over de uiteenlopende verschijningsvormen van een datalek in de zin van de Wet persoonsgegevens (materieel) of over de te volgen procedures (formeel), loopt het risico door de toezichthouder beboet te worden ter grootte van 820.000 euro. Toch geld.
