Het integreren van nieuwe technologieën in de bedrijfsvoering is een uitdagende aangelegenheid. In mijn ervaring is dit voor een belangrijk deel organisatorisch van aard. In deze blog deel ik de belangrijkste praktijklessen die ik heb geleerd uit mijn betrokkenheid bij verschillende ICT-projecten binnen ons advocatenkantoor en als juridisch adviseur van curatoren in grote faillissementen.
1. Ben betrokken vanaf de eerste brainstormsessie
In mijn visie is het van belang dat de juridische afdeling in een zeer vroeg stadium betrokken raakt bij ICT-projecten. Het in een vroeg stadium betrokken raken bij projecten is waarschijnlijk één van de grootste uitdagingen van (bedrijfs)juristen. Toch kan het belang van tijdige betrokkenheid niet genoeg worden benadrukt. In ICT-projecten kunnen compliance kwesties (zoals privacy) namelijk moeilijk achteraf worden opgelost.
Indien de juridische afdeling deelneemt aan de eerste brainstormsessie en daar ook ideeën aandraagt en oplossingen benoemt dan wordt daarmee de kans verkleind dat het project om redenen van juridische aard niet slaagt. Het juridisch begeleiden van ICT-projecten is op deze wijze wel een potentieel tijdrovende aangelegenheid. Daarvoor heb ik helaas nog geen oplossing gevonden.
2. Neem ownership als jurist
Bij het ontwikkelen of implementeren van nieuwe software is er veelal samenwerking vereist tussen verschillende interne afdelingen en externe partijen. Er dient een brug te worden geslagen tussen de verschillende betrokkenen. Dat is geen eenvoudige opgave. Het helpt daarbij als er een sfeer van gelijkwaardigheid is en het gehele team verantwoordelijk is voor het slagen van het project als geheel.
Bij iedere schakel tussen de betrokken jurist en de programmeurs wordt de kans vergroot dat de input van de jurist niet correct wordt overgebracht. Idealiter wordt er samengewerkt in een multidisciplinair team waarbij de ICT’ers rechtstreeks contact hebben met de juridische afdeling.
Uiteraard is het van belang dat er iemand eindverantwoordelijk is zodat er doelmatig besluiten kunnen worden genomen. Het kan waardevol zijn om zelf de leiding en eindverantwoordelijkheid te nemen over het project. Dit is met name waardevol op de momenten dat er een afweging moet worden gemaakt of met betrekking tot een juridisch probleem.
3. Bepaal de juridische kennis van de programmeurs
Bepaalde programmeurs zijn juridisch onderlegd en hebben weinig feedback ten aanzien van het recht nodig. Het is cruciaal om vast te stellen welke mate van kennis er aanwezig is bij de (hoofd)programmeurs. Aan de hand van deze vaststelling kan worden besloten in hoeverre en in welke mate er een jurist bij het project moet worden betrokken.
4. Spreek dezelfde taal
Er kunnen verschillen bestaan tussen wat ICT’ers en juristen vanzelfsprekend vinden. Dat geldt bijvoorbeeld voor de uitleg van begrippen, zoals de definitie van een ‘persoonsgegeven’. Men realiseert zich niet altijd dat alle gegevens waarmee direct of indirect een persoon kan worden geïdentificeerd, kwalificeert als een persoonsgegeven. Het is daarom van belang om te verifiëren of de ICT’ers dezelfde definities hanteren als juristen. Indien dit niet wordt gecontroleerd, loopt men het risico dat er ten onrechte wordt verondersteld dat de geïmplementeerde software of technologie voldoet aan de geldende regels.
5. Path dependency
Indien een bepaalde technologie eenmaal is geïmplementeerd, is het doorgaans moeilijk, kostbaar en soms praktisch onmogelijk om nog grote aanpassingen door te voeren. Een eenmaal ingeslagen route heeft moeilijk omkeerbare gevolgen voor de toekomst. Dit wordt ook wel ‘path dependency’ genoemd.
Op momenten dat er in het ontwerp-, ontwikkel- of implementatieproces beslissingen worden genomen met moeilijk omkeerbare gevolgen, is het van belang dat de juridische afdeling daarbij betrokken is. Het verdient aanbeveling om deze wens bij de aanvang van het project kenbaar te maken. De uitdagingen van ‘path dependency’ kunnen beter in goede banen worden geleid indien je als jurist een coördinerende rol hebt.
Privacy by design
Een praktijkvoorbeeld van een juridisch terrein waarbij path dependencey een grote rol kan spelen is privacywetgeving. Bij het ontwikkelen en in gebruik nemen van software dient de bescherming van (persoons)gegevens te zijn gewaarborgd, onder meer op grond van de Algemene Verordening Gegevensbescherming. Indien privacy compliance reeds bij de bouw of implementatie van een systeem is gewaarborgd (‘privacy by design’) dan wordt het naleven van privacywetgeving aanzienlijk vergemakkelijkt. Hierbij kan bijvoorbeeld worden gedacht aan dataminimalisatie (waaronder bewaartermijnen), administreren (loggen) van toegang tot bestanden/gegevens, auditmogelijkheden en beveiliging.
Privacy by design is moeilijk te realiseren indien de juridische afdeling in de eindfase van het project wordt betrokken. Dit kan worden gebruikt als een argument om de juridische afdeling in een vroeg stadium te laten aansluiten. Het benoemen van de potentiële boete voor schending van de Algemene Verordening Gegevensbescherming (EUR 20 miljoen of 4% van de wereldwijde omzet) is doorgaans een overtuigend argument om de noodzaak van vroegtijdige betrokkenheid te concretiseren.
Tot slot
Een deel van de hiervoor benoemde lessen lijken open deuren te zijn. De praktijk leert echter dat de lessen met name vanzelfsprekend zijn wanneer er wordt teruggeblikt (“het was handig geweest als ik dat eerder had geweten”). Het begeleiden en controleren van ICT-projecten als jurist is voor een belangrijk deel mensenwerk.