Een GC die serieus werk maakt van haar compliance taak moet zorgen voor toegang van de juristen tot tech kennis en voor een nauwe samenwerking tussen de juristen en de ICT afdeling.
Legal tech gaat over meer of minder geautomatiseerde producten die de juridische praktijk of consumenten dienen. Ik wil ervoor pleiten dat legal ook meer van “tech” moet begrijpen. Net zoals bijvoorbeeld een goede bedrijfsjuriste veel van finance en meer of minder van tax moet begrijpen om haar vak goed te kunnen beoefenen. Zo moet een GC die compliance onder haar hoede heeft toegang hebben tot kennis over “tech” en hoe “tech” in haar bedrijf werkt.
In het huidige burgerlijk wetboek was bij invoering niets geregeld ten aanzien van elektriciteit. En dat terwijl elektriciteit al meer dan een eeuw bestond. Elektriciteit is geen zaak, noch een vermogensrecht. Ik ben nauw betrokken geweest in de jaren ’90 en ’00 bij de herstructurering van de elektriciteits- en gasmarkt. Maar er waren ook toen vele juristen, waaronder bedrijfsjuristen bij energiebedrijven, die bij hoog en bij laag volhielden dat je elektriciteit kon kopen. Dat kunnen consumenten pas sinds de invoering van artikel 7:5 lid 5 BW. Niet-consumenten kunnen nog steeds geen elektriciteit kopen.
En datzelfde technische onbegrip ziet men bijvoorbeeld ook bij data. Er worden veel clichés gebruikt bij het aangeven van het belang van data: “data is the new oil” of “als het gratis is betaal je met je data”. Maar juristen hebben data nog steeds niet kunnen (of willen) duiden: kan je eigenaar of houder van data zijn? Dat is nog steeds niet uitgemaakt. Zoals onder andere uit de Databankenwet blijkt, kan je wel bepaalde rechten hebben op een databank. Maar zijn data een prijs? Met andere woorden, kan je wel met data kopen?
Zoals octrooijuristen veel zullen (moeten) weten van technische aspecten van het onderwerp van een octrooi, zo zullen juristen die zich met compliance bezighouden zich toegang moeten verschaffen tot kennis van “tech”. Dat kunnen data zijn, maar ook veel ruimer hoe data werken en verwerkt worden. Denk bijvoorbeeld aan een GC van een bank die toch toegang zal moeten hebben tot technische kennis over fintech.
Een voorbeeld uit de praktijk was voor mij de vraag of WhatsApp nog wel gebruikt kon worden na de recente wijziging van de privacy voorwaarden. Elon Musk twitterde vervolgens: “Use Signal”. Ik ben geen privacy specialist pur sang, maar een vergelijking tussen WhatsApp, Signal en Threema (een Zwitsers product) en overleg met een functionaris gegevensbescherming leverde het volgende op. De inhoud van de berichten die met WhatsApp worden verstuurd zijn “end-to-end-encrypted”. Daarbij maakt WhatsApp overigens gebruik van de encryptietechniek van Signal. Ook bij Signal en Threema is sprake van een “end to end encryption”. Daaruit volgt dat de aanbieders van deze berichtendiensten geen toegang hebben of kunnen hebben tot de inhoud van de via die diensten verstuurde berichten. Voor diegenen die zich nu afvragen: en Telegram dan? Bij Telegram zijn de berichten niet automatisch “end to end encrypted”. Maar waar was het rumoer om de nieuwe voorwaarden van WhatsApp om te doen? Allereerst ging het alleen om een wijziging van de voorwaarden buiten de EER. Ten tweede ging dat rumoer om de metadata. Dus vanaf welk IP-adres wordt een bericht gestuurd, op welk tijdstip en waar was dat IP-adres op dat moment? Signal en Threema verzamelen dergelijke data niet, WhatsApp wel en geeft deze door aan haar moeder Facebook. Wil men nu weten of gebruik van deze diensten overeenkomstig de AVG is, moet men dus weten wat metadata zijn en hoe en waar deze verwerkt worden. Dat zijn “tech” vragen.
Zoals de meeste GC’s een nauwe samenwerking hebben met de CFO, is een nauwe samenwerking met de CIO (of CTO) en haar afdeling dus minstens zo belangrijk. Althans zal een GC toegang moeten hebben tot “geeks” om compliance goed te kunnen implementeren.