Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/8.9
8.9. Law is code
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS581250:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Bellotti & Sellen, 2003, p. 93.
Lessig, 1999, p. 6.
Franken, 2001, p. 7.
Bing & Selmer, 1980, p. 319-338.
Schmidt, 2004.
Lessig, 1999 (A), p. 546.
Feldman, 2009, p. 7.
Feldman, 2009, p. 64-65.
Schmidt, 2004, p. 23 '...de duurzaamheid van ons rechtssysteem gebaat is bij juristen, die verstand hebben van informatica.'
Ras, 2006, p. 247.
Hoewel in de kringen van de computer wetenschappers men bekend is met het Heisenbergs uncertainty principle.
Kohnstamm, 2009, p. 5.
Volgens Esser, 1956: het historisch-dogmatische systeem dat in de codificatie is neergelegd.
Ter Heide, 1967, p. 4-5, staat law in action voor het 'open' casuistische probleemdenken dat tegenover het `gesloten' deductieve denken staat.
Pound, 1966, p. 25-47.
Mulder, 2003, www.nmi-mediation.nl, Actueel 2003, nr. 8.
Bellotti heeft bij haar verslag over 'media spaces' geschreven, dat het doelbindingsprincipe in de OECD-guideline, (zie hoofdstuk 2), problematisch kan zijn voor AMI-systemen. zoals EuroPARC's RAVE systeem van Xerox. Dit systeem stimuleert `serendipity' (toevallige ontdekkingen) tijdens het onderzoek en bij zo'n systeem, schrijft Belotti: "We cannot comply with such (purpose binding) principle. The point and the advantage of the technology is that information is gathered as a resource, and the purpose of the data cannot be specified until it is used, if at all, at some unpredictable time in the future."1
Bellotti's opmerking brengt mij terug bij het beginpunt van deze dissertatie, waar ik stelde dat de titel van mijn boek geïnspireerd is door Lessig's uitspraak "code is law."2 Haar opmerking bevestigt wat Lessig beschrijft in zijn boek Code and Other Laws of Cyberspace. Systeem- en softwareontwikkelaars ontwerpen code-technische protocollen en netwerkarchitecturen. Daarmee bepalen zij de weg waarlangs de gebruiker van informatiesystemen (vaak moet) lopen en de manier waarop 'deuren' worden geopend of gesloten blijven. Sterker nog: de ontwikkelaar bepaalt daarmee wat wel of niet mogelijk is, of beter gezegd: wat wel of niet mag en moet."3 Dergelijke normen die bij het gebruikmaken van de elektronische infrastructuur gelden, staan los van enige democratische inspraak of toetsing.4 Schmidt noemt dit regulering door middel van architectuur.5
Dat is een gevaarlijke ontwikkeling. Wij moeten bewust zijn van wat er zich in cyberspace afspeelt. Hoe willen wij dat cyberspace eruit ziet en hoe willen wij in die virtuele wereld leven? Welke normen en waarden zullen daar gelden? Zijn het onze waarden en normen? Zullen onze grondrechten gerespecteerd worden? De code van cyberspace kan onze grondrechten reflecteren of waarden scheppen die juist inconsistent zijn met onze waarden. Hoe meer de invloed van cyberspace groeit, hoe meer het van belang wordt dat onze duur bevochten grondrechten ook onverkort gerespecteerd worden in cyberspace. Lessig wijst erop "There is nothing to guarantee that the regime of values constitued by code will be a liberal regime; and little reason to expect that an invisible hand of code writers will push it in that direction. Indeed, to the eitent that code writers respond to the wishes of commerce, a power to control may well be tilt that this code begins to take. (...) The threats to values implicit in the law — threats raised by changes in the architecture of code — are just particular examples of a more general point: that more than law alone enables legal values, and that law alone cannot guarantee them."6 Dit geldt ook voor de bescherming van onze privacy.
Tijdens mijn onderzoek voor dit proefschrift vroeg ik mij herhaaldelijk af waarom ik andere wetenschappen erbij betrek om de privacy van de burger te beschermen. De aanleiding ligt in mijn constatering dat het recht op de bescherming van persoonsgegevens niet `self-executing' is. Rechtshandhaving achteraf levert vaak geen effectieve preventieve bestrijding van de privacyinbreuk op. Net zoals in de metafoor van de cholerabestrijding die ik in het begin van dit boek gebruikte, kan de patiënt individueel geholpen zijn, maar de ziekte is daarmee niet uitgeroeid. Het kwaad dat eenmaal is geschied, kan niet meer hersteld worden. In cyberspace blijft alles bewaard. Het lag voor de hand dat ik zou teruggrijpen op mijn jarenlange werkervaring in de ict-industrie om te zoeken naar methodes die mogelijkerwijs inbreuken kunnen voorkomen en die daardoor het vertrouwen van de burger in de correcte verwerking van zijn gegevens niet ondergraven.
Ik liet mij verleiden door de overtuiging dat wetenschappen met een wiskundige basis 'hardere in plaats van zachtere' oplossingen zouden kunnen bieden voor het probleem van de privacyinbreuken. Door de rechtsregels in programmacode om te zetten hoopte ik een panacee te vinden of op z'n minst een effectief hulpmiddel dat zo veel mogelijk privacyproblemen kon tegengaan bij de verwerking van gegevens in informatiesystemen.
Omdat noch de rechtswetenschap, noch de computerwetenschap mij een verklaring konden geven waarom, ondanks het feit dat iedereen erkent dat privacy een belangrijk grondrecht is, PET niet op grote schaal in informatiesystemen werd en wordt toegepast, vroeg ik mij af of ik in mijn het onderzoek iets essentieels had gemist. Ik besloot het antwoord op de zesde onderzoeksvraag: Wanneer het mogelijk blijkt te zijn om privacyveilige systemen te ontwikkelen, bestaan er dan belemmeringen in organisatorische en economische zin om op grote schaal PET in informatiesystemen te implementeren? (OV 6) te gaan zoeken binnen de economische wetenschappen en het probleem van de privacybescherming niet vanuit het individu te benaderen, maar vanuit de organisaties, vanuit de verantwoordelijken. Dit ondanks de waarschuwing van Feldman, die stelt dat teveel vertrouwen in wetenschappelijke regels:
"may not work well for providing answers to law's questions"7 en dat "over time many assumptions of law and economics have come under attack (...) an increasing body of literature has argued that institutional interactions are far more complex than the founders of the law and economics originally suggested"8
Weliswaar was het antwoord op de zesde onderzoeksvraag dat er inderdaad belangrijke belemmeringen bestaan. Tegelijkertijd levert de economische benadering bruikbare inzichten op, waar de jurist, beslisser en beleidsmaker hun voordeel mee kunnen doen. Door de bevindingen in hoofdstuk 7 en de aanbevelingen in hoofdstuk 8 toe te passen wordt de weg vrijgemaakt voor grootschalige toepassing van privacyveilige systemen en kan een organisatie met succes privacybeschermende maatregelen in informatiesystemen en infrastructuur implementeren en daardoor het vertrouwen van burger en consument in de privacybescherming vergroten.
Hoewel het inderdaad mogelijk is datamodellen en architecturen te ontwerpen die de privacywetgeving nauw volgen, is het echter dringend noodzakelijk de research voor privacyveilige informatiesystemen met name in de ambient intelligence omgeving met kracht voort te zetten. Een gestandaardiseerde privacyontologie dient op korte termijn te worden ontwikkeld om de brug te slaan tussen het privacyrecht en ict. Door de gestandaardiseerde privacyontologie zullen de ontwerpers van informatiesystemen en softwareprogrammeurs beter informatiesystemen kunnen ontwerpen die nauwgezet de EU-privacyrichtlijnen volgen en het in machinetaal vastgelegde privacybeleid uitvoeren.
Voorwaarde daarbij is dat hardware- en softwareontwerpers en juristen nauw overleg met elkaar voeren.9 Ras merkt op: "niet vaak hebben juristen verstand van de inzet van (informatie)technologie",10 terwijl computerwetenschappers niet zijn opgeleid om rechtsregels te interpreteren, de ontwikkeling daarvan in te schatten en de rechtsregels in het ontwerp zo aan te passen dat datgene wat rechtsregels beogen te beschermen intact blijft. Zoals in hoofdstuk 5 is beschreven, bleek tijdens het ontwerp van ontologieën voor de gegevensbescherming in het kader van het PRIME-onderzoek, dat zonder een ter zake kundig jurist de output in meer dan 90% van de gevallen onzinnige resultaten opleverde.
Het frustreerde de ontwerpers dat het persoonsgegevens beschermend recht niet voldoende concreet, te ambigu was en te veel onzekerheden11 bevat door het gebruik van open normen. Die open normen zorgen er juist voor dat juristen voldoende flexibiliteit aan de dag leggen om regels op nieuwe situaties toe te passen. Kohnstamm stelde tijdens de door de Europese Commissie georganiseerde Data Protection Conference dat "open norms in the Directive are inevitable, even desirable, and have stood the test of time".12 Zonder open normen had de EU-Richtlijn 95/46/EG niet kunnen overleven.
Als het binaire systematische 'code is law', ontworpen door hardware- en softwareontwikkelaars, voor ons elektronisch maatschappelijk verkeer de norm wordt, dan kan dat alleen maar leiden tot een inflexibel verstard systeem. Dat systeem zal nieuwe problemen slechts binnen het binaire kader kunnen benaderen en ervoor zorgen dat het individu zich niet meer vrij en creatief in de samenleving kan ontwikkelen. `Law in the books'13 kan dan niet meer law in action'14 zijn, dat in staat is zich aan te passen aan steeds veranderende omstandigheden. Het zou kunnen leiden tot het einde van het recht,15 zoals wij dat nu kennen.
In dit proefschrift pleit ik er nu juist voor om 'code is law' om te draaien en, in samenspraak met informatici en juristen law is code' na te streven. Het woord 'is' heeft een relatieve betekenis maar duidt nochtans op het noodzakelijke gebruik van ict als digitale ondersteuning van het recht. Zonder die ondersteuning is het privacyrecht niet handhaafbaar.
Door te streven naar law is code' kunnen wij voorkomen dat er een inflexibele en ondemocratische samenleving ontstaat waar binaire normen en architecturen gelden en er geen plaats is voor de bescherming van de persoonlijke levenssfeer met zijn veelheid aan uitingsvormen.
De samenleving zal steeds meer gedigitaliseerd worden. Er zal geen maatschappelijk gebied meer zijn waar de invloed van ict zich niet zal doen gelden. Mulder poneerde tijdens het congres van het Nederlands Mediation Instituut op 8 november 2003 drie stellingen namelijk:
Geschillen met betrekking tot internettransacties zullen binnenkort door computers worden opgelost.
De kosten van rechtspraak kunnen alleen omlaag door toepassing van het internet.
Geschillenbeslechters zullen zoals alle beroepsgroepen ict gaan gebruiken.16
De digitalisering/informatisering van onze samenleving zal de behoefte aan juristen met een goed inzicht in de ict sterk doen toenemen. Om op die behoefte in te spelen is het op korte termijn noodzakelijk om iedere jurist tijdens de kandidaatsfase verplicht een jaar kennis te laten maken met de basisbeginselen van de informatica. De onderbouwing hier voor kan geleend worden van de Universiteit van Stockholm:
"The fast progress in the IT area is also reflected in the development of legal understanding of problems relating to the introduction of technology. All inventions bring about new problems with theet, and in this respect IT is no exception. One example of a quick reaction to new legal problems arising in connection with IT is the fact that Sweden was the first country to issue a separate Act on the Protection of Privacy in Connection with the Use of Computers (in 1973), which has led to the solution of numerous legal problems relating to IT and telecommunications. This has also helped in amassing knowledge, and enabled various authorities and interest groups to be established in the field. At Stockholm University the Swedish Law and Information Technology Research Institute was established at the Department of Law in 1968, and has been active ever since."17
Op de probleemstelling: Hoe kunnen in informatiesystemen de persoonsgegevens van burgers zodanig effectief worden beschermd, dat zij erop kunnen (blijven) vertrouwen dat hun persoonsgegevens niet onrechtmatig worden verzameld, verwerkt, opgeslagen en verspreid door de verantwoordelijke en de bewerker? is een positieve oplossing gevonden door de combinatie van rechtswetenschappen, informatica en economische wetenschappen.
Privacybescherming vereist een multidisciplinaire aanpak. Met gebruikmaking van PET-maatregelen en door de uit de wet voortvloeiende juridische specificaties in informatiesystemen in te bouwen kan het verzamelen, verwerken en het verspreiden van persoonsgegevens privacyveilig plaatsvinden. De DOI-theorie van Rogers uit de economische wetenschappen geven aan hoe PET-maatregelen in informatiesystemen bevorderd kunnen worden. Zo kan worden voorkomen dat `code is law' werkelijk bestaat.
Veel informatiesystemen zijn in 2009 niet privacyveilig en er zullen bij ongewijzigd beleid ernstige privacyinbreuken plaatsvinden, die het vertrouwen in onze samenleving zullen schokken. Het onderzoek naar de surveillance samenleving geeft aan dat onze privacy op het spel staat.
Privacyinbreuken kunnen voorkomen worden als de overheid en het bedrijfsleven privacyveilige informatiesystemen gaan gebruiken, waardoor de burger, consument en gebruiker erop kunnen vertrouwen dat hun persoonsgegevens zullen worden verwerkt overeenkomstig de wet en hun privacyvoorkeuren. Daardoor zullen zij ook in de komende AMI-wereld zichzelf effectiever tegen privacyinbreuken kunnen beschermen. Zo wordt bevorderd dat de privacybescherming niet erodeert, het vertrouwen in elkaar en de samenleving toeneemt en onze samenleving een menselijk gezicht behoudt.