Internetrecht door Arnoud Engelfriet

Sinds de coronacrisis begon, lees ik veel over advocatenkantoren en bedrijfsjuristen die legal tech inzetten. Het begon met massaal digitaal ondertekenen van contracten, wat natuurlijk een heel logische stap is, en nu zijn we bij Zoom-onderhandelingen en gebruik van Google Docs om samen documenten door te nemen of te reviseren. Een virus als de grote aanjager van innovatie, hoe raar wil je het hebben. Maar gaan we nu werkelijk doorpakken? Of waait dit weer over zodra een grotere maatschappelijke vrijheid weer terugkeert?

Het zetten van een elektronische handtekening waar voorheen een ‘natte’ nodig was, is een mooi voorbeeld van de voordelen van legal tech. Maar het is meteen een van de weinige echt goeie: simpel, duidelijk en met een heel precies voordeel. Daarvan kun je het zakelijk nut vrijwel uitrekenen. Een downside is er niet, afgezien van de kosten van de tooling. Maar training is nihil, wat er gebeurt kun je zien en dat het legaal is, is ook evident.

Voor verdergaande stappen, van contractgeneratoren tot het inzetten van chatbots voor intakes of wizards die adviesbrieven schrijven, ligt het vaak lang niet zo eenvoudig. En de reden daarachter is eigenlijk simpel: it’s the economy, stupid. Oftewel: het is niet duidelijk hoe je geld verdient door met zulke tools te gaan werken. En dat komt weer met name omdat organisaties ingesteld zijn om op een bepaalde manier hun diensten te leveren, en nieuwe technologie een andere manier van werken met zich meebrengt.

De partnerstructuur is bij advocatenkantoren vaak genoemd als dé reden waarom legal tech er niet zou komen: dan verdienen de partners minder aan billable hours (omdat die tools sneller zijn en er dus minder uren gewerkt wordt). Ik denk niet dat het zo simpel is. Het argument is wel een exponent van die achterliggende reden: vrezen voor minder opbrengsten van de klant is een economisch bezwaar. Of dat nu letterlijk is dat je urenstaten korter worden of dat de klant überhaupt minder wil betalen of iets anders, doet er dan minder toe.

Het algemene probleem is natuurlijk wel een hele taaie om aan te pakken. Zeker omdat het zelden expliciet op tafel wordt gelegd: sorry, deze tool gaan we niet doen want het kost ons heel veel en we zien weinig opbrengsten. Zeker bij legal tech, want “we moeten er iets mee” en dan wordt de tool uitgerold met veel fanfare (beter gezegd: een speciaal team of een champion) waarna we enige interesse mogen zien en daarna het gebruik een langzame dood sterft. Gewoon, omdat het niet nuttig genoeg voelt.

Er moet dus een externe prikkel komen om die verandering met zich mee te brengen. In de juridische sector zijn dat vaak de klanten: grote bedrijven die uurtje/factuurtje niet accepteren maar een fixed fee per klus of per jaar willen, of zelfs gewoon eisen dat er met tooling wordt gewerkt. Het lastige is alleen dat als de meerderheid van de kantoren nog niet op dat niveau is, zo’n klant toch moeilijk haar zin door kan drijven. Ergens is natuurlijk een omslagpunt maar wanneer dat wordt bereikt, is nog maar de vraag.

De zorg om de inkomsten vanwege de coronacrisis kan wel eens het omslagpunt forceren. Want veel kantoren en dienstverleners zien de inkomsten teruggaan en de productiviteit dalen. Als er dan een oplossing lijkt te zijn die met name dat laatste kan verhogen, dan is dat nu het moment om daarmee aan de slag te gaan.

Alleen: je blijft zitten met het punt dat een juridische dienstverlener behoorlijk goed is in z’n werk, en de workflow ook heeft ingericht om zo goed mogelijk op die manier te werken. Hoe je het ook wendt of keert, legal tech invoeren komt neer op veranderen van de bedrijfsvoering, en daar moet dan een duidelijke economische reden voor zijn. Waarom zou je nu, uitgerekend nu op een nieuwe manier gaan werken?

Daar staat tegenover dat we nu al op een andere manier zijn gaan werken. Vrijwel iedereen in de juridische sector werkt thuis waar dat kan, we Zoomen waar voorheen een fysiek gesprek de enige optie was en we onderhandelen op afstand zonder noemenswaardige problemen. Dat schept een mindset die openstaat voor veranderingen. Dus misschien is juist nu het moment?

Arnoud

De Europese koepelorganisatie van nationale autoriteiten voor gegevensbescherming hebben gezegd dat cookiemuren niet zijn toegestaan. Dat las ik bij Tweakers. De EDPB (want zo heet ‘ie) heeft haar richtsnoeren over toestemming herzien onder de AVG (waarom Tweakers dat “een verordening” noemt, ontgaat mij) en komt daarin tot de conclusie dat het écht écht écht vrij gegeven moet zijn en dat een cookiemuur dat niet doet. En nee, dit is niet “maar een mening” die desgevraagd bij de rechter zou kunnen standhouden of niet.

De European Data Protection Board (EDPB) is het onafhankelijk Europees orgaan dat erop toeziet dat de AVG consequent wordt toegepast en dat de samenwerking tussen de gegevensbeschermingsautoriteiten van de EU bevordert. Dit omdat we niet één Europese toezichthouder hebben. Deel van hun werk is het uitgeven van richtsnoeren (artikel 70 AVG) waarin ze aangeven hoe de AVG moet worden uitgelegd of toegepast.

Die richtsnoeren zijn inderdaad geen wet, maar het komt erg dicht in de buurt. De ‘mening’ van de EDPB is zeer zwaarwegend en wordt in ieder geval door de individuele toezichthouders nauwlettend gevolgd, waardoor je dus vrij zeker weet dat je aangesproken kunt worden als jij als bedrijf dit niet volgt.

En daarbij komt dat een boete (of last onder dwangsom) van een toezichthouder niet een vrijblijvend advies is waar de rechter dan het laatste woord over heeft – een beetje rare framing vind ik dat altijd. Toezichthouders zijn tóezichthouders, zij leggen verboden op of eisen boetes. Inderdaad kan de rechter toetsen of een toezichthouder goed te werk is gegaan, maar dat is niet hetzelfde als wanneer ik een schadeclaim neerleg en de rechter toetst of ik gelijk heb. Of zelfs maar de strafrechter die toetst of de officier van justitie wel echt de juiste verdachte te pakken heeft. Het is marginale toetsing; had de toezichthouder dit kúnnen beslissen of is dit apert onredelijk. Zit de boete binnen de gepubliceerde bandbreedte, dat werk.

Ja sorry ik erger me aan die manier van praten over toezichthouders omdat het hun positie reduceert en men daardoor gaat denken “we merken het bij de rechter wel, alle kansen zijn nog open”. Nou, vergeet het maar. Met een richtsnoer als dit zou ik geen argument meer weten waarom jij als bedrijf gewoon een cookiemuur neer kan zetten die botweg zegt “of de cookies, of geen site voor jou”.

Maar laten we eerlijk zijn: dat argument was er al nooit, al sinds de regel was dat cookies (tenzij functioneel) toestemming nodig hadden en toestemming vrijwillig gevraagd moest worden. “Je hóeft onze site niet binnen” heb ik nooit een sterk verhaal gevonden.

Arnoud

Via Twitter deze screenshot van een Volkswagen:

Wijzig uw privésfeerinstellingen (dat geforceerde nepnederlands alleen al) om de juiste juridische teksten te kunnen laden. Wat krijgen we nou. Ik vermóed dat men op basis van locatie andere landgebonden teksten wil tonen, want in sommige landen is het explicieter verboden om aan je navigatie te zitten tijdens het rijden dan andere, zoiets.

Als dat vermoeden klopt, dan heeft dit dus geen betekenis en mag je het negeren. Ik weet niet of dat kan, dit soort onderdelen van IT-systemen hebben de neiging in beeld te blijven tot ze zijn opgelost “want dat moet van Legal” of iets dergelijks. Maar als het kan, mijn zegen heb je.

Als het wel gaat om een juridisch bindende tekst, bijvoorbeeld een landgebonden EULA met andere regels over aansprakelijkheid of zo, dan heeft Volkswagen een probleem. Want dan zijn ze wel rijkelijk laat, de auto is al verkocht en mensen dán nog binden aan voorwaarden heeft geen enkele betekenis. Te laat.

Ook niet als mensen dan alsnog op “Akkoord” klikken. Dat argument kwam ik laatst ergens tegen – je zou dan weliswaar de voorwaarden mogen afwijzen wegens te laat, maar als jij in plaats daarvan op akkoord klikt ga je alsnog akkoord en doe je afstand van het recht ze te mogen afwijzen wegens te laat. Zoiets.

Dat zie ik niet. Dit soort systemen is ontwikkeld voor een verplicht akkoord. En in een situatie waarin je akkoord kunt vragen dit opeisen is tot daar aan toe – contractsvrijheid is in principe een ding, dus afgezien van speciale gevallen zoals de AVG is het mogelijk akkoord af te dwingen als deel van een transactie. Maar als de boel al verkocht en geleverd is dán nog eisen dat iemand op akkoord klikt, is echt onmogelijk. In juridische taal is het eenvoudigste argument dat de op rechtsgevolg gerichte wil ontbrak – men wil verder met die boordcomputer, men wil geen overeenkomst sluiten.

Arnoud

Een tweede beveiligingslek in de NL-Alert-app waar de NOS vorige week vrijdag over berichtte was geen meldplichtig datalek en is daarom niet aan de Tweede Kamer gecommuniceerd, zo heeft minister Grapperhaus van Justitie en Veiligheid aan de Kamer laten weten. Dat las ik bij Security.nl. Bij een eerder beveiligingslek waren locatiegegevens van 58.000 gebruikers en… Lees verder

In het ITC Hotel in Enschede, waar zo’n 300 internationale studenten van de Universiteit Twente verblijven, is geluidsopnameapparatuur gevonden onder de deur bij studentenkamers. Dat meldde de NOS onlangs. Een beveiliger zou door een student zijn betrapt toen hij de apparatuur aan het plaatsen was en sindsdien is apparatuur bij meer kamers aangetroffen. Volgens de… Lees verder

Een lezer vroeg me: Ik fotografeer graag huizen. Wanneer ik een huis zie dat voldoet en waar ik een gevoel bij krijg dan neem ik vanaf de openbare weg, vaak staand op mijn auto, foto’s. Nu iedereen dus thuis zit ben ik afgelopen week al meerdere malen aangesproken door enkele buurtgenoten van het desbetreffende huis… Lees verder

En lezer vroeg me: Ik ben al sinds mijn jeugd fan van het MS-DOS spel [geanonimiseerd] en zou het nu graag aanbieden in een emulator. De leverancier (een Nederlands bedrijf) is al twintig jaar geleden opgeheven, maar de oud-directeur die ik sprak wist vrij zeker dat niemand de rechten destijds had opgekocht. Waar zijn die… Lees verder

Wil jij deze zomer écht iets nieuws leren op het snijvlak van recht en techniek? Dan heb ik de uitdaging voor je. Of je nu jurist of IT’er bent: mijn IT Law Summer School neemt je op diepgravende en unieke wijze mee door de toekomst van het internetrecht. Vijf weken lang, elke week een ander,… Lees verder

Als je op Twitter iets zegt met de hashtag #MayThe4th, dan mag Disney alles doen met je bericht. Dat las ik bij Slashdot. Dit in vervolg op een uitnodiging: “Reply with your favorite #StarWars memory and you may see it somewhere special on #MayThe4th.” Niet bekend is wat men precies wil gaan doen met die… Lees verder

Een lezer vroeg me: Bij veel bedrijven kan je op een portaal o.a. je loonstroken, jaaropgaven, n.a.w gegevens raadplegen. En vaak ook HRM vragen indienen. Hierbij wordt geen mogelijkheid geboden om 2FA gebruiken bij het inloggen. Er is ook geen keuze om dit ‘dicht’ te zetten. Is dat wel conform de AVG, 2factorauthenticatie is toch… Lees verder