Compliance is zo oud als de weg naar Rome

In toenemende mate blijkt compliance zelfs uitsluitend betrekking te hebben op legal compliance. Zuiver beschouwd betekent dat voldoen aan rechtsnormen en dat is overigens ruimer dan wet- en regelgeving alleen. Ook het voldoen aan contractuele afspraken valt immers hieronder. Contractual compliance kan overigens uit continuïteits- en aansprakelijkheidsrisico’s van gelijke importantie zijn als regulatory compliance.
Dat iedere overheidsorganisatie, bedrijf en non-prof instelling zich net zoals burger conform rechtsregels behoort te gedragen was al in de tijd van de oude Romeinen en hun goed ontwikkeld rechtstelsel. Waarom staat het onderwerp dan nu ineens in het spotlicht?
Een paar opmerkingen. De relatie tussen ICT en recht begon in de zestiger jaren in de Verenigde Staten bijna schoorvoetend: computerrecht richtte zich destijds op de rechtsgevolgen van het gebruik van elektronische gegevensverwerking pur sang. Van de aanschaf van hardware en software tot en met contracten voor serviceverwerking. Bijzondere wetgeving voor digitale technologie ontbrak.
Tegenwoordig leven wij onder een Codex Informatica; een overweldigend en divers pakket van gecodificeerd recht – dat wil zeggen in formele wetten vastgelegd – speciaal gericht op de elektronische verwerking en communicatie van gegevens.
Recht gaat over relaties en heeft nogal eens protectionistisch karakter. Om binnen het kader van informatie- en communicatietechnologie te blijven, het auteursrecht en het octrooirecht bieden rechtsbescherming aan bijvoorbeeld ontwikkelaars van computerprogramma’s. En de wet ‘koop op afstand’ probeert de online-consument te beschermen en dat geldt tevens voor de Telecommunicatiewet die ‘spam’ verbiedt, tenzij er vooraf om toestemming is gevraagd de commerciële boodschap per e-mail te versturen. De traditionele situatie gaat er dus van uit dat de toepassing van de informatietechniek blijkbaar juridisch gevolgen teweeg kan brengen en vervolgens tegen algemene of bijzondere wetgeving oploopt.
Maar een andere kant van de relatie tussen ICT en recht komt steeds meer in de belangstelling te staan: de gevolgen die wetgeving heeft op technologie zelf. Neem de wet ‘bescherming persoonsgegevens’. Wie persoonsgegevens verwerkt dient voor een adequate beveiliging te zorgen en dat betreft tevens technische maatregelen. Anders gezegd, deze conformiteit heeft mede gevolgen voor de inrichting en uitvoering van ICT als ondersteuning van de zakelijke processen bij bedrijfsleven en overheid.
Mogelijk blijft hier het voldoen aan wetgeving in zoverre binnen de perken van acceptabele lasten omdat de wettelijke voorschriften terzake (die in feite uitvoering geven aan het grondwettelijk recht op privacy), relatief eenvoudig zijn door te voeren en tevens nut hebben voor de bescherming van de bedrijfsinformatie. Een klantenlijst is immers een groot goed.Wellicht ligt dat anders bij de Europese Richtlijn die opslag, bewaring en ontsluiting van historische verkeersgegevens van telecomdiensten zoals Internet en mobiele telefonie verplicht stelt. De Data Rentention Directive treedt medio volgend jaar in werking in de 25 lidstaten van de Europese Unie.
Hier krijgen wij te maken met een wettelijke regeling die voorschrijft dat bijvoorbeeld een Internet Service Provider binnen ongeveer 15 minuten de verkeersgegevens aan Justitie moet aanleveren die betrekking hebben op het surf- en mailgedrag van een bepaalde abonnee, in een bepaalde periode. Dat een dergelijke wet directe gevolgen heeft voor de inrichting van informatiesystemen, laat zich raden. Bovendien heeft een onderneming zelf niets te winnen bij de implementatie van nieuwe ICT-oplossingen die de facto en de jure uitsluitend worden bepaald door wetgeving.
Sterker nog, dit type wetgeving heeft niet zozeer betrekking op de juridische normering van ICT, dan wel op het feit dat compliance alleen bereikt kan worden door middel van toepassing van digitale technologie zelf. Bij de Amerikaanse Sarbanes-Oxley Act zien wij zelfs dat de wet ICT in het geheel niet noemt, terwijl de compliance-gevolgen voor de informatiesystemen verstrekkend zijn. Willen wij dat wel?