eDiscovery (voluit Electronic Discovery) is een proces waarbij elektronische informatie wordt opgevraagd en vervolgens wordt doorzocht op belastend of ontlastend bewijs om te gebruiken in een intern onderzoek, dispuut, civiele of strafrechtelijke zaak. Het uiteindelijke doel van eDiscovery is “waarheidsvinding”. De term eDiscovery is in Nederland minder gangbaar dan in de Verenigde Staten en wordt vooral gezien als Amerikaanse aangelegenheid. Daarnaast wordt eDiscovery vooral weggezet als een verantwoordelijkheid voor juristen. Beide aannames zijn onterecht.
eDiscovery beperkt zich niet tot Amerika. Iedere IT-afdeling, ook van Nederlandse bedrijven, moet rekening houden met de zeer reële mogelijkheid van verzoeken om elektronische data over te dragen. Deze verzoeken kunnen komen van interne afdelingen, binnenlandse of buitenlandse toezichthouders. En ieder bedrijf dat direct of indirect zakendoet over de grens, kan worden geconfronteerd met buitenlandse dataonderzoeken gerelateerd aan patentzaken, aansprakelijkheid, disputen en in het ergste geval bijvoorbeeld bij omkoping of fraude, een buitenlands strafrechtelijk onderzoek.
Waarheidsvinding: gedeelde verantwoordelijkheid voor IT en juridische zaken
In ons huidige informatietijdperk is waarheidsvinding zonder substantieel dataonderzoek niet meer mogelijk. Het principe van een grootschalig dataonderzoek is inherent aan alle grote compliance- en fraudeonderzoeken. Iedere betrokken partij (interne auditor, advocaat, bedrijfsjurist of toezichthouder) moet hierbij in korte tijd enorme hoeveelheden informatie doorzoeken. En omdat het volume aan data en informatie binnen hedendaagse bedrijven steeds maar toeneemt en steeds complexere vormen aanneemt, is technologie onmisbaar bij ieder groot dataonderzoek. Een groot dataonderzoek zonder gebruik te maken van eDiscovery principes en software, resulteert in extreem hoge kosten en onbeheersbare risico’s.
Hiermee komt de verantwoordelijkheid voor waarheidsvinding en het gebruik van eDiscovery technologie ook bij de CIO te liggen. Het is daarom voor de Nederlandse CIO belangrijk om goed op de hoogte te zijn van de eDiscovery beginselen en trends.
Data in de Cloud
Bijna ieder bedrijf heeft al data naar de Cloud gebracht of overweegt dit. Maar een groot risico van Cloud computing is dat de eigenaar van de data die in de Cloud is opgeslagen – en dat blijft altijd het bedrijf – niet tijdig kan voldoen aan een verzoek van een toezichthouder. Dit is het geval bij een eDiscovery of ander juridisch onderzoek waarbij in korte tijd honderden gigabytes aan data gedownload en overhandigd moet worden. Dan pas blijkt dat het heel simpel is om data in de Cloud te krijgen, maar relevante data snel uit de Cloud halen, dat absoluut niet is.
De CIO doet er verstandig aan om te bekijken hoe het gehele proces van een dataonderzoek van relevante data ín de Cloud kan worden uitgevoerd. Zo worden ernstige vertragingen door de beperking van de bandbreedte of de onvoorspelbaarheid van internetverbindingen, voorkomen en hoeft alleen de veel kleinere dataset van relevante gegevens gedownload te worden.
Grensoverschrijdende dataverzoeken
Grensoverschrijdende data onderzoeken, waarbij meerdere jurisdicties betrokken zijn, hebben extra complicaties. Een voorbeeld zijn de Amerikaanse Federal Rules of Civil Procedure (FRCP). FRCP omvatten alle wet- en regelgeving omtrent rechtszaken in de Verenigde Staten. De FRCP houden in dat niet alleen Amerikaanse ondernemingen, maar ook alle internationale organisaties die samenwerkingsverbanden hebben met deze Amerikaanse ondernemingen, voorbereid moeten zijn op de eisen die de FRCP stellen in geval van een rechtszaak.
Een Nederlandse multinational met kantoren in de VS kan dus worden gesommeerd door een Amerikaanse rechtbank om alle (digitale) informatie die wordt gedeeld binnen de organisatie, ongeacht het bestandsformaat en de plaats waar deze data is opgeslagen, binnen een bepaalde termijn aan de rechterlijk instantie te tonen.
Ondertussen verwacht de Europese Commissie van ieder Nederlands bedrijf dat het beschermingsniveau voor Europeanen goed gewaarborgd is en de privacy van Europese burgers wordt beschermd. De CIO moet de juridische afdeling daarom ondersteunen bij het (nog beter) inventariseren welke data wordt gebruikt, in hoeverre deze herleidbaar is tot personen en waar deze data vandaan komt en naar toe gaat.
Met eDiscovery software is het beter mogelijk om aan de eisen van beide jurisdicties te voldoen: privacygevoelige informatie kan conform de eisen van de EU zoveel mogelijk automatisch worden gedetecteerd, geanonimiseerd en de rest van een document kan vervolgens ontsloten worden aan de toezichthouders in het buitenland.
Kosten besparen door proactief handelen
In een omgeving waarin het aantal corporate rechtszaken toeneemt, regelgevingen voor data steeds strenger worden en het volume van data blijft groeien, helpt eDiscovery technologie bij het verlagen van de kosten en het verkleinen van de risico’s.
