'Bestudeer de gaten tussen wet en praktijk'
De wet sluit niet altijd aan bij de manier waarop we technologie gebruiken. Een analytisch kader helpt zulke mismatches te identificeren.
Het maken van wet- en regelgeving duurt notoir lang, terwijl technologische ontwikkelingen in hoog tempo voortdenderen. Dat kan leiden tot regulatory disconnection, waarbij een wet aannames bevat over het gebruik van technologie die niet (meer) stroken met de dagelijkse werkelijkheid. Mara Păun van Tilburg Law School ontwikkelde een analytisch kader waarmee zulke gaten in de wet kunnen worden geïdentificeerd en aangepakt. Ze promoveerde cum laude op het onderzoek.
Ingehaald door technologische ontwikkelingen
Binnen de Europese Unie is regulatory disconnection een bekend fenomeen. De eerste versie van de AI Act lag al bijna klaar, toen OpenAI een chatbot lanceerde die inzetbaar was voor allerlei toepassingen. Terwijl de wet was ingestoken op het idee dat je AI kon categoriseren op het doel dat gebruikers ermee hadden, bleek ChatGPT geschikt voor allerlei doelen. Terug naar de tekentafel dan maar...
BB Wanneer is er sprake van een regulatory disconnection?
Neem onze verkeerswetten. Die zijn gebaseerd op de aanname dat er een bestuurder achter het stuur zit. Naarmate we in de toekomst meer zelfrijdende auto’s gebruiken, zal die aanname niet altijd meer kloppen. Dat leidt ertoe dat sommige regelgeving mogelijk moet worden aangepast. Wie is er straks verantwoordelijk voor een ongeluk? Hebben we nog rijbewijzen nodig in de toekomst?
BB Welke consequenties kan zo’n mismatch tussen regelgeving en praktijk opleveren?
Een mismatch zorgt ervoor dat een wet niet doet wat het geacht wordt te doen of wat we willen dat het doet. Dat kan leiden tot juridische onzekerheid, waarbij we niet weten hoe een wet in een bepaalde situatie moet worden toegepast. Het kan ook zo zijn dat de wet iets dekt wat het niet zou moeten dekken, of dat het niet dekt wat het wel zou moeten dekken. Wetten kunnen ook irrelevant worden, bijvoorbeeld omdat een technologie niet meer wordt gebruikt, of gebaseerd is op waarden die we niet meer onderschrijven als samenleving.
Regels voor modelvliegtuigen
Als voorbeeld noemt ze het privégebruik van drones, dat in 2018 op gang kwam en dat in eerste instantie viel onder de regeling modelvliegen. Drones konden wel voldoen aan de regels voor modelluchtvaart over bijvoorbeeld de vlieghoogte, maar de regels hielden geen rekening met de nieuwe risico’s die drones met zich meebrachten, zoals op het gebeid van privacy en veiligheid.
In het geval dat er zo’n soort gat in de wet zit, moet er ofwel een aparte regeling worden opgesteld, ofwel alle problemen moeten stap voor stap worden aangepakt in de huidige wetgeving. Tegenwoordig is er regulering voor civiele drones vanuit de EU. Is het verstandig om bij de volgende technologische ontwikkeling te wachten tot Europa geschikte regels opstelt? Ook dat biedt nadelen, zegt Păun. ‘Hoe langer je wacht met het reguleren van een nieuwe technologie, hoe langer er sprake is van juridische onzekerheid.’
Hoe langer je wacht met het reguleren van een nieuwe technologie, hoe langer er sprake is van juridische onzekerheid.
Analytisch kader
Voor haar promotie ontwierp ze een analytisch kader, bedoeld om mismatches in wet- en regelgeving beter te begrijpen. ‘Als regulering niet doet waarvoor het is bedacht, zeggen mensen al snel dat het niet werkt, of niet uitvoerbaar is. Vaak gaan we dan meteen op zoek naar oplossingen. Het kader is bedoeld om eerst het probleem beter te doorgronden: wat veroorzaakt de mismatch en wat is de omvang ervan? Als je de omvang niet goed in het oog hebt dan pak je misschien maar een deel van het probleem aan, of veroorzaak je een andere.’
Meer details in decentrale regelgeving
Het analytisch kader bestaat uit drie stappen die de gebruiker doorloopt aan de hand van een aantal leidende vragen. Die gebruiker kan een wetgever zijn, een overheidsinstantie, maar ook een ngo, advocaat, toezichthouder of academicus. Ook decentrale overheden kunnen het kader volgens Păun inzetten.
‘Bij decentrale overheden zien we vaak dat regelgeving specifieker is. Er worden meer details in genoemd dan in regelgeving op een hoger niveau, waardoor er ook eerder sprake is van een disconnectie met nieuwe technologische ontwikkelingen. De vraag is dan waar de mismatch precies in zit, in relatie tot welke sociaal-technologische ontwikkeling het ontstond en hoe prominent en complex het is binnen het bestaande wettelijke kader. Pas als je die feiten op een rijtje hebt, kun je gaan nadenken over een oplossing.’
Gedateerde aannames
Hoe dat proces eruit ziet, laat Păun in haar proefschrift zien aan de hand van de General Data Protection Regulation (GDPR, in Nederland de AVG). Met behulp van het analytisch kader beschrijft ze hoe bepaalde aannames in deze wet gedateerd zijn geraakt. De zogeheten verwerkingsverantwoordelijke is in de AVG de persoon of instantie die gegevens verwerkt (in de GDPR wordt dit de controller genoemd). Terwijl de verordening ervan uitgaat dat er duidelijk aanwijsbare verwerkingsverantwoordelijken zijn, is de praktijk veel gecompliceerder.
Smart city
In de smart city speelt bijvoorbeeld veel dataverwerking zich decentraal af en komt er een veelheid aan actoren aan te pas, die elkaar lang niet altijd kennen en nauwelijks invloed hebben op elkaars handelen. Dat maakt het nogal ingewikkeld om als verwerkingsverantwoordelijken gezamenlijk invulling te geven aan de verplichtingen die de wet stelt. Păun: ‘Eigenlijk zien we dat deze actoren door de wet als controller worden aangemerkt, terwijl ze feitelijk geen controle hebben op tal van verwerkingen die met de gegevens plaatsvinden.’
In de smart city speelt veel dataverwerking zich decentraal af en komt er een veelheid aan actoren aan te pas, die elkaar lang niet altijd kennen en nauwelijks invloed hebben op elkaars handelen.
BB Is regulatory disconnection te voorkomen?
‘Helemaal voorkomen zal niet lukken, maar we kunnen de impact en frequentie ervan wel minimaliseren. Je kunt een technologie-neutrale wet ontwerpen, waardoor de duurzaamheid van de wet mogelijk toeneemt. Je kunt ook een systeem optuigen dat snel inspringt op disconnecties. Laat toezichthouders met kennis van zaken en gevoel van de realiteit nieuwe technologische ontwikkelingen in de gaten houden en snel reageren op mogelijke problemen.
Je kunt ook lerend wetgeving opstellen, waarbij je samenwerkt met innovators. Dat kun je doen door bijvoorbeeld experimentele regulering op te stellen, zoals de sandboxes in de AI Act (een soort proeftuinen waarin innovatie de ruimte krijgt onder het toeziend oog van toezichthouders, red.). Aan alle genoemde aanpakken zitten voor- en nadelen.
Proefschrift
Het proefschrift ‘Law and technology through the lens of autopoiesis: An analytical framework for dealing with regulatory disconnection illustrated through the case of the GDPR.’ (Paun, M. (2023) Tilburg University) is hier in zijn geheel te lezen.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.