Cybersikkerhed får – af gode grunde – større og større fokus. Det gælder også i voldgiftssager, hvor der ofte udveksles og lagres yderst følsomme oplysninger digitalt. Der er en række ting, som parterne kan gøre for bedst muligt at sikre, at voldgiftsprocessen, herunder kommunikation med voldgiftsretten, yder parterne bedst mulig sikkerhed.

It-sikkerhed og cyber har sjældent været et fokusområde i voldgiftssager, hverken for parterne, voldgiftsdommere eller de involverede voldgiftsinstitutter. Området har dog fået øget fokus de seneste år i anerkendelse af de betydelige udfordringer og risici, både i forhold til GDPR og de forretningsfølsomme oplysninger, som udveksles i en voldgiftssag under forudsætning af en vis fortrolighed i en voldgiftssag. 

Hackede voldgiftssager
I 2015 blev den Faste Voldgiftsret (The Permanent Court of Arbitration in the Hague) hacket, og oplysninger vedrørende en verserende sag mellem Kina og Filippinerne vedrørende territiorialkrav i det Sydkinesiske Hav  blev lækket

I 2018 blev blandt andre The Court of Arbitration for Sports i Lausanne i Schweiz hacket. De efterfølgende spekulationer har været centreret om, at de organisationer, som i samme forbindelse blev udsat for angreb, havde udtalt sig kritisk om russiske forhold, herunder russisk sportdoping.

Angrebene viser, at også professionelle og uafhængige organisationer er udsatte. De viser også, at en virksomhed eller anden part til en voldgiftssag ikke er herre over eller kan sikre de oplysninger og materiale, som udveksles til øvrige parter som led i sagen.

De væsentlige risici er netop i forbindelse med udveksling af oplysninger mellem parterne og voldgiftsretten. Det gælder særligt i retssystemer, der anvender udvidede discovery-procedurer, hvor parterne hver især kan kræve store mængder materiale og informationer fra den anden part. Men også ”almindelige” hackerangreb udgør en risiko, som eksemplerne ovenfor illustrerer. 

data

Hvad kan man gøre?
En række internationale organisationer og voldgiftsinstitutter har sat fokus på udfordringerne de seneste år. En af de førende tvisteløsningsorganisationer, ICC i Paris, har i 2017 udarbejdet en rapport om informationsteknologi i international voldgift (ICC COMMISSION REPORT, Information Technology in International Arbitration). I rapporten anbefales blandt andet, at brugen af virtuelle datarum (der kendes fra due diligence i forbindelse med virksomhedsoverdragelser) fra professionelle udbydere udbredes yderligere.

ICCA, the NYC Bar og CPR (International Institute for Conflict Prevention & Resolution) har i fællesskab udarbejdet en cybersikkerhedsprotokol. CPR har også pr. 1. marts 2019 ændret sine regler, som nu indeholder følgende på en liste over emner til et forberedelsesmøde mellem voldgiftsretten og parterne:

”The possibility of implementing steps to address issues of cybersecurity and to protect the security of information in the arbitration” 

The International Bar Association (IBA) offentliggjorde i oktober 2018 nogle Cybersecurity Guidelines. Det anbefales blandt andet alene at bruge sikre internetforbindelser, overveje cyberforsikring, kryptere data, der udveksles samt generelt at begrænse adgang til det pågældende materiale. 

Selvom voldgiftsklausuler ofte omtales som ”midnight clauses”, det vil sige de dele af en aftale, som ikke er parternes primære fokus, er det fra flere sider foreslået at udbygge voldgiftsklausuler med regulering af it-sikkerhedsmæssige forhold. Udfordringen i denne forbindelse er, at den hastige udvikling inden for it kan risikere at overhale indholdet af en i øvrigt gennemtænkt regulering i voldgiftsklausulen. Derudover er institutter og voldgiftsdommere generelt ikke bundet af parternes it-instruktioner i en voldgiftsklausul. Blandt andet antager ICC, at anvendelsen af it er et processuelt spørgsmål, som voldgiftsretten generelt har kompetence over. Generelt formulerede vilkår som det følgende kan imidlertid give parterne et vist omfang af sikkerhed under voldgiftssagen:

”Korrespondance, indgivelse af processkrifter og bilag i voldgiftssagen skal i videst muligt omfang ske elektronisk ved anvendelse af løsninger, der indebærer en høj grad af sikkerhed.”

Det står også parterne frit for i en voldgiftsklausul at beskrive de kompetencer, voldgiftsdommerne skal have – eksempelvis at vedkommende skal være it-kyndig og bekendt med anvendelsen af virtuelle datarum mv. og understrege, at voldgiftsdommere skal kunne anvende sikker e-mail (og ikke blot gmail, hotmail og lignende).

I Danmark er advokater og voldgiftsdommere generelt langt fremme sammenlignet med øvrige jurisdiktioner i forhold til at anvende digitale hjælpemidler i voldgiftssager. Anvendelse af digitale løsninger må da også forventes at stige i de kommende år, både i Danmark og internationalt. Parter og advokater bør – både ved udarbejdelsen af en voldgiftsklausul samt før og under en voldgiftssag – overveje, hvordan sikkerheden omkring udvekslede oplysninger sikres bedst muligt.

Det er sandsynligt, at vi fremover vil se, at institutter vil stille it- og sikkerhedsmæssige krav til voldgiftsdommere, og at nogle institutter vil facilitere en elektronisk sagsportal i lighed med minretssag.dk. Det må også forventes, at processkrifter og bilag i flere og flere ad hoc voldgiftssager alene indgives og håndteres ved brug af virtuelle datarum, som parterne eller deres advokater stiller til rådighed.