Verschil tussen digitaal forensisch onderzoek en e-discovery
Doelstelling
Het meest fundamentele verschil tussen digitaal forensisch onderzoek en e-discovery is de doelstelling. Digitaal forensisch onderzoek richt zich op waarheidsvinding door diepgaand technisch onderzoek. Denk hierbij aan het onderzoeken van een gecompromitteerde IT infrastructuur, het herstellen van verwijderde bestanden en het reconstrueren van specifieke gebruikershandelingen aan computersystemen. De primaire doelstelling is het verkrijgen van digitaal bewijs uit digitale sporen dat juridisch houdbaar is en een onafhankelijke reconstructie mogelijk maakt.
E-discovery daarentegen is primair gericht op het identificeren, verzamelen en beschikbaar stellen van digitale bestanden die relevant zijn voor juridische procedures en geschillen. Het gaat dan meestal om informatie die relatief eenvoudig te ontsluiten is. Denk hierbij aan grote hoeveelheden e-mail berichten, elektronische documenten en bedrijfsadministraties die door partijen moeten worden gedeeld. Vaak in het kader van een juridische procedure of compliance onderzoek.
In het kort:
Digitaal forensisch onderzoek richt zich op waarheidsvinding op basis van gebeurtenissen. E-discovery richt zich meer op het vindbaar en bruikbaar maken van relevante documenten voor gebruik in juridische context.
Diepgang en gebruikte methodieken
Een ander belangrijk verschil zijn de gebruikte methodieken en diepgang van het onderzoek. Digitaal forensisch onderzoek vindt niet zelden plaats op zogenoemd binair niveau van een opslagmedium zoals een harde schijf. Een digitaal forensisch onderzoeker werkt met forensische kopieën van opslagmedia, mobiele telefoons, etc. Er wordt gebruik gemaakt van specialistische hardware en software om verwijderde data te identificeren en te herstellen, metadata te analyseren en logbestanden te interpreteren. De technische diepgang is hoog omdat verkregen digitaal bewijs niet alleen moet aantonen dat er iets is gebeurd, maar met name wat er is gebeurd, hoe dat is gebeurd en wanneer.
E-discovery gebruikt methodieken die meer gericht zijn op dataorganisatie en filtering. Hierbij wordt gebruik gemaakt van zoektermen en analyse van metadata om eventueel miljoenen documenten te sorteren en de meest relevante daarvan te identificeren en selecteren. Bij e-discovery ligt de nadruk minder op de technische reconstructie van data en meer op efficiëntie, schaalbaarheid en juridisch relevantie.
Samenvattend:
Digitaal forensisch onderzoek duikt diep in de technische materie terwijl e-discovery zich vooral richt op het ordenen en toegankelijk maken van grote hoeveelheden data.
Toepassingsgebied
Ondanks dat sprake is van enige overlap tussen digitaal forensisch onderzoek en e-discovery, verschillen de feitelijke toepassingsgebieden onderling sterk.
Digitaal forensisch onderzoek wordt vaak ingezet bij incidenten als datalekken, arbeidsconflicten, fraudeonderzoeken en cyberaanvallen. Het gaat primair om waarheidsvinding en het verkrijgen van digitaal bewijs in zowel strafrechtelijke als civielrechtelijke procedures. Bijvoorbeeld bij een onderzoek naar mogelijk ongeoorloofd gedrag van een medewerker of onderzoek naar interne financiële fraude.
E-discovery is vooral relevant binnen de context van civiele procedures, compliance kwesties en due diligence onderzoeken. Bijvoorbeeld wanneer bedrijven verwikkeld zijn in een rechtszaak over intellectueel eigendom, moeten over en weer vaak grote hoeveelheden data worden overhandigd. E-discovery zorgt ervoor dat dit proces efficiënt, compleet en juridisch correct verloopt. Ook bij fusies of overnames speelt e-discovery een belangrijke rol omdat daarbij vaak enorme hoeveelheden communicatie en documentatie beoordeeld moeten worden.
In het kort:
Digitaal forensisch onderzoek focust zich op incidenten en bewijsvoering terwijl electronic discovery vooral gericht is op juridische procedures en zakelijke transacties.
Juridische context en gebruik
Hoewel beide disciplines zich bezighouden met digitaal bewijs in juridisch context, verschilt de manier waarop verkregen bewijs wordt gebruikt.
Digitaal forensisch onderzoek levert technisch en juridisch hard bewijs. De gebruikte methodieken zijn vastgelegd in forensische standaarden en de integriteit van digitale sporen en digitaal bewijs blijft te allen tijde gewaarborgd. Alle bevindingen moeten reproduceerbaar zijn en de bewijsketen, de zogenoemde chain of custody, wordt nauwkeurig gedocumenteerd. Dit maakt dat digitaal bewijs meestal standhoudt in de rechtszaal, zelfs in strafzaken.
Electronic discovery draait vooral om relevantie en volledigheid van documenten. Het bewijs is doorgaans minder technisch van aard en richt zich meer op inhoudelijke aspecten zoals e-mail correspondentie, office documenten, bedrijfsadministratie en contracten. Waar het om gaat is dat de juiste documenten op tijd en in zijn volledigheid aan de wederpartij worden geleverd, conform de regels van de rechtspraak.
Kortom:
Digitaal forensisch bewijs moet juridisch onweerlegbaar zijn, terwijl e-discovery meer gaat om de volledigheid, inzichtelijkheid en bruikbaarheid van documenten binnen juridische context.
Benodigde expertise en middelen
Tot slot zijn er aanzienlijke verschillen in de vereiste expertise en gebruikte technische middelen. Een digitaal forensisch onderzoeker is vaak zeer technisch onderlegd. Diepgaande technische kennis van besturingssystemen, netwerkprotocollen en database technologieën is vereist. Daarnaast zijn kennis van digitaal forensische software en ervaring met het opstellen van juridisch correcte rapportages cruciaal.
E-discovery deskundigen hebben doorgaans een achtergrond in juridische processen, accountancy, projectmanagement of reguliere IT. Ze moeten in staat zijn om grotere teams aan te sturen, complexe data workflows te beheren en zogenoemde document review & case management software beheersen. De focus ligt minder op technische diepgang en meer op procesmanagement, juridische compliance en communicatie met juristen. Daar waar een digitaal forensisch onderzoeker zelf de analyse uitvoert, is dit bij e-discovery vaak een derde persoon of organisatie. Bijvoorbeeld een jurist of forensisch accountant.
Samenvattend:
Digitaal forensisch onderzoek vereist diepgaande technische kennis terwijl e-discovery meer organisatorische en juridische expertise vereist. E-discovery heeft feitelijk meer raakvlakken met data-analyse dan met forensisch onderzoek.
Conclusie
Voor organisaties die te maken hebben met juridische geschillen, interne onderzoeken of cyber incidenten is het belangrijk het verschil tussen digitaal forensisch onderzoek en e-discovery te begrijpen.
Hoewel beiden zijn gericht op het onderzoeken van digitale sporen en digitale bestanden, zijn het wezenlijk verschillende disciplines. Digitaal forensisch onderzoek duikt diep in de technische details om hard digitaal bewijs te vinden. E-discovery richt zich op het efficiënt organiseren, filteren en structureren van grote hoeveelheden eenvoudig te ontsluiten juridisch relevante documenten of data.
De belangrijkste verschillen zijn:
- Doelstelling: waarheidsvinding versus documentbeheer.
- Diepgang en techniek: bit niveau analyse versus datafiltering.
- Toepassingsgebied: incidentonderzoek versus juridische procedures.
- Juridische context: Juridisch hard bewijs versus relevante documentatie.
- Expertise: Diepgaand technisch inzicht versus juridisch en organisatorisch inzicht.
Het is van belang om goed te begrijpen welk type onderzoek in een specifieke situatie nodig is. Met een weloverwogen keuze voor digitaal forensisch onderzoek, e-discovery of een combinatie, kan worden voldaan aan juridische verplichtingen en het optimaal waarborgen van de eigen belangen.
Wil je weten of jouw eigen organisatie een digitaal forensisch onderzoek of e-discovery onderzoek nodig heeft? Neem dan vrijblijvend contact op voor een discreet adviesgesprek.