All posts by axelarnbak

97e FD Column: Uitblijven cybersecuritywet toont onmacht EU

Deze column staat in Het Financieele Dagblad van 14 januari 2022. Volg deze link voor mijn eerdere FD columns.

Het internet der dingen is slecht beveiligd en een bron voor cyberaanvallen. Invoering van een Europese wet die dit tegengaat is broodnodig. Maar de Europese Unie komt niet over de brug, schrijft advocaat Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

De brakke beveiliging van het internet der dingen (Internet of Things, IoT) is al tien jaar een urgent maatschappelijk probleem. Slecht beveiligde webcams laten criminelen achter de voordeur meekijken of u een dure auto, kunstwerk of tafelzilver bezit. Connected speelgoed blijkt eenvoudig hackbaar en daarmee afluisterbaar via ingebouwde microfoons. Bovendien verbouwen cybercrimegroepen en landen als Rusland al die honderdduizenden kwetsbare IoT’s op de markt tot krachtige digitale netwerken voor het lanceren van cyberaanvallen.

Truc
De Europese Commissie (EC) klaagt al jaren en bij herhaling dat de EU-lidstaten en de industrie pogingen tot serieuze cybersecuritywetgeving blokkeren. Daarom gaat de EC soms onder de radar en neemt zij het heft in eigen handen. Deze week gebruikte de EC stilletjes een oude Europese wet over radioapparatuur voor een eigenstandige beleidsbeslissing om alle draadloze internetelektronica die in Europa op de markt komt aan minimumvereisten voor cybersecurity te laten voldoen. De Commissie plakt met deze juridische truc een pleister op een deel van de markt, al geldt de maatregel pas vanaf medio 2024. Zij spreekt daarnaast wederom de hoop uit dat er ooit een volwassen cybersecuritywet komt die niet alleen in bepaalde sectoren, producten of technologieën geldt, maar voor alle apparaten en software.

Haar behendige trucje, dat ons nog 30 maanden niet verder helpt, staat daarmee ook symbool voor de onmacht van de Europese Unie om cybersecurity maatschappijbreed te reguleren en de informatieveiligheid van alle Europese burgers, bedrijven en overheidsinstanties te beschermen. Terwijl de blauwdruk voor zo’n cybersecuritywet er met de Europese verordening AVG al ligt. Continue reading 97e FD Column: Uitblijven cybersecuritywet toont onmacht EU

96e FD Column: Rutte IV: na woorden nu ook daden voor versterking datatoezicht

Deze column staat in Het Financieele Dagblad van 17 december 2021. Volg deze link voor mijn eerdere FD columns.

Start-up Clearview AI, met software voor gezichtsherkenning, krijgt in de EU en in Nederland alle ruimte. Deze software tast onze privacy en grondrechten aan. Het nieuwe kabinet moet de start-up aanpakken, schrijft advocaat Axel Arnbak.

Foto: Amr Alfiky/The New York Times uit het Financieele Dagblad

Met een foto en een swipe een volledig dossier van een voorbijganger op straat verkrijgen: iemands cv, de prijs van zijn woning, zijn sociale mediaprofielen en de rest. Sinds de opkomst van het wereldwijde web was het wachten op een briljante charlatan die een zoekmachine voor gezichten zou bouwen en daarmee de droom van iedere dictator, en nachtmerrie voor onze vrijheid in de publieke ruimte, zou verwezenlijken. Inmiddels is die droom werkelijkheid.

Sinds de oprichting in 2017 verkoopt de Amerikaanse start-up Clearview AI zo’n zoekmachine aan overheden wereldwijd, zodat zij een foto of stilstaand beeld uit een beveiligingscamera kunnen vergelijken met meer dan 10 miljard van het web geschraapte foto’s. Zo kunnen zij in een handomdraai een kennelijk krankzinnig accurate match en achterliggend dossier verkrijgen.

Brits toezicht
Op 4 december bracht website Politico het nieuws dat Clearview AI in de Verenigde Staten een patent heeft bemachtigd, op basis waarvan de start-up kunstmatig intelligente gezichtherkenningssoftware exclusief aan overheden én consumenten kan aanbieden. De Britse datatoezichthouder ICO denkt daar anders over.

Eind november kondigde de ICO een boete van €20 mln aan wegens evidente schendingen van de Britse evenknie van privacywet AVG. Nog belangrijker, en nauwelijks opgepikt door de media, is het daarmee gepaard gaande verwerkingsverbod: Clearview AI mag voortaan geen data van Britse ingezetenen gebruiken en moet alle data van Britten verwijderen uit de eigen database.

Te weinig, te traag
De aankondiging van de ICO zegt veel over de staat van het datatoezicht in onze informatiesamenleving van eind 2021: belangrijker dan ooit, maar nog steeds te weinig en te traag. De afgelopen decennia beloofden regeringen datatoezicht te versterken, maar ontbrak steeds de daad bij dat woord. Rutte IV belooft nu beterschap, het is ook de hoogste tijd toezicht op een gezonde informatiesamenleving kernprioriteit te maken. Continue reading 96e FD Column: Rutte IV: na woorden nu ook daden voor versterking datatoezicht

95e FD Column: Opkomst kwantumsensor vereist ingrijpen politiek

Deze column staat in Het Financieele Dagblad van 22 november 2021. Volg deze link voor mijn eerdere FD columns.

De inzet van kwantumsensoren bedreigt onze privacy en veiligheid. Dat vraagt om visie en handelen vanuit de politiek, schrijft advocaat en onderzoeker Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Het zal niemand verbazen dat Albert Einstein ooit de Nobelprijs voor Natuurkunde in de wacht sleepte. Toch weten maar weinigen dat het Nobelcomité die ereprijs van 1921 niet zozeer toekende voor Einsteins relativiteitstheorie, maar ‘in het bijzonder voor zijn ontdekking van de wet van het foto-elektrische effect’ in 1905. De briljante natuurkundigen van die generatie slingerden de mensheid toen al het kwantumtijdperk in.

De laatste jaren zijn de interesse en de miljardeninvesteringen vanuit overheden en bedrijfsleven pas echt geëxplodeerd. Kwantumsensoren die door muren kunnen kijken zijn binnen handbereik. De kwantumcomputer die de rekenkracht van alle conventionele computers omverblaast, is de heilige graal, die alle bestaande versleuteling kan kraken, terwijl nieuwe kwantumcommunicatie staatsgeheimen juist onkraakbaar zou maken. Wie kwantum beheerst, kan de koers van de geopolitiek, de economie, onze samenlevingen en zelfs ons begrip van mens-zijn naar zijn hand zetten. Oftewel, kwantum is macht.

Droom van machthebber
Nu het kwantumtijdperk in een stroomversnelling lijkt te komen, rijst de urgente vraag hoe we deze omwenteling kunnen reguleren. Over deze hamvraag publiceren onderzoekers Chris Hoofnagle (UC Berkeley) en Simson Garfinkel (US Department of Homeland Security) binnenkort hun diepzinnige en belangwekkende boek Law and Policy for the Quantum Age. Zij laten zien dat beleidsmakers het kwantumtijdperk absoluut niet vanaf de zijlijn kunnen volgen. Als kwantumtechnologie de droom is van elke machthebber, zijn recht en beleid niet alleen noodzakelijk om die macht te faciliteren, maar ook om hem te controleren. Continue reading 95e FD Column: Opkomst kwantumsensor vereist ingrijpen politiek

94e FD Column: AVG dreigt een alom aanwezige zombie te worden

Deze column is gepubliceerd als Weekendessay in Het Financieele Dagblad van zaterdag 16 oktober 2021. Volg deze link voor mijn eerdere FD columns.

De AVG is complex en blijft in veel situaties een dode letter. Een debat over de toekomstige invulling van deze privacywet is hard nodig, schrijft advocaat en onderzoeker Axel Arnbak.

Illustratie: Max Kisman voor Het Financieele Dagblad

Wat hebben geavanceerde tumordiagnostiek, het smoelenboekje op school, coronabeleid op de werkvloer, en het wekelijkse krantje van de sportclub om de hoek met elkaar gemeen? Juist: privacy. Zodra er persoonsgegevens in het spel zijn, komt de strenge en ingewikkelde AVG (Algemene Verordening Gegevensbescherming) om de hoek kijken. Deze privacywet trad in mei 2018 in werking.

Hoe kan het gebeuren dat radiologen ondanks spectaculaire resultaten kunstmatige intelligentie nauwelijks durven in te zetten bij het diagnosticeren van tumoren? Dat ouders geen smoelenboekje meer krijgen van de klas van hun kind? Dat werkgevers grote moeite hebben popelende collega’s toe te laten op de werkvloer? En dat de naam van een overigens trotse doelpuntenmaker niet meer wordt gepubliceerd in het weekkrantje van de voetbalclub? Juist, de AVG.

Weliswaar staat de AVG ook veel datapraktijken toe, maar voor professionals en gewone mensen zonder toegang tot hoogwaardige datajuristen is de AVG zo’n groot obstakel, dat zij de AVG aan hun laars lappen of de handdoek in de ring gooien. Zo dreigt de AVG een dode letter te worden voor grote groepen organisaties en burgers.

Deze ontwikkeling baart privacywetenschappers al jarenlang zorgen. Dat is niet omdat wij tegen privacy zijn, of tegen de over het algemeen verrassend goed functionerende AVG bij het reguleren van de grote datakwesties van deze tijd. Het is omdat juist alledaagse of multidisciplinaire kwesties door de AVG in het gedrang komen.

Buitensporig
In een advies van vorige week sloeg de hoogste adviseur van het Europees Hof van Justitie van de EU, de advocaat-generaal Michal Bobek, de spijker op zijn kop: ‘Het draagt niet bij aan het gezag of de legitimiteit van wetgeving, inclusief de AVG, wanneer die wordt genegeerd wegens het buitensporige karakter ervan.’ De oplossing voor deze buitensporigheid is tweezijdig: beperk de werkingssfeer van de AVG en maak niet van ieder dataprobleem meteen een AVG-kwestie. Deze ingrepen zijn hard nodig voor de draagkracht van privacy in onze datasamenleving, en om de zombievorming van de AVG tegen te gaan.

De Tilburgse hoogleraar Bert-Jaap Koops schreef al in 2014 een nog steeds actuele en geestige kritiek op de voorstellen van de Europese Unie voor een nieuwe privacywet, die twee jaar later zouden uitmonden in de AVG. In zijn essay ‘The trouble with European data protection law’, vergelijkt Koops de AVG met de zombie uit de film The Trouble with Harry (1955) van Alfred Hitchcock. Het ‘probleem met Harry’ was dat de hoofdpersonen maar niet van het levenloze lichaam van zombie Harry afkwamen. Met een knipoog naar de film, waarschuwde Koops dat langzamerhand alle gegevens op zichzelf of in combinatie met andere data binnen de ruime definitie van ‘persoonsgegeven’ vallen.

Remmende werking
Zo kan de AVG regulerende luiheid in de hand werken, omdat politici en bestuurders, bewust of onbewust, complexe en multidisciplinaire kwesties als tumoronderzoek, toegang tot financiële producten of coronapreventie vooral zien door de lens van de AVG als een issue van transparantie en toestemming. In plaats van te beseffen dat de volksgezondheid of eerlijke kansen bij een hypotheek soms vergen dat een arts of bank geavanceerde data-analyse van gevoelige data moeten toepassen. En dat daarvoor sectorspecifieke wetgeving nodig is.

‘Het demissionair kabinet verbreekt weer de belofte om de Autoriteit Persoonsgegevens meer budget te geven’

Daarnaast is de strenge privacywet AVG ook in weinig zorgwekkende relaties volledig van kracht. Alleen in het eigen huishouden achter de voordeur is de AVG niet van toepassing. Maar de AVG biedt geen uitzondering, of lichter regime, voor een lokale sportclub of buurtinitiatief.

Een paar weken geleden publiceerde advocaat-generaal Bobek, die al talloze invloedrijke data-adviezen schreef over de datasamenleving die het EU-Hof vervolgens overnam in haar uitspraken, een warm aanbevolen en diepzinnige opinie over ‘het probleem’ van de AVG. ‘Mensen zijn sociale wezens (..). Moet nagenoeg elke uitwisseling van informatie onder de AVG vallen?’, zo schreef hij.

Bobek laat zien dat de AVG ook integraal van toepassing is op een cafégesprek, waarbij disgenoten elkaar een berichtje laten zien van een buurman en daarop een ‘weinig vleiende opmerking’ volgt. AVG overtreding, want zij hadden eerst toestemming moeten vragen aan die buurman vóór het tonen van dat appje. Bobek bespreekt een aantal van dit soort voorbeelden en noemt de vergaande reikwijdte van de AVG ‘bizar’, juist vanwege haar alomvattendheid. Hij voorspelt dat de AVG ‘feitelijk een van de meest veronachtzaamde’ wetten van de EU wordt.

Hij adviseert de Europese wetgever met klem om bij de aanstaande herziening van de AVG deze alomvattendheid te begrenzen. Dit kan bijvoorbeeld door niet-geautomatiseerde gegevensverwerkingen (het cafégesprek) uit te zonderen, te focussen op ‘behoorlijk gebruik’ in plaats van het begrip persoonsgegeven, en het aanbrengen van andere ‘minimumdrempels’, zoals daadwerkelijk nadeel (zoals schade). Bobek acht dit broodnodig, opdat de Europese privacyregels zich kunnen ‘heroriënteren op de activiteiten waarvoor zij eigenlijk waren bedoeld’.

Precies in die laatste opmerking wringt in de dagelijkse praktijk vaak de schoen. Enerzijds gooien tumoronderzoekers,  leerkrachten, werkgevers en voetbalclubs hun innovaties, leuke plannen of privacy vanwege de AVG in de prullenbak. Anderzijds komt de aanpak van de grote datakwesties maar mondjesmaat op gang.

Meer geld
Tot ieders ongenoegen brak het demissionair kabinet met Prinsjesdag, voor de zoveelste keer en tegen de wens van de Tweede Kamer, zijn belofte om het budget van de Autoriteit Persoonsgegevens significant uit te breiden. Er komt geen stuiver bij terwijl een verviervoudiging van het budget noodzakelijk is. Dat is dodelijk voor de draagkracht van de AVG. Het is de hoogste tijd voor debat over de heroriëntatie van de AVG op de reële problemen en excessen van de datawereld, voordat de privacywet als een zombie door de datasamenleving rondwaart.

93e FD Column: De megaboete voor WhatsApp – Transparantie klinkt goed, maar verbetert privacy amper

Deze column staat in Het Financieele Dagblad van 14 september 2021. Volg deze link voor mijn eerdere FD columns.

Het privacyrecht vereist dat een website je informeert over wat er met je data gebeurt. Dit leidt tot een steeds grotere overkill aan privacyvoorwaarden. Politici moeten beseffen dat de transparantieverplichtingen uit de AVG geen wondermiddel zijn. Ze moeten veel nadrukkelijker meebeslissen hoe privacy te borgen in onze datasamenleving, schrijft Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Bent u van plan het privacybeleid te lezen van elke website die u bezoekt? Wetenschappers becijferden al in 2010 dat u daarvoor minimaal 76 werkdagen per jaar nodig hebt. En als het aan de gezamenlijke Europese datatoezichthouders ligt, hebt u voortaan nóg meer tijd nodig om te lezen wat welke organisatie op het wereldwijde web met uw data doet, en waarom.

Op 2 september publiceerde de Ierse datawaakhond onder mondiale media-aandacht zijn besluit om een forse boete, van €225 mln, op te leggen aan berichtendienst WhatsApp. Het privacybeleid van WhatsApp zou niet voldoen aan de strenge transparantievereisten uit de roemruchte Europese datawet AVG. Het besluit heeft niet alleen voor WhatsApp, maar voor iedereen verregaande gevolgen: het tijdperk van honderden pagina’s tellende privacyvoorwaarden is aanstaande. Continue reading 93e FD Column: De megaboete voor WhatsApp – Transparantie klinkt goed, maar verbetert privacy amper

92e FD Column: Pak cybercriminelen bij de zwakste schakel – de bitcoin

Deze column staat in Het Financieele Dagblad van 30 juli 2021. Volg deze link voor mijn eerdere FD columns.

Cybercriminelen hebben hun slachtoffers steeds meer in hun macht. Om getroffen organisaties en de bredere samenleving te beschermen, dient de internationale aanpak van ransomware zich te richten op het meest kwetsbare deel van de cybercrimeketen: de bitcoin, schrijft advocaat Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Informatie is macht, al helemaal in de wondere wereld van ransomware (gijzelsoftware). Cybercriminelen hebben hun slachtoffers steeds meer in hun macht, vooral omdat de technische en juridische problemen voor slachtoffers toenemen. Toch wordt ook de achilleshiel van cybercriminelen zichtbaarder: niet de pakkans, maar het verdienmodel achter ransomware. Om getroffen organisaties en de bredere samenleving te beschermen en de explosieve toename van cybercriminaliteit aan banden te leggen, dient de internationale aanpak van ransomware zich te richten op de zwakste schakel in de cybercrimeketen: de bitcoin.

Organisaties met stilgevallen dienstverlening en verlamde productielijnen sieren al weken de voorpagina’s van de internationale pers. Natuurlijk waart gijzelsoftware al decennia rond in cyberspace. Maar aan de laatste golf is goed te zien dat meer aanvallers actief zijn en meer ervaren worden in het binnendringen van organisaties, het inschatten van waardevolle informatie voor ontfutseling en het vervolgens versleutelen van de kritische computersystemen, zodat een organisatie ook echt lam ligt. De slachtoffers lijken ook meer bereid losgeld in bitcoins te betalen om weer online te komen of publicatie van gevoelige informatie op het internet te voorkomen.

Goudmijn
Tegelijkertijd neemt het aantal potentiële doelwitten voor aanvallers alleen maar toe, naarmate de nieuwe maar vooral ook de oude economie het gehele bedrijf aan het internet hangt. Waar de vaak verouderde machines in productielijnen in energiebedrijven en de maakindustrie om efficiencyreden aan het ‘internet der dingen’ worden geknoopt, vormen zij een goudmijn voor gijzelsoftware. Zo lang er veel landen blijven die een veilige haven bieden aan cybercriminelen, neemt de pakkans ook niet significant toe.

Bovendien zijn technische en juridische complexiteit van crisismanagement voor slachtoffers toegenomen, net als de financiële belangen en de zorgen in de samenleving. Zodra een bedrijf of individu slachtoffer wordt lopen tientallen technische, organisatorische en juridische workstreams meteen door elkaar heen.

Voor een bedrijf of individuele bestuurder is het weren van cybercriminelen governance op topsportniveau

Gek genoeg bel je als eerste je advocaat. Je moet namelijk direct een IT-consultant van wereldklasse aan het werk zetten met het onderzoek naar de oorzaak en de herstelwerkzaamheden, en die werkzaamheden moeten vanaf het eerste uur binnen de vertrouwelijkheid vallen die een advocaat wettelijk kan garanderen. Dit in het geval je weken of zelfs jaren erna nog in gesprek bent met verzekeraars, klanten, leveranciers, toezichthouders of zelfs claimstichtingen die juist alle belang hebben bij toegang tot de technische bevindingen en bestuurlijke respons van het allereerste uur.

Een advocaat moet ook meteen meedenken over de vele wettelijke notificatieplichten en crisiscommunicatie met andere stakeholders: wanneer en hoe stel je de financiële markten, aandeelhouders, verzekeraars, accountants, toezichthouders, opsporingsdiensten, consumenten, leveranciers en werknemers op de hoogte van de black-out? En de advocaat denkt ook mee over de terugkerende dilemma’s als civiele aansprakelijkheid en strafrechtelijke dimensies aan onderhandelen met cybercriminelen en het betalen van losgeld.

Voor het bedrijf of individuele bestuurder geldt dat zij voor de organisatie de besluitvorming rondom het crisismanagement moeten documenteren, om later te kunnen laten zien dat zij altijd de juiste technische en juridische beslissingen hebben genomen. Governance op topsportniveau.

Waar de verdediging steeds meer technische en juridische gaten moet afdekken, hebben aanvallers aan een gaatje genoeg. Het kat-en-muisspel wordt steeds oneerlijker. Voor organisaties zit er maar een ding op: voorbereidingen treffen zo lang het nog kan en dilemma’s nu al beslechten in de boardroom. Niet om iedere aanval af te slaan, maar vooral om ten opzichte van andere doelwitten minder aantrekkelijk te zijn. Reken erop dat cybercriminelen al binnen zijn, en op basis van grondig onderzoek binnen het bedrijfsnetwerk afwegen bij welke organisatie zij doorpakken. Cybercriminelen maken net als koele bestuurders een nuchtere kosten-batenanalyse: organisaties met back-ups, een fallback-scenario en een up-to-date IT-omgeving vormen een minder interessant doelwit om programmeertijd in te investeren.

Schakel onder- en bovenwereld
Precies in die koelbloedige economische afwegingen schuilt ook de achilleshiel van cybercriminelen en de crux voor beleidsmakers. Cybercrime-experts Bruce Schneier (Harvard University) en Nicholas Weaver (Berkeley University) pleiten, ondanks hun achtergrond in computerwetenschappen, ervoor het businessmodel van ransomware te frustreren. Want pas als cybercriminelen een sloot bitcoins verwerven, wordt het lastig. Net als conventionele criminelen zien zij zich geconfronteerd met witwasproblematiek. Grote bitcointransacties, en vooral de omzetting in andere cryptomunten of dollars, zijn ondanks de belofte van anonimiteit van cryptogeld juist goed traceerbaar omdat iedere transactie wordt geregistreerd op de blockchain. Wisselkantoren in cryptocurrencies moeten als schakel tussen cybercriminele onder- en bovenwereld wereldwijd worden onderworpen aan witwasregelgeving en verscherpte controles door belastingdiensten en financiële opsporingsdiensten.

Zeegodin Thetis moest haar zoon toch ergens aan vasthouden, toen zij Achilles in de kolkende vlammenrivier van de onderwereld Styx dompelde om hem onsterfelijk te maken. Achilles groeide uit tot een schijnbaar onoverwinnelijke tegenstander, totdat de slimme Paris met een welgemikte pijl in zijn hiel de teloorgang van Troje kon voorkomen. Het kat-en-muisspel tussen aanval en verdediging valt steeds vaker uit in het voordeel van de aanvaller. Het is tijd om cybercriminelen in hun achilleshiel te raken.

Selected as one of Global Data Review’s “40 under 40”

GDR: Brazil to make credit score registration automatic - VMCA

In its infinite wisdom, the Global Data Review recently selected me for their “40 under 40” publication. With 40 under 40, GDR profiles
“individuals under the age of 40, hailing from around the world, who represent the best of the upcoming generation of data lawyers”, according to the award report.

As with all of these sort of publications and awards in the legal profession, your firm tries hard to get you on the list. So the selection is not entirely coincidental, and candidates that enjoy the support of their respective employers obviously have an edge (thanks, De Brauw). Still, it’s nice to browse the list of laureates and read their interviews, especially if you’re looking for a particular skill or help in a jurisdiction you’re not directly familiar with. My interview is copied below. Continue reading Selected as one of Global Data Review’s “40 under 40”

91e FD Column: Datatoezicht op multinational volwassener en internationaler na uitspraak EU-Hof

Deze column staat in Het Financieele Dagblad van 5 juli 2021. Volg deze link voor mijn eerdere FD columns.

Drie jaar na de invoering van de Europese privacywet AVG is het toezicht op de datawereld nog niet goed geregeld. Maar een recente uitspraak van het EU-Hof is een goede stap richting één krachtig loket per internationale klacht, schrijft Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Tot grote tevredenheid van de Europese Commissie en de Tweede Kamer heeft de strenge en complexe privacywet AVG in drie jaar tijd een indrukwekkend impuls gegeven aan onze privacy. Desondanks, en weinig verrassend, constateren Commissie en Kamerleden ook dat het toezicht op die datawereld zich nog steeds als een houten piratenpoot achter de razendsnelle ontwikkelingen aansleept.

Dat is niet alleen omdat het budget van alle datatoezichthouders ver onder de maat is. In de praktijk werkt ook het één-loketmechanisme niet naar behoren. Dat mechanisme schrijft voor dat de nationale toezichthouder in de EU-lidstaat waar een multinational zijn hoofdvestiging heeft, de leiding neemt in pan-Europese handhavingsonderzoeken. Waakhonden in de andere EU-lidstaten mogen meedenken, maar niet meebeslissen.

De grote belofte dat datatoezicht op multinationals zo internationaler, toegankelijker en afschrikwekkender zou worden is nauwelijks ingelost. Op 15 juni legde het Hof van Justitie van de Europese Unie in Luxemburg de vinger op de zere plek, in een langverwachte uitspraak in een dispuut tussen Facebook en de Belgische datatoezichthouder. De leidende toezichthouder, de Ierse in dit geval, heeft de macht, de Belgen mogen alleen in uitzonderlijke gevallen buiten de Ieren om zelf tot actie overgaan.

Grote verantwoordelijkheid
Maar de AVG verplicht de leidende toezichthouder ook tot ‘oprechte en effectieve’ samenwerking met andere bezorgde datawaakhonden. Er is geen plek voor passiviteit, ook niet als een datatoezichthouder te druk is of geen belangstelling heeft in een zaak die voornamelijk burgers uit andere landen treft. De leidende toezichthouder draagt dus een grote verantwoordelijkheid voor het welslagen van de internationale handhaving van de Europese privacyregels.

Tussen de regels door is hier een les te lezen voor multinationals; zij moeten hun leidende toezichthouder al in een vroeg stadium helpen hun standpunt te verdedigen in pan-Europese kwesties. Anders riskeren zij alsnog te worden geconfronteerd met 26 andere afzonderlijke toezichthouders, en hun nationale wetgeving, talen en politieke voorkeuren. Continue reading 91e FD Column: Datatoezicht op multinational volwassener en internationaler na uitspraak EU-Hof

90e FD Column: Senaat buitenspel bij afremmen datahonger overheid

Deze column staat in Het Financieele Dagblad van 7 juni 2021. Volg deze link voor mijn eerdere FD columns.

Terwijl Europese rechters de surveillancemacht van de overheid in nieuwe afspraken aan banden leggen, blijft ons kabinet wetgeving op dit vlak traineren, schrijft Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Door drie jaar lang vakkundig vertragen is het huidige kabinet erin geslaagd een springlevend en noodzakelijk debat over de grenzen aan de surveillancemacht van de staat tot stilstand te brengen. Dinsdag vergadert de Eerste Kamer dan toch over de halfbakken kunstgreep van het kabinet kort na het historische ‘nee’ bij het referendum van maart 2018.

Door de beperkte reikwijdte van deze reparatiewet bij de Wet op de Inlichtingen en Veiligheidsdiensten 2017, ook wel bekend als de ‘sleepwet’, mag de Eerste Kamer, in ons staatsbestel de hoeder van de grondrechten, zich niet buigen over de grote vragen rondom de verenigbaarheid van moderne spionagebevoegdheden met onze grondrechten. Ondertussen luiden de onafhankelijke toezichthouders op die wet de alarmbel omdat het kabinet werkt aan inperking van hun taken en bevoegdheden. Continue reading 90e FD Column: Senaat buitenspel bij afremmen datahonger overheid

89e FD Column: Afnemer van AI is straks aan de goden overgeleverd

Deze column staat in Het Financieele Dagblad van 12 mei 2021. Volg deze link voor mijn eerdere FD columns.

Bij kunstmatige intelligentie (AI) is de afnemer te afhankelijk van de ontwikkelaar. Die ongelijkheid zal de komende jaren alleen maar toenemen, schrijft informatierecht-expert Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Al decennia geldt in de digitale wereld: afhankelijkheid is onmacht. Een paar weken terug bekende het CIO Platform namens 130 serieuze bedrijven in het FD dat zij nog steeds niet bij machte zijn te voldoen aan de strenge privacywet AVG, die op 25 mei drie jaar van kracht is. Reden: afhankelijkheid van Amerikaanse cloudleveranciers waarvan sommige de regels niet respecteren, maar wel eisen dat hun klanten complexe contracten ondertekenen bij het kruisje, zonder ruimte voor onderhandelen.

Bij grootschalige cybersecurity-incidenten hangen organisaties, net als u en ik thuis bij een falende internetverbinding tijdens het corona-thuiswerken, vaak aan de broekspijp van hun IT-provider: deels wanhopig om de oorzaak, deels vurig hopend op een oplossing. Teleurgesteld, maar afhankelijk, kunnen de afnemers van IT-diensten nauwelijks voldoen aan hun juridische plichten, laat staan opkomen voor hun rechten tegen almachtige IT-leveranciers.

Op 21 april lanceerde de Europese Commissie haar langverwachte wetgevingsvoorstellen voor kunstmatige intelligentie (AI). Zelflerende software zonder directe menselijke controle heeft al een reusachtige impact op ons leven en is overal: in de financiële sector, in het ziekenhuis, in uw zelfrijdende auto, in uw spamfilter en in uw broekzak op uw smartphone. Nog meer dan in conventionele IT, kunnen de meeste bedrijven en instellingen die ‘iets’ met AI willen de kneepjes van het vak niet zelf aanleren, wegens gebrek aan middelen en talent.

Toverkracht
In hun zoektocht naar de toverkracht van AI, verwordt AI dus een dienst die je afneemt, net zoals cloud computing en IT-beveiliging. De fundamentele afhankelijkheid die de digitale wereld nu al kenmerkt, zal in het AI-tijdperk explosief toenemen. Het wordt nagelbijten of de Europese Unie erin slaagt de afnemers van AI adequaat te beschermen tegen de aanbieders. Continue reading 89e FD Column: Afnemer van AI is straks aan de goden overgeleverd

88e FD Column: Nieuwe datawet stelt tegenmacht zwaar op de proef

Deze column staat in Het Financieele Dagblad van 8 april 2021. Volg deze link voor mijn eerdere FD columns.

De Wet gegevensverwerking door samenwerkingsverbanden (WGS) breekt de waarborgen af die de burger beschermen tegen de ongeremde datahonger van de overheid, schrijft Axel Arnbak, advocaat bij De Brauw Blackstone Westbroek.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Pas na ‘Verkennersgate’ heeft Den Haag ineens de mond vol van tegenmacht en herstel van vertrouwen in de politiek. Zelfs de toeslagenaffaire zette de broodnodige herijking van de verhouding tussen overheid en burger nauwelijks in gang. Op dezelfde dag dat een commissie van Kamerleden na maanden van maatschappelijke onrust hun vernietigende rapport daarover publiceerde, 17 december 2020, namen hun collega’s een paar meter verderop een op het oog saaie wet aan, waarover een onderzoekscommissie in 2025 vast zal concluderen dat zij de volgende toeslagenaffaire faciliteerde.

De Wet gegevensverwerking door samenwerkingsverbanden (WGS) schept een algemeen wettelijk kader voor gegevensdeling en -analyse tussen overheidsinstanties onderling én met private partijen als banken, verzekeraars en telecomaanbieders. De WGS doorbreekt daarbij decennialang opgebouwde rechtsstatelijke waarborgen die de burger beschermen tegen de ongeremde datahonger van de instanties en willekeurige machtsuitoefening waarin de menselijke maat zoek is.

De WGS ligt nu bij de Eerste Kamer, in ons staatsbestel de hoeder van de grondrechten. Als de toeslagenaffaire, rechtsstatelijke zelfreflectie en herstel van vertrouwen de regering en de senaat echt ernst is, zou zij om te beginnen de WGS moeten intrekken, die symbool staat voor de ondermijning van de rechtstaat en een diep wantrouwen van de overheid in haar burgers. Continue reading 88e FD Column: Nieuwe datawet stelt tegenmacht zwaar op de proef

87e FD Column: Grapperhaus legt een bom onder veilig internet

Deze column staat in Het Financieele Dagblad van 11 maart 2021. Volg deze link voor mijn eerdere FD columns.

Illustratie: Hein de Kort voor Het Financieele Dagblad

  • Wetsvoorstel om diensten als Whatsapp te kunnen aftappen is gevaarlijk.
  • Versleuteling beschermt het sociale en economische digitale leven.
  • Verzwakking encryptie zou burgers en bedrijven enorme schade toebrengen.

Maken wij ons internet veilig voor iedereen, of kwetsbaar voor iedere kwaadwillende? De oplossing voor een veilige online wereld ligt in een zo breed mogelijke inzet van robuuste versleuteling van alle internetcommunicatie. Toch probeert vrijwel elke minister van Justitie sinds de jaren ‘90 versleuteling te verzwakken door de inzet ervan te beperken of ‘achterdeurtjes’ te verplichten. Maar het ondermijnen van versleuteling is en blijft technisch onmogelijk, economisch rampzalig, juridisch onhaalbaar en zowel maatschappelijk als geopolitiek onwenselijk.

Vorige week berichtte de NOS over een nieuwe variatie op dit bekende thema. Kennelijk werken ambtenaren van demissionair minister Ferd Grapperhaus van Justitie en Veiligheid nog steeds aan plannen om toegang te krijgen tot chat- en berichtendiensten. Dit ondanks de demissionaire status van het kabinet, een vooruitstrevend kabinetsstandpunt uit 2016 en breed gesteunde Kamermoties die versleuteling toejuichen.

De maat is nu vol voor een omvangrijke coalitie van maatschappelijke organisaties, bedrijven en wetenschappers, die naar buiten treedt met een simpele oproep: ‘Stimuleer de ontwikkeling, beschikbaarheid en toepassing van alle vormen van versleuteling’. Laat deze oproep van een ongekend diverse groep de genadeklap zijn voor de gevaarlijke pogingen om de veiligheid van onze digitale wereld te ondermijnen. Continue reading 87e FD Column: Grapperhaus legt een bom onder veilig internet