|
Medewerkers |
|
 |
|
mr. A.M.
Arnbak |
|
(Axel) |
|
Onderzoeker |
|
|
Instituut voor
Informatierecht (IViR)
Bezoekadres
Korte Spinhuissteeg 3
1012 CG Amsterdam
Postadres
Kloveniersburgwal 48
1012 CX Amsterdam
|
|
kamer: B1.17 |
|
tel: 020 - 525
39 21 |
|
fax: 020 - 525
30 33 |
PGP Key
31FBA62B
Twitter:
@axelarnbak
|
| |
|
|
|
|
|
Curriculum Vitae
|
Axel Arnbak is promovendus
aan het Instituut voor Informatierecht, waar hij onderzoek
doet naar de
regulering van cybersecurity.
In september 2009 behaalde Axel de master Informatierecht.
Voor zijn scriptie over de totstandkoming van de Europese
dataretentierichtlijn en de Nederlandse Wet bewaarplicht
telecommunicatiegegevens ontving hij de Internet
Scriptieprijs 2009 en de UvA Scriptieprijs 2010. De scriptie
analyseert hoe deze bewaarplicht de beschikbaarheid van en
toegang tot persoonlijke informatie van telecomgebruikers
verandert en welke gevolgen dit heeft voor de privacy van
telecomgebruikers.Na
zijn afstuderen ging Axel werken bij de net heropgerichte
digitale burgerrechtenbeweging
Bits of Freedom.
Tot medio augustus 2011 was hij verantwoordelijk voor de
privacy-gerelateerde dossiers op Nederlands en Europees
niveau.
Axel behaalde zijn bachelor Rechtsgeleerdheid aan de
Universiteit Leiden (2007), liep stage bij Brinkhof
Advocaten (2008), studeerde Competitive Strategy and Game
Theory aan de London School of Economics (2009) en was
voorzitter van de VeerStichting (2005-2006). Naast zijn
aanstelling als promovendus is Axel bestuurslid van de
Stichting Admiraal van Kinsbergenfonds (onbezoldigd).
|
Publicaties
|
(met J.V.J. van Hoboken,
N.A.N.M. van Eijk en met
medewerking van N.P.H. Kruijsen)
Cloud Computing in Higher Education and Research
Institutions and the USA Patriot Act, Engelse versie van
rapport in opdracht van SURF, november 2012.
Institutions have started to move
their data and ICT operations into the cloud. It is
becoming clear that this is leading to a decrease of
overview and control over government access to data
for law enforcement and national security purposes.
This report looks at the possibilities for the U.S.
government to obtain access to information in the
cloud from Dutch institutions on the basis of U.S.
law and on the basis of Dutch law and international
co-operation. It concludes that the U.S. legal state
of affairs implies that the transition towards the
cloud has important negative consequences for the
possibility to manage information confidentiality,
information security and the privacy of European end
users in relation to foreign governments.
The Patriot Act from 2001 has started to play a
symbolic role in the public debate. It is one
important element in a larger, complex and dynamic
legal framework for access to data for law
enforcement and national security purposes. In
particular, the FISA Amendments Act provision for
access to data of non-U.S. persons outside the U.S.
enacted in 2008 deserves attention. The report
describes this and other legal powers for the U.S.
government to obtain data of non-U.S. persons
located outside of the U.S. from cloud providers
that fall under its jurisdiction. Such jurisdiction
applies widely, namely to cloud services that
conduct systematic business in the United States and
is not dependent on the location where the data are
stored, as is often assumed. For non-U.S. persons
located outside of the U.S., constitutional
protection is not applicable and the statutory
safeguards are minimal.
In the Netherlands and across the EU, government
agencies have legal powers to obtain access to cloud
data as well. These provisions can also be be used
to assist the U.S. government, when it does not have
jurisdiction for instance, but they must stay within
the constitutional safeguards set by national
constitutions, the European Convention on Human
Rights and the EU Charter.
This is the English translation of a
report that was released in September 2012 in The
Netherlands. It was covered extensively in Dutch
newspapers, on Radio1 and the 8 PM news bulletin of
public broadcaster NOS. Politicians across the spectrum
reacted on the report, both directly in the media and
through Parliamentary questions. Meanwhile, the State
Secretary of Security and Justice has responded to the
Parliamentary questions on 15 October 2012. References
can be found on the Institute for Information Law
website. The report is also available on
SSRN.
See
also:
29.11.2012
|
(met J.V.J. van Hoboken,
N.A.N.M. van Eijk en met
medewerking van N.P.H. Kruijsen)
Cloud diensten in hoger onderwijs en onderzoek en de USA
Patriot Act, rapport in opdracht van SURF, september
2012.
Instellingen en gebruikers gaan massaal over op de cloud, en
daardoor vermindert de controle en het overzicht over de
toegang tot onze gegevens door overheden. Dit heeft
belangrijke consequenties voor de privacy en andere
fundamentele belangen bij de vertrouwelijkheid van
informatie. Er is de laatste tijd veel geroepen over de
Patriot Act, maar niemand heeft goed zicht op de Amerikaanse
wetgeving die de VS de mogelijkheid van toegang geeft tot
gegevens in de cloud. Dit rapport van het IViR in opdracht
van SURFdirect geeft antwoord op deze belangrijke vragen.
De Amerikaanse Grondwet en de specifieke wetten beschermen
buitenlanders in mindere mate dan Amerikanen. Cloudgegevens
van niet-Amerikanen in het buitenland kunnen daarom sneller
en makkelijker worden opgevraagd dan van Amerikanen, en dat
zonder juridische waarborgen als transparantie over het
aantal opvragingen en rechtsbescherming van het individu.
Daarnaast wordt het maatschappelijke debat gedomineerd door
hardnekkige misvattingen en een te grote focus op de Patriot
Act. Er is sprake van een veel groter geheel aan wetgeving.
Voor opvraging door Amerikaanse autoriteiten maakt het niet
uit op welke plek in de wereld cloudgegevens zijn
opgeslagen. Het hoeft ook geen Amerikaanse cloudprovider te
zijn. Als een Nederlandse cloudaanbieder structureel zaken
doet in de VS, dan geeft VS wet- en regelgeving in beginsel
al de mogelijkheid voor VS autoriteiten om gegevens op te
vragen vanuit Nederland. Voor afnemers van clouddiensten
zullen zulke relaties in de praktijk moeilijk te achterhalen
zijn en door overnames in de sector kan de situatie opeens
veranderen.
Zie ook:
-
Persbericht van SURF;
-
Toezicht op gegevens in een cloud is hard nodig,
NOS Journaal, zaterdag 13 oktober 2012;
-
Cyberaanvallen nieuwe vorm van politieke acties,
Joris van Hoboken op Radio 1, zaterdag 13
oktober 2012;
-
Reactie van Jeanine Hennis-Plasschaert,
Radio 1, zaterdag 13 oktober 2012;
-
Kamervragen SP;
-
Antwoord Staatssecretaris Teeven op vragen SP;
-
Onrust patiëntendossier neemt toe,
website NOS, 30 november 2012;
-
VS kan toegang tot EPD krijgen, video
NOS journaal, 30 november 2012;
-
'De vraag is of VS medisch geheim Nederland
zal respecteren', NOS journaal, 30
november 2012.
12.09.2012
|
|
(met N.A.N.M. van Eijk)
Certificate Authority Collapse: Regulating Systemic
Vulnerabilities in the HTTPS Value Chain, Telecommunications Policy Research Conference, augustus
2012. Paper ook
beschikbaar via
SSRN.
Recent breaches and
malpractices at several Certificate Authorities (CA’s)
have led to a global collapse of trust in these central
mediators of Hypertext Transfer Protocol Secure (HTTPS)
communications. Given our dependence on secure web
browsing, the security of HTTPS has become a top
priority in telecommunications policy. In June 2012, the
European Commission proposed a new Regulation on
eSignatures. As the HTTPS ecosystem is by and large
unregulated across the world, the proposal presents a
paradigm shift in the governance of HTTPS. This paper
examines if, and if so, how the European regulatory
framework should legitimately address the systemic
vulnerabilities of the HTTPS ecosystem. To this end, the
HTTPS authentication model is conceptualised using
actor-based value chain analysis and the systemic
vulnerabilities of the HTTPs ecosystem are described
through the lens of several landmark breaches. The paper
explores the rationales for regulatory intervention,
discusses the proposed EU eSignatures Regulation and
ultimately develops a conceptual framework for HTTPS
governance. It apprises the incentive structure of the
entire HTTPS authentication value chain, untangles the
concept of information security and connects its
balancing of public and private interests to underlying
values, in particular constitutional rights such as
privacy, communications secrecy and freedom of
expression. On the short term, specific regulatory
measures to be considered throughout the value chain
includes proportional liability provisions, meaningful
security breach notifications and internal security
requirements, but both legitimacy and effectiveness will
depend on the exact wording of the regulatory
provisions. The EU eSignatures proposal falls short on
many of these aspects. In the long term, a robust
technical and policy overhaul is needed to address the
systemic weaknesses of HTTPS, as each CA is a single
point of failure for the security of the entire
ecosystem.
Zie ook:
07.09.2012
|
|
Annotatie bij Rb. 's-Gravenhage 11 januari 2012 (Brein /
Ziggo & XS4ALL), AMI, 2012-3, p. 119-131.
15.06.2012
|
What the European Commission owes 500 million Europeans,
toespraak uitgesproken op 3 december 2010 tijdens de
conferentie "Taking on the Data Retention Directive",
georganiseerd door de Europese Commissie.
Een gedeelte van deze toespraak is ook
gepubliceerd in Privacy & Informatie, nr. 6, 2010, p. 305.
13.12.2011
|
|
Alles onder controle? Een kritische blik op de door de
dataretentierichtlijn in het leven geroepen
driehoeksverhouding tussen de Wet Bewaarplicht
Telecommunicatiegegevens, de strafvorderlijke
toegangsbevoegdheden van opsporingsdiensten en het recht op
privacy van de Nederlandse burger, Masterscriptie
Informatierecht, juli 2009.
13.12.2011
|
|
Bijgewerkt
17.01.2013
|
|
|
|
