Regels van EU-antitrustwet Digital Markets Act zijn actief

De wereldwijd grootste online platforms moeten vanaf dinsdag voldoen aan de eerste concurrentieregels van de Digital Markets Act. De platforms krijgen nu twee maanden de tijd om aan de EU te melden dat ze onder de DMA-regels vallen.

Nu de eerste regels van de Digital Markets Act in werking zijn getreden, moeten online platforms met een 'poortwachtersfunctie' aan de EU aangeven dat ze onder de DMA-regels vallen. Het gaat om bedrijven met bijvoorbeeld een jaaromzet van minimaal 7,5 miljard euro en met meer dan 45 miljoen maandelijks actieve Europese gebruikers, die daarnaast 'belangrijke poorten' voor klanten beheren. Appstores, zoekmachines, sociale netwerken en clouddiensten kunnen bijvoorbeeld onder de DMA-regels vallen.

Platforms moeten zich voor 3 juli bij de Europese Commissie melden, waarna deze uiterlijk 6 september aangeeft welke bedrijven 'poortwachters' zijn. Die poortwachters hebben dan weer zes maanden de tijd om hun producten en diensten aan te passen. Uiterlijk maart 2024 zijn alle regels van de DMA dus van kracht.

Tweakers schreef eerder een achtergrondartikel over de DMA en zusterwet de DSA. Onder de DMA moeten poortwachters interoperabiliteit mogelijk maken, zodat derde partijen kunnen werken met de diensten van het grote online platform. Die externe bedrijven moeten hun eigen aanbiedingen en contracten aan klanten kunnen aanbieden op het online platform. Poortwachters mogen ook niet hun eigen producten en diensten gunstiger aanbieden dan de concurrenten en ze mogen niet meer voorkomen dat gebruikers vooraf geïnstalleerde software verwijderen.

Met de DMA kunnen bedrijven boetes tot tien procent van de wereldwijde omzet krijgen. In het ergste geval kan de Europese Commissie bedrijven dwingen bedrijfsonderdelen af te stoten. De Commissie wil daarnaast met marktonderzoeken in de gaten houden of haar lijst van poortwachters actueel is.

DMA tijdlijn

Door Hayte Hugo

Redacteur

02-05-2023 • 09:02

58

Lees meer

Reacties (58)

58
56
46
3
0
9
Wijzig sortering
Dit is goed nieuws voor gebruikers van chat-apps, aangezien dit betekent dat zij compatibiliteit moeten inbouwen (met behoud van end-to-end encryptie) zodat chat-apps met elkaar kunnen communiceren: https://commission.europa...4b4a-bde6-3fa02f1398df_en
Obligation for gatekeepers on interoperability of number-independent interpersonal communications services
Where a gatekeeper provides number-independent interpersonal communications services that are listed in the designation decision pursuant to Article 3(9), it shall make the basic functionalities of its number-independent interpersonal communications services interoperable with the number-independent interpersonal communications services of another provider offering or intending to offer such services in the Union, by providing the necessary technical interfaces or similar solutions that facilitate interoperability, upon request, and free of charge.
The level of security, including the end-to-end encryption, where applicable, that the gatekeeper provides to its own end users shall be preserved across the interoperable services.
The gatekeeper shall publish a reference offer laying down the technical details and general terms and conditions of interoperability with its number-independent interpersonal communications services, including the necessary details on the level of security and end-to-end encryption.
The Commission may, exceptionally, upon a reasoned request by the gatekeeper, extend the time limits for compliance under paragraph 2 or 5 where the gatekeeper demonstrates that this is necessary to ensure effective interoperability and to maintain the necessary level of security, including end-to-end encryption, where applicable.
Europarlementariër Paul Tang zegt het volgende:
https://www.security.nl/p...rabel+zijn+gaat+morgen+in
"We hebben voor elkaar gekregen dat chatapps voortaan interoperabel moeten zijn, zodat je vanaf Signal naar WhatsApp berichtjes kan sturen en vice-versa. Daarnaast pakken we de datamacht aan door te eisen dat poortwachters data niet meer mogen combineren", zo liet Europarlementariër Paul Tang eerder al weten.

[Reactie gewijzigd door Anonymoussaurus op 26 juli 2024 16:35]

Alleen het nadeel is dat end-to-end encryptie NIET in de wet genoemd is.

edit;
Staat er wel in:
3. The level of security, including the end-to-end encryption, where applicable, that the gatekeeper provides to its own end users shall be preserved across the interoperable services.
Al vraag ik me af hoe ze dat willen bereiken, gezien App A nooit de encryptie van App B kan lezen. Dit leidt uiteindelijk 100% zeker to afzwakken van de beveiliging (deze moet tussen servers van verschillende apps 'vertaald' gaan worden) waardoor er defacto geen encryptie meer is. Bv de politie zou nu een App kunnen maken "politiechat" die whatsapp en signal verplicht om alle berichten te ontsleutelen.

[Reactie gewijzigd door ShadLink op 26 juli 2024 16:35]

Interoperabiliteit zouden ze kunnen bereiken door met Matrix protocol te implementeren.
https://matrix.org/blog/2...rivacy-matrix-and-the-dma
Nee, bijvoorbeeld in het voorbeeld van Signal en WhatsApp: ze gebruiken dezelfde encryptie (Signal Protocol), dus die interoperabiliteit zou het makkelijker moeten maken.
Maar de (private) keys zullen anders zijn, dus dat het protocol hetzelfde is maakt zo ongeveer 0,000% uit. Je kan onmogelijk de data versleutelen en dan zonder de private keys uit te wisselen deze weer ontsleutelen. Dit geeft hoe dan ook een verzwakking van de e2e-encryptie. Gezien de private keys normaal gesproken niet uitgewisseld worden.
Daarom worden er ook bij een nieuw gesprek nieuwe keypairs gegenereerd en dán kan je dus wel met jouw private key het bericht van de ander ontsleutelen. Wie heeft het erover dat de private keys uitgewisseld moeten worden? Dat hoeft helemaal niet.
Het is al fout gegaan zodra iemand een gesprek kan betreden. Die persoon zou niet moeten kunnen weten dat er een gesprek is. Bv ik zit in een Signal groep, en iemand van Whatsapp wil bij mijn groep komen. Hoe kan die persoon die groep zien? Signal encrypt zowel de metadata als het gesprek. Die WA-gebruiker KAN niet eens zien dat ik op Signal zit. Daarvoor zou Signal eerst data met Meta moeten uitwisselen.
Door middel van een invite link kan dat. Dit zou moeten betekenen dat WhatsApp ook de metadata moet versleutelen (want E2EE moet blijven). Het kan ook zijn dat er gewoon helemaal geen metadata encrypted wordt tussen Signal en WhatsApp, maar enkel tussen Signal-gebruikers. Anyway, volgens mij is dat nog niet vastgelegd.
Maar hoe komt die invite link bij de andere gebruiker? En hoe kan de andere app die invitelink dan verwerken? En ook de invite link opzich is niet in deze wet vastgelegd. Maw. er is geen enkele beperking op het toegang krijgen tot een chatapp van een gatekeeper. Er zitten zoveel (gevaarlijke) haken en ogen aan dit systeem die de privacy van het individu kunnen ondermijnen.
Ik denk dat je teveel op de zaken wil vooruit lopen. Het zijn goede vragen, maar ik denk dat de toekomst zal uitwijzen hoe ze deze interoperabiliteit gaan bereiken en wat ze hiervoor gaan implementeren.
Ik heb nooit begrepen waarom dit perse goed nieuws is voor chat-app gebruikers, of waarom gebruikers van (alternatieve) chat-apps dit zo graag wilden. Er zijn nauwelijks nadelen aan het gewoon meerdere chat apps installeren op je telefoon. En als je meerdere mensen niet overkrijgt op jouw favoriete platform, dan krijg je ze gewoon niet over, jammer dan.

Nu krijgen we er een hele rare constructie voor terug. Fijn dat je nu alleen Signal op je telefoon hebt staan, maar als je nu naar je ouders appt die Whatsapp hebben, gaan je berichten alsnog via de Whatsapp dienst. Welk voordeel hebben we hier nou mee bereikt? (Ja, Whatsapp mag in deze wet niet meer data combineren met andere diensten, maar dat staat hier los van.)

Plus al die interoperabiliteit gaat er alleen maar voor zorgen dat bepaalde features niet gaat werken over verschillende chat-apps. Lijkt me alleen maar irritant en werkt innovatie alleen maar tegen.
Omdat ik mijn aantal accounts misschien wil beperken? Het scheelt ook moeite. Tevens hoeven leken niet te wennen aan een nieuw interface en een andere UX.
Misschien omdat ik wil beperken met wie mijn data gedeeld wordt? Dat Meta niet te vertrouwen is begrijp ik. Dus als ik bv Signal gebruik WEET ik dat Meta niet aan mijn data komt. Door deze wet kan dat straks opgelegd worden dat Signal mijn data moet ontsleutelen en naar Meta versturen.
Waar haal je nou de hele tijd dat 'ontsleutelen' vandaan? Je doet allerlei aannames die op onderbuikgevoelens gebaseerd zijn. Dat staat helemaal niet in de wet.
Hoe wil je anders dat Whatsapp met Signal kan communiceren? Signal versleutelt metadata en gespreksdata.

Simpel voorbeeldje:
Whatsapp versleutelt niet dat Persoon X (whatsapp) met Persoon Y (signal) communiceert (enkel de gespreksdata)
Signal versleutelt WEL dat Persoon Y (signal) met Persoon X (whatsapp) communiceert.
Dus Whatsapp, en bv de politie, kan zien dat X met Y communiceert, terwijl dit bij beide signal contacten niet het geval is. Dit verzwakt de E2E van signal.

Deze wet is geheel onbruikbaar als je veiligheid en privacy als belangrijkste ziet. Gezien beide niet door deze wet gegarandeerd wordt. Alles MOET met elkaar communiceren, ik zou dit veel liever als een OPT-IN willen zien. Idem voor ALLE andere bepalingen in deze wet (meerdere appstores, sideloading, etc)

[Reactie gewijzigd door ShadLink op 26 juli 2024 16:35]

Dit verzwakt de E2E van signal.
Nee, dit staat enkel toe dat een deel van je data onversleuteld bij een andere partij terecht komt. De encryptie van Signal wordt er in je voorbeeld niet zwakker van, je data komt alleen ook elders terecht. Gezien de insteek van Signal (privacy) zou het me niks verbazen als je straks een waarschuwing in beeld krijgt als je een gesprek met een WhatsApp gebruiker aan wil gaan.
[...]


Nee, dit staat enkel toe dat een deel van je data onversleuteld bij een andere partij terecht komt. De encryptie van Signal wordt er in je voorbeeld niet zwakker van, je data komt alleen ook elders terecht. Gezien de insteek van Signal (privacy) zou het me niks verbazen als je straks een waarschuwing in beeld krijgt als je een gesprek met een WhatsApp gebruiker aan wil gaan.
Dat is nou exact mijn punt. Dit zou kunnen, maar dit is niet vastgelegd in de wet.
Ik snap wat je bedoelt, maar dat betekent dus dat één van de twee partijen concessies moet doen. Of dat het op een gestandaardiseerde manier moet gebeuren waarbij alle partijen een overeenkomst bereiken over het protocol bijvoorbeeld. Of zoals iemand hier had gezegd: Matrix Protocol.
Als je moeder jouw bericht wil lezen wordt dat toch ontsleuteld door de Whatsapp app? Weet jij veel wat die nog voor analyse doet op dat ontsleutelde bericht, emoji gebruik, noemen van merknamen, misschien zelfs de tekst doorsturen naar Meta ondanks dat ze daar weer een boete van drie tientjes voor krijgen.
Er vanuit gaande dat je zou kunnen instellen dat je met externe systemen wel of niet wilt kunnen communiceren: dan stel je toch gewoon in dat je enkel binnen je eigen silo vindbaar en bereikbaar bent.
"dat je zou kunnen" Zie hier mijn punt. Dat zou ik heel graag in de wet willen zien, want dat maakt het een opt-in. De wet is geen opt-in.
Hoe ik het interpreteer is dat leveranciers de mogelijkheid moeten bieden dat je met gebruikers op andere platformen informatie kunt uitwisselen. Het staat ieder platform vrij gebruikers de optie te bieden om dat opt-in te doen. Mocht dit volgens de voorschriften niet mogen dat kun je zoiets eenvoudig oplossen door de eerste keer een popup te genereren om dit in te laten stellen tov dat het standaard zo ingesteld staat (en op een dusdanige wijze is verbergen onder "instellingen" zodat de gemiddelde gebruiker dit niet terug zou kunnen vinden).
Ik heb nooit begrepen waarom dit perse goed nieuws is voor chat-app gebruikers, of waarom gebruikers van (alternatieve) chat-apps dit zo graag wilden.
Vergelijk het met email: Email zou nooit zo succesvol zijn geweest als iedereen zijn eigen email eilandje zou hebben gehad. Email is juist succesvol doordat je data kan uitwisselen en kan concurreren op basis van
functionaliteit in tegenstelling tot op basis van lockin.

[Reactie gewijzigd door sebati op 26 juli 2024 16:35]

Ongeveer 10.000 spammails per maand. Ja, e-mail is een goede vergelijking!
Blij dat je een van de grote nadelen van email aanhaalt: het is een oud protocol dat langzamerhand een kerstboom geworden is, omgeven door "optionele" beveiligingsmaatregelen die je moet implementeren om interoperabiliteit te waarborgen. Je kunt natuurlijk proberen je stelling te onderbouwen met het benoemen van een enkel nadeel, maar dat maakt mijn vergelijk niet minder relevant. Ik krijg om mijn verschillende email accounts overigens niet zoveel spam, maar krijg daarin tegen wel eens een invite via de App van mensen die ik niet ken of sturen mensen mij berichten omdat mijn nummer eerder van een ander is geweest.

[Reactie gewijzigd door sebati op 26 juli 2024 16:35]

Ik ben wel benieuwd hoe de EU kijkt naar een "gedecentraliseerde" en/of "gefederaliseerde" "dienst" zoals Mastodon of haar alternatief kijken als alle instances die dezelfde software draaien, samen ook de 45 miljoen gebruikers aantikken.

[Reactie gewijzigd door RoestVrijStaal op 26 juli 2024 16:35]

Waarschijnlijk zullen die niet meetellen aangezien de overkoepelende organistatie niet voldoet aan de eis van 3 jaar achter elkaar € 7,5 miljard jaaromzet of een algemene waarde van € 75 miljard in het afgelopen jaar
Federatie is optioneel; het zijn losstaande diensten die "toevallig" kunnen samenwerken.
Meehhh.... Ik betwijfel of ze daar mee weg zouden komen ;)
Als je het heel zwart-wit bekijkt heb je natuurlijk gewoon gelijk, maar er wordt natuurlijk wel gekeken naar intentie en uitwerking met dit soort wetgeving.

Maar goed. In de praktijk zal het (zeer waarschijnlijk) niet gebeuren dat ze (De club achter Mastodon) aan de betreffende vereisten gaan voldoen, dus het blijft een hypothetisch iets.
Meehhh.... Ik betwijfel of ze daar mee weg zouden komen ;)
Als je het heel zwart-wit bekijkt heb je natuurlijk gewoon gelijk, maar er wordt natuurlijk wel gekeken naar intentie en uitwerking met dit soort wetgeving.
Als je naar intentie kijkt zou Mastodon juist niks te vrezen hebben. Mastodon is geen poortwachter. Bij federatieve en gedistribueerde systemen is dat vaak niet eens mogelijk. Het probleem dat deze wet probeert op te lossen bestaat hier niet.
Het doel van de wet is de vrije markt beschermen. Mastodon is daar geen bedreiging voor maar juist een van de hulpmiddelen.
Precies, ik denk dat het model dat Mastodon nastreeft nu juist is waar de DMA op stuurt.
Volgens die redenatie zouden alle email gebruikers ook kunnen worden aangepakt; Mastodon instances zijn net als email servers op zichzelf staande diensten. Dat ze informatie kunnen uitwisselen via een protocol is een feature, maar een ieder beslist zelf of daarvan gebruik wordt gemaakt en onder welke voorwaarden.
Ik snap je vergelijking, en als je het alleen vanuit de techniek bekijkt klopt het. Maar als we functioneel naar het doel van het platform kijken ligt dit toch anders.

Maar nogmaals :) Het is in de praktijk niet van toepassing.
Is niet echt 1 partij of organisatie, dus denk dat ze daar niet zo strak naar kijken.
Ik bedoelde de casus dat software die door die instances wordt gebruikt, wel (statutair) door één partij wordt beheerd. Een aantal open source projecten hebben bijvoorbeeld een Duitse stichting voor het vastleggen en beheer van het handelsmerk van het project e.d.
Heeft dat bedrijf een poortwachtersfunctie? Zo niet, dan valt het niet onder de nieuwe wet.

Niet elk digitaal bedrijf met meer dan 45 miljoen gebruikers valt onder deze wet.
En zelfs dan. 7,5 miljard euro omzet hebben én 45 miljoen MAU in Europa hebben is slechts een grens waarop een bedrijf zich/zijn dienst moet aanmelden bij de EC om te laten bepalen of het een gatekeeper is. M.a.w. de vereisten zijn slechts om de vraag bij de EC te gaan stellen "ben ik eigenlijk een gatekeeper?".
Ik zou het raar vinden als het niet zo is.
Het zou er om moeten gaan dat het één dienst is, beheerd door één partij. Of het decentraal of gefederaliseerd is of niet staat daar toch los van?

Edit:
Nou verwacht ik overigens niet dat het concrete voorbeeld Mastodon aan alle vereisten zal voldoen (de financiële vereisten vooral), maar ik denk dat het er los van staat.

[Reactie gewijzigd door lenwar op 26 juli 2024 16:35]

Decentrale diensten hebben geen poortwachtersfunctie, dus kleine kans dat ze onder DMA vallen. Het doel van de wet is platformen met enorm veel macht over concurrenten en gebruikers in het gareel brengen i.p.v. de situatie te laten zoals het wilde westen (zie Twitter).
De facto zal het inderdaad nooit gebeuren, maar mochten ze om om welke reden dan ook wel aan de vereisten voldoen, moeten zij natuurlijk ook gewoon onder die wetgeving vallen.
Ik betwijfel dat ze 10% van de Europese bevolking of 7,5 miljard euro omzet hebben. Ze hebben vaak ook niet echt veel klanten, want alles buiten de ene server die ze zelf beheren is niet hun klant.

Heel Mastodon zit op 10% van de gebruikersondergrens, het zal nog wel even duren voordat de regels voor dat soort projecten gaan gelden. Ik denk dat elke server als eigen instantie zal worden gezien.

Bij een bedrijf als Nginx kijk je ook naar het aantal servers dat wordt ingezet, niet hoeveel klanten die servers benaderen.

[Reactie gewijzigd door GertMenkel op 26 juli 2024 16:35]

1. Omzet meer dan 7,5 miljard? Zo ja, 45 miljoen EU gebruikers? Zo ja, poortwachtersfunctie? Zo ja, dan valt het onder DMA.

Ik denk dat gedecentraliseerde diensten juist de poortwachtersfunctie uit handen hebben gegeven zodat de gebruikers meer controle hebben over het gebruik van het platform.
Mastodon is juist een voorbeeld van wat het eindresultaat is van als een gatekeeper zou voldoen aan de vereisten van de DMA. Dus zelfs als Mastodon zich al aan DMA zou moeten houden - en dat is nog lang niet het geval - voldoen ze al per definitie aan de regels.

[Reactie gewijzigd door Loller1 op 26 juli 2024 16:35]

Interessant,
in hoeverre kan zich dit verder ontwikkelen (politiek en de gladde helling...) dat producten zoals MacOS en Windows (bare metal of virtueel aangeboden) hieronder gaan vallen en wat zou dat kunnen betekenen. Het onderdeel, vooraf geïnstalleerde software, lijkt mij nog eens extra interessant en wat zou daaronder vallen...
Interessant,
in hoeverre kan zich dit verder ontwikkelen (politiek en de gladde helling...) dat producten zoals MacOS en Windows (bare metal of virtueel aangeboden) hieronder gaan vallen
Windows en MacOS zijn geen online (communicatie)platformen, dus niet. Ze faciliteren communicatie, maar beperken niet hoe/met wie. Hooguit valt er wat te zeggen tegen bijvoorbeeld Microsoft, als die Skype/Teams meelevert met het OS. Hetzelfde met Apple en hun messenger. Dat heeft echter invloed op welke applicaties meegeleverd worden met het OS, niet op het OS zelf.
Het onderdeel, vooraf geïnstalleerde software, lijkt mij nog eens extra interessant en wat zou daaronder vallen...
Dat slaat op bijvoorbeeld een Facebook mobiele applicatie die voorgeïnstalleerd is op een smartphone en niet verwijderd kan wroden.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 16:35]

Kan goed zijn dat dit het begin is en er meer komt nadat dit verder geëffectueerd raakt. Vandaar mijn opmerking over "politiek en de gladde helling"...

Dit zal zich inderdaad haast zo goed als zeker uitwerken op gebundelde software. Wat ook zeer goed is. Daarmee zou bijvoorbeeld zelfs een vehikel als de Playstore (en aanverwanten) onder druk kunnen komen te staan.
Windows en MacOS zijn geen online (communicatie)platformen, dus niet.
Jij bent in de war met de Digital Services Act.
De Digital Markets Act is van toepassing op alle bedrijven die 'core platform services' bieden, en daar vallen ook operating systems onder.

Internet browsers ook, trouwens. De DMA gaat dan ook o.a. Apple verplichten om andere browser engines dan Webkit op iOS toe te staan. Dat taboe gaat doorbroken worden.

[Reactie gewijzigd door R4gnax op 26 juli 2024 16:35]

Dit betekend als het goed is dat whatsapp het mogelijk moet maken om andere apps met whatsapp te laten communiceren
ik ben heel benieuwd wat apple en hun appstore hiermee gaan doen... niet veel verwacht ik, er zal wel een maas in de wet zitten:)
iOS 17 gaat sideloading toestaan (in de EU) volgens de laatste geruchten. Juist Apple's App Store is een van de primaire redenen dat deze wetgeving tot stand is gekomen.

[Reactie gewijzigd door Loller1 op 26 juli 2024 16:35]

Dan installeer je toch geen apps uit onbekende bronnen, problem solved lijkt me?
is dit serieus? alsof app's uit de app store nooit malware bevatten haha
De kans dat een App in de Apple App Store malware heeft is onder 0,01%. De kans dat je dat hebt wanneer iedereen een eigen App Store kan beginnen... iig een stuk hoger dan dat.
misschien moet je gewoon niet meer op het internet gaan, veel veiliger:)

je maakt je druk om niks...

ik zal het juist fijn vinden als apple minder controle heeft over wat iemand op een iphone wel en niet mag doen..
Dan helpt importeren uit de VS ook niet.
Nu de eerste regels van de Digital Markets Act in werking zijn getreden
Wacht maar tot ze de rest gaan doorvoeren. Iedereen op de kaart gezet en als je een grote mond hebt straks via Twitter dan klopt de politie aan bij de voordeur. Beetje wat ze in de UK al doen.

Op dit item kan niet meer gereageerd worden.