Messenger en WhatsApp kunnen in 2027 bellen met gebruikers van andere chatapps

Mooi stuk! De metadata kan deels een probleem vormen, maar de DMA verbiedt gatekeepers om persoonsgegevens, waaronder metadata, van verschillende diensten te combineren zonder expliciete toestemming van de betrokken gebruikers.

Artikel 5 van de DMA.

Article 5, Obligations for gatekeepers
[...]
2. The gatekeeper shall not do any of the following:

• (a) process, for the purpose of providing online advertising services, personal data of end users using services of third parties that make use of core platform services of the gatekeeper;
• (b) combine personal data from the relevant core platform service with personal data from any further core platform services or from any other services provided by the gatekeeper or with personal data from third-party services;
• (c) cross-use personal data from the relevant core platform service in other services provided separately by the gatekeeper, including other core platform services, and vice versa; and
• (d) sign in end users to other services of the gatekeeper in order to combine personal data, unless the end user has been presented with the specific choice and has given consent within the meaning of Article 4, point (11), and Article 7 of Regulation (EU) 2016/679.

Where the consent given for the purposes of the first subparagraph has been refused or withdrawn by the end user, the gatekeeper shall not repeat its request for consent for the same purpose more than once within a period of one year.

This paragraph is without prejudice to the possibility for the gatekeeper to rely on Article 6(1), points (c), (d) and (e) of Regulation (EU) 2016/679, where applicable.

Bron: https://www.eu-digital-ma...arkets_Act_Article_5.html

Dit betekent dat Meta, als gatekeeper onder de DMA, geen persoonsgegevens, waaronder metadata, mag combineren tussen diensten zoals WhatsApp, Instagram of Facebook, tenzij zowel jij als een derde expliciete toestemming geeft, zie o.a. artikel 6 van de GDPR. Artikel 6 van de DMA verplicht gatekeepers om waarborgen te treffen zodat de verwerking van persoonsgegevens altijd in overeenstemming is met de GDPR. Dit betekent dat Meta e.a. alleen persoonsgegevens mogen verwerken of combineren wanneer expliciete toestemming is gegeven of wanneer een andere wettelijke grondslag volgens de GDPR van toepassing is.

E-mail is al decennia lang een voorbeeld van hoe interoperabiliteit werkt zonder dat één enkele partij de markt domineert. Iedereen kan een eigen mailclient of -server opzetten (denk aan Gmail, Outlook, Yahoo, of zelfs zelf-gehoste servers), en ondanks verschillende providers kunnen gebruikers nog steeds vrij communiceren. Niemand hoeft vast te zitten aan één dienst, omdat de e-mailprotocollen zoals SMTP, IMAP, en POP3 open standaarden zijn die interoperabiliteit garanderen zonder dat een centrale partij al het verkeer controleert. Idem met telefoon en SMS-verkeer, je kan zo van provider verwisselen en je hebt niet dezelfde provider nodig als degene waarnaar je wilt bellen om die persoon te kunnen bereiken.

De DMA introduceert nu een vergelijkbare dynamiek voor messaging-apps. Hoewel WhatsApp een groot netwerk heeft opgebouwd, zorgt interoperabiliteit ervoor dat andere, privacy-vriendelijkere diensten kunnen concurreren zonder te worden uitgesloten door het dominante platform. Artikel 7 van de DMA verplicht gatekeepers bijvoorbeeld om ervoor te zorgen dat kernplatformdiensten interoperabel zijn met soortgelijke diensten van andere aanbieders, zonder afbreuk te doen aan de end-to-end encryptie van berichten of metadata.

Je kunt zeggen dat interoperabiliteit een grote stap voorwaarts is, maar het zal het nodig zijn, voor de toezichthouders, om goed op de regelgeving te zitten en als EC actie te ondernomen mochten bedrijven loopholes vinden om zo de gebruiker (en hun metadata) volledig te (blijven) beschermen. Interoperabiliteit tussen een E2EE-platform en een niet-E2EE-platform roept bij nog wel wat vraagtekens op. Hoewel de DMA in artikel 7 interoperabiliteit tussen platformen verplicht stelt, moeten er duidelijke richtlijnen komen voor het waarborgen van encryptie tijdens deze communicatie. Ik zou via mijn client namelijk graag willen weten wanneer ik met iemand ga chatten waar geen end-to-end encryptie is toegepast, zoals de standaard is bij Telegram, en ik vraag me af hoe de technische uitvoering zal werken zonder dat de encryptie wordt verzwakt, iets wat bij Telegram moeilijk lijkt, tenzij ze de integratie van secret chats verbeteren.

Voor nieuwe spelers in de messagingmarkt ligt de drempel om in te stappen nu veel lager, vergelijkbaar met hoe bedrijven snel een virtuele provider kunnen opzetten in de telecomsector en misschien zelfs nog lager. De DMA verplicht trouwens ook dat gatekeepers technische documentatie beschikbaar stellen aan derde partijen om interoperabiliteit mogelijk te maken, zoals gesteld in artikel 7. Wat nieuwe partijen alleen maar helpt. In mijn ogen is er echter ngo wel nog werk aan de winkel voor de Europese Commissie om duidelijkere technische standaarden te ontwikkelen voor het behoud van encryptie binnen dit raamwerk.

Vanuit de DSA kun je hier nog aan toevoegen dat platforms verplicht zijn om meer transparantie te bieden over hoe metadata en persoonsgegevens worden gebruikt binnen hun algoritmes. Bovendien stelt de DSA eisen aan de verantwoording van gatekeepers om niet alleen persoonsgegevens te beschermen, maar ook om gebruikers duidelijk te informeren over het gebruik van hun gegevens en de inzet van technische waarborgen.

Je hoort altijd veel geklaag over de EU, maar dit is toch wel een mooi voorbeeld van hoe wij als Europa het steeds beter regelen op het gebied van digitale rechten, privacybescherming en de regulering van grote techbedrijven. Chapeau!

[Reactie gewijzigd door jdh009 op 8 september 2024 13:24]