Allereerst: iedereen bedankt voor de waardevolle suggesties voor artikelen waar ik over zou kunnen schrijven. Ik pak er gelijk eentje op: "Zou je ons de Digital Services Act op hoofdlijnen kunnen uitleggen?" van @MaltheseFalcon. De DSA (en zijn broertje de DMA) hebben veel losgemaakt, en dat is niet zo gek want het is ook een behoorlijke overhaul van het Europese rechtskader voor internetdiensten en platforms. Dus laten we hier eens in duiken.
E-commerce en aansprakelijkheid
Om de DSA goed te begrijpen, moeten we terug naar eind jaren negentig, toen internet nog wat kleiner, idealistischer en rommeliger was. Dat laatste bedoel ik niet negatief, maar vanuit juridisch perspectief was het behoorlijk onduidelijk waar we nu mee te maken hadden en wat de regels zouden moeten zijn. Ben je aansprakelijk voor andermans uitingen, geldt auteursrecht op een webstekpublicatie en hoe zit het met de Wet bescherming persoonsgegevens die in 2000 van kracht gaat worden?
Regelgeving specifiek voor internet was schaars: "The private sector should lead", aldus de regering-Clinton eind jaren negentig. Overheden kozen massaal voor een open en vrije sfeer, waarbij de markt vanzelf eventuele imperfecties zou oplossen. Alleen de grootste zorgen werden gereguleerd, en die lagen vooral bij de aansprakelijkheid voor wat je hostte of doorgaf van of naar je klanten. Maar er waren ook vragen over de rechtsgeldigheid van online overeenkomsten. Hieruit ontstond de E-commercerichtlijn (2000/31/EG), die niet alleen bevestigde dat een overeenkomst op afstand rechtsgeldig was, maar ook een forse beperking van aansprakelijkheid voor 'tussenpersonen' invoerde.
:strip_exif()/i/2006067816.jpeg?f=imagenormal)
Dit model was vrij simpel. Je had de access providers, zoals XS4ALL of UPC, en die gaven IP-pakketten heen en weer door. Die waren gewoon niet aansprakelijk voor wat daar in zat, punt. Daarnaast had je de hostingbedrijven waar je je site of blog kwijt kon. Die waren ook niet aansprakelijk, behalve als ze op de hoogte waren gesteld en dan verzaakten om in te grijpen. Dit was een vrij overzichtelijk regime, dat dan ook aanzienlijk bijdroeg aan het opzetten van online diensten, want het gold ook voor de opkomende web 2.0-platforms: je was niet aansprakelijk voor comments op je blog of foto’s op je socialemediadienst.
Tweakers heeft ook een video gemaakt over DMA en DSA
Die platforms groeiden enorm, en een aantal daarvan werd zo groot dat ze tegenwoordig de (digitale) wereld beheersen. Dat leidde tot de nodige misstanden: van ondoorzichtige moderatie tot het meespieken met klanten over wat interessante producten of diensten zijn, en het weigeren om te koppelen met de concurrent. Ook waren er nieuwe zorgen bijgekomen, bijvoorbeeld over nepnieuws en illegale uitingen, die in Europese landen hadden geleid tot uiteenlopende wetten. Vandaar dat in 2019 EC-president Ursula von der Leyen een herziening van deze wet uit 2000 hoog op de agenda zette. Het resultaat mag er wezen.
Een gelaagde structuur
Tussenhandelsdienst, hostingdienst, online platform, handelsplatform, zeer groot online platform … De DSA kent een gelaagde structuur. Er zijn verplichtingen voor alle dienstverleners, meer verplichtingen voor wie een ‘hoster’ is, en daarbinnen weer meer voor de 'platforms'. Als je dan ook nog eens 'zeer groot' bent of een handelsplatform, dan is er nog een hoofdstuk speciaal voor jou. Dat is een duidelijk verschil met de oude onderverdeling tussen access en hosting en verder niets.
In de terminologie van de DSA bestaat de internetdienstverlening uit deze actoren:
-
tussenhandelsdiensten, die internetinfrastructuur aanbieden, zoals internetproviders, zoekmachines en domeinnaamregistrators, maar ook:
-
hostingdiensten, die informatie opslaan en doorgeven, zoals cloud- en webhostingdiensten, waaronder ook:
-
onlineplatforms, waar informatie niet alleen wordt opgeslagen maar ook actief met het publiek gedeeld, zoals appstores, deeleconomieplatforms en socialemediaplatforms, waaronder ook:
-
handelsplatforms, waar consumenten overeenkomsten sluiten met handelaren (dus niet een enkelvoudige webshop).
Bij de onlineplatforms bestaat de speciale kwalificatie van 'zeer grote onlineplatforms' (in jargon: een vlop, ofwel very large online platform) die meer dan tien procent van de Europeanen, dus 45 miljoen gebruikers, bereiken. Ze vormen een bijzonder risico voor de verspreiding van illegale inhoud of producten en het toebrengen van schade aan de maatschappij. Een variant hierbij is de zeer grote zoekmachine, die ik voor het gemak even onder vlop reken bij de uitleg hieronder.
De regels voor tussenhandelaars
De DSA begint met het makkelijke stuk: net zoals onder de E-commercerichtlijn is een tussenhandelaar die informatie doorgeeft (access provider) niet aansprakelijk, en een hostingprovider ook niet, tenzij deze daadwerkelijk kennis krijgt van illegale zaken (waarmee overigens ook 'gewone' onrechtmatigheden worden bedoeld, niet alleen strafrecht) en vervolgens niet adequaat ingrijpt. Expliciet is nu toegevoegd dat je als provider ook moet luisteren naar bevelen van opsporingsdiensten zoals de politie of toezichthouders zoals de ACM of de Autoriteit Persoonsgegevens, hoewel 'gerechtelijk bevel' sowieso nooit een Europees ding was.
:strip_exif()/i/2006067636.jpeg?f=imagenormal)
De nieuwe regels gaan vooral over medewerking en transparantie. Zo moet je een centraal contactpunt stellen voor toezichthouders en andere autoriteiten, en een bereikbare klantenservice hebben. Zit je buiten de Europese Unie, dan moet je een vertegenwoordiger benoemen die in jouw plaats aansprakelijk is voor alles wat jij fout doet.
Transparantie zien we meteen terug in mijn favoriete onderwerp: de algemene voorwaarden. Die moeten in duidelijke, eenvoudige, begrijpelijke, gebruiksvriendelijke en ondubbelzinnige taal zijn opgesteld. Er moet uitleg in staan over je beleid, procedures, maatregelen en regels over moderatie, waarbij komt dat als je modererend ingrijpt, je een inhoudelijke motivatie moet geven waarom hier sprake is van een overtreding, behalve bij spammers. Ook de DSA haat spammers. De voorwaarden moeten op proportionele wijze sancties benoemen, en alleen genoemde regels en sancties mogen worden ingeroepen.
Verder is er nog een beperkte aangifteplicht: bij een vermoeden van kennis over een misdrijf waarbij het leven of de veiligheid van een persoon of personen wordt bedreigd, moet je als tussenpersoon aangifte doen.
Hoe alles precies gaat, moet jaarlijks worden uitgelegd in zogeheten transparantierapporten, die openbaar zijn. Die rapporten worden uitgebreider naarmate je onder een specifiekere kwalificatie valt.
De regels voor onlineplatforms
We zijn behoorlijk opgeschoven van de hostingbedrijven uit 2000: alles is nu een dienst, een platform of een api. De DSA kent daarom aparte regels voor platforms, die zijn gedefinieerd als hosters met een dienst er bovenop waarbij informatie gemakkelijk bij het publiek terecht kan komen. Platforms moeten vooral adequaat omgaan met klachten, wat inhoudt dat ze een klachtafhandelingssysteem moeten hebben dat meer is dan /dev/null en een samenwerking met een buitengerechtelijkegeschillenbeslechtingsorgaan waar mensen naar kunnen escaleren. Ook moeten ze meldingen van zogeheten trusted flaggers met voorrang in behandeling nemen.
Platforms mogen mensen niet zomaar en zonder reden schorsen. Schorsingen moeten voor een redelijke termijn gelden en altijd na een voorafgaande waarschuwing plaatsvinden, en dit moet gedetailleerd zijn uitgewerkt in de algemene voorwaarden.
De interfaces van platforms mogen niet misleidend of manipulerend zijn. Dit fenomeen staat in het jargon bekend als dark patterns, die gebruikers verleiden tot aankopen of keuzes die ze eigenlijk niet willen maken, zoals een stilzwijgend verlengd abonnement in plaats van een gratis proefabonnement. Aanbevelingen moet je kunnen uitzetten, zoals bij de chronologische tijdlijn van Meta, en je moet kunnen achterhalen waarom iets jou wordt aanbevolen.
/i/2004893100.png?f=imagenormal)
Gereguleerde handelsplatforms
Een bijzondere vorm van platformdiensten zijn handelsplatforms, plekken waar consumenten en verkopers koopovereenkomsten sluiten. In Nederland denken we dan al snel aan Marktplaats, specifiek het deel met zakelijke verkopers, maar ook als je partnerverkopers toelaat op je eigen kledingwebsite kun je een handelsplatform zijn. Beheerders van platforms moeten de identiteit van de zakelijke verkopers vaststellen of deze verkopers schorsen. Ook moeten ze hun site zo inrichten dat de handel die daar plaatsvindt, in feite alleen legaal kan zijn: een 'op conformiteit gericht ontwerp', denk hierbij aan verplichte velden over het retourbeleid, ruimte voor informatie over interoperabiliteit en een duidelijke aanduiding van wie de verkoper nu eigenlijk is.
De vlops
We komen nu bij waar de DSA echt sterk staat: de regulering van de very large online platforms, oftewel de vlops. Dit zijn onlineplatforms met een groot bereik: 45 miljoen Europese gebruikers. Wie dat aantal bereikt, moet contact opnemen met de Europese Commissie, zodat die kan bepalen of je een vlop bent. De eerste aanwijzingsbesluiten geven een aardige lijst van de who’s who in ict-land: de Apple App Store, Meta's Facebook en Instagram, Microsofts LinkedIn en Bing, Alphabets Google Maps, Play, Search, Shopping en YouTube, Pornhub, Stripchat, XVideos, AliExpress, Amazon Marketplace, Booking.com, Pinterest, Snapchat, TikTok, Twitter, Wikipedia en Zalando.
Een vlop is zo groot dat, als zaken misgaan, dat grote gevolgen kan hebben. De DSA noemt dat 'systemische risico’s'. Denk hierbij aan zaken als met algoritmes discussies bepaalde kanten op duwen, het kapotmaken van bedrijven die afhankelijk zijn van hun diensten voor vindbaarheid, of het te duur maken van verplichte diensten. De bedrijven moeten dan ook verplicht een risicoanalyse uitvoeren en mitigerende maatregelen nemen. Een kopie daarvan moet naar de toezichthouder.
:strip_exif()/i/2006076636.jpeg?f=imagenormal)
Bij specifieke en ernstige bedreigingen kan de Commissie passende noodbevelen geven. Hierbij kan gedacht worden aan gewapende conflicten, natuurrampen en pandemieën waarbij de vlops hun verantwoordelijkheid niet nemen. Het zou mij niet verbazen als er komende zomer bij de Europese Parlementsverkiezingen met deze noodbevelen wordt gedreigd als er ophef ontstaat over het misleiden van kiezers of politieke microtargeting.
Voor reclame geldt dat deze duidelijk gemarkeerd moet zijn en dat de afkomst eenvoudig te achterhalen moet zijn. Dit is de reden dat de advertentiebibliotheken van Meta en Google er zijn.
Tot slot de handhaving: de reguliere dienstverleners hebben hun nationale toezichthouders; in Nederland is dat de Autoriteit Consument & Markt. Maar de vlops krijgen de Europese Commissie achter zich aan. Dit is vanwege de slagvaardigheid, maar ook speelt mee dat bij andere wetten, vooral bij de AVG, de nationale toezichthouders niet altijd effectief genoeg zijn gebleken. Daarnaast moeten de vlops een jaarlijkse onafhankelijke audit laten uitvoeren op eigen kosten, met een uitgebreide definitie van 'onafhankelijk'. Ook moeten ze betalen voor hun toezicht, een bedrag dat berekend wordt als percentage van de winst. Dat klinkt mooi, maar de techreuzen zijn goed in het op papier verliesgevend zijn.
Het chagrijnige broertje: de DMA
De Digital Markets Act, ofwel DMA, is een wet die ongeveer tegelijkertijd met de DSA is ingevoerd en enige begripsmatige overlap kent. Ik noem deze altijd 'het chagrijnige broertje', omdat de DSA vooral nieuwe regels voor de huidige ict-wereld stelt, terwijl de DMA vooral bezig is met het verbieden van wat in het verleden is misgegaan. Die regels lezen namelijk als een zwartboek machtsmisbruik in de ict-sector.
De DMA gaat uit van het begrip 'poortwachter': een ict-partij die een kernplatformdienst van de informatiemaatschappij levert. Dat is een waslijst: onlinetussenhandelsdienst; onlinezoekmachine; online socialenetwerkdienst; videoplatformdienst; nummeronafhankelijke interpersoonlijke communicatiedienst; besturingssysteem; cloudcomputerdienst; advertentiedienst, waaronder advertentienetwerken, advertentie-uitwisselingsdiensten en andere advertentietussenhandelsdiensten. Wie zo’n dienst levert en daarbij een 'aanzienlijke impact' heeft op de Europese markt, noemen we een poortwachter, en die moet open en eerlijk zijn.
:strip_exif()/i/2004805998.jpeg?f=imagemedium)
Een veelgehoord punt van kritiek op de DMA is dat dit in feite gewoon het mededingingsrecht is. Wie marktmacht heeft, krijgt andere spelregels dan wie dat niet heeft. Of je nu de benzineprijs kunt dicteren of betaalsystemen uit je appstore weren, maakt daarbij niet uit. Historisch gezien is het mededingingsrecht bij internetdiensten echter nooit zo’n succes geweest: hoewel toezichthouders en concurrenten de meeste zaken wonnen, zoals Netscape tegen Microsoft over het bundelen van Internet Explorer, duurde het proces jaren en waren de concurrenten ondertussen al lang ten onder gegaan. Een belangrijke reden daarvoor is de ruimte voor discussie die het mededinginsgrecht laat. Vragen als 'Is dit wel machtsmisbruik?', 'Heeft men überhaupt wel macht?' en 'Is dit niet gewoon ondernemersrisico?' spelen daarbij een rol.
De DMA pakt dat dus anders aan: de regels zijn vooraf opgesteld en de bepaling of je ‘machtig’ bent is numeriek. Een omzet van 6,5 miljard euro in de laatste drie boekjaren of een reële marktwaarde van minstens 65 miljard euro in het laatste boekjaar plus je dienst in drie Europese landen? Bam, de DMA heeft je. Dan kun je verplicht worden je chatdienst interoperabel te maken, geen verplichte afname van andere diensten, zoals jouw analyticsdienst bij jouw advertentiedienst, te eisen of het mogelijk te maken dat jouw standaardapps op jouw besturingssysteem kunnen worden verwijderd.
Op naar de volgende twintig jaar
De DSA, en de DMA, bieden een langverwachte update van de regels rondom online dienstverleners. Het nieuwe kader is helder genoeg om de 'gewone' situatie van nu te kunnen handhaven en beoordelen. Wat dat betreft is de DSA dus een forse stap vooruit. Waar het natuurlijk op gaat hangen, is hoe de handhaving in de praktijk eruit gaat zien. Je ziet nu wel iedereen steeds rennen om aan de nieuwste DSA-verplichtingen te voldoen, maar als over een jaar blijkt dat de handhaving net zo incidenteel is als bij de AVG, dan kan dat snel anders worden.
:strip_icc():strip_exif()/i/2006268478.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2006179056.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2006067636.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005788956.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005121216.jpeg?f=fpa_thumb)
/i/2004893100.png?f=fpa_thumb)
:strip_icc():strip_exif()/i/2004823388.jpeg?f=fpa_thumb)
/i/2006079680.png?f=fpa)
:strip_exif()/i/2005763776.jpeg?f=fpa)
:strip_exif()/i/2004715584.jpeg?f=fpa)
/i/2004618424.png?f=fpa)
:strip_exif()/i/2005763778.jpeg?f=fpa)
/i/2004779058.png?f=fpa)
:strip_icc():strip_exif()/u/498936/crop5b62bb30b720d_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/745575/crop5de1181b59fc4_cropped.jpeg?f=community){kind=small}
/u/95593/kleinvlagske.JPG?f=community){kind=small}
:strip_icc():strip_exif()/u/368060/crop5efb367d28350.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/19522/crop6124d729ee8a5_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community){kind=small}
/u/16450/icon06.png?f=community){kind=small}
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
/u/13460/JUN982.GIF?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/63255/crop62861790abf81_cropped.jpg?f=community){kind=small}
)
) van de EU op hun kloten krijgen.:strip_icc():strip_exif()/u/377552/crop66c25bd803945_cropped.jpg?f=community){kind=small}
/u/357133/crop5e4ea330bd81d_cropped.png?f=community){kind=small}
/u/159942/crop64f75622619cc.png?f=community){kind=small}
/u/50693/crop65155bae34ba4_cropped.png?f=community){kind=small}