Het Europees Parlement heeft de Digital Services Act aangenomen. In dit artikel zoomen we in op enkele specifieke onderwerpen waarvoor de nieuwe regels en vooral een aantal aangenomen wijzigingen gevolgen hebben, zoals privacy, op tracking gebaseerde advertenties en de omgang met illegale content op platforms.
"Er is een nieuwe sheriff in de stad en zijn naam is Digital Services Act." Wellicht had Thierry Breton bij die uitspraak op Twitter liever zijn eigen naam genoemd, maar de eer ging toch echt naar deze nieuwe wetgeving voor onlineplatforms. De Franse commissaris van Interne Markt gaf in dezelfde tweet aan dat het 'tijd is om wat orde te brengen in het digitale Wilde Westen'.
Niet alleen hij heeft veel vertrouwen in de DSA, ook de Deense Christel Schaldemose, de EU-parlementariër die verantwoordelijk is voor de inhoudelijke behandeling van het wetsvoorstel, verwacht er veel van. Ze noemt deze door het Europarlement aangenomen regelgeving 'een grote stap voorwaarts' en verwijst naar de GDPR in haar stelling dat Europa opnieuw een 'gouden standaard' heeft opgesteld die niet alleen voor Europeanen zal gelden, maar als voorbeeld moet dienen voor de hele wereld. Breton voegde daaraan toe dat Europa niet langer het gedrag van grote platforms kon accepteren en dat het tijd is om de controle terug te pakken en weer aan de burgers te geven.
:strip_exif()/i/2004893130.jpeg?f=imagenormal)
Beide EU-politici trekken een vrij grote broek aan en hebben het volste vertrouwen in de nieuwe regels. Volgens hen zullen die leiden tot een veiligere onlineomgeving waarin gebruikers meer rechten hebben en waarin bijvoorbeeld ook iets gedaan wordt aan het 'openen van de zwarte doos van algoritmen om de techgiganten beter te controleren'.
Dit artikel gaat daarover en over wat er nog meer staat in de DSA. Verder bespreken we wat er zoal is besloten over op tracking gebaseerde advertenties, wat de gevolgen van de nieuwe regels zijn voor de privacy, wat er is besloten over de omgang met illegale content en wanneer deze EU-verordening naar verwachting van kracht wordt.
Openingsafbeelding: klyaksun + cnythzl / Getty Images
Waarop is de DSA gericht?
De DSA moet de basis gaan vormen voor de regulering van digitale diensten, waaronder die van online intermediary services, ofwel online tussenhandelsdiensten of digitale serviceproviders. Dat is een verzamelnaam voor aanbieders van onlinediensten waarbij het draait om de opslag, doorgifte en verspreiding van informatie, en ook om het verschaffen van toegang tot een communicatienetwerk met die informatie. Denk aan internetproviders, sociale media, internetmarktplaatsen, hosting- en videoplatforms.
In de DSA worden vier categorieën digitaleserviceproviders onderscheiden. Die categorieën zijn van belang, omdat ze rekening houden met de aard van hun diensten. Hoe meer de activiteiten zitten in het domein van content en gebruikers een platformfunctie bieden die verdergaat dan het technisch mogelijk maken van toegang, hoe meer verplichtingen.
De eerste categorie, waarvoor de minste verplichtingen gelden, zijn de tussenpersonen die netwerkinfrastructuur aanbieden; denk aan internetproviders en domeinnaamregistratiediensten. Deze partijen moeten bijvoorbeeld transparant zijn over de algoritmen die ze inzetten voor aanbevelingen. De tweede categorie behelst hostingdiensten zoals cloud- en webhostingdiensten. Voor deze hostingdiensten geldt een extra verplichting; ze moeten gebruikers informeren als content van hen offline wordt gehaald na het oordeel dat die illegaal is.
Er gelden aanzienlijk meer regels voor de categorieën onlineplatforms en zeer grote platforms; denk aan aanbieders van opslagruimte en socialemedianetwerken. Onlineplatforms worden gezien als een speciale vorm van hostingdiensten die niet enkel informatie opslaan, maar die ook toegankelijk maken voor en verspreiden naar derden. De zeer grote platforms vormen de vierde en laatste categorie. Daar is sprake van als er maandelijks meer dan 45 miljoen actieve gebruikers zijn binnen de EU, of tien procent van de EU-bevolking als die met minstens vijf procent toe- of afneemt.
| Nieuwe verplichtingen | ||||
| Tussenhandelsdiensten | Hostingdiensten | Onlineplatforms | Zeer grote platforms | |
| Transparantierapportage | ● | ● | ● | ● |
| Vereisten voor algemene voorwaarden ten aanzien van grondrechten | ● | ● | ● | ● |
| Samenwerking met nationale autoriteiten op bevel | ● | ● | ● | ● |
| Contactpunten en zo nodig wettelijke vertegenwoordiger | ● | ● | ● | ● |
| Meldings- en handelingsverplichtingen om gebruikers te informeren | ● | ● | ● | |
| Klachten- en verhaalmechanisme en buitengerechtelijke geschillenbeslechting | ● | ● | ||
| Betrouwbare flaggers | ● | ● | ||
| Maatregelen tegen verkeerde meldingen en tegenmeldingen | ● | ● | ||
| Natrekken van de kwalificaties van derde leveranciers (KYBC) | ● | ● | ||
| Transparantie van onlinereclame voor gebruikers | ● | ● | ||
| Aangifte strafbare feiten | ● | ● | ||
| Risicobeheerverplichtingen en toezichthouder | ● | |||
| Externe risicocontrole en publieke verantwoording | ● | |||
| Transparantie van aanbevelingssystemen en keuze van de gebruiker voor toegang tot informatie | ● | |||
| Gegevensuitwisseling met autoriteiten en onderzoekers | ● | |||
| Gedragscodes | ● | |||
| Coördinatie van crisisrespons | ● | |||
Illegale content en het verwijderen ervan
De DSA is een aanvulling op het regime dat al sinds 2000 van kracht is via de E-commercerichtlijn. Het al bestaande regime blijft in grote lijnen gehandhaafd. Dat houdt in dat aansprakelijkheid niet aan de orde is voor content die gebruikers plaatsen, mits de platforms daar geen kennis van hadden en na een eventuele melding daarover in actie komen en proberen de content te verwijderen. Een algemene monitoringsplicht ontbreekt.
De kern van de DSA betreft waarschijnlijk de regels voor hoe tussenpersonen moeten omgaan met illegale content en daarmee het vraagstuk van grondrechten en aansprakelijkheid. Illegale content staat voor alle informatie die op zichzelf of door verwijzing naar een activiteit, met inbegrip van de verkoop van producten of het verlenen van diensten, niet in overeenstemming is met het EU-recht of met het recht van een lidstaat. De DSA richt zich niet zozeer op het weghalen van desinformatie of schadelijke content door platforms, mede omdat dan weleens te veel kan worden weggehaald. In dat geval kan de vrijheid van meningsuiting in het geding komen.
Die aandacht voor dit grondrecht is waarschijnlijk ook de reden dat amendement 207 is aangenomen. Daarmee is aan de DSA toegevoegd dat als er een melding van illegale content wordt gedaan, die content online blijft staan terwijl wordt onderzocht of hij daadwerkelijk in strijd is met de wet. Anders zou een situatie ontstaan waarbij een melding van illegale content te snel leidt tot verwijdering zonder dat vaststaat dat het om illegale content gaat.
Op dit punt was onder meer de vrees dat het kennisgevings- en actiemechanisme van artikel 14 platforms de macht geeft om beslissingen te nemen over de legaliteit van content nadat daar melding van is gedaan. Dit mechanisme houdt simpelweg in dat platforms in actie moeten komen zodra iemand melding maakt van vermeend illegale content. Een goed omschreven melding kan al snel betekenen dat het platform daadwerkelijk wordt geacht kennis te hebben van de aanwezigheid van de illegale content. In die situatie nietsdoen, betekent dat de immuniteit voor aansprakelijkheid wegvalt. Die zorg zal nog niet geheel zijn weggenomen, maar amendement 207 moet al te snel verwijderen voorkomen.
Voor gebruikers is het ook goed om te beseffen dat een platform er niet zomaar mee wegkomt om even hun content te schrappen. Op grond van artikel 15 moet de gebruiker op de hoogte worden gesteld van de verwijdering, het besluit dat eraan ten grondslag ligt en de motivering ervoor. Daarbij moeten de feiten en omstandigheden worden omschreven die hierbij een rol hebben gespeeld. Gaat het om vermeende illegale content? Dan moet de hostingdienst wijzen naar de rechtsgrond daarvoor en verklaren waarom de informatie als illegaal wordt beschouwd. Is er sprake van vermeende schending van de algemene voorwaarden? Dan moet worden verwezen naar de overeenkomst waarvan die voorwaarden onderdeel zijn en waarom de te verwijderen content daarmee niet verenigbaar zou zijn. Ook moet er informatie over beroepsmogelijkheden worden gegeven, zoals interne klachtenafhandelingsmechanismen, mogelijkheden voor buitengerechtelijke geschillenbeslechting en hoger beroep. Bovendien moet de informatie in de besluiten van de hostingdiensten duidelijk, gemakkelijk te begrijpen en zo nauwkeurig en specifiek mogelijk zijn.
:strip_exif()/i/2004893136.jpeg?f=imagenormal)
Met name Patrick Breyer, EU-parlementslid voor de Piratenpartij, heeft kritiek op het punt van het verwijderen van illegale content. Hij wijst daarbij op enkele afgewezen amendementen. Zo gaat amendement 524 over wie mag eisen dat vermeende illegale content wordt verwijderd. De originele tekst spreekt over rechtbanken en een administratieve autoriteit. Het amendement schrapte die laatste bewust, zodat alleen nog rechtbanken verwijdering zouden mogen bevelen. Dit amendement is met ruime meerderheid van 509 tegen 168 afgewezen. Breyer stelt dat hierdoor ook door de overheid gecontroleerde autoriteiten dit soort verwijderingsverzoeken kunnen doen.
In dit verband noemt Breyer specifiek Viktor Orbán, de premier van Hongarije. Volgens hem krijgen dit soort 'autocraten' straks de mogelijkheid om content in de hele EU te verwijderen. Dat baseert Breyer op het afgewezen amendement 528. Daarin was voorgesteld om een onderdeel aan artikel 8 toe te voegen. Dat artikel gaat over de bevelen om op te treden tegen illegale inhoud. Het amendement probeerde de reikwijdte van een dergelijk bevel te beperken tot de lidstaat waarin het bevel is uitgevaardigd. Kortom, het beschermen van providers en platforms tegen buitenlandse verwijderingsbevelen. Volgens Breyer betekent het afwijzen van dit amendement dat grensoverschrijdende verwijderingsverzoeken voor content die in een andere lidstaat legaal is gepubliceerd, worden toegestaan.
Gevolgen voor privacy en recht op anoniem gebruik en betalen
Privacy speelt geen onbelangrijke rol in de DSA. Er is specifiek aandacht besteed aan grondrechten en in het voorstel staat bijvoorbeeld: "Alle maatregelen in het voorstel zijn volledig in overeenstemming met en afgestemd op de hoge norm voor de bescherming van persoonsgegevens en de privacy van communicatie en het privéleven die in de EU-wetgeving is vastgesteld."
Dat er tot het laatste moment aandacht was voor privacy en grondrechten, blijkt ook uit het aangenomen amendement 513. Daarmee wordt toegevoegd dat tussenhandelsdiensten algemene voorwaarden moeten hanteren die eerlijk, niet-discriminerend en transparant zijn. Ook schrijft dit amendement voor dat de algemene voorwaarden de grondrechten en fundamentele vrijheden uit het Handvest eerbiedigen. Daarbij kan gedacht worden aan vrijheid van meningsuiting, privacy en mediavrijheid. Worden die niet eerbiedigd, dan kunnen de voorwaarden nietig worden verklaard.
:strip_exif()/i/2004893132.jpeg?f=imagenormal)
Voor voorvechters van privacy valt er nog meer te juichen dankzij amendement 517, dat met een nipte meerderheid is aangenomen. Deze wijziging voegt enkele passages over anoniem gebruik toe aan een overweging over het niet mogen opleggen van een algemene toezichtsverplichting. "In overeenstemming met het beginsel van dataminimalisatie en ter voorkoming van ongeoorloofde openbaarmaking, identiteitsdiefstal en andere vormen van misbruik van persoonsgegevens, moeten afnemers het recht hebben om diensten anoniem te gebruiken en te betalen wanneer een redelijke inspanning dit mogelijk kan maken. (...) Aanbieders kunnen anoniem gebruik van hun diensten mogelijk maken door af te zien van het verzamelen van persoonsgegevens over de afnemer en zijn onlineactiviteiten en door afnemers niet te beletten gebruik te maken van anonimiserende netwerken om toegang te krijgen tot de dienst. Anonieme betaling kan bijvoorbeeld plaatsvinden door contant te betalen of gebruik te maken van contant betaalde vouchers of vooraf betaalde betaalinstrumenten."
Er is volgens critici als Breyer niet alleen goed nieuws voor de privacy. Zo werd amendement 531 voorgesteld om bevelen om informatie te verstrekken (artikel 9 uit de DSA) te beperken. Bij dit artikel kan een land bijvoorbeeld via metadata informatie krijgen over een gebruiker op een platform. De originele tekst luidt dat een dergelijk bevel van gerechtelijke, maar ook van administratieve autoriteiten kan komen. In het amendement wordt dit beperkt tot gerechtelijke autoriteiten, zodat geen andere bestuursorganen van een lidstaat dergelijke informatiebevelen kunnen doen. Ook werd voorgesteld om dergelijke bevelen uitsluitend toe te staan om ernstige misdrijven te bestrijden en voorkomen. Het amendement werd in overgrote meerderheid weggestemd.
Breyer stelt dat overheden steeds vaker hun macht misbruiken om hun eigen burgers te bespioneren en in dat kader vindt hij het teleurstellend dat de data van gebruikers niet enkel toegankelijk gemaakt kan worden als er een bevel van een rechter ligt. Hij is ook niet te spreken over hoe artikel 9 is opgesteld. Volgens hem regelt dat artikel niet alleen hoe bedrijven hun gebruikersdata beschikbaar moeten stellen aan nationale autoriteiten, maar ook hoeveel. Dit is te vinden in de volgende passage uit artikel 9: "Het bevel vereist alleen dat de dienstverlener informatie verstrekt die al is verzameld met als doel de dienst te verlenen en waarover hij controle heeft." Breyer zegt dat bedrijven erom bekendstaan heel veel data te verzamelen, dus er moet behoorlijk wat data over gebruikers beschikbaar zijn. Conform dit artikel moeten de bedrijven al die informatie overhandigen. Hij stelt dat autoriteiten hiermee zonder rechterlijk bevel hele surfinglogs kunnen opvragen en noemt het dan ook 'surveillance at every turn'. Constanze Kurz, computerwetenschapper van de Chaos Computer Club, zegt vol ongeloof over artikel 9: "We hebben tien jaar gediscussieerd over databescherming en dan komt er zoiets als dit?"
Een belangrijke nuance bij artikel 9 is dat nationale waarborgen worden gerespecteerd. Lidstaten met een fatsoenlijk (straf)procesrecht zullen bij dit soort zaken nog altijd een beslissing van een rechter eisen. Breyer stelt dat dit bijvoorbeeld in Duitsland het geval is, maar hij vraagt zich af wat het betekent voor burgers in landen als Polen en Hongarije, waar de burgerrechten in zijn ogen niet op een dergelijk hoog niveau liggen. Volgens hem is ook nog onduidelijk of bijvoorbeeld Poolse autoriteiten straks surfinglogs van Duitse gebruikers kunnen opvragen.
Tracking-ads en dark patterns
Bij een specifiek onderwerp op het vlak van privacy zijn ook stappen gezet, al was ook hiervoor weer een amendement nodig: het beperken van de impact van surveillance-tracking, ook wel aangeduid met de term tracking-ads. Amendementen 498 en 499 voegen elementen toe over wat het in deze context betekent als een gebruiker weigert toestemming te geven voor het verwerken van persoonsgegevens voor reclamedoeleinden.
Lotje Beek van Bits of Freedom legt kort uit wat die amendementen betekenen. "Als je kiest voor de optie dat je geen gepersonaliseerde advertenties op grond van tracking wil, mag dat niet leiden tot functionaliteitvermindering van het platform. Er moeten eerlijke en toegankelijke manieren blijven om het platform te gebruiken." Ze zegt blij te zijn met de uitkomst van de stemming over de DSA, vooral omdat er op dit punt in haar ogen veel grote stappen zijn gezet. "Dat zie ik als een overwinning", zegt Beek. Ze stipt wel aan dat Bits of Freedom liever een totaalverbod van op tracking gebaseerde advertenties had gezien, maar amendementen om dat te regelen, zijn afgewezen.
Ook amendement 500 is noemenswaardig in deze context. Bits of Freedom omschrijft de betekenis als volgt: 'Wanneer je ervoor kiest om wel op tracking gebaseerde advertenties te ontvangen, dan mogen die in ieder geval niet gebaseerd zijn op gevoelige persoonlijke gegevens. Jouw etniciteit, politieke, religieuze of filosofische overtuiging, de status van jouw gezondheid en jouw seksuele geaardheid mogen dus nooit bepalen welke advertenties je te zien krijgt."
Amendementen 499 en 500 zijn ingediend door de Tracking Free Ads Coalition en hebben het gehaald. In het geval van 500, de toevoeging van een verbod op het gebruik van gevoelige persoonlijke data en gegevens van kinderen voor advertentiedoeleinden, gebeurde dat met een vrij grote meerderheid van 410 stemmen voor en 273 tegen. Bij amendementen 498 en 499 was het spannender: respectievelijk 336 voor versus 302 tegen, en 329 voor versus 303 tegen. Het recht om websites zonder restricties te kunnen blijven bezoeken zonder ja te moeten zeggen tegen tracking-ads, was dus allesbehalve een gelopen race.
Specifiek bij amendement 499 is te zien dat de tegenstemmen in overgrote meerderheid afkomstig zijn van de liberalen, waaronder D66 en de VVD namens Nederland, en de christendemocratische Europese Volkspartij of EVP, waaronder het CDA en de ChristenUnie namens Nederland. Dat patroon is zichtbaar bij veel van dergelijke amendementen over meer privacy en betere waarborgen voor gebruikers. Renew en de EVP stemmen veelal tegen, terwijl de fractie van De Groenen/Europese Vrije Alliantie, met GroenLinks, vrijwel altijd in haar geheel voor dit soort wijzigingen stemt. De Progressieve Alliantie van Socialisten en Democraten, of S&D, toont een wisselend stemgedrag bij dergelijke thema's, maar was dus doorslaggevend bij het aannemen van onder meer amendement 499.
Er was ook een aparte stemming over een verbod op dark patterns. Daarover gaat het met grote meerderheid van stemmen aangenomen amendement 202. Dark patterns zijn simpel gezegd trucs die websites en apps toepassen om gebruikers zaken wel of niet te laten doen, terwijl dat niet direct de bedoeling van deze gebruikers is. Een ja-knop kan bijvoorbeeld groter in beeld komen dan een nee-knop om gebruikers ertoe te bewegen op de ja-knop te klikken. Dit kan gezien worden als een vorm van subtiele manipulatie of zelfs misleiding.
In het kader van gebruikers de controle geven en laten behouden haalde amendement 521 het niet. Deze wijziging stelde voor om aan artikel 24, over transparantie over onlinereclame, een opt-in toe te voegen voor gepersonaliseerde tijdlijnen: "Onlineplatforms mogen persoonsgegevens over het gebruik van de dienst door een afnemer uitsluitend verwerken met als doel een aanbevelingssysteem te laten functioneren, en alleen indien de afnemer hiertoe zijn uitdrukkelijke toestemming heeft verleend." Deze toevoeging werd echter weggestemd met een kleine meerderheid van 352 tegen 306. Het gaat hier dus over tijdlijnalgoritmen die de onlineactiviteit van gebruikers monitoren en aan de hand daarvan prioriteit kunnen geven aan wat eerder reacties uitlokt.
Hoe was de stemming en wat gebeurt er nu?
Voor de hele DSA waren er 530 voorstemmen, 78 tegenstemmen en 80 onthoudingen. Eerder stemde de commissie interne markt en consumentenbescherming van het Europees Parlement al voor de de nieuwe regels en inmiddels heeft dus ook de voltallige vergadering de wetgeving goedgekeurd.
Hiermee komt de DSA in de eindfase van de triloog: de onderhandelingen met de verschillende EU-lidstaten. Het is een informeel overleg achter gesloten deuren waarin de Raad van Ministers, het Europarlement en de Commissie het met zijn drieën eens moeten worden over de uiteindelijke, definitieve tekst.
Als daar een akkoord wordt bereikt, moeten de Raad en het Europees Parlement nogmaals stemmen over de uiteindelijke tekst. Daarna treden de regels in werking; dat zou al in 2023 kunnen gebeuren. Dat jaar wordt onder meer genoemd door Europarlementariër Paul Tang van de PvdA. Hij wijst op de ambities van het huidige Franse voorzitterschap van de EU.
Frankrijk heeft als doel gesteld om nog voor de eigen presidentsverkiezingen van april een akkoord te bereiken. Als dat lukt, is 2023 in principe haalbaar. Dat Frankrijk prioriteit geeft aan deze wetgeving, bleek eerder al toen de Franse president Emmanuel Macron in december vorig jaar een boodschap publiceerde bij de aanvang van het Franse voorzitterschap. In die boodschap wijdde hij een korte passage aan de DSA en de DMA: "Het Franse voorzitterschap moet een moment van de waarheid zijn voor de regulering en verantwoording van digitale platforms."
:strip_icc():strip_exif()/i/2006495064.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2006067636.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2004823388.jpeg?f=fpa_thumb)
/i/2004779058.png?f=fpa)
/i/2004618418.png?f=fpa)
/u/176086/crop5f0823fa5e8d6_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/781801/crop60ae6b20819af_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/259705/AC.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/219059/crop5efafd1bd64af_cropped.jpeg?f=community){kind=small}
/u/153650/2women60x60a.JPG?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}