Volg Software Zaken

De Digital Services Act: wat je kan verwachten

| Joost Krapels | Other

Na vele maanden in de maak is het eindelijk zo ver: de laatste versies van de Digital Services Act (DSA) is gepubliceerd door de Europese Commissie. De DSA, die in het Nederlands “Wet inzake digitale diensten” heet, zal samen met zusterwet Digital Markets Act (DMA) eisen opleggen aan partijen die op het internet aan een grote groep gebruikers diensten aanbieden. Waar de DMA zich puur richt op de internetgiganten, is de DSA op een flinke groep bedrijven van toepassing. In dit artikel leggen we uit hoe de DSA in elkaar steekt en welke eisen het aan verschillende groepen bedrijven stelt.

De DSA in het kort

De DSA lijkt in meerdere opzichten best wel op de AVG en de aankomende e-privacy Verordening. De wetten hebben tot doel personen in de EU extra rechten en zeggenschap over hun data te geven, een eenduidige set regels opleggen aan bedrijven, nationale toezichthouders aanwijzen om de naleving te controleren, en consequenties verbinden aan het overtreden van de regels.

Gelukkig zijn er ook genoeg verschillen, anders was de DSA niet nodig geweest. Waar de AVG zich bijvoorbeeld puur richt op persoonsgegevens, richt de DSA zich op online diensten en de data die daarmee gemoeid gaan. De scope van de DSA bevat alle aanbieders van zogenaamde “tussenhandeldiensten”, of “intermediary services” in het Engels. Omdat zowel kleine internetproviders als wereldwijde social media platforms als Facebook tussenhandeldiensten verlenen, heeft de Europese Commissie er voor gekozen vier lagen aan te brengen. Dit werkt als volgt: alle aanbieders van tussenhandeldiensten vallen onder de DSA. Sommige tussenhandeldiensten zijn “hostingdiensten“. Sommige hosting-diensten zijn “onlineplatforms“. Sommige Onlineplatforms zijn “zeer grote onlineplatforms“. De Europese Commissie heeft dit als volgt weergegeven in een toelichtingsartikel:

 

Tussenhandelsdiensten die netwerkinfrastructuur aanbieden: internetproviders, domeinnaamregistrators, waaronder ook:

Hostingdiensten zoals cloud- en webhostingdiensten, waaronder ook:

Onlineplatforms waar verkopers en consumenten samenkomen, zoals onlinemarktplaatsen, appstores, deeleconomieplatforms en socialemediaplatforms

Zeer grote onlineplatforms vormen een bijzonder risico wat betreft de verspreiding van illegale inhoud en het toebrengen van schade aan de maatschappij. Er zijn specifieke regels vastgesteld voor platforms die meer dan 10% van de Europeanen (dus 45 miljoen gebruikers) bereiken.

 

In de prakijk betekent dit het volgende: zeer grote onlineplatforms hebben te voldoen aan de regels van onlineplatforms, hosting-diensten, en tussenhandeldiensten. Daarnaast hebben ze nog een extra set strenge eisen waar de andere categorieën niet aan hoeven te voldoen. Niet elk onlineplatform is namelijk een zeer groot onlineplatform.

De eisen

Hieronder lichten we per categorie uit wat de twee meest impactvolle eisen zijn.

Tussendienstaanbieders


Transparantierapportage
– bedrijven moeten, minimaal jaarlijks, een rapportage publiceren over moderatie acties die zij hebben uitgevoerd. Zo moet duidelijk gemaakt worden hoeveel content verwijderd is, waarom content verwijderd is, hoeveel verzoeken tot moderatie er zijn binnengekomen, en hoeveel klachten het bedrijf ontvangen heeft.
Contactpunten en zo nodig wettelijke vertegenwoordiger – De autoriteiten, waaronder politie en toezichthouders, moeten één duidelijk aanspreekpunt hebben. Dit aanspreekpunt moet makkelijk te vinden zijn, en “via elektronische weg” communiceren. Bedrijven die buiten de EU gevestigd zijn maar binnen de EU zaken doen, moeten een wettelijke vertegenwoordiger aanstellen.

Er zijn nog twee andere eisen voor dit niveau. Dit zijn:

  • Samenwerking met nationale autoriteiten op bevel
  • Vereisten voor algemene voorwaarden ten aanzien van grondrechten

Hostingdiensten

Meldings- en handelingsverplichtingen om gebruikers te informeren – Gebruikers van hostingdiensten, waaronder dus ook onlineplatforms, moeten kunnen aangeven als zij vermoeden dat gehoste content illegaal of in strijd met het beleid van de hoster is. Als de aanbieder van de hostingdienst een besluit over zo’n bericht/klacht neemt, moet de getroffen gebruiker geïnformeerd worden.
Aangifte strafbare feiten – Zodra een hostingdienst op de hoogte gesteld wordt van een mogelijk strafbaar feit dat gepleegd is of mogelijk gepleegd zal worden, is zij verplicht dit te melden aan de autoriteiten. Hierbij moet ook alle relevante informatie verstrekt worden.

Er zijn geen andere speficieke eisen voor dit niveau.

Onlineplatforms


Speciale verplichtingen voor marktplaatsen
– Als je als platform toestaat dat personen/bedrijven producten verhandelen op je platform, moet je als platform een hoop informatie over deze handelaar bezitten. Naam, contactgegegevens, kopie ID, en inschrijving handelsregister. Je moet deze informatie controleren. De contactgegevens, inschrijvingsnummer handelsregister, en eventuele certificeringen moeten ook beschikbaar zijn voor de gebruikers van het platform.
Transparantie van onlinereclame voor gebruikers – Als het platform reclame bevat, moet deze duidelijk als reclame te herkennen zijn. Gebruikers moeten kunnen zien wie er reclame maakt, en waarom ze deze specifieke reclame te zien krijgen.

Er zijn nog vier andere eisen voor dit niveau. Dit zijn:

  • Klachten- en verhaalmechanisme en buitengerechtelijke geschillenbeslechting
  • Maatregelen tegen verkeerde meldingen en tegenmeldingen
  • Betrouwbare flaggers
  • Verbod op gerichte advertenties voor kinderen en reclame op basis van bijzondere kenmerken van gebruikers

Zeer grote onlineplatforms

Externe, onafhankelijke auditing, interne compliancefunctie en publieke verantwoording – Zeer grote platforms moeten zich minimaal jaarlijks, op eigen kosten, laten auditen door een externe onafhankelijke partij. Dit rapport moeten zij ook binnen 30 dagen delen met de toezichthouder. Ook moet er een (of meerdere) onafhankelijke compliance officers aangesteld worden die toezicht houdt/houden op naleving van de DSA.
Gegevensuitwisseling met autoriteiten en onderzoekers – Dat organisaties op verzoek van de nationale toezichthouder informatie over naleving moeten verstrekken, is niet nieuw. Echter, in de DSA staat ook expliciet vermeld dat Zeer grote onlineplatforms informatie over hun platform en werkwijzes op bevel van de toezichthouder aan onderzoekers moet verstrekken. Deze onafhankelijke onderzoekers bepalen dan of het zeer grote onlineplatform significante risico’s met zich meebrengt die het zelf niet gecommuniceerd heeft.

Er zijn nog vijf andere eisen voor dit niveau. Dit zijn:

  • Transparantie van aanbevelingssystemen
  • Keuze van de gebruiker om geen aanbevelingen te ontvangen op basis van profilering
  • Verplichtingen op het gebied van risicobeheer en crisisrespons
  • Gedragscodes
  • Coördinatie van crisisrespons

Uitzonderingen

Micro- en kleine ondernemingen hoeven niet aan alle eisen te voldoen. Volgens Aanbeveling 2003/361/EG van de Europese Commissie kwalificeer je als micro-onderneming met minder dan tien medewerkers en een jaaromzet onder de 2mln euro. Kleine ondernemingen hebben minder dan 50 medewerkers en een omzet lager dan 10mln euro per jaar. Om de registratielast te verlagen, hoeven bedrijven in deze categorieën bijvoorbeeld geen transparantierapportages uit te brengen en de eisen voor onlineplatforms gelden niet voor hen. Mocht je denken dat je een online platform bent, lees dan hier de volledige wettekst.

Bronnen:

Toelichting Europese Commissie

DSA wettekst

Afbeelding: @gpthree via Unsplash

Author: Joost Krapels
Joost Krapels MSc. heeft zijn BSc. in Artificial Intelligence en zijn MSc. in Information Sciences gehaald aan de VU Amsterdam. Binnen ICT Institute geeft Joost IT-advies aan klanten, adviseert hen over security en privacy, en werkt aan de doorontwikkeling van onze interne tools en templates.