“For too long tech giants have benefited from an absence of rules. The digital world has developed into a Wild West, with the biggest and strongest setting the rules. But there is a new sheriff in town – the DSA. Now rules and rights will be strengthened.”
Christel Schaldemose, lid van het Europees Parlement
Haatzaaien, bedreigingen, wraakporno, kinderporno, oplichting, zwendel, fraude… als een onbeteugeld Wilde Westen is de onlinewereld. Uit de krochten van de samenleving komt het gajes gekropen en krijgt onbeperkt toegang tot wat en wie dan ook, een gebroken land krioelend met gevaar.
Niet langer! Zegt de Europese Unie (EU). Als onderdeel van de EU digital strategy publiceert de EU de Digital Services Act, of digitaledienstenverordening, die als sheriff het Wilde Westen in het gareel zal brengen. De zweep erover!
De DSA introduceert een pakket aan regels voor aanbieders van tussenhandeldiensten, die hun diensten aanbieden aan mensen in de EU. Met dat pakket wordt een evenwicht gezocht tussen aan de ene kant, gepaste zorgvuldigheidsregels voor de aanbieders, en aan de andere kant de (voorwaardelijke) uitsluiting van de aansprakelijkheid van die aanbieders zodat de economie de gelegenheid krijgt te groeien.
In een eerder stuk ging ik in op de DSA, haar achtergrond, en de verplichtingen die zij met zich meebrengt en voor wie. In dit artikel ga ik in op de organisaties die relevant zijn bij de handhaving en toezicht op de naleving van de DSA. Welke partijen moeten we naar kijken voor handhaving en interpretatie van de wet? Waarom zijn zij relevant, wat kunnen ze doen en wat kunnen wij van hen verwachten? In het kort, welke pistolen de sheriff van het Wilde Westen in zijn jasje verbergt.
In dit stuk verwijzen we naar alle aanbieders van tussenhandeldiensten met “aanbieders” en verwijzingen naar artikelen of overwegingen zien op de DSA, tenzij anders aangegeven.
Wil nog meer weten over de DSA? Meld je dan aan voor onze kennismiddag op 11 januari 2024 en word stap voor stap mee door de DSA genomen. Zo weet je aan het einde van de dag waar jouw organisatie aan toe is en welke acties nodig zijn om aan de nieuwe verplichtingen te voldoen.
1. Europese Commissie als waakhond voor de grote partijen
Onder deze aanbieders van tussenhandeldiensten vallen “zeer grote online platforms” (Very Large Online Platforms, VLOP) en “zeer grote online zoekmachines” (Very Large Online Search Engines, VLOSE). Deze titels wees de EC aan aanbieders toe. Denk hierbij aan Alphabet (Google), en Meta (Instagram), maar ook Amazon en Zalando. Deze aanbieders krijgen meer inhoudelijke verplichtingen dan andere aanbieders. Dit komt doordat zij door hun bereik een centrale, systemische rol hebben verworven in het bevorderen van het publieke debat en economische transacties. De Europese wetgever erkent in de DSA de impact van deze platforms op onze economie en samenleving, en stelt een hogere norm voor transparantie en verantwoordingsplicht voor de manier waarop zij inhoudsmoderatie (verwijderen van content online door websitebeheer) toepassen, en voor reclame en algoritmische processen.
Bij de grote partijen hoort ook een grote waakhond: de Europese Commissie (zie artikelen 64-83). De EC is exclusief bevoegd (verscherpt) toe te zien, met behulp van de bevoegdheden in artikelen 64-83 op de VLOPs en VLOSEs. De EC houdt toezicht op de VLOPs en VLOSEs met behulp van DSC’s en de EBDS.
De EC mag:
- zelf onderzoek doen naar de VLOP,
- informatie verzoeken bij de VLOP (of een ander persoon die handelt voor de doeleinden van de VLOP),
- mag mensen horen en verklaringen afnemen, als die personen hiermee instemmen,
- inspecties uitvoeren,
- voorlopige maatregelen nemen in procedures die kunnen leiden tot niet-naleving- of boetebesluiten
- toezeggingen van de VLOP bindend maken (zodat ze erop kunnen handhaven als ze er niet aan voldoen)
- toezicht houden en opdracht geven tot toegang van en uitleg te krijgen over databases en algoritmes,
en kan besluiten nemen tot niet-naleving en boetes (tot 6% van de wereldwijde jaaromzet, artikel 74). Ook als de VLOP incorrecte informatie geeft tijdens een onderzoek, of niet op tijd informatie geeft, kan de EC boetes opleggen (wel lager dan bij inbreuken of falen aan toezeggingen te voldoen, hierbij is het 1% van de wereldwijde jaaromzet). Daarnaast kan de EC dwangsommen opleggen (niet hoger dan 5% van de gemiddelde dagelijkse omzet, artikel 76). Voor beide geldt een verjaringstermijn (artikel 77). Vijf jaar na een inbreuk mag de EC geen boetes of dwangsommen meer aan de desbetreffende aanbieders opleggen. Let wel, deze termijn wordt gestuit het moment dat de EC actie onderneemt, en die verlenging kan tot twee keer de verjaringstermijn (10 jaar dus) lopen.
Als de EC echt al haar kaarten heeft gespeeld, maar de VLOP nog geen actie onderneemt en de DSA blijft schenden, kan zij een artikel 51(3) procedure starten waarbij zij de bevoegde gerechtelijke autoriteit inschakelt om een toegangsverbod of -beperking op te leggen van de ontvangers van de dienst (oftewel, het mag niet meer gebruikt worden) (artikel 82). Dit kan alleen als de inbreuk een strafbaar feit inhoudt of een dreiging voor het leven of de veiligheid van betrokken personen. Hoe die samenwerking er in de praktijk uit zal zien is nog niet bekend.
De EC maakt zelf duidelijk (zie het persbericht van de EC van 25 april 2023) dat zij nauw zal samenwerken met de DSC’s in het toezicht op de VLOPs. Om de DSA te handhaven versterkt de EC haar expertise met interne en externe multidisciplinaire kennis. De EC heeft in dat kader onlangs het Europees Centrum voor Algoritmische Transparantie opgericht en stelt een digitaal handhavingsecosysteem op waarin ze expertise van alle relevante sectoren samenbrengt. Spannend!
2. Digital services coordinator (of digitaledienstencoördinator)
Een rol die nieuw in het leven is geroepen, is die van de Digital Services Coördinator (DSC, artikelen 49-55). In het Nederlands noemen we dat de digitaledienstencoördinator, maar we houden het voor nu even op de Engelse afkorting. De DSC is verantwoordelijk voor de toepassing en handhaving van de DSA binnen een lidstaat. De DSC is verantwoordelijk voor coördinatie op nationaal niveau i.v.m. DSA-kwesties, en voor het bijdragen tot de doeltreffende en consistente toepassing en handhaving van deze verordening binnen de hele EU. Oftewel, de DSC moet een beetje in lijn werken, en afstemmen, met andere DSC’s, de Europese Commissie en de European Board for Digital Services (EBDS, komen we straks nog op).
Op 17 februari wordt de DSA van toepassing op alle tussenhandeldiensten, dan moeten alle lidstaten een autoriteit als DSC hebben aangewezen (artikel 49(2)). De Nederlandse wetgeving die alle verplichtingen voor lidstaten incorporeert (wie houdt toezicht, wat mogen ze allemaal doen, welke bevoegdheden hebben ze) is in de maak en ligt nu ter consultatie. In de voorgestelde implementatiewet is de Autoriteit Consument & Markt aangewezen als DSC (zie artikel 2.1 Voorstel Implementatiewet DSA).
Tussenhandeldiensten werken bijna altijd grensoverschrijdend, waardoor de aanbieder met verschillende autoriteiten te maken kan hebben. De bevoegde lidstaat is de lidstaat waar de “hoofdvestiging” van de betrokken partij zich bevindt (overweging 123 jo. artikel 56(1)). De hoofdvestiging betekent daar waar de aanbieder zijn hoofdkantoor of wettelijke zetel heeft, en waar de belangrijkste financiële functies en operationele controle worden uitgevoerd.
Let op: in de AVG wordt de term “hoofdvestiging” ook gebruikt. “Hoofdvestiging” betekent in de AVG daar waar de centrale administratie ligt en de daadwerkelijke economische keuzes worden gemaakt. Waar de hoofdvestiging is bepalend voor de leidende toezichthoudende autoriteit (artikel 56 AVG) voor de handhaving van de AVG. Hypothetisch gezien kan het dus zo zijn dat je als partij uit de Verenigde Staten met de DSC van Italië te maken hebt voor de naleving van de DSA (financiële functies en operationele controle), en met de gegevensbeschermingsautoriteit van Nederland voor de AVG (economische beslissingen). Waarom niet voor exact dezelfde bewoording is gekozen, is onduidelijk.
Voor partijen die niet in de EU gevestigd zijn maar wel diensten aanbieden aan mensen hiero, is de hoofdvestiging daar waar hun wettelijke vertegenwoordiger zich bevindt of is gevestigd. Voor dergelijke aanbieders is het namelijk verplicht een wettelijk vertegenwoordiger aan te wijzen in de EU (artikel 13).
DSC’s hebben nogal een lijstje aan bevoegdheden en mogen sancties opleggen. Als een DSC in de ene lidstaat een inbreuk vermoedt in de andere, zal zij die DSC vragen om het op te pakken (artikel 58(1)). De DSC’s kunnen ook gezamenlijk een onderzoek starten, gecoördineerd door de EBDS (artikel 60). De bevoegdheden van de DSC’s (en van de bevoegde autoriteiten als ook aangewezen door de lidstaat) kan je hieronder vinden. De noodbevoegdheden mag de DSC alleen inzetten als de overige bevoegdheden geen soelaas bieden.
| Onderzoeksbevoegdheden (art. 51 (1)) | Handhavingsbevoegdheden (artikel 51(2)) | Noodbevoegdheden (artikel 51(3)) |
| Vorderen van informatie bij vermoedelijke inbreuk van de aanbieders en van andere personen die handelen voor doeleinden die verband houden met de handel van de aanbieder. | Toezeggingen van de aanbieders i.v.m. naleving te aanvaarden en verbindend te maken (dan kan de DSC ook reageren op niet-naleving daarvan). | Te eisen van de “beheersinstantie” (management body) dat ze de situatie onderzoeken en eraan voldoen. |
|
Inspecties uitvoeren ter plaatse, om kopieën van informatie m.b.t. vermoedelijke inbreuk te onderzoeken/kopiëren/in beslag te nemen. |
Bevelen te stoppen met een inbreuk, corrigerende maatregelen op te leggen die nodig zijn om de inbreuk te stoppen. |
Als de aanbieder aan het bovenstaande niet voldoet, en de inbreuk zorgt voor ernstige schade en een strafbaar feit vormt, dan kan de DSC de bevoegde gerechtelijke autoriteit vragen tot een tijdelijke beperking van de toegang tot de dienst (verbod). Dit geldt voor 4 weken met mogelijk verlenging en een maximum bepaald door de gerechtelijke instantie. |
|
Werknemers van aanbieders te vragen uitleg te geven bij informatie verband houdend met een vermoedelijke inbreuk. |
Boetes opleggen:
|
|
|
Dwangsommen opleggen opdat de inbreuk wordt beëindigd tot 5% van de gemiddelde dagelijkse winst (artikel 42(4)). |
||
|
Tijdelijke maatregelen te nemen om gevaar van ernstige schade te voorkomen. |
3. Andere bevoegde autoriteiten (voor specifieke taken of sectoren)
Lidstaten kunnen behalve de DSC, die ze ook moeten benoemen of dit moeten beleggen bij een bestaande autoriteit, ook andere “bevoegde autoriteiten” (zie artikel 49(1)) aanwijzen die op specifieke taken of sectoren toeziet. De lidstaten moeten zorgen dat deze taken helder gedefinieerd zijn en dat de bevoegde autoriteiten nauw en effectief samenwerken in de uitvoering van hun taken. De bevoegdheden van de DSC uit artikel 50, 51 en 56 moeten de lidstaten ook laten gelden (in nationale wetgeving) voor de aangewezen bevoegde autoriteiten (artikel 49(4)). Artikel 50 ziet op de status, positie, vereisten en onafhankelijkheid die de lidstaat een bevoegde autoriteit moet toekennen. Artikel 51 op de bevoegdheden zoals je ziet in de tabel in §2, en artikel 56 op de bevoegdheid van de autoriteiten.
In Nederland is in de Uitvoeringswet DSA die nu ter consultatie ligt (daar mogen mensen nog op reageren) de Autoriteit Persoonsgegevens aangewezen voor het toezicht op twee artikelen. Het verbod op het tonen van reclames op basis van profilering waarbij bijzondere persoonsgegevens zijn gebruikt (artikel 26(3)) en het verbod om reclame te tonen op basis van profilering gebaseerd op persoonsgegevens aan minderjarigen (of gebruikers waarvan ze met redelijke zekerheid kunnen zeggen dat het een minderjarige is) (artikel 28(2)).
4. Andere nationale autoriteiten
De Europese wetgever erkent wat menig jurist al voorziet: door de digitalisering die door heel onze samenleving en de markt sijpelt zullen veel verschillende autoriteiten mogelijk moeten toezien op dezelfde partijen en omstandigheden. In artikel 49 benoemt de wetgever dat het aan de lidstaten is voorbehouden om te voorzien in regelmatige uitwisselingen van standpunten met andere autoriteiten wanneer het relevant is voor hun taken, en die van de DSC (zie lid 2). Denk bijvoorbeeld aan de Autoriteit Persoonsgegevens, of de andere taken toebedeeld aan de ACM, of misschien zelfs de Autoriteit Financiële Markten.
5. European Board of Digital Services (of digitaledienstenraad)
Met de inwerkingtreding van de DSA is de European Board of Digital Services (EBDS, of Europese Raad voor digitale diensten) opgericht (artikel 61(1)). Het is een onafhankelijke adviesgroep van DSC’s, opgericht om toezicht te houden op de aanbieders van tussenhandeldiensten. De EBDS adviseert DSC’s en de EC om een consequente toepassing van de DSA te waarborgen en een effectieve samenwerking tussen DSC’s en de EC te realiseren. Daarnaast draagt de EBDS bij aan de begeleiding van de EC en de DSC’s door begeleiding en analyse van nieuwe kwesties op de interne markt die te maken hebben met de DSA. De EBDS is de rechterhand van de EC in het toezicht houden op de VLOPs en VLOSEs.
De EBDS is samengesteld uit “hoge ambtenaren” van de DSC’s – of van andere bevoegde autoriteiten als die zijn aangewezen in nationaal recht - uit de lidstaten (artikel 62(1)). Ongeacht de hoeveelheid hoge ambtenaren, heeft elke lidstaat een stem. De EC zit de EBDS voor, maar heeft geen stem.
Ik verwacht dat de EBDS zich hetzelfde zal bewegen als de European Data Protection Board, de equivalent van dit orgaan voor de AVG. Dat betekent dat ze richtsnoeren publiceert over de toepassing van de DSA en specifiek focust op zaken waar we in de praktijk mee stoeien.
6. Gecertificeerd buitengerechtelijkegeschillenbeslechtingsorgaan
Ja, ja, je dacht dat het niet erger kon worden na de “gegevensbeschermingseffectbeoordeling” van artikel 35 AVG, maar de DSA doet het toch nog even beter. Artikel 21 introduceert de buitengerechtelijkegeschillenbeslechtingsorganen. De DSC kan deze organen certificeren onder bepaalde voorwaarden. Als de organen gecertificeerd zijn, zijn dat de plekken om naartoe te gaan voor geschillen (conflict) oplossing als gebruiker van een online platform indien je beperkt bent in het gebruik van het platform. Deze organen moeten binnen 90 dagen beslissen n.a.v. het ontvangen van een klacht, en rapporteren jaarlijks aan de DSC over de geschillen die ze hebben opgelost en hoe (artikel 21(4)). Lidstaten kunnen deze organen ook zelf oprichten voor de bovenstaande doeleinden (artikel 21(6)).
7. Trusted Flaggers
De DSA “introduceert” een nieuwe rol, die van de betrouwbare/trusted flagger. Trusted flaggers zijn organisaties (geen individuën, zie overweging 61) die zodanig expertise hebben aangetoond dat zij over bijzondere expertise en competentie beschikken in het aanpakken van illegale inhoud, en dat zij op een nauwkeurige objectieve manier te werk gaan. De nationale DSC’s kunnen trusted flaggers aanwijzen. Het gehele aantal trusted flaggers moet beperkt blijven, om te voorkomen dat het trusted-flagger-systeem vermindert in waarde. Trusted flaggers kunnen via het notice-and-action systeem (het vermoeden van) illegale inhoud melden, en hun meldingen behandelt de aanbieder met prioriteit (artikel 22(1)). Dit kunnen overheidsorganisaties zijn, zoals bijvoorbeeld Europol, maar ook niet-gouvernementele organisaties of semioverheid. Denk bijvoorbeeld aan het INHOPE-netwerk van meldpunten voor het melden van materiaal van seksueel misbruik van kinderen.
8. Aansprakelijkheid door ontvangers van de dienst
Als een gebruiker van een tussenhandeldienst door een inbreuk op de DSA schade of verliezen lijdt, heeft hij recht om de aanbieder van die tussenhandeldienst te verzoeken om schadevergoeding (artikel 54) naar toepasselijk recht.
De gebruiker kent door dit recht geen officiële autoriteit, maar kan aanbieders wel aansprakelijk stellen voor inbreuken op de DSA. Zeker bij de naleving van de AVG zien we dat verschillende stichtingen en burgerrechtenorganisaties in naam van grote groepen (massaschadeclaims) consumenten naar de rechter trekken om rechtmatigheid te halen.
9. De munitie en zijn potentie
Blaffende honden bijten niet, iets met tandeloze tijgers, en andere gezegden over heel veel bombarie om uiteindelijk niets, komen op als je door deze bevoegdheden loopt. Zeker in de nasleep van de AVG, en de vele kritiek die toezichthouders ontvingen in het handhaven op inbreuken. Aangezien de DSA al in werking is getreden voor VLOPs en VLOSEs, hebben we al wat inzicht in de bewegingen van autoriteiten. Het lijkt toch - nu al - anders te gaan.
Eurocommisaris Breton stuurde een brief aan X en eiste compliance en informatie van X over de (veronderstelde) verspreiding van illegale inhoud over het conflict in Israël. “Dit verzoek volgt op aanwijzingen van de diensten van de Commissie over de mogelijke verspreiding van illegale inhoud en desinformatie, met name terroristische en gewelddadige inhoud en haatzaaiende uitlatingen.”, aldus de website van de EC. De VLOPs van deze wereld, zoals X, moeten immers zelf een risicoanalyse doen op hun platform en adequaat reageren op illegale inhoud en desinformatie. Ze moeten “beoordelen en beperken van risico's in verband met de verspreiding van illegale inhoud, desinformatie, gendergerelateerd geweld en eventuele negatieve effecten op de uitoefening van de grondrechten, de rechten van het kind, de openbare veiligheid en het geestelijk welzijn.”. Dat gaat veel verder dan snel op een klacht reageren, of alleen specifiek kijken naar illegale inhoud. VLOPs kennen de verantwoordelijkheid om zélf een inschatting te maken waar de risico’s liggen van hun platform en hoe daarop te reageren. De EC vindt duidelijk dat dit niet goed ging ten aanzien van de berichten over het conflict in Israël en de Palestijnse gebieden.
Over datzelfde onderwerp popten op verschillende (kinder)spelletjes, te spelen op de iPhone, ook “reclames” op die schokkende beelden van aanslagen en ontvoeringen van terreurbeweging Hamas toonden tijdens dit verschrikkelijke conflict. De EC heeft zich hier nog niet over uitgelaten, maar als de advertenties via Apple komen heeft Apple de verantwoordelijkheid zo spoedig mogelijk hierop te reageren. Het lijkt erop dat dat nu niet op tijd gebeurt.
De situatie in Israël en de Palestijnse gebieden toont temeer hoe groot, centraal en impactvol de positie van aanbieders van platformen is in het verspreiden van informatie en het tegengaan van illegale inhoud. Het is bizar te bedenken dat ik, als Nederlander in Nederland, nooit eerder van zo dichtbij zo direct beelden zag van een gewapend conflict via onlineplatforms. Bijvoorbeeld van Israëlische vrienden die aan de frontlinie van geweld (moeten) staan. We hebben niet meer één nieuwsuitzending waar we met het hele land om 20:00 naar kijken, maar nieuws – of in ieder geval informatie – komt van alle kanten, de hele dag door. Dat online platforms om gezien, en begrepen te worden, in zulke situaties gebruikt worden door partijen van alle kanten, is niet meer dan logisch.
Voor aanbieders moge die impact en daarmee gepaarde verantwoordelijkheid duidelijk zijn, want “where there is great power there is great responsibility” (Winston Churchill). Die verantwoordelijkheid ligt gek genoeg in onze samenleving nu bij grote commerciële billion dollar companies, enigszins anders dan in Churchills tijd. Laten we hopen dat aanbieders deze verantwoordelijkheid nú aanpakken, en toezichthouders hen anders op de hielen zitten.
