Blog Layout

Digital Services Act

14 juli 2024

Digital Services Act (DSA)

AuteurTim Fitters (IT Risk & Compliance Consultant)


De Digital Services Act

Intussen is er alweer veel geschreven over de Digital Services Act (DSA). In deze blog neem ik je kort mee in wat de DSA is en waar je als bedrijf rekening mee moet houden. De DSA is (weer) een nieuwe Europese verordening die ook weer tot doel heeft om een veiligere en meer verantwoordelijke onlineomgeving te creëren. De wetgeving is van toepassing op een groot deel van de online platformen, zoals marktplaatsen, sociale netwerken, platforms voor het delen van content, app stores en online reisplatforms. Het belangrijkste doel van de DSA is om illegale en schadelijke activiteiten online voorkomen, de verspreiding van desinformatie tegen gaan en de gebruikers meer controle en keuze geven. Kortom, de DSA richt zich op de bedrijven achter platformen en heeft als doel het beschermen van de (minderjarige) gebruiker, (andere) bedrijven en de samenleving online.

 

Dit doet de DSA door duidelijke en proportionele regels vast te stellen. Naast meer bescherming is de bedoeling dat de DSA ook zal leiden tot meer innovatie, groei en concurrentievermogen binnen de Europese digitale markt, waarbij ook kleinere bedrijven een kans krijgen. De DSA zal de rollen van gebruikers, platforms en overheden balanceren. Waarbij de Europese waarden en de belangen van burgers centraal staat.

 

Wat houdt de DSA in en voor wie?

We weten nu waarvoor de DSA in het leven is geroepen, maar wat houdt de DSA nu in? De DSA stelt regels voor verschillende soorten online diensten die miljoenen Europeanen dagelijks gebruiken. Voorbeelden hiervan zijn grote online platforms zoals Facebook (Meta), Google, en Amazon, die onder strengere regels vallen vanwege hun groot aantal gebruikers, bereik en impact. Hierover later meer. Andere diensten zijn online marktplaatsen zoals Bol.com en eBay, app stores zoals Apple's App Store en Google Play, deeleconomieplatforms zoals Airbnb, sociale media zoals Twitter en TikTok, en hostingdiensten zoals cloud- en webhosting, en diensten zoals internetproviders en domeinnaamregistrators.

 

Maar mijn platform is niet zo groot als Facebook, gelden voor mij dezelfde verplichtingen? Nee, gelukkig niet. Welke verplichtingen voor je bedrijf gelden, zijn afhankelijk van de grote en de aard van je diensten. Zo zijn de verplichtingen van kleine(re) platforms minder uitgebreid dan die voor grote platforms. Nog beter nieuws is dat de ‘kleinste’ ondernemingen zijn vrijgesteld van de meeste verplichtingen met betrekking tot de DSA, echter worden ze wel aangemoedigd om hun diensten in lijn te brengen met de DSA. En wanneer ben je dan een klein bedrijf? Als je minder dan 50 werknemers en een jaaromzet en/of een jaarlijkse balans die niet hoger is dan € 10 miljoen hebt dan val je niet onder de verplichtingen van de DSA. Mocht je hierboven komen als platform dan gelden de volgende verplichtingen voor je:

  • Meldings- en beroepsprocedures: het implementeren toegankelijke en gebruiksvriendelijke processen/methodes voor gebruikers om illegale inhoud te melden en bezwaar te maken tegen beslissingen over het verwijderen van inhoud.
  • Betrouwbare flaggers: Samenwerken met onafhankelijke experts op het gebied van illegale inhoud om illegale inhoud sneller te identificeren en te verwijderen, bijvoorbeeld fact-checking.
  • Maatregelen en bescherming tegen misbruik: bijvoorbeeld maatregelen om te voorkomen dat meldsystemen worden misbruikt, het aanpakken van gebruikers die herhaaldelijk de fout in gaan (o.a. plaatsen illegale content, misbruik van systemen) en het aanpakken van ‘dark patterns’ (Dit zijn technieken die gebruikers manipuleren of misleiden om keuzes te maken die niet in hun eigen belang zijn, bijvoorbeeld door de procedure om een dienst op te zeggen opzettelijk complex te maken. Bijvoorbeeld bepaalde loterijen die hun opzegprocedures moeilijk en onduidelijk maken). 
  • Afhandeling van klachten: Procedures voor het afhandelen van klachten van gebruikers. Waarbij klachten onverwijld behandeld dienen te worden.
  • Screening van derde partijen: Controleren van de referenties van derde partijen waaraan diensten worden uitbesteed.
  • Transparantie verplichtingen: zoals je gebruikers informeren over de advertenties die ze te zien krijgen, inclusief waarom en wie ervoor heeft betaald. Waarbij gepersonaliseerde advertenties op basis van gevoelige gegevens, zoals geloofsovertuiging of seksuele geaardheid, zijn verboden.


VLOPs en VLOSE’s

Ik vroeg me hetzelfde af… Wat zijn nu weer VLOPs en VLOSE’s? VLOP staat voor Very Large Online Platform en VLOSE staat voor Very Large Online Search Engine. Dus in het Nederlands: zeer grote platformen en zoekmachines. Waarom worden deze apart genoemd? Deze worden apart genoemd in de DSA, omdat voor hen extra verplichtingen gelden. Waarom? Omdat we inmiddels allemaal wel weten dat bijvoorbeeld sociale media een grote rol speelt tijdens publieke evenementen, zoals verkiezingen, en dat ‘fake news’ dan aan de orde van de dag is. Alhoewel ik hoop dat Mark Zuckerberg of een andere CEO van een groot platform mijn blogs zal lezen, verwacht ik dit niet. Ondanks dat, is het voor de volledigheid belangrijk om de verplichtingen van VLOP's en VLOSE’s ook te bespreken, omdat de DSA zich voornamelijk richt op deze platforms.

 

Je bent een VLOP of VLOSE wanneer je platform ten minste 45 miljoen gebruikers in de EU bereikt, wat gelijk is aan 10% van de Europese bevolking. Dit aantal gebruikers geeft aan dat deze platforms een aanzienlijke maatschappelijke en economische impact hebben, wat nogmaals de reden is dat de DSA strengere verplichtingen oplegt aan deze grote platforms. De Europese Commissie is verantwoordelijk voor het beoordelen of een platform de drempel van 45 miljoen gebruikers heeft bereikt. Om deze beoordeling te kunnen maken, moeten alle online platforms, met uitzondering van de kleine bedrijven, informatie publiceren over hun aantal actieve gebruikers per maand. Deze publicatie moet voor het eerst gebeuren op 17 februari 2024 en vervolgens minstens één keer per zes maanden. Zodra de Europese Commissie een platform heeft aangewezen als VLOP of VLOSE, heeft dat platform vier maanden de tijd om te voldoen aan de DSA-verplichtingen. Deze verplichtingen omvatten onder andere het volgende:

  • Risicobeheer: Jaarlijkse risicobeoordelingen uitvoeren en maatregelen nemen om de risico's te beperken, zoals de verspreiding van illegale inhoud en desinformatie.
  • Externe risico-audits: Onafhankelijke auditors laten controleren op risicobeheer.
  • Openbare verantwoording: Transparantie over activiteiten en verantwoording afleggen aan het publiek, bijvoorbeeld over de algoritmes.
  • Transparantie van aanbevelingssystemen: Transparantie over de werking van aanbevelingssystemen en gebruikers in staat stellen om de criteria te wijzigen.
  • Toegang tot gegevens voor onderzoekers: Gegevens delen met geautoriseerde onderzoekers om de werking van platforms en de ontwikkeling van online risico's beter te begrijpen.

De handhaving van de DSA ligt ook bij de Europese Commissie voor VLOP's en VLOSE's, terwijl de lidstaten zelf verantwoordelijk zijn voor het toezicht op de overige online diensten in hun land. In Nederland zijn de ACM en AP de beoogde toezichthouders. Bedrijven die de regels niet naleven, kunnen boetes krijgen tot 6% van hun wereldwijde omzet. In het geval van zeer ernstige overtredingen kan de toegang tot een dienst tijdelijk worden stopgezet.


Voorbereiding op de DSA.

Wanneer je onder de DSA valt is het verstandig om hierover advies van experts in te winnen, zodat je volledig kan voldoen aan deze wetgeving. Voldoen aan de DSA is namelijk te complex om ‘even’ in een blog uit te schrijven. Wel kun je de volgende dingen doen om je voor te bereiden op de DSA. Ten eerste moet je de wet begrijpen en bepalen of je bedrijf eronder valt. Identificeer daarna de specifieke verplichtingen die voor jouw bedrijf gelden. Herzien, beoordeling en implementeer vervolgens de nodige beleidslijnen, procedures en systemen om aan de DSA te voldoen. Waar je aan zou kunnen denken zijn bijvoorbeeld:

-      Het bijwerken van de algemene voorwaarden

-      Het opzetten van klachtafhandeling systemen.

-      Het opzetten van een meldingssysteem. bijvoorbeeld: een online marktplaats zou een geautomatiseerd systeem kunnen implementeren om verdachte producten te detecteren en gebruikers de mogelijkheid te geven om illegale content te melden.

Tot slot: blijf te allen tijde op de hoogte van de ontwikkelingen in deze wetgeving en wees transparant. Het is een goed idee om bepaalde werknemers aan te stellen die verantwoordelijk zijn voor de compliance aan de DSA. Ten eerste omdat je er zo voor zorgt dat de wetgeving top of mind blijft. Ten tweede omdat dit ook verplicht is vanuit de DSA. In Artikel 12 van hoofdstuk 3 van de verordening staat bijvoorbeeld dat aanbieders een centraal contactpunt moeten aanwijzen, zodat afnemers via een rechtstreekse en gebruiksvriendelijke manier met de aanbieder kan communiceren. Zoals besproken zorgt de DSA voor meer ‘keuze vrijheid’ van gebruikers. Dit contact punt mag daarom niet uitsluitend gebaseerd zijn op geautomatiseerde hulpmiddelen, zodat de gebruiker een communicatiemiddel kan kiezen.

 

In de inleiding heb ik aangegeven dat dit artikel een soort ‘high fly-over’ van de DSA is. Dus ik snap het als je jezelf afvraagt: waarom wordt er ingezoomd op een specifiek artikel? Dit is om het volgende punt duidelijk te maken: de DSA is een complexe en uitgebreide wetgeving en dit artikel is gebaseerd op de bronnen in de bronnenlijst, en niet toegespitst op een specifiek bedrijf of situatie. Daarom wil ik graag benadrukken dat dit artikel een korte toelichting van de DSA en geen volledige (juridische) analyse van de DSA is. Het is daarom raadzaam je te laten adviseren over de toepassing van de DSA in jouw specifieke geval.


Key take aways

Ter afsluiting nog even een korte samenvatting van wat we hebben besproken:

  • Wat is de DSA?: De DSA is een stap in de richting van een veiliger, transparanter en meer verantwoord digitaal ecosysteem in de EU. Door middel van een nieuwe set regels zorgt de DSA ervoor dat het internet veiliger en eerlijker wordt voor iedereen die het gebruikt. Het gaat over allerlei websites en apps waar je dingen kunt kopen, informatie kunt delen of met vrienden kunt praten, zoals Facebook, Bol.com, en YouTube.
  • Waarom is de DSA belangrijk?: Stel je voor dat je iets online koopt en het blijkt nep te zijn. De DSA wil dat soort dingen voorkomen. Ook wil het voorkomen dat mensen haatberichten of verkeerde informatie verspreiden. Het zorgt ervoor dat je beter beschermd bent als je online bent.
  • Voor wie gelden deze regels?: De regels van de DSA gelden voor grote websites met veel gebruikers, zoals Facebook en Google, maar ook voor kleinere websites en apps. Elk type website moet zich aanpassen aan de regels, afhankelijk van hoe groot ze zijn en hoeveel mensen ze bereiken.
  • Wat moeten deze platformen doen?: Ze moeten ervoor zorgen dat er geen illegale dingen op hun website staan, zoals verboden spullen verkopen of mensen pesten. Als ze iets illegaals ontdekken, moeten ze het snel weghalen. Ook moeten ze eerlijk zijn over waarom ze dingen verwijderen van hun website.
  • Wanneer beginnen deze regels?: Vanaf februari 2024 moeten alle websites en apps in Europa aan deze nieuwe regels voldoen. Grote websites moesten zelfs eerder beginnen, in augustus 2023.
  • Hoe kunnen bedrijven zich voorbereiden?: bedrijven moeten goed begrijpen welke regels voor hen gelden, transparant zijn en n.a.v. de nieuwe regels beleid implementeren.

 

Gebruikte bronnen:

Ministerie van Economische Zaken en Klimaat. (2023, 17 februari). EU-regelgeving van start: extra verantwoordelijkheden digitale diensten. Nieuwsbericht | Rijksoverheid.nl. https://www.rijksoverheid.nl/actueel/nieuws/2023/02/17/eu-regelgeving-van-start-extra-verantwoordelijkheden-digitale-diensten

 

Ministerie van Economische Zaken en Klimaat. (2024, 16 februari). DSA: extra verantwoordelijkheden gelden nu voor alle digitale diensten. Nieuwsbericht | Rijksoverheid.nl. https://www.rijksoverheid.nl/actueel/nieuws/2024/02/16/dsa-extra-verantwoordelijkheden-gelden-nu-voor-alle-digitale-diensten

 

Press corner. (z.d.). European Commission - European Commission.

https://ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2348

The enforcement framework under the Digital Services Act. (z.d.). Shaping Europe’s Digital Future. https://digital-strategy.ec.europa.eu/en/policies/dsa-enforcement

 

The EU’s Digital Services Act. (z.d.). European Commission. https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/digital-services-act_en#:~:text=Digital%20Services%20Act%20(DSA)%20overview&text=Its%20main%20goal%20is%20to,and%20open%20online%20platform%20environment.

 

The impact of the Digital Services Act on digital platforms. (z.d.). Shaping Europe’s Digital Future. https://digital-strategy.ec.europa.eu/en/policies/dsa-impact-platforms

 

 

REGULATION (EU) 2022/2065 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL

of 19 October 2022, on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act). L_2022277EN.01000101.XML. (z.d.). https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022R2065

 

 

AI in Cybersecurity

05 okt, 2024
AI in Cybersecurity

Zero Trust: Wat is het en waarom zou ik het gebruiken?

25 aug, 2024
Zero Trust: Wat is het en waarom zou ik het gebruiken?

Security Behavior & Culture

11 aug, 2024
Security Behavior & Culture

Digital Services Act

14 jul, 2024
Digital Services Act (DSA)

Cyber Resilience Act

02 jul, 2024
Cyber Resilience Act (CRA)

Digital Operation Resilicience Act (DORA)

21 jun, 2024
Digital Operation Resilicience Act (DORA)

NIS2

14 jun, 2024
NIS2... wat moet ik ermee?

Cyberus Beach Party

09 jun, 2024
Cyberus Beach Event 

AI Act

08 jun, 2024
The Artificial Intelligence (AI) Act

Information Security

07 jun, 2024
Help! Wat kan ik zelf doen voor het verbeteren van mijn informatiebeveiliging? 
Meer posts
Share by: