Europese Digital Services Act gaat nu in: ‘Een experiment op het hoogste niveau, met forse boetes’

De Europese Unie versterkt vanaf 25 augustus haar greep op grote techbedrijven. De Digital Services Act (DSA) is een pakket met strengere regels dat consumenten moet beschermen op de grootste onlineplatformen. “Sancties als gevolg van inbreuken zijn proportioneel, maar de grootste boetes zijn ook ongezien”, zegt Aleksandra Kuczerawy, postdoctoraal onderzoeker bij het Centre for IT & IP Law (CiTiP) van de KU Leuven.

De Digital Services Act van de Europese Unie is een nieuw pakket van regels waarmee beleidsmakers het beleid van de grootste onlineplatformen structureel wil bijsturen. Negentien onlinediensten vallen onder de DSA-regelgeving. Bij een inbreuk staan techbedrijven straffen van formaat te wachten, met als grootste sanctie een tijdelijke opschorting van de dienst in de EU-landen. De EU beschermt onder meer de privacy van minderjarigen online, verwacht strenge contentmoderatie en transparantie over de werking van algoritmes die content en reclame aanbevelen.

Het is maar een greep uit het pakket van de DSA dat vanaf 25 augustus geldt voor een selectie van onlinediensten die actief zijn in landen van de EU. De wet is in april 2022 aangenomen, maar de EU kondigde maar onlangs aan welke bedrijven onder de regels vallen. Het gaat om platformen die elk meer dan 45 miljoen dagelijkse actieve gebruikers hebben. De techbedrijven Google, Meta en Microsoft zijn met meerdere diensten onderworpen aan de regels.

Hieronder volgt een overzicht van de bedrijven die onder de DSA vallen. Europa bekijkt of nog vier tot vijf andere bedrijven aan de lijst moeten worden toegevoegd. Die beslissing moet in de komende weken vallen. Welke bedrijven dat zijn, is niet bekend.

In het verleden heeft de EU de grootste techbedrijven al geregeld veroordeeld als gevolg van privacyinbreuken of oneerlijke concurrentie. Zo moest Google van Europa 4,125 miljard euro betalen omdat het zijn zoekmachine en browser een dominante positie gaf op het Android-besturingssysteem voor smartphones.

Waarom is er behoefte aan deze nieuwe wet als de EU al eerder met succes financiële sancties heeft opgelegd aan grote techspelers die buiten de lijntjes kleuren?

ALEKSANDRA KUCZERAWY. “Een wetgeving zoals de Digital Services Act van de EU is nog niet eerder op zo’n grote schaal uitgerold. De DSA bestaat uit een divers pakket met verschillende lagen van verplichtingen. Voor elk van die lagen zijn er procedures en regels die de bedrijven moeten volgen. Eerst kregen ze veel meer vrijheid.

“Neem de regels over contentmoderatie, een belangrijk onderdeel voor de sociale mediaplatformen. Elk land van de EU had een eigen aanvullende regelgeving over welke onlinecontent wel of niet door de beugel kan. Landen konden wel leunen op de zogenoemde ‘richtlijn inzake elektronische handel in de EU’, maar die regels zijn verouderd als ze moeten worden toegepast op contentmoderatie. Techbedrijven zijn nu – onder bepaalde voorwaarden – vrijgesteld van aansprakelijkheid voor illegale content die afkomstig is van hun gebruikers. Daarnaast zien we dat sommige platformen dan weer te naarstig berichten verwijderden, ook als die niet illegaal zijn, maar gewoon omdat ze als ‘ongepast’ worden beschouwd in de algemene voorwaarden van het platform. Dat vormt een inmenging in het recht op vrije meningsuiting. De nieuwe wetgeving die ingaat in augustus legt platformen bepaalde procedures op voor contentmoderatie.”

“De DSA bevat concrete regels voor ieder onderdeel waarbij ook het luik opvolging komt kijken. De 19 platformen worden actief door gemonitord en de sancties voor inbreuken zijn duidelijk en proportioneel opgesteld. Het doel is niet om geld te verdienen aan bedrijven als Amazon en Google omdat ze de regels overtreden, maar wel om ervoor te zorgen dat de regels worden nageleefd. Daarom wordt dus niet meteen gezwaaid met geldboetes, maar zijn er eerst waarschuwingen. Als blijkt uit externe audits dat die voor langere tijd genegeerd worden, lopen bedrijven het risico op een hogere straf.”

‘De DSA werd ruim op voorhand aangekondigd en de bedrijven kregen de nodige tijd om hun beleid aan te passen tegen augustus. Het is twijfelachtig of al die bedrijven tegen dan volledig in lijn zullen zijn met de regelgeving

Aleksandra Kuczerawy, KU Leuven

Welke lagen van de DSA zullen de grootste impact hebben?

KUCZERAWY. “Contentmoderatie is een grote uitdaging voor sociale mediaplatformen en het is ook een topic dat bij veel gebruikers tot onvrede leidt. Stel dat Facebook een statusbericht wil modereren, dan moet het u eerst op de hoogte brengen, correct informeren en de beslissing beargumenteren. U krijgt ook de mogelijkheid tegen die beslissing in te gaan. En stel dat iets wordt geblokkeerd, dan heeft dat gevolgen op elke reactie die eronder staat. De hoeveelheid meldingen over moderatie zal enorm zijn. Het zal voor bedrijven een grote inspanning vergen om al die informatie te verwerken.

“Daarnaast zullen de beperkingen rond doelgerichte advertenties een grote impact hebben. Onlinereclame mag niet meer gericht zijn op minderjarigen en niet meer gebaseerd mag zijn op profilering op basis van gevoelige gegevens zoals bijvoorbeeld politieke overtuigingen. En dan is er nog het gegeven risicoanalyse waar nog grote vraagtekens bij staan als het om de haalbaarheid gaat. De onlineplatformen zijn verplicht om zelf een risicoanalyse te maken omtrent tal van situaties die zich voordoen op hun website of app. Om maar enkele topics te noemen: illegale uitspraken of content, respect voor fundamentele rechten, mogelijke negatieve invloed op minderjarigen, de invloed op mentaal welzijn, geweld tussen man en vrouw, desinformatie, civiele zaken enzovoort.”

“De bedrijven moeten met de DSA aantonen dat ze de nodige maatregelen nemen om dit soort van risico’s en invloeden tegen te gaan, bijvoorbeeld door hun algoritmes te bewerken. Maar zoals u ziet omvat die risicoanalyse veel verschillende onderwerpen en dan hebben we het nog niet over mogelijke rol van de lokale context en verschillende talen op content.”

‘De Europese Commissie heeft geleerd uit GDPR. De regelgeving was goed, maar de opvolging niet’

Aleksandra Kuczerawy, KU Leuven

Die contentmoderatie en risicoanalyse zijn bijzonder arbeidsintensief. Tegelijk snoeien sociale mediabedrijven in hun personeelsbestand op het moment dat ze een streng takenpakket krijgen. Twitter heeft nu minder dan 2.000 voltijdse medewerkers, ten opzichte van de 7.500 werknemers in oktober 2023 voor Elon Musk het bedrijf ging leiden. Toch valt het onder de DSA-regels vanwege de gebruikersaantallen.

KUCZERAWY. “Bedrijven zouden voorbereid moeten zijn. De DSA werd ruim op voorhand aangekondigd en de bedrijven kregen de nodige tijd om hun beleid aan te passen tegen augustus. Het is twijfelachtig of al die bedrijven tegen augustus volledig in lijn zullen zijn met de regelgeving, maar daar is de Europese Commissie ook op voorzien. De bedrijven zullen op 26 augustus, de dag na het ingaan van de regelgeving, niet plots een fikse boete in de bus krijgen. De rol die de Commissie met de DSA inneemt, is ook volledig nieuw. Daarom zal er in de beginfase nog een zekere mildheid zijn, zeker wanneer bedrijven aantonen dat ze willen meewerken. Hoelang die periode geldt en wanneer de teugels echt strak worden aangespannen, is niet duidelijk.”

Dat klinkt alsof de opvolging van de DSA niet zo streng en nauwgezet zal verlopen. Negentien platformen monitoren op de naleving van een breed pakket aan regels is een grote taak.

KUCZERAWY. “Zelfs de beste wetgeving heeft geen enkele zin als ze niet naar behoren wordt opgevolgd. Dat is ook de conclusie die wetgevers hebben getrokken uit de Algemene verordening gegevensbescherming (GDPR). De regelgeving was goed, maar de opvolging niet. Grote techbedrijven die in Europa zijn gevestigd, werken vanuit Ierland, waar ze ook moesten worden gesanctioneerd. Alleen is Ierland niet altijd bereid om te handelen zoals anderen dat zouden doen.

‘De Commissie kreeg al de kritiek dat de scheiding der machten onder druk komt te staan als gevolg van de nieuwe wetgeving. De DSA voelt aan als een soort experiment langs beide kanten’

Aleksandra Kuczerawy, KU Leuven

“Dat specifieke probleem moet de DSA vermijden. Daarom krijgt de Europese Commissie deze keer zoveel macht. De Commissie kreeg daarom al de kritiek dat de scheiding der machten onder druk komt te staan als gevolg van de nieuwe wetgeving. De DSA voelt aan als een soort experiment langs beide kanten.”

De grootse financiële sanctie betreft een boete van 6 procent van de mondiale jaaromzet. Amazon haalde in 2022 bijvoorbeeld een omzet van 514 miljard dollar. Dat wil zeggen dat het bedrijf een boete van 30,8 miljard euro kan krijgen. Dat is een duizelingwekkend bedrag, zelfs voor oprichter Jeff Bezos.

KUCZERAWY. “Dat is ook de bedoeling. Sancties als gevolg van inbreuken zijn proportioneel, maar de grootste boetes zijn ook ongezien. Voor miljoenenboetes schrikt een bedrijf als Amazon niet terug. Maar belangrijk is dat de boetes proportioneel zijn. Om een boete van 30,8 miljard te krijgen, moet er al systematisch en herhaaldelijk een grote inbreuk zijn gebeurd.”

En wat als we straks opnieuw een situatie krijgen zoals het Cambridge Analytica-schandaal? Dat was een onverwacht privacyschandaal op wereldschaal en met grote gevolgen. Dan moet er toch meteen een grote financiële sanctie volgen?

KUCZERAWY. “Bij dat schandaal was er een element van desinformatie en er waren politieke gevolgen in de Verenigde Staten, want de presidentsverkiezingen werden beïnvloed. Als het Cambridge Analytica-schandaal na de invoer van de DSA-regels in augustus 2023 zou plaatsvinden, zou het ook met de komst van de DSA nog steeds ontzettend complex zijn, omdat er dan nog steeds zou moeten gekeken worden welke regels van de DSA en welke regels van de GDPR zouden zijn overtreden. Er zou dus een onderzoek benodigd zijn, met mogelijke boetes tot gevolg. Het feit dat deze duidelijkere regelgeving nu bestaat en dat er zicht is op proportionele financiële sancties, moet afschrikken.”

‘Situaties zoals in de Verenigde Staten, waar men TikTok wil blokkeren voor alle gebruikers, wil de Europese Unie juist vermijden. Mensen hebben recht op informatie’

Aleksandra Kuczerawy, KU Leuven

Naast de financiële sancties voor de negentien onlineplatformen bestaat er nog een grotere straf: een tijdelijke blokkering van de dienst in de EU.

KUCZERAWY. “Er moet al een heel ernstige inbreuk plaatsvinden alvorens zo’n straf wordt uitgesproken, omdat zo’n sanctie ook grote gevolgen heeft voor de gebruikers en hun toegang tot informatie. Zo is er bijvoorbeeld de discussie over TikTok. Europese landen willen de Chinese app blokkeren op de telefoons van overheidspersoneel, maar de Verenigde Staten spreken over een blokkering voor alle Amerikaanse burgers. Dat is onwettig, omdat het ingaat tegen het eerste amendement van de Grondwet van de Verenigde Staten, met name de vrijheid van meningsuiting. Zulke situaties wil de Europese Commissie vermijden. Zij kan zo’n ernstige straf trouwens niet uitspreken, dat moet nog steeds via de rechtbank gebeuren.”

Het is ook opvallend dat de DSA geen regels omvat die misbruik tegengaan van content die door generatieve artificiële intelligentie (AI) is gemaakt. Toch bestaan deepfakes al langer en kan AI muziek genereren met de stem van bekende artiesten. In geen tijd zijn ontwikkelingen rond generatieve AI een belangrijke focus geworden bij techbedrijven, dezelfde die achter de platformen zitten die onder de DSA vallen. Is de Europese wet al niet bij voorbaat gedateerd?

KUCZERAWY. “Nee, zo mag u het niet bekijken. Er wordt achter de schermen wel degelijk gewerkt aan wetgeving voor AI-toepassingen. Dat gebeurde al voor ChatGPT zo succesvol is geworden. Deze week is het Europese Parlement een standpunt overeengekomen. Op dit moment wordt de wetgeving nog aangepast aan de recente ontwikkelingen. Het is eenvoudig: wetgeving kan technologische ontwikkelingen nooit te snel af zijn en juist daarom heeft het geen zin om met de DSA nog langer te wachten.”