Q&A Over de Digital Services Act

De Europese Unie is op dit moment bezig met het ontwikkelen van de zogenoemde Digital Services Act package die de huidige e-Commerce Richtlijn zal moeten gaan vervangen. De Richtlijn regelt de Europese interne markt voor online-diensten en staat het meest bekend om de zogeheten Safe Harbour-bepalingen. Op grond van de Safe Harbour bepalingen zijn bijvoorbeeld digitale tussenpersonen (zoals een platform) in beginsel niet aansprakelijk voor de content die door derden op hun platform wordt geplaatst.

Eind 2020 heeft de Europese Commissie de eerste concepten van de verordeningen gepubliceerd. Het Europees Parlement en de Europese Raad zijn nu aanzet om de concepten te beoordelen. Digital Services Act package bestaat (zoals het er nu naar uitziet) uit twee wetten: de Digital Services Act (‘DSA’) en Digital Markets Act (‘DMA’).

De DSA richt zich op dezelfde groep als de e-Commerce richtlijn (aanbieders van online-diensten). De DMA legt daarbovenop extra verplichtingen op aan aanbieders van online-diensten die beschouwd moeten worden als poortwachters van het internet. Zowel de DSA als DMA zijn verordeningen, dit betekent dat deze (in tegenstelling tot een richtlijn), direct van toepassing zijn. Dit was niet het geval toen de e-Commerce Richtlijn werd ingevoerd. Deze moest eerst worden geïmplementeerd in de Nederlandse wetgeving.

Om in kaart te brengen welk (mogelijke) veranderingen de Digital Services Act package met zich mee zal brengen, is onderstaande Q&A ontwikkeld in samenwerking met IAB Europe. IAB Europe is de Europese branchevereniging voor organisaties in de digitale marketing-, en reclamewereld.

Gaat er iets veranderen aan de Safe Harbour-bepalingen?

Het voorstel wat er nu ligt zal niet(s) (veel) veranderen aan de basisprincipes/Safe Harbour-bepalingen van de e-Commerce Richtlijn. Dit betekent dat digitale tussenpersonen zoals internet serviceproviders en platformen in beginsel niet aansprakelijk gehouden kunnen worden voor illegale content die zonder tussenkomst van de tussenpersoon online wordt geplaatst. De aansprakelijkheid wordt dus in principe neergelegd bij de partij die de content online heeft gezet (zoals een adverteerder). Een tussenpersoon kan echter wél aansprakelijk worden gehouden voor illegale content als het op de hoogte is van de content, maar besluit geen actie te ondernemen.

Lidstaten kunnen (net zoals onder de e-Commerce Richtlijn) geen verplichting opleggen op tussenpersonen om hun content te monitoren. Hier wordt in de Digital Services Act aan toegevoegd dat tussenpersonen die op vrijwillige basis hun content monitoren niet uitgesloten worden van de bescherming van Safe Harbour-bepalingen. Dit gevaar bestaat onder de e-Commerce Richtlijn nog wel; wanneer een tussenpersoon op dit moment op vrijwillige basis content monitort en daarbij onrechtmatig materiaal opmerkt, kan het hiervoor aansprakelijk worden gehouden doordat het kennis heeft genomen van de onrechtmatige content.

Wat zijn de nieuwe regels voor gepersonaliseerde advertenties? Bevat het voorstel een verbod op cross domain targeting of een volledig verbod op gepersonaliseerde advertenties?

De Digital Services Act bevat op dit moment geen verbod op het gebruik van gepersonaliseerde advertenties (zowel geen algeheel verbod als een verbod op cross domain targeting). Daarentegen bevat het voorstel wel transparantieverplichtingen. Zo moet het voor een persoon die een gepersonaliseerde advertentie te zien krijgt straks duidelijk worden wat de belangrijkste maatstaven zijn die zijn gebruikt om te bepalen aan wie de advertentie wordt getoond. Voor ‘very large online platform providers’, dit zijn platforms die meer dan 45 miljoen actieve Europese gebruikers hebben per maand, gaan aanvullende transparantieverplichtingen gelden, zoals informatie over of een advertentie specifiek gericht is aan één groep of meerdere groepen.

Hierbij moet wel worden opgemerkt dat met name in het Europees Parlement veel stemmen te horen zijn die pleiten voor strengere regels voor het gebruik van gepersonaliseerde advertenties, zoals een algeheel verbod op het gebruik daarvan. De Europese Commissie en de Raad van de Europese Unie zijn tot dusver nog geen voorstander van een verbod, in welke vorm dan ook.

Zullen de voorstellen een gelijk(er) speelveld creëren met de ‘Big Five’ (Amazon, Apple, Alphabet (Google), Meta (voorheen Facebook) en Microsoft) in vergelijking met de huidige richtlijn?

Het doel van de DMA is om een gelijk(er) speelveld te creëren. De DMA richt zich alleen op de allergrootste online bedrijven (zoals de Big Five). Het idee is dat dit soort bedrijven zo veel macht hebben dat ze de toegang tot de markt kunnen beïnvloeden, daarom worden ze ook wel ‘poortwachters’ genoemd. Poortwachters moeten niet worden verward met de hiervoor besproken ‘very large online platform providers’. Het gaat in de DMA nadrukkelijk om nóg grotere spelers (zoals de Big Five) met een minimale omzet van € 6,5 miljard in de laatste drie boekjaren of een gemiddelde marktkapitalisatie van ten minste € 65 miljard.

De DMA legt poortwachters boven op de DSA aanvullende maatregelen op. Hierbij moet worden gedacht aan een verbod op een pariteitsclausule. Een voorbeeld van een pariteitsclausule is als een poortwachter een hotel verbiedt om op haar eigen website een lagere kamerprijs aan te bieden dan op het platform van de poortwachter. Een andere aanvullende maatregel die is opgenomen in de DMA is dat poortwachters het adverteerders of digitale tussenpersonen niet mag verbieden om contact op te nemen met de autoriteiten.

Daarentegen is het te verwachten dat bijvoorbeeld de transparantieregels in de DSA makkelijker te implementeren zijn voor de Big Five (ze zijn daar zelfs al mee begonnen), dan voor kleinere partijen die met veel verschillende partijen werken. Het is dus afwachten of het speelveld daadwerkelijk gelijk(er) wordt.

Wat zijn de belangrijkste verschillen tussen de Richtlijn en het voorstel?

De reikwijdte van het voorstel dat er nu ligt is aanzienlijk groter en omvat meer zaken dan de huidige Richtlijn. Hiermee wordt geprobeerd bestaande en toekomstige uitdagingen in de digitale omgeving binnen de reikwijdte van de nieuwe wetgeving te laten vallen. Zo wordt er voorzien in de problematiek die er is omtrent de inhoud van content (zoals desinformatie en ‘hate speech’) en hoe daarmee omgegaan dient te worden. Naast dat het voorstel verder ingaat op de inhoud is de scope dus ook groter en zal het van invloed zijn op alle online adverteerders. Dit komt met name terug in de vergaande transparantieverplichtingen.

Zal het voorstel de industrie fundamenteel veranderen?

Zoals het er nu ligt is er geen sprake van een verbod of restricties op gepersonaliseerde advertenties. Het zal wel degelijk invloed hebben op de industrie in de zin dat er aanvullende transparantieverplichtingen zijn. Het zal echter niet zo zijn dat er nieuwe verdienmodellen ontwikkeld moeten worden.

Dit is anders wanneer de tekstvoorstellen van het Europees Parlement overgenomen zullen worden. In dat geval moet de industrie zich zorgen gaan maken, omdat er dan sprake kan zijn van een verbod op gepersonaliseerde advertenties.

Een ander punt is dat er veel overlap zal zijn in de vereisten tussen het huidige voorstel en bestaande wetgeving zoals de AVG. Het Europese Parlement geeft een opt-in of opt-out als alternatief voor een verbod op gepersonaliseerde advertenties. De vraag is echter welke consequenties dit heeft en wat het verschil is tussen een opt-in in het kader van de DSA en de bestaande wet- en regelgeving? Moeten bedrijven dan een dubbele opt-in gaan inregelen? In aanvulling hierop zal er onduidelijkheid ontstaan over de handhaving. Op dit moment zijn er richtlijnen over hoe er moet worden omgegaan met cookies en welke grondslagen hiervoor voldoende danwel vereist zijn. Gelden deze richtlijnen dan ook voor de DSA? De handhaving die voortvloeit uit de DSA is anders geregeld dan in de huidige wetgeving. De DSA spreekt namelijk van een Digitale Coördinator. Dit is een nieuwe functie waarvan de werking – naast de huidige toezichthouder – niet geheel duidelijk is.

Daarnaast zullen adverteerders opnieuw kosten moeten maken. Denk hierbij aan kosten voor een DPIA (data protection impact assessment), ontwikkelen en beoordelen van een nieuwe strategie en uiteraard kosten voor implementatie van een herziende manier om toestemming te verkrijgen of de registratie van gerechtvaardigd belang.

Wat is de rol van het IAB hierin?

Het IAB probeert in contact te blijven met de beleidsmakers om op die manier invloed uit te oefenen op de totstandkoming van de uiteindelijke tekst. Zo is er overleg geweest met de Europese Commissie nog voordat er een concepttekst was. Maar ook op de eerste tekstvoorstellen heeft het IAB input geleverd. Daarnaast houden zij contact met lokale brancheorganisaties om op die manier een steentje bij te dragen aan het proces.

Hoelang gaat het duren voordat dit afgerond is?

Het voorstel ligt nu bij het Europese Parlement. Er moet een stemming plaatsvinden over de finale tekst zoals deze is aangeleverd door de Europese Commissie die verantwoordelijk is voor de samenstelling van de tekst. Hoewel deze begin november op de agenda stond zal dit waarschijnlijk in december plaatsvinden, of dit daadwerkelijk gaat gebeuren moeten we afwachten.

Vervolgens zal er een plenaire stemming plaatsvinden onder de leden van het Europees Parlement. Dit zal naar verwachtingen enkele weken later zijn. Dan vindt er een discussie plaats tussen het Europees Parlement en de Europese Raad en zal er een laatste review worden verricht op de uiteindelijk tekst. De opgestelde agenda hiervoor is erg ambitieus en het is lastig te zeggen wat de exacte planning zal zijn. Vermoedelijk is het begin volgend jaar meer duidelijk over de definitieve tekst.

Na goedkeuring van de uiteindelijk tekst hebben bedrijven (waarschijnlijk) nog twee jaar de tijd totdat de verordeningen in werking treden. In de praktijk zal dit betekenen dat de verordeningen ergens tussen 2023 en 2025 in werking treden en moeten bedrijven hebben nagedacht over de wijze waarop ze hiermee om willen gaan.

Gerelateerde artikelen

ArtikelData, Tech & Legal

Autoriteit Persoonsgegevens gaat strenger toezicht houden

De Autoriteit Persoonsgegevens (AP) heeft met een brief aan de VIA aangekondigd in 2024 strenger toezicht te houden. Eerder al uitte het kabinet haar zorgen over het gebruik van cookies en online tracking, waardoor een extra budget van 500.000 euro per jaar aan de AP werd toegewezen voor het toezicht hierop. Dit extra budget zal de AP gebruiken om vaker te controleren of organisaties op de juiste manier toestemming vragen voor het plaatsen van onder andere tracking cookies. De AP heeft vuistregels op haar website gepubliceerd met uitleg hoe organisaties hun cookiebanner moeten inrichten en toestemming voor het plaatsen van tracking cookies gevraagd moet worden. De AP heeft deze brief naar de VIA gestuurd met het verzoek om de inhoud ervan onder de aandacht te brengen bij onze leden. Het is van belang dat jij, als lid van de VIA, hiervan op de hoogte bent. Zodat er nu de mogelijkheid is om eventuele aanpassingen uit te voeren. – Saskia Baneke-Delfgaauw, VIA-directeur Lees hieronder de brief van het AP. Via deze mail houden we onze leden op de hoogte van belangrijke juridische ontwikkelingen. Als contactpersoon van jouw organisatie vragen we je om deze e-mail door te sturen naar degenen binnen de organisatie voor wie deze updates van belang zijn. Alvast bedankt! Mochten er vragen zijn of hebben jullie hulp nodig, neem dan contact op met Saskia Baneke, [email protected] of Guido Grevink [email protected] Relevante links:Autoriteit Persoonsgegevens publiceert richtlijnen voor het opstellen van een correcte cookiebannerHeldere en misleidende cookiebanners | Autoriteit PersoonsgegevensLegal Digital Advertising Checklist VERSTERKT TOEZICHT OP TRACKING TECHNOLOGIEËN EN NORMUITLEG RONDOM COOKIES De Autoriteit Persoonsgegevens (AP) gaat vanaf dit jaar vaker controleren of websites op de juiste manier toestemming vragen voor het vragen van (tracking) cookies en andere volgsoftware. In de praktijk komt het namelijk regelmatig voor dat er misleidende cookiebanners worden gebruikt, waardoor de toestemming voor de verwerking van persoonsgegevens niet juist wordt verkregen. De AP wijst u middels deze brief graag op de normuitleg die de AP hier recent over heeft uitgebracht. Cookies en de AVGBij het gebruik van tracking cookies of vergelijkbare technieken kan ervan uit worden gegaan dat er persoonsgegevens worden verwerkt. Dit geldt ook voor sommige functionele en beperkte analytische cookies. Aangezien het gaat om een verwerking van persoonsgegevens moet er ook worden voldaan aan de Algemene verordening gegevensbescherming (AVG). Belang van een heldere cookiebannerDoor middel van tracking technologieën kunnen organisaties meekijken met het internetgedrag van hun websitebezoekers. Echter, dit is alleen toegestaan als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de optie hebben om cookies te weigeren, zonder nadelige gevolgen. Door het inzetten van een heldere cookiebanner kunnen websitebezoekers een weloverwogen keuze maken om wel of geen toestemming te geven. AP normuitlegNaast het versterkte toezicht brengt de AP ook normuitleg uit, zodat organisaties aan de hand van praktische regels kunnen voldoen aan de wettelijke vereisten met betrekking tot (tracking) cookies en andere technologieën. Inmiddels heeft de AP twee uitgebracht: normuitleg voor het maken van een heldere cookiebanner en normuitleg voor het intrekken van toestemming bij cookies. Voor verdere uitleg en voorbeelden verwijzen we u graag naar onze website. De volgende vuistregels helpen bij het opstellen van een correcte cookiebanner: Geef informatie over het doel; Zet vinkjes niet automatisch aan; Gebruik duidelijke tekst; Zet verschillende keuzes op één laag; Verberg bepaalde keuzes niet; Laat iemand niet extra klikken; Gebruik geen onopvallende link in de tekst; Wees helder over het intrekken van toestemming; Verwar toestemming niet met gerechtvaardigd belang. De volgende regels verduidelijken waaraan voldaan moet worden bij intrekken van toestemming bij cookies: Toestemming intrekken moet op ieder moment kunnen; Toestemming intrekken moet net zo gemakkelijk zijn als het aangeven; Toestemming intrekken mag geen nadelige gevolgen hebben voor uw websitebezoekers; Geef informatie over hoe websitebezoekers toestemming kunnen intrekken vóórdat zij toestemming geven; Zorg voor een vindbare plek voor het intrekken van toestemming; Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken.

Lees verder

WhitepaperData, Tech & LegalData & Techniek

Whitepaper Data-Cleanrooms: Wat zijn het en hoe zet je ze effectief in?

Het landschap van digitale marketing is flink veranderd. Firefox en Safari ondersteunen geen cookies van derden meer, Chrome is ze aan het uitfaseren en de ePrivacy Richtlijn en GDPR vereisen dat uitgevers en adverteerders toestemming van consumenten krijgen om hun data te verzamelen en te gebruiken. En dat zorgt voor de nodige uitdagingen op het gebied van data en privacy. Gelukkig bieden data-cleanrooms een oplossing. Cleanrooms maken het voor bedrijven mogelijk om samen te werken en data te analyseren met behoud van privacy en naleving van regelgeving. Ze zijn vooral nuttig in situaties waarin meerdere partijen de collectieve kracht van hun gegevens willen benutten zonder de individuele privacy of gegevensbeveiliging in gevaar te brengen. Klantgegevens worden zorgvuldig geanonimiseerd en ontdaan van alle persoonlijke of identificeerbare informatie. Deze gegevens kunnen vervolgens worden geanalyseerd en gebruikt om nieuwe inzichten te krijgen over gebruikers op een geaggregeerd niveau. Dit whitepaper geeft marketeers die nog geen of weinig ervaring hebben met data-cleanrooms inzicht in alle mogelijkheden. Van het definiëren van doelstellingen tot juridische zaken, uploaden van data en verbinding met andere bronnen tot het uitvoeren van data-analyses. De theorie wordt aangevuld met cases uit de Nederlandse reclame-industrie en aanbevelingen die betrekking hebben op de beperkingen en kosten van data-cleanrooms. Bijdragen van: Birgit Boing, Emmelijn Hermens, Weiwei Liu-Schröder, Bastiaan Spaans, Bernard de Vreede, Mark Wilmont.

Lees verder

RichtlijnenData, Tech & Legal

Legal Digital Advertising Checklist

In een tijdperk waarin digitale interactie en online aanwezigheid de norm zijn geworden, is het verzamelen van persoonsgegevens een integraal onderdeel geworden van het online ecosysteem. Dit gebeurt door middel van (tracking-)cookies en diverse andere vergelijkbare tracking-technieken. Het tonen van gepersonaliseerde advertenties is een essentieel onderdeel geworden van de digital advertising wereld. Deze vorm van adverteren maakt niet alleen gratis toegang tot websites mogelijk, maar biedt betrokkenen ook een op maat gemaakte ervaring. Het is van cruciaal belang dat deze vorm van adverteren plaatsvindt in overeenstemming met wet- en regelgeving. Deze checklist biedt een overzicht van de belangrijkste juridische aspecten waar bedrijven rekening mee moeten houden bij het plaatsen van advertenties online. Door deze checklist te volgen, kan worden nagegaan of online advertentiegebruik zowel juridisch correct als professioneel verantwoord is. Let op: deze checklist is ontwikkeld als hulpmiddel voor bedrijven om te streven naar naleving van het wettelijk en regelgevend kader binnen de advertentiebranche. Het gebruik van deze checklist impliceert echter geen garantie dat volledige naleving wordt bereikt. Het wordt altijd aangeraden een juridisch professional te raadplegen om te waarborgen dat alle relevante wetten en regels worden nageleefd en correct worden geïnterpreteerd.

Lees verder