Buurman & Buurman: een televisieprogramma uit de jaren 80 waarbij twee buurmannen samen klussen. Ze helpen elkaar, maar zitten elkaar soms ook ontzettend in de weg. Als ze een schilderijtje willen ophangen, heeft de ene net een spijker geslagen daar waar de ander een gat wil boren. Enigszins klunzig komen ze altijd uiteindelijk tot het doel dat ze – beiden - wilden bereiken. Ze moeten alleen de weg langs elkaar heen en met elkaar weten te vinden.
De Digital Services Act is vanaf februari volledig van toepassing en introduceert een pakket aan regels voor aanbieders van onlinediensten (lees hier meer). Met dat pakket wordt een evenwicht gezocht tussen aan de ene kant gepaste zorgvuldigheidsregels voor de aanbieders van onlinediensten, en aan de andere kant de (voorwaardelijke) uitsluiting van de aansprakelijkheid van die aanbieders zodat de economie de gelegenheid krijgt te groeien.
Bij het naleven van de DSA ontkomen organisaties er niet aan dat ze persoonsgegevens gebruiken. Op die specifieke handelingen kan dan zowel de DSA als de Algemene verordening gegevensbescherming (AVG) van toepassing zijn. De stukken regelgeving komen qua overkoepelende doelen, net zoals Buurman & Buurman en het schilderijtje, overeen: een veiligere digitale omgeving creëren. Hoewel de DSA nadrukkelijk geen afbreuk doet aan de AVG (artikel 2(2)g DSA), blijft het een speelveld waar de DSA de AVG in de weg kan zitten en kan aanvullen. Net zoals Buurman & Buurman. Het is zaak om alert te blijven op de wisselwerking van deze stukken regelgeving: waar ontmoeten ze elkaar, en wat betekent dat? Hoe zorgen we dat dat schilderijtje aan het eind van de klusmanie recht hangt, en niet scheef?
In dit blog gaan we kort in op een aantal vlakken waar de DSA en de AVG elkaar kruisen, en of dat frictie veroorzaakt of juist elkaar versterkt.
Strafrechtelijke gegevens zijn persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen (artikel 1 Uitvoeringswet AVG; UAVG). Uit de AVG volgt dat je strafrechtelijke gegevens alleen mag gebruiken onder toezicht van de overheid en als de verwerking is toegestaan op basis van de nationale of Europese wet (artikel 10 AVG). Als je in Nederland ditsoort persoonsgegevens wil gebruiken moet je ofwel voldoen aan één van de uitzonderingen van artikel 32 of 33 UAVG, of een vergunning aanvragen.
Op basis van verplichtingen uit de DSA zullen aanbieders van tussenhandeldiensten (“aanbieders”) regelmatig met strafrechtelijke gegevens te maken krijgen. Zo kunnen nationale autoriteiten onlinediensten bevelen om op te treden tegen specifieke illegale inhoud (artikel 9 DSA) en bevelen dat de aanbieder informatie verstrekt over gebruikers van de dienst (artikel 10 DSA). Ook moedigt de DSA de aanbieders aan om vrijwillig onderzoek te doen (artikel 7 DSA) en andere maatregelen tegen illegale inhoud te nemen. Als een aanbieder van een hostingdienst kennis heeft van informatie die leidt tot het vermoeden van een strafbaar feit, dient de bevoegde autoriteit direct daarvan op de hoogte te worden gesteld door de aanbieder (artikel 18 DSA). Dit is alleen zo als het leven of de veiligheid van een persoon of personen wordt bedreigd.
Met regelmaat zal dit gebruikers betreffen die (mogelijk) illegale inhoud plaatsen, wat in sommige gevallen ook een strafbaar feit is. Denk hierbij aan haatzaaien of (aanzetten tot) discriminatie (artikel 137d Wetboek van Strafrecht (“Sr”)), bepaalde vormen van auteursrechtinbreuk (artikel 326b Sr), identiteitsfraude (artikel 231b Sr), doxing (artikel 285c Sr) of zelfs het plaatsen van kinderporno (artikel 240b Sr).
De organisaties die onder de DSA vallen zullen dan strafrechtelijke gegevens verzamelen, opslaan en moeten doorsturen naar de autoriteiten. De vraag is welke uitzondering van artikel 32 of 33 UAVG hier opgaat. Deze uitzonderingen lijken deze situatie niet te passen. De concept uitvoeringswet van de DSA heeft hier ook nog geen oplossing voor geboden.
Nu zou je kunnen zeggen: zodra je het hebt ontdekt moet je het direct verwijderen, probleem opgelost. Helaas ben je er dan nog niet. Op basis van artikel 23 DSA moeten platforms gebruikers die frequent kennelijk illegale inhoud delen namelijk ook blokkeren. Hoe kan een platform dit aantonen als ze de illegale inhoud niet (tijdelijk) mogen bewaren?
Gebruikers moeten daarnaast ook de mogelijkheid krijgen om binnen 6 maanden bezwaar te maken tegen een besluit van een platform (artikel 20 DSA). Als een platform beslist om inhoud te verwijderen omdat het illegaal is, dan kan de gebruiker hier geen bezwaar tegen maken als het platform de betreffende inhoud niet heeft bewaard omdat ze het moest verwijderen. Of in ieder geval kan een gebruiker wel bezwaar maken, maar kan het platform weinig inhoudelijk reageren.
Goed, de worsteling mag duidelijk zijn. Op dit gebied hebben we richting nodig van de autoriteiten, in dit geval de Autoriteit Consument & Markt (DSA) en de Autoriteit Persoonsgegevens (AVG). Zorg in ieder geval, mocht je organisatie dit overkomen, dat je de verwerking goed in kaart brengt, registreert en neem indien nodig hierover contact op met de Autoriteit Persoonsgegevens.
Minderjarigen hebben een bijzondere positie onder de AVG en de UAVG. In de AVG is benadrukt dat die specifieke bescherming met name ziet op gebruik van persoonsgegevens van kinderen voor marketingdoeleinden, of voor het opstellen van persoonlijkheids- of gebruikersprofielen (overweging 38 AVG). De DSA borduurt daar direct op verder.
Onder de DSA komt minderjarigen namelijk ook een verhoogde bescherming toe (artikel 28 DSA). Onlineplatforms moeten maatregelen nemen ter bescherming van hun privacy en veiligheid, en je mag kinderen geen gepersonaliseerde reclame tonen (dat gebeurt op basis van persoonlijkheids- of gebruikersprofielen). Dat laatste is in ieder geval zo als het platform met redelijke zekerheid kan zeggen dat het om een minderjarige gaat (artikel 28(2) DSA).
Hoewel datzelfde artikel luidt dat het aanbieders niet verplicht om aanvullende persoonsgegevens te verwerken om te beoordelen of de ontvanger van de dienst minderjarig is (artikel 28(3) DSA), ligt dat in de praktijk toch lastiger. Het uitvoeren van dit verbod kan juist wel tot een extra verwerking van (bijzondere) persoonsgegevens leiden. Het duwt platforms naar het gebruik van leeftijdsverificatiesystemen. Dit zijn systemen die de leeftijd van gebruikers verifiëren. Dit kan bijvoorbeeld door cross-referencing met andere of publiek beschikbare databases, of met leeftijdinschatting door gezichtsanalyses of een digitaal ID. Ook onze overheid benadrukt het belang van adequate leeftijdsverificatiesystemen voor een veilige online omgeving.
Juist de privacy en gegevensbescherming van huidige leeftijdsverificatiesystemen ligt op dit moment onder vuur. Zo gaf de Franse privacytoezichthouder vorig jaar te kennen dat de huidige systemen intrusief zijn en te omzeilen, en dat de introductie van privacyvriendelijke modellen noodzakelijk is. Hoewel het doel van deze verplichting, en deze wetten, is om kinderen online te beschermen, kan het gebruik van deze systemen vergaande gevolgen hebben voor de privacy van betrokkenen doordat daardoor meer gevoelige informatie wordt verzameld.
Toezichthouders moeten hierover zo spoedig mogelijk richting geven, om te voorkomen dat organisaties die onder de DSA vallen gedwongen worden om privacy onvriendelijke leeftijdsverificatiesystemen te gebruiken zodat ze maar voldoen aan de DSA. Dan gaan we, wederom, aan ons doel voorbij.
De DSA benadrukt dus dat dit, overeenkomstig de AVG en met name het beginsel van dataminimalisatie, er niet toe mag leiden dat een onlineplatform meer persoonsgegevens bijhoudt, verkrijgt of verwerkt dan hij al had om te beoordelen of de gebruiker een minderjarige is (overweging 71 DSA). Het lastige is dat het vrijwel onmogelijk lijkt, als je een platform bent waar gebruikers bijvoorbeeld geen account aan hoeven te maken (bijv. YouTube) om leeftijd te verifiëren zonder extra persoonsgegevens te gebruiken.
Bij de introductie van de AVG was opvallend dat dat stuk regelgeving doordrenkt is met het idee dat er een stuk controle “teruggegeven” moest worden aan de betrokkene, degene over wie de persoonsgegevens gaan. Controle over iets is alleen mogelijk met kennis, dus dat ging gepaard met hele directe informatieverplichtingen aan de betrokkene. In de rechtspraak is dit verder ontwikkeld, en we zien steeds meer dat een betrokkene echt gefaciliteerd moet worden in die informatie. Het moet duidelijk en begrijpelijk zijn, gemakkelijk leesbaar en niet ergens verstopt zitten.
De DSA zet deze trend door. We zien dat terug in zowel de overwegingen als verschillende verplichtingen. Zo introduceert de DSA de verplichting om jaarlijks te rapporteren over de inhoudsmoderatie die zij toepassen, moeten onlineplatforms niet alleen de legitimiteit van verkopers verifiëren, maar zelfs interfaces zo ontwerpen dat handelaren verplichte informatie kunnen verstrekken (artikel 30 en 31 DSA) en moeten hostingdiensten duidelijke en specifieke motivering voor de beperking van de dienst geven (artikel 17 lid 3 DSA). Sterker nog, de EC moet een databank bijhouden en publiceren met daarin de beperkingsbesluiten en motiveringen van de aanbieders van onlineplatforms. Onlineplatforms moeten nadat zijn zo’n besluit nemen het besluit en de motivering in een standaardformaat indienen, zodat de databank in real time kan worden geactualiseerd (overweging 66 DSA).
Het inzicht in wat platforms en andere aanbieders doen kan zo voor gebruikers veel groter zijn dan voorheen. Ik zeg “kan”, want de vraag is hoe veel mensen in de praktijk de tijd nemen om die informatie door te nemen. Als de hoeveelheid mensen die een privacystatement lezen enige indicatie is, valt daar nog wel iets te halen.
Hoewel het buurman en buurman klussen komisch wordt gebracht, is het best herkenbaar. Je begint vroeg in de dag te klussen, opeens is het 12:00, je hele huis ligt overhoop, overal ligt stof en waar is nou in-jantjesnaam de waterpas gebleven?! De heren bevinden zich regelmatig in zo’n parket. Buurman doet een stapje naar achter, krabt even achter z’n oor, en kijkt naar wat de ander aan het doen is. Ze brabbelen met elkaar en vinden de middenweg. Voor je het weet gebruikt buurman het getimmerde gat om verder uit te boren, en staat andere buurman klaar met de plug en een schroef. Schilderijtje ophangen, waterpas maken. Nog even opruimen, en voilà.
Vóór orde en overzicht, komt vaak chaos. Zeker met de verschillende stukken Europese wetgeving die zien op het reguleren van de digitale samenleving is er veel om rekening mee te houden. In plaats van head first overhaast hierin te duiken, neem een lesje van buurman en buurman: doe een stapje terug, analyseer de situatie voor je, communiceer met de juiste mensen, en maak een plan van aanpak. En het belangrijkste: vergeet niet het doel waarvoor je het doet. Een transparantere, veilige, respectvolle digitale samenleving die innovatie stimuleert. Zolang je dat nastreeft in de implementatie van de wet, zit je vaak al op de goede weg.
Daartegen zeg ik: a je to!
Op 11 januari 2024 organiseren wij een informatieve sessie waarin onze specialisten je stap voor stap meenemen door de DSA. Aan het einde van de dag weet je waar jouw organisatie aan toe is en welke acties nodig zijn om aan de nieuwe verplichtingen te voldoen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.