EDPB richtlijnen voor de raakvlakken tussen GDPR en DSA: van cookiebanner tot contentmoderatie (Sirius Legal)

DSA én GDPR: hoe verhouden die zich tot elkaar?

De DSA is sinds februari 2024 van toepassing op online platformen, marktplaatsen, hostingdiensten en andere tussenpersonen. De verordening wil het internet veiliger maken door regels op te leggen over contentmoderatie, transparantie bij advertenties, meldingsprocedures en toegang tot platformdata voor onderzoekers.

In tegenstelling tot GDPR focust de DSA niet op gegevensbescherming, maar op digitale verantwoordelijkheden van tussenpersonen. Toch raken de twee elkaar op verschillende vlakken, en vaak zit het spanningsveld in de details. Want ook bij DSA-verplichtingen worden persoonsgegevens verwerkt, en dat betekent dat de GDPR van toepassing blijft.

Het nieuwe advies van de EDPB verduidelijkt waar die raakvlakken zitten en hoe bedrijven daar correct mee moeten omgaan.

DSA én GDPR, beiden van toepassing

De kern van het advies is eenvoudig. De DSA en GDPR zijn niet met elkaar in strijd, maar ze leggen elk eigen verplichtingen op. De DSA legt vooral procedurele plichten op over transparantie, meldingsmechanismen, risicobeheer en data-access voor onderzoekers. De GDPR focust op de rechten van de betrokkene en de voorwaarden waaronder je persoonsgegevens mag verwerken.

Een verplichting onder de DSA vormt dus nooit automatisch een geldige rechtsgrond onder de GDPR. Je moet altijd nagaan welke rechtsgrond je gebruikt (zoals toestemming of wettelijke verplichting), en die moet voldoen aan de klassieke GDPR-voorwaarden.

Ook moet je transparant communiceren over de verwerkingen die je doet. Informatie die je deelt onder de DSA, bijvoorbeeld over waarom iemand een advertentie ziet, moet afgestemd zijn op je GDPR-informatie, en mag daar niet mee in tegenspraak zijn.

Een aantal praktijkvoorbeelden

We illustreren enkele veelvoorkomende situaties waarin je als digitale onderneming rekening moet houden met beide kaders tegelijk.

Advertenties op basis van profiling

De DSA verplicht om in real time uitleg te geven bij advertenties, zoals waarom iemand een advertentie te zien krijgt. De GDPR vereist dat je een geldige rechtsgrond hebt voor profiling, dat je mensen daarover informeert, en dat je hun rechten respecteert. De ePrivacy-richtlijn komt daar nog eens bovenop wanneer je cookies gebruikt om gedrag te tracken.

Voorbeeld: Een platform toont advertenties op basis van surfgedrag en voorkeuren. De DSA verplicht een heldere aanduiding waarom die advertentie wordt getoond. De GDPR vereist toestemming voor de profiling, tenzij een andere rechtvaardigingsgrond kan worden aangetoond. En voor de cookies waarop de profiling gebaseerd is, heb je een geldige ePrivacy-toestemming nodig.

Onderzoekstoegang tot platformdata

De DSA verplicht grote platformen om bepaalde datasets beschikbaar te stellen aan erkende onderzoekers. Maar die datasets mogen niet zomaar persoonsgegevens bevatten. Als dat wel het geval is, gelden de GDPR-principes zoals dataminimalisatie, pseudonimisering en beveiliging.

Voorbeeld: Een universiteit vraagt toegang tot berichten rond desinformatie. Het platform moet nagaan of die gegevens persoonsgegevens bevatten en hoe ze gepseudonimiseerd kunnen worden. Het onderzoek mag niet leiden tot een indirecte identificatie van gebruikers.

Contentmoderatie

De DSA legt procedures op voor meldingen van illegale inhoud en verplicht om gebruikers die content posten op de hoogte te brengen van een verwijdering of beperking. Daarbij verwerk je vaak persoonsgegevens van melders, posters en betrokken derden. Die verwerking moet altijd GDPR-conform zijn.

Voorbeeld: Een video wordt verwijderd wegens haatspraak. De gebruiker krijgt een bericht met uitleg. Die communicatie bevat persoonsgegevens en moet dus voldoen aan de informatieverplichtingen uit de GDPR.

Recommender systems

De DSA verplicht platforms om een versie aan te bieden van hun aanbevelingsalgoritmes die niet gebaseerd is op profiling. De GDPR bepaalt hoe profiling mag gebeuren en welke rechten mensen daarbij hebben. Als een gebruiker kiest voor de niet-geprofileerde versie, mag je tijdens dat gebruik geen profilering uitvoeren.

Voorbeeld: Een gebruiker schakelt op een platform over naar een aanbevelingssysteem zonder profiling. Het platform mag dan tijdens dat gebruik geen profiel opbouwen of data verzamelen met het oog op toekomstige aanbevelingen.

Documentatie, transparantie en afstemming

Wat verwacht de EDPB nu concreet van bedrijven?

Eerst en vooral moet je alle verwerkingen die voortvloeien uit je DSA-verplichtingen aftoetsen aan de GDPR. Je mag dus geen verwerkingen uitvoeren “omdat de DSA dat zegt” zonder ook de GDPR te respecteren.

Daarnaast is er nood aan consistente communicatie naar gebruikers. Informatie over advertenties, moderatie of aanbevelingen moet niet alleen correct zijn onder de DSA, maar ook kloppen met je privacyverklaring. Tegenstrijdige of onvolledige info is een risico op zich.

Tot slot vraagt de EDPB expliciet om structurele samenwerking binnen bedrijven. Teams die compliance met de DSA opvolgen moeten afstemmen met privacyverantwoordelijken. Registerhouders, DPIA’s, databeleid en interne processen moeten afgestemd zijn op beide kaders.