De Digital Services Act is goedgekeurd: targeted advertising binnenkort aan banden gelegd (Sirius Legal)

Wat is die DSA ook alweer precies?

Eind 2021 kondigde de Europese Commissie de eerste ontwerpen aan van de Digital Services Act en de Digital Markets Act.  Die 2 nieuwe Europese verordeningen vormen samen het Digital Services Pakket, dat binnen de Europese Unie voor meer en betere regulering moet zorgen van vooral online platformen.

De bedoeling van beide Verordeningen is dat ze, in samenspel ook met de al bestaande GDPR en de toekomstige AI-verordening en ePrivacyverordening, Europese consumenten én Europese bedrijven weerbaarder moet maken voor de kracht en het economisch gewicht van grote internetmultinationals zoals Facebook, Google, Apple, Microsoft, Amazon en anderen.

De nogal ambitieuze opzet van de DMA en DSA is om te zorgen voor een hervorming van de digitale ruimte in de EU, met een uitgebreide reeks nieuwe regels voor alle digitale diensten, inclusief sociale media, online marktplaatsen en andere onlineplatformen die in de EU actief zijn.  Dat moet zorgen voor een betere bescherming van Europese consumenten én van Europese digitale dienstverleners.

De Digital Markets Act, is inmiddels al enige tijd goedgekeurd en zal in 2023 in werking treden.  Ook de tweede verordening, de Digital Services Act, is nu goedgekeurd en deze zal in 2024 in werking treden.

Voor wie geldt de DSA?

Met de DSA wil de EU een duidelijk en strikt kader creëren voor social media platformen, marktplaatsen en zoekmotoren.  De bedoeling is om binnen die zeer populaire platformen meer transparantie, gelijkheid, respect voor de basisrechten van EU-burgers en ondernemingen te verzekeren en om daarnaast ook illegale content op deze platformen te bestrijden.

De verordening geldt voor élke aanbieder van intermediary services die actief is in de EU.  Bedrijven die zelf geen vestiging of zetel in de EU hebben moeten, net als dat voor de GDPR het geval is, een vertegenwoordiger in de EU aanduiden die als aanspreekpunt voor de Europese overheden zal gelden.

Wat staat er in de DSA?

De meeste focus gaat naar transparantieverplichtingen, die ervoor moeten zorgen dat met name op social media desinformatie, haatdragende content en fake news bestreden worden.  In de context van de oorlog in Oekraïne is er last minute zelfs een soort van crisis stress test toegevoegd aan de tekst, die moet toelaten om de impact van grote onlineplatformen en zoekmachines op een bepaalde crisis te analyseren en waar nodig tussen te komen om de grondrechten van EU-burgers te beschermen.

Daarnaast gaat veel aandacht naar de transparantie.  Platformwebsites zullen bijvoorbeeld duidelijkheid moeten geven over de algoritmes die gebruikt worden om bepaalde content prominent aandacht te geven, terwijl andere content achteruit geplaatst wordt.  In dezelfde zoektocht naar meer transparantie online komt er een verbod op zogenaamde “dark patterns”. Dat zijn subtiele technieken zoals lay-out, plaatsing van bepaalde content, het verloop van bestelflows, etc… die bezoekers onbewust proberen te duwen in de richting van een bepaalde beslissing, zoals bvb een online aankoop.

Ook ten aanzien van minderjarigen komt er extra bescherming. Platformen die toegankelijk zijn voor minderjarigen moeten bijkomende beschermingsmaatregelen nemen om hun veiligheid online te waarborgen en gerichte reclame of ‘targeted advertising’ naar minderjarigen op basis van hun profielgegevens wordt verboden.

Profilering en targeted advertising

De DSA bouwt voort op de uitgebreide bescherming die GDPR al biedt aan Europese burgers en voegt daar een nieuw laagje aan toe.  Online marketeers zullen dus in de toekomst niet enkel rekening moeten houden met de GDPR en met ePrivacy-regels (cookies en anti-spam), maar ook met de nieuwe beperkingen die de DSA oplegt, tenminste als hun activiteit binnen het toepassingsgebied valt van de DSA (zoals al aangegeven gaat het om intermediary services zoals social media, marktplaatsen en search engines).

GDPR heeft al langer uitgebreide regels met betrekking tot het recht om bezwaar te maken tegen profilering (en gerichte advertenties op basis van profieldata) en tegen geautomatiseerde individuele besluitvorming op basis van profieldata.  Die regels blijven onverminderd bestaan.

Online platformen moeten er daarbovenop voor zorgen dat gebruikers van social media zoals Facebook, marktplaatsen als Amazon of Bol.com of search engines van Google weten en begrijpen welke gegevens over hen verzameld en gebruikt worden om hen gerichte advertenties te kunnen tonen.  Transparantie over het opbouwen en gebruiken van een profiel dus en dat is iets wat enkel toegejuicht kan worden, want als burger en consument delen we immers bijzonder veel details over ons privéleven.  Dat is niet enkel het geval op social media, ook marktplaatsen verzamelen erg veel data over consumenten die hun platform bezoeken.  Dat gaat lang niet enkel over wat je als consument aangekocht hebt en hoe je hebt betaald.  De algoritmes van marktplaatsen weten ook weg met data over je surf- en klikgedrag: welke pagina’s heb je bekeken, hoe lang en hoe vaak heb je een bepaald product bekeken, op welk ogenblik van de dag heb je dat gedaan, etc…  Bovendien deel je adresgegevens, geslacht, woonplaats en betaalgegevens telkens je een aankoop doet.   Die data zegt dan weer onrechtstreeks veel over jou als persoon: hobby’s, voorkeuren, werk, huwelijkssituatie, vakantiebestemmingen, inkomen, … kunnen allemaal afgeleid worden uit bovenstaande gegevens. Op basis daarvan kan dan weer een zeer accuraat profiel van jou als burger en consument opgebouwd worden en met de verkoop van dat profiel aan adverteerders verdienen de Googles en Facebooks van deze wereld grof geld.

Digitale platformen zullen in de toekomst dus transparant moet zijn over die profilering. Gebruikers moeten bij elke advertentie weten dat ze een gerichte advertentie te zien krijgen, op basis van welke criteria dat gebeurt en ze moeten weten namens wie die getoond wordt en (als dat een andere partij is) wie ervoor betaald heeft.  Voor de al genoemde online platformen wordt een en ander logistiek en technisch gezien ongetwijfeld een aanzienlijke uitdaging.

Gebruikers krijgen ook het recht om zich te verzetten tegen profilering op basis van hun surfgedrag.  Zo’n recht op verzet volgt weliswaar in vele gevallen al uit de GDPR vandaag, maar de DSA bevestigt eea nog eens expliciet.  Gebruikers moeten ook via een button kunnen melden dat bepaalde content volgens hen reclame is of bevat.

Gerichte advertenties naar minderjarigen zijn absoluut verboden, tenminste als het platform “zich ervan bewust is met redelijke zekerheid dat de ontvanger minderjarig is”.  De DSA zegt expliciet dat platformen geen extra gegevens moeten verzamelen om de leeftijd van hun gebruikers te controleren en we vermoeden dus dat sommige platformen liever niet meer zullen vragen naar de leeftijd van hun gebruikers als dat niet absoluut nodig is…

Ook gerichte reclame (‘targeted advertising’) op basis van ‘gevoelige gegevens’ onder GDPR, zoals religie, etniciteit, seksuele voorkeur, politieke voorkeur, … wordt absoluut verboden.

Ook belangrijk voor online marketing en e-commerce

Online handelaars en marketeers houden best ook rekening met deze nieuwigheden in de Digital Services Act:

• Online marktplaatsen krijgen een ‘Know Your Customer’ plicht ten aanzien van de handelaren die op die marktplaatsen hun goederen aanbieden en een verplichting om (steekproefgewijs) controles te doen onder hun verkopers.  Dat moet ervoor zorgen dat consumenten meer bescherming krijgen tegen misbruik, namaak en fraude online.
• De criteria die gebruikt worden om de volgorde van aanbevolen resultaten te bepalen (bijvoorbeeld een resultatenlijst met aanbevolen verkopers van een product op een marktplaats) moet transparant blijken uit de gebruiksvoorwaarden
• Het manipuleren van de keuzes van gebruikers door middel van ‘dark patterns’ wordt verboden.  Online platformen en marktplaatsen mogen de vrije keuze van bezoekers niet manipuleren door bijvoorbeeld bepaalde keuze meer op de voorgrond te plaatsen, keuzeknoppen prominent in beeld te plaatsen of een meer opvallende kleur of vorm te geven,  storende pop-ups te gebruiken om mensen aan te sporen om een keuze te maken of te wijzigen, onduidelijke bestelflows te hanteren, steeds dezelfde opt-in te vragen bij elk nieuw bezoek tot de consument uiteindelijk akkoord gaat, …
• Snelle verwijdering van illegale content, producten en diensten: Platforms moeten een efficiënte ‘notice and take down’ procedure voorzien die gebruikers toelaat om illegale content (namaak, oneerlijke marktpraktijken, maar ook racistische of haatdragende boodschappen en fake news) te melden.  Ze moeten ook jaarlijks publiek rapporteren met cijfers over het aantal ingrepen, de aard ervan, etc…
• De gebruiksvoorwaarden van aanbieders van intermediary services moeten informatie bevatten over policies, procedures, maatregelen en tools die zorgen voor content moderation en geautomatiseerde beslissingsname en over hun interne klachtenprocedures.  Elke verandering in de gebruiksvoorwaarden moet ook gecommuniceerd worden aan alle gebruikers.
• Social media moeten in de toekomst ook transparantie bieden over de redenen waarom accounts beperkt, opgeschort of afgesloten worden.  Wie weleens de onaangename ervaring had van een plots afgesloten Facebook account, weet dat social media vandaag helemaal geen transparantie geven over de redenen waarom accounts afgesloten worden.
• Platformen moeten een intern klachtenafhandelingsmechanisme hebben (en daarover duidelijk communiceren) en moeten gebruikers toegang geven tot alternatieve geschillenbeslechting (arbitrage, bemiddeling, …) als zij dat willen.
• Compliance by design: (met name) marktplaatsen moeten zo zijn opgebouwd dat ze verkopers op die marktplaatsen toelaten om hun wettelijke verplichtingen te voldoen (mogelijk om de identiteitsgegevens van de verkoper te vermelden, verplichte productinfo mee te geven, kwaliteitslabels te vermelden, …) en de marktplaatsen moeten ook steekproeven uitvoeren om de compliance van hun verkopers te verifiëren.
• Voor zeer grote platformen en search engines (Google, Facebook, Amazon, …) gelden bovendien heel wat bijkomende regels, zoals bijvoorbeeld verplichte voorafgaande risk assessments.

Bron: Sirius Legal