Van regelgeving naar realiteit: De eerste inzichten in de effectiviteit van de DSA

Zeer grote online platforms (inclusief sociale media, app stores, online marktplaatsen en zoekmachines) hebben hun eerste auditrapportage onder de Europese Digitaledienstenverordening, ook wel de Digital Services Act (hierna: DSA) genaamd, uiterlijk op 28 november 2024 moeten publiceren. De resultaten tonen aan dat er de afgelopen jaren veel werk is verricht door de online platforms om de vereisten vanuit de wetgeving in te richten, maar dat online platforms nog niet volledig voldoen. Van de negentien online platforms hebben achttien online platforms een ‘negatieve’ auditverklaring ontvangen van hun accountant.

In dit artikel bespreken we wat de DSA heeft bereikt sinds de implementatie. Ook kijken we verder hoe de DSA in de toekomst kan bijdragen aan een veiligere en eerlijkere digitale omgeving voor online gebruikers van deze online platforms.

De DSA is één van de invloedrijkste wetten wereldwijd op het gebied van online veiligheid, geïntroduceerd om een veiligere en eerlijkere digitale omgeving voor online gebruikers te bieden(creëren). De DSA maakt deel uit van een breder wetgevingspakket (meer dan 120 wetten en regelgevingen) dat door de EC is ingevoerd met betrekking tot de 'digital single market’. De DSA introduceert duidelijke regels voor online platforms, met als doel gebruikers te beschermen tegen illegale content, desinformatie en andere schadelijke praktijken, terwijl tegelijkertijd de fundamentele rechten in alle EU-lidstaten moeten worden gerespecteerd.

De in de DSA gespecificeerde vereisten hebben voornamelijk betrekking op online tussenpersonen en platforms. Bijvoorbeeld online marktplaatsen, sociale netwerken, platforms voor het delen van content, appstores en online platforms voor reizen en accommodatie.

De wet bevat specifieke regels voor zeer grote online platforms en zoekmachines. Dit zijn online platforms en tussenpersonen met meer dan 45 miljoen gebruikers per maand in de EU. Zij moeten zich houden aan de strengste verplichtingen van de wet.

In mei 2023 heeft de EC aanvankelijk negentien zeer grote online platforms aangewezen, waaronder Amazon, Facebook, TikTok en Google Search. In het afgelopen jaar hebben nog eens zes online platforms deze drempel bereikt, waardoor het totaal per 31 oktober 2024 op 25 komt. Aanvullende vereisten waaraan deze online platforms moeten voldoen zijn onder andere de noodzaak om jaarlijkse, grondige risicoassessments uit te voeren om systemische risico’s in verband met illegale inhoud, fundamentele rechten, verkiezingen en gebruikersbescherming te identificeren en aan te pakken. Daarnaast moeten ze ook (i) transparantierapporten publiceren waarin hun reguleringsactiviteiten op online inhoud (contentmoderatie) worden beschreven en waarin de implementatie van maatregelen om minderjarigen en kwetsbare mensen te beschermen worden gerapporteerd, (ii) rekening houden met het ontwerp van hun algoritmen en aanbevelingssystemen bij het evalueren van deze risico’s, en (iii) een onafhankelijke accountant aanstellen om een jaarlijks audit uit te voeren en de auditrapporten op hun websites publiceren.

Hoewel er nog geen boetes zijn opgelegd, laten de resultaten van de auditrapporten zien dat er nog werk te doen is voor de online platforms.

We zien met name dat onlineplatforms moeite hebben met het implementeren van alle noodzakelijke controles om aantoonbaar te voldoen aan de strenge normen die door de DSA zijn gesteld. Onlineplatforms hadden beperkt tijd om zich voor te bereiden op de DSA-audit, aangezien de definitieve versie van de gedelegeerde wet voor het uitvoeren van audits pas werd vrijgegeven na de start van de eerste jaar audit periode. Bovendien hadden platforms vaak beperkte ervaring met het implementeren van uitgebreide controlekaders voor de gebieden die binnen de reikwijdte van de audit vielen, laat staan ​​dat ze hierop door een externe partij op werden gecontroleerd.

De auditrapporten laten met name zien dat de onlineplatforms moeite hebben om aan hun auditor te laten zien hoe ze maatregelen hebben geïmplementeerd rond transparantierapportage. Andere gebieden van aandacht zijn de transparantie vereisten rondom hun aanbevelingssystemen, mechanismen voor het rapporteren van illegale content, transparantie rondom genomen content moderatie beslissingen en de onlinebescherming van minderjarigen.

De grootste verandering die de DSA tot nu toe heeft bereikt, samen met andere wet- en regelgeving op het gebied van online vertrouwen en veiligheid, is in onze ogen de merkbare verschuiving naar een meer risico gebaseerde aansturing, waarbij naleving van wet- en regelgeving één van de prioriteiten is. Dit zien we zowel in de top bij de raad van bestuur, als in de operationele processen bij bijvoorbeeld de ontwikkelaars. De DSA verplicht de oprichting van een speciale compliance functie, wat heeft geleid tot de aanstelling van teams om ervoor te zorgen dat deze wet wordt nageleefd. Er wordt nu meer nadruk gelegd op risicomanagement, waarbij maatregelen voor risicobeperking prioriteit krijgen en compliance meer wordt verankerd in de processen, bijvoorbeeld in de ontwerp- en ontwikkelingsprocessen.

Aan de andere kant is het een grote uitdaging om vertragingen, door toedoen van deze EU wet- en regelgeving, die kunnen optreden bij de lancering van nieuwe functies en producten tot een minimum te beperken. Zo hebben we geconstateerd dat de introductie van nieuwe onlineproducten of nieuwe productfuncties die onder EU-wetgeving vallen, zoals de DSA, DMA of de aankomende AI-wet, de laatste tijd is vertraagd of uitgesteld. Het wordt een zorgvuldige evenwichtsoefening om innovatie te blijven stimuleren en tegelijkertijd te zorgen dat risico's worden overwogen en beperkt. Deze verschuiving naar voorzichtige en doelbewuste implementatie duidt op een volwassen digitaal landschap dat prioriteit geeft aan online veiligheid en vertrouwen. 

Een ander gebied waar we de komende jaren resultaten hopen te zien, is de verplichting om onderzoekers toegang te geven tot data op het online platform. Dit zou bijvoorbeeld onderzoekers kunnen helpen om de handhavingsdiscussies van de DSA in context te plaatsen door de maatschappelijke impact van de beslissingen op het gebied van risicobeheer van de online platforms te benadrukken en de impact hiervan op de maatschappij helderder te krijgen.

Hoewel risicomanagement en -naleving hoger op de prioriteitenladder zijn komen te staan, is de DSA een zeer uitdagende wet om zo snel na de invoering al aan te moeten voldoen. Er bestond weinig tot geen regelgeving op nationaal niveau voor online veiligheid, in tegenstelling tot wat te zien in ander sectoren zoals, bijvoorbeeld de financiële sector. Bovendien kan de DSA op verschillende manieren worden geïnterpreteerd. Bijvoorbeeld dienen online platforms zelf de termen zoals ‘gemakkelijk toegankelijk’ en ‘gebruikersvriendelijk’ te interpreteren. De DSA is dus niet alleen nieuw, maar het is ook niet eenduidig.

Aanvullende richtlijnen, het afsluiten van EC-onderzoeken, nieuwe gedelegeerde wetten en toekomstige jurisprudentie zullen er allemaal toe bijdragen om de gewenste helderheid te verschaffen in de gebieden die voor meerderlei uitleg vatbaar waren. Daarnaast zal de EC de online platforms aanmoedigen om vrijwillig ondertekenaar te worden van opkomende gedragscodes zoals het vereisen van leeftijdsverificatie om minderjarigen te beschermen, het promoten van veilige online advertenties, het bestrijden van illegale
haatzaaiende uitlatingen en het bestrijden van de verspreiding van desinformatie. Bovendien zijn deze gedragscodes een praktisch hulpmiddel dat de EC kan gebruiken om online platforms onder druk te zetten om maatregelen te implementeren tegen de risico’s die voortvloeien uit hun diensten.

Al deze stappen zouden moeten leiden tot een uitgebreider kader voor online veiligheid binnen de EU.

De DSA is niet de enige wetgeving die moet zorgen voor een verhoogde online veiligheid binnen de EU en wereldwijd. Recentelijk zien we dat zowel het Verenigd Koninkrijk als Australië online veiligheidswetten publiceren, evenals Ierland met de Online Safety Code. Wat verder nog bijdraagt aan online veiligheid zijn wetten en regelgeving op het gebied van privacy, concurrentie en kunstmatige intelligentie (AI), waar we de afgelopen jaren ook een wereldwijde opleving van hebben gezien. Wat privacy en gegevensbescherming betreft, is de Europese algemene verordening gegevensbescherming sinds 2018 van kracht en blijft de Verenigde Staten (VS) per staat privacywetten invoeren. Voor online platforms die optreden als poortwachter is de Digital Market Act (2022) essentieel om online platforms te reguleren en een gelijk speelveld voor bedrijven tot stand te brengen.

Bovendien zal de AI Act van de EU (2024) een belangrijke bijdrage leveren aan een robuuster wetgevingskader voor online veiligheid en zien we, opnieuw, in de VS de eerste contouren van eigen AI-regelgeving.

Op basis van onze consultancy en auditervaring met de grote online platforms, verwachten we dat na verloop van tijd de volwassenheid van nalevingsprocessen zal toenemen. De DSA is een positieve eerste stap omdat dit het risicobewustzijn binnen bedrijven vergroot en voor meer transparantie voor gebruikers en onderzoekers zorgt. De EC zal naar verwachting meer richtlijnen gaan ontwikkelen ter verduidelijking en aanscherping van de regelgevingskaders. Naarmate EC-onderzoeken naar mogelijke non-compliance worden afgerond, gedragscodes worden opgesteld, jurisprudentie wordt gevormd en onderzoek naar online veiligheid wordt gepubliceerd, zullen de specifieke vereisten van de DSA duidelijker worden en het regelgevingskader meer worden ingekleurd. Dit zal echter ook het toezicht op de nalevingscontrole voor deze online platforms verscherpen, waardoor grondige voorbereiding noodzakelijk is.

De DSA is een sterke opstap naar een veiliger en eerlijker digitale omgeving voor gebruikers, maar het zal nog enkele jaren duren voordat we echt weten wat de DSA (en andere regelgeving op het gebied van online vertrouwen en veiligheid) heeft bereikt. Dus terwijl online gebruikers mogelijk een eerste reeks aan voordelen op het gebied van online veiligheid en bescherming ervaren, moet nog blijken of de DSA uiteindelijk een aanzienlijk algemeen voordeel voor internetgebruikers en de samenleving als geheel zal opleveren.