In een tijd van grote veranderingen in de digitale wereld staan de Digital Services Act (DSA) en Digital Markets Act (DMA) centraal als een nieuwe wet die online diensten in de EU wil verbeteren. Om deze complexe materie te verduidelijken, hebben we het genoegen om Chantal Bakermans, advocaat en partner bij Penrose Law, te interviewen. Met haar specialisatie in IT-recht, privacyrecht en intellectueel eigendomsrecht zal Bakermans ons helpen de impact van de DSA en DMA op onze online samenleving beter te begrijpen.
Laten we meteen de kern van de zaak induiken. Welke bedrijven in Nederland zullen naar verwachting worden beïnvloed door de inwerkingtreding van de DSA en DMA, en welke zouden er juist van kunnen profiteren?
Chantal Bakermans: Sinds 17 februari 2024 geldt de DSA voor alle aanbieders van digitale diensten en platforms in de EU. Denk hierbij aan online marktplaatsen, sociale netwerken, zoekmachines, cloudaanbieders, internetproviders, content platforms en online reis- en accommodatieplatforms. Kortom, een breed spectrum aan online dienstverleners, al verwacht ik zelf dat de focus in eerste instantie hoofdzakelijk zal liggen op de grotere platformen en aanbieders. Een beetje vergelijkbaar met de DMA, welke primair van toepassing is op de zogenaamde ‘poortwachters’, die kernplatformdiensten aanbieden. Dit zijn vooral de big tech bedrijven, zoals Amazon, Google, Meta en dergelijke.
De invloed van de DSA en DMA op start-ups en kleinere ondernemingen in Nederland zou indirect kunnen zijn. Enerzijds kunnen de DSA en DMA hen beschermen tegen oneerlijke praktijken door grotere concurrenten. Anderzijds moeten start-ups die snel groeien zich bewust zijn van de drempelwaarden die ze in een categorie plaatsen waarin strengere regels gelden.
Interessant. Welke voorbereidingen zijn er al getroffen door bedrijven met betrekking tot de DSA en DMA, en op welke manieren kunnen ze nog meer anticiperen op deze nieuwe regelgeving?
Chantal Bakermans: De voorbereidingen variëren afhankelijk van de grootte en de aard van de bedrijven. Veel bedrijven waren al begonnen met interne (en/of externe) audits en risicobeoordelingen om ‘gaten’ in toegepaste techniek en processen te identificeren. Daarnaast werken bedrijven aan de verbetering van hun transparantie en gebruikersbeleving. Dit omvat bijvoorbeeld het maken van helderdere regels over content creatie en aanpassing, toegang tot rapportage- en klachtenprocedures en transparantie over de toepassing van algoritmes en data-gebruik.
Verder evalueren en herzien sommige bedrijven (bijv. in de reclameadvertentie / affiliate marketing) hun benadering van dataverzameling en -verwerking, vooral rond het delen van data met derden en het voorkomen van onrechtmatig gebruik van data.
Het anticiperen op de DSA en DMA vereist een aanpak vanuit zowel juridisch, technisch als bedrijf strategisch oogpunt. Het is een doorlopend proces dat commitment van zowel interne als externe stakeholders vereist. Andere voorbereidende maatregelen zouden bijvoorbeeld kunnen zijn: 1) proactief communiceren over de inspanningen en bereidheid om aan de nieuwe regelgeving te voldoen; 2) samenwerken met branchegenoten teneinde effectieve benaderingen te ontwikkelen én te delen gelet op de gemeenschappelijke uitdagingen op basis van de DSA en DMA; 3) het openen of versterken van de dialoog met regelgevende autoriteiten (zoals de ACM) hetgeen zou kunnen helpen bij het verduidelijken van verwachtingen en tijdig kennis namen van aanpassingen in en/of interpretaties van de wet- en regelgeving.
De DSA en DMA hebben twee hoofddoelen. Het eerste doel is het creëren van een veiligere digitale ruimte waarin de grondrechten van alle gebruikers van digitale diensten worden beschermd. Is dit primair de verantwoordelijkheid van bedrijven, of ligt deze verantwoordelijkheid voornamelijk bij de overheid?
Chantal Bakermans: De verantwoordelijkheid voor een veiligere digitale ruimte ligt bij zowel de overheid als bedrijven. Het zou mooi zijn als bedrijven direct verantwoordelijkheid nemen, maar dat lijkt een utopie. Bedrijven hebben doorgaans (in eerste instantie) vooral de focus op winstoptimalisatie. Daardoor komt er ook een verantwoordelijkheid bij de overheid te liggen, die een wettelijk kader moet creëren. Dat kader is er nu, bedrijven hebben zich aan die wettelijke regels te houden, maar het is vervolgens ook aan de overheid die toezicht zal moeten gaan houden op de handhaving en naleving door de bedrijven, inclusief het onderzoeken van klachten en het opleggen van sancties wanneer regels worden overtreden. Niet alle bedrijven gaan immers correct om met de grondrechten van gebruikers. Dat schaadt ook weer het vertrouwen van de consument en als de overheid niet (streng) gaat handhaven, dan doet dat m.i. eerder afbreuk aan deze doelstelling, in plaats van dat het vertrouwen wordt hersteld en het doel wordt bereikt.
Het tweede doel is het tot stand brengen van een gelijk speelveld om innovatie, groei en concurrentievermogen te bevorderen, zowel binnen de Europese markt als wereldwijd. Is het rechtvaardig dat het MKB moet voldoen aan wetgeving die in eerste instantie bedoeld was voor grote platforms zoals Google en Meta?
Chantal Bakermans: Persoonlijk vind ik van niet. Naar mijn mening is deze wetgeving gemaakt en bedoeld voor de big tech bedrijven, de ‘poortwachters’. De bredere toepassing van bijvoorbeeld de DSA sinds februari 2024 zorgt naar mijn idee voor ‘overregulering’, hetgeen de innovatie, groei en concurrentiepositie van het MKB juist weer kan afremmen.
Welke veranderingen of werkzaamheden verwachten jullie als gevolg van de DSA en DMA? Zijn jullie hierop voorbereid en zo ja, hoe?
Chantal Bakermans: Ik verwacht vooral vragen vanuit het MKB over de impact van de DSA en DMA op hun bedrijfsprocessen omdat men volgens mij nog niet (voldoende) beseft dat deze wettelijke kaders ook gevolgen kan hebben voor hun digitale dienstverlening. Concreet kan ik mij voorstellen dat bedrijven om een soort ‘audit/risicobeoordeling’ gaan vragen, of graag ondersteuning willen bij het aanpassen of opstellen van een klachten- of notice and takedown procedure. Wij zijn hierop voorbereid doordat we momenteel al bedrijven ondersteunen die te maken hebben met de gevolgen / verplichtingen uit de DSA. Daarnaast volgen we de ontwikkelingen omtrent de DSA en DMA nauwlettend om zo goed en tijdig mogelijk op te hoogte te zijn.
Tot slot. Nu de DSA en DMA van kracht zijn, wat zijn de risico’s voor bedrijven die zich hier nog niet eerder mee hebben beziggehouden? Moeten zij onmiddellijk actie ondernemen, of is er nog tijd om aan de nieuwe wetgeving te voldoen?
Chantal Bakermans: De voornaamste risico’s zijn (1) sancties in geval van niet-naleving (percentage van de wereldwijde omzet); (2) verbod op bepaalde bedrijfsactiviteiten; (3) het verplicht afstoten van onderdelen van een bedrijf; (4) reputatieschade.
Het tijdig reageren op de DSA en DMA is essentieel voor bedrijven die actief zijn in de digitale ruimte en dan met name ook de big tech bedrijven. Bedrijven die nu pas beginnen met de inventarisatie zijn redelijk laat, maar mijn inschatting is wel, dat het toezicht en de handhaving niet direct de focus zal hebben op het MKB. Tegelijkertijd, het tijdig treffen van voorbereidingen voorkomt sancties en reputatieschade en zou bovendien als unique selling point kunnen worden ingezet richting consumenten én investeerders. Door compliant en transparantie te zijn kan het aanpassingsvermogen, de veerkracht en betrouwbaarheid van de organisatie immers worden onderstreept hetgeen juist ook weer een strategisch voordeel kan opleveren.