DSA – DMA : deux piliers de la stratégie numérique européenne.

DSA – DMA: twee pijlers van de Europese digitale strategie.

Juridische Watch nr. 46 – april 2022

DSA – DMA: twee pijlers van de Europese digitale strategieSinds het sluiten van een politiek akkoord in de nacht van 22 op 23 april is de DSA, ofwel Digital Services Act, onderwerp van veel commentaar in de digitale wereld.

Deze wetgeving inzake digitale diensten vormt, samen met de wetgeving inzake digitale markten (Digital Markets Act), de kern van het Europese systeem dat de Europese Commissie op 15 december 2020 presenteerde.

Het doel van deze strategie is om een gelijker speelveld te creëren en onlineplatformen meer verantwoordelijkheid te geven voor de content die ze publiceren.

De DSA heeft met name tot doel de digitale omgeving transparanter en veiliger te maken door de verantwoordelijkheden van digitale dienstverleners te definiëren.

Het vormt een aanvulling op de Europese richtlijn voor e-commerce en andere teksten, zoals de verordening inzake platform-to-business, maar ook op sectorspecifieke bepalingen die bijvoorbeeld de moderatie van online haatzaaiende uitlatingen, terrorisme, discriminatie of auteursrechten regelen.

De DSA is van toepassing op platforms zoals zoekmachines, sociale media en e-commerceplatforms. 

Deze tekst was het onderwerp van talrijke debatten en druk, zowel vanuit het maatschappelijk middenveld, dat een voldoende breed toepassingsgebied eiste, als vanuit de digitale economische spelers, die juist de tegenovergestelde eisen stelden.

In het bijzonder kwam de vraag naar voren hoe ver de regulering van ‘dark patterns’ en andere mechanismen gericht op het beïnvloeden van het gedrag van bezoekers reikt (zie onze brief nr. 45).

Het politieke akkoord dat is bereikt, lijkt een evenwicht te creëren tussen het beheersen van een hypergecentraliseerde platformeconomie enerzijds en het respecteren van fundamentele rechten, vrijheid van meningsuiting en non-discriminatie van individuen anderzijds.

De volgende elementen zijn bijzonder opmerkelijk:

  • Een verhaalmechanisme moet het mogelijk maken dat mensen die potentieel illegale inhoud hebben geïdentificeerd, een reactie krijgen van de host, volgens een transparante procedure en zonder dat de host hierbij als hulpje van de politie wordt ingezet.
  • Gerichte reclame zal beperkt zijn, zonder gebruik van gevoelige gebruikersgegevens.
  • Ook donkere patronen worden verboden. Het is onzeker of cookies ook onder dit verbod vallen.
  • Een crisisresponsmechanisme, dat werd ingevoerd in de context van de oorlog in Oekraïne, stelt de Commissie in staat om in overleg met nationale toezichthouders de digitale noodtoestand uit te roepen.

Houd er rekening mee dat deze maatregelen alleen gelden voor platformen en dat de situatie voor websites in het algemeen dus ongewijzigd blijft.

Deze blijven echter wel onderworpen aan de bepalingen van de AVG en de Europese richtlijn inzake elektronische communicatie.

De DMA is een aanvulling op de digitale strategie en richt zich specifiek op de ‘toegangsbeheerders’ in digitale markten, ook wel ‘poortwachters’ genoemd. die een sterke economische positie in de Europese Unie hebben en die een grote gebruikersbasis met een groot aantal bedrijven verbinden.

Ook over deze tekst werd op 25 maart een politiek akkoord bereikt, waarin de reikwijdte van de DMA werd verduidelijkt: het concept omvat digitale marktplaatsen, applicatiewinkels, zoekmachines, sociale netwerken, clouddiensten, advertentiediensten, spraakassistenten en webbrowsers.

De DMA wil ervoor zorgen dat deze platforms zich online eerlijk gedragen.

Ze moeten bijvoorbeeld zorgen voor de interoperabiliteit van de basisfunctionaliteiten van hun instant messaging-diensten.

Bovendien kunnen ze niet langer:

  • Het promoten van hun eigen producten of diensten ten koste van die van anderen (zelfreferentie)
  • Hergebruik privégegevens die tijdens een dienst zijn verzameld voor de doeleinden van een andere dienst
  • Oneerlijke voorwaarden creëren voor professionele gebruikers
  • Bepaalde softwaretoepassingen vooraf installeren
  • Verplichten dat app-ontwikkelaars bepaalde diensten (bijvoorbeeld betalingssystemen of identiteitsaanbieders) gebruiken om in app-winkels vermeld te worden

Toch is het opmerkelijk dat sindsdien meer dan 40 vertegenwoordigers van de mededingings- en gegevensbeschermingssector hun zorgen hebben geuit: in de week van 21 april publiceerden zij een brief waarin zij hun bezorgdheid uitspraken over een te vage tekst, die de betrokken bedrijven zou toestaan om alle gegevens waarover zij beschikken te combineren met behulp van één enkele toestemming, terwijl de AVG voor elk type verwerking een wettelijke basis vereist.

De DMA zijn, net als de DSA, nog niet definitief: ze moeten worden goedgekeurd door de plenaire vergadering van het Europees Parlement voordat ze kunnen worden aangenomen.

Ondertussen verspilt Europa geen tijd, gezien de inzet. Naar verluidt is het van plan om een kantoor te openen in San Francisco om in contact te komen met de techgiganten van Silicon Valley. Deze bedrijven zijn namelijk streng gecontroleerd door de nieuwe digitale regels.

En ook

Frankrijk:

  • Uit een half april gepubliceerd onderzoek van de journalistiekschool Sciences Po blijkt dat 184 Franse overheidswebsites gebruiken Google Analytics, ondanks de implicaties die de CNIL en haar collega's hebben benadrukt met betrekking tot overdrachten naar de Verenigde Staten.

Tot deze locaties behoren onder meer de Raad van State, de douane en het presidentieel paleis.

  • De CNIL publiceert bronnen over kunstmatige intelligentie voor verschillende doelgroepen : voor professionals, een overzicht van de principes en de standpunten van de CNIL en een zelfevaluatiegids; voor het grote publiek, hulpmiddelen om de kwestie beter te begrijpen; tot slot, voor specialisten, informatie en studies over de kwesties en de stand van zaken.
  • Begin april heeft de CNIL haar repressieve procedures gewijzigd en een vereenvoudigde procedure gecreëerd voor minder complexe gevallen: geen vergadering van het college of openbare zitting, behalve op verzoek van de betrokken organisatie.

De sancties die in dit verband kunnen worden opgelegd, zijn beperkt: waarschuwingen, boetes tot € 20.000,- en een verbod met een dwangsom van maximaal € 100,- per dag vertraging.

Deze sancties worden niet openbaar gemaakt.

  • Op 15 april 2022 heeft de beperkte commissie van de CNIL een Boete van 1,5 miljoen euro voor Dedalus Biologie voor beveiligingslekken die leidden tot het lekken van medische gegevens van bijna 500.000 mensen.

Tijdens de softwaremigratie werden technische en organisatorische beveiligingstekorten vastgesteld.

Europa:

De Europese Commissie heeft haar voorstel voor een Europese gezondheidsdataruimte (EHDS).

Het voorstel heeft tot doel de toegang van burgers tot hun gezondheidsgegevens in elektronische vorm te vergemakkelijken en deze gegevens te delen met andere zorgprofessionals in de EU. Tegelijkertijd wordt de toegang tot deze gegevens onder strikte voorwaarden gewaarborgd voor onderzoekers, vernieuwers, overheidsinstellingen en bedrijven.

Elke lidstaat moet een digitale gezondheidsautoriteit aanwijzen die zal deelnemen aan een grensoverschrijdende digitale infrastructuur (MyHealth@EU).

Europees Comité voor Gegevensbescherming (EDPB)

  • Op 6 april 2022 publiceerde de Europese Raad voor Gegevensbescherming (EDPB) een verklaring over het ontwerp voor een transatlantisch kader voor gegevensbescherming.

Deze verklaring is een vervolg op de principeovereenkomst tussen de Europese Commissie en de Verenigde Staten die op 25 maart 2022 werd aangekondigd.

De EDPB wijst erop dat deze mededeling geen wettelijk kader vormt waarop gegevensexporteurs hun overdrachten kunnen baseren.

Zij moeten de maatregelen blijven nemen die nodig zijn om met name te voldoen aan het Schrems II-arrest van het Hof van Justitie van de Europese Unie.

  • De EDPB heeft op 28 april ook een gemeenschappelijk standpunt gepubliceerd over de samenwerking tussen gegevensbeschermingsautoriteiten op het gebied van controle naleving van de AVG.

Het document bevestigt de bereidheid van de gegevensbeschermingsautoriteiten om hun samenwerking te versterken door grensoverschrijdende kwesties van strategisch belang te identificeren, gezamenlijke onderzoeken en informatie-uitwisseling te bevorderen en bepaalde procedurele regels te verbeteren.

Europese Toezichthouder voor gegevensbescherming (EDPS)

DE Europese Toezichthouder voor gegevensbescherming (EDPS) organiseert op 16 en 17 juni in Brussel een conferentie over naleving van de AVG in de digitale wereld.

CPDP

Ook vermeldenswaard is de jaarlijkse academische conferentie CPDP (Computers, Privacy en Gegevensbescherming), die dit jaar is uitgesteld tot 23-25 mei. Het programma is opgebouwd rond het thema “Het tijdperk van intelligente machines”.

Europees Parlement

Op 19 april werd de Pegasus Onderzoekscommissie Het Europees Parlement is met zijn werkzaamheden begonnen.

De commissie heeft twaalf maanden de tijd om haar rapport voor te bereiden over spyware die door verschillende overheden wordt gebruikt om talloze publieke figuren, politici, journalisten en activisten te bespioneren.

Hof van Justitie van de Europese Unie

Twee belangrijke haltes van de Hof van Justitie van de Europese Unie werden vorige maand gepubliceerd:

  • Op 5 april bevestigde het Hof zijn jurisprudentie dat elektronische communicatiegegevens (waaronder locatiegegevens) niet in het algemeen en zonder onderscheid mogen worden bewaard ter bestrijding van ernstige misdrijven.
  • Op 28 april erkende het Hof expliciet dat consumentenbeschermingsverenigingen representatieve vorderingen kunnen instellen tegen inbreuken op de bescherming van persoonsgegevens, ongeacht of er daadwerkelijk sprake is van een schending van het recht op gegevensbescherming van een betrokkene en bij gebrek aan een mandaat om dit te doen.

De Spaanse Autoriteit voor Gegevensbescherming heeft een boete van € 1.500,- opgelegd aan een persoon die een videobewakingscamera op de openbare weg en in de buurt van particuliere woningen had geïnstalleerd, zonder informatiebord en in strijd met de artikelen 5(1)(c) en 13 van de AVG.

De Nederlandse Autoriteit Persoonsgegevens (AP) heeft het Ministerie van Buitenlandse Zaken een boete van € 565.000 opgelegd wegens onvoldoende veiligheidsmaatregelen en gebrek aan adequate informatie voor de betrokkenen in het kader van visumaanvragen.

De Hongaarse autoriteit voor gegevensbescherming heeft een bank een boete van € 670.000 opgelegd voor illegaal gebruik van kunstmatige intelligentie.De bank voerde automatische analyses uit van audio-opnames van haar klantenservice.

De Deense Autoriteit Gegevensbescherming heeft Danske Bank een boete van € 1.345.000 opgelegd wegens het niet naleven van de procedures voor het bewaren en verwijderen van gegevens. in meer dan 400 computersystemen, waarbij miljoenen mensen betrokken zijn. De zaak is ook onderwerp van een politieonderzoek.

In België legde de Gegevensbeschermingsautoriteit een boete van 200.000 euro op aan Brussels Airport Zaventem en van 100.000 euro aan Brussels South Charleroi Airport. voor temperatuurcontroles van passagiers die worden uitgevoerd in het kader van de strijd tegen COVID-19 zonder dat daarvoor een geldige wettelijke basis bestaat.

Internationaal :

Er zijn zorgen over de luister- en opnamemogelijkheden van slimme luidsprekers.

Uit een eind april gepubliceerd academisch onderzoek blijkt hoe Amazon de door Alexa verzamelde gegevens gebruikt voor gerichte advertenties. Deze gegevens worden voor dertig keer meer dan andere gegevens doorverkocht en de waarde ervan.

Medio april uitte de Ierse Commissaris voor de Mensenrechten dezelfde bedenkingen bij de minister van Justitie, ditmaal met betrekking tot het hergebruik van deze gegevens in het kader van politiële onderzoeken.

Op 21 april gaf de Amerikaanse minister van Buitenlandse Zaken Gina M. Raimondo een verklaring uit over de oprichting van het “Global CBPR Forum.”

Dit forum heeft als doel de overdracht van persoonsgegevens en commerciële activiteiten tussen de Verenigde Staten, Canada, Japan, de Republiek Korea, de Filipijnen, Singapore en Taiwan te vergemakkelijken.

Houd er rekening mee dat CBPR's (Cross Border Privacy Rules) al ongeveer tien jaar bestaan en dat de certificeringen voornamelijk door bedrijven in de Verenigde Staten plaatsvinden.

De OESO wil een kader ontwikkelen voor betrouwbare toegang van overheden tot gegevens uit de particuliere sector.

Dit thema is een van de prioriteiten van de internationale organisatie voor 2022, naast gegevenslokalisatie en internationale overdracht van persoonsgegevens.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL