Menu

Zoek op
rubriek
Data&Privacyweb
0

EU akkoord over DMA: deze wetten zijn nog in de maak

De laatste jaren komt de ene na de andere wet op data&privacy-gebied uit de koker van de EU. Zo is er donderdag een akkoord bereikt op de verstrekkende Digital Markets Act (DMA). We zagen natuurlijk al de ingrijpende GDPR-wet van kracht worden, bij ons beter bekend als de AVG, maar er staan nog veel meer wetten op stapel. Onze redactie praat je graag bij.  

23 mrt 2022

Onlangs was het dan (eindelijk) zover: drie maanden na haar aantreden presenteerde het kabinet haar digitaliseringsagenda. Er ging een brief naar de Tweede Kamer, die de basis zal zijn om in de komende periode de hoofdlijnen verder uit te stippelen. Het kabinet kwam met een lange brief ‘op hoofdlijnen’, waarin de teneur in de eerste alinea’s meteen duidelijk wordt: de overheid moet de regie over het digitale domein terugpakken.  

Voor wat het waard is. Nederland is maar een klein land en kan het dus in het digitale domein nooit alleen. We hebben te maken met één Europese interne markt, de grote techbedrijven opereren grensoverschrijdend en cyberoorlogen hebben een internationale dimensie bij uitstek. We staan sterker met een Europese aanpak, is de gedachte, en die krijgt dan ook steeds meer gestalte. Laten we eens kijken welke ontwikkelingen er zijn, welke wetpakketten er al op tafel liggen, en wat we de komende tijd kunnen verwachten.  

2018: de AVG 

Wij kennen deze wet vooral als de AVG, de Algemene Wet Gegevensbescherming. De GDPR, de EU-brede benaming voor deze wet, moet de gegevens van alle EU-inwoners beschermen. In Nederland kun je je dus op dezelfde privacy-rechten beroepen als in bijvoorbeeld Bulgarije of Polen. In Nederland is de AVG in 2016 in werking getreden, maar overheden en organisaties kregen tot 2018 de tijd om hun bedrijfsactiviteiten compliant te maken. De AVG is de basis voor veel (nationale) privacytoezichthouders. Zo kreeg Meta, het moederbedrijf van Facebook, pas nog een boete van 17 miljoen euro van de Ierse Data Protection Commission, omdat het onvoldoende heeft gedaan om datalekken te voorkomen. De AVG schrijft voor dat bedrijven moeten voorkomen dat persoonsgegevens op straat belanden. 

2018: de eIDAS-verordening 

Nederlandse overheidsorganisaties en private organisaties met een publieke taak moeten sinds september 2018 Europees erkende inlogmiddelen accepteren in hun digitale dienstverlening. De EU-lidstaten hebben dit met elkaar afgesproken in de eIDAS-verordening,  Hierdoor wordt het makkelijker en veiliger om binnen Europa online zaken te regelen (1). De verordening maakt het bijvoorbeeld mogelijk om een Duitse boete, begaan na een snelheidsovertreding op de Autobahn, vanuit Nederland te betalen via een Duits online systeem. eIDAS staat overigens voor ‘Electronic Identities And Trust Services’.  

2022: Digital Services Act 

Een van de belangrijkste wetgeving van de afgelopen jaren, is de Digital Services Act, kortweg de DSA De DSA, afkomstig van de Europese Commissie, is de opvolger van de E-commercerichtlijn. Door de veranderende rol van online tussenpersonen en de behoefte om gebruikers te beschermen tegen de toegenomen illegale elektronische handel, was volgens de Europese Unie een herziening van het bestaande regelgevende kader nodig. Veel mensen bevinden zich dagelijks op online platforms en die moeten veilig gebruikt kunnen worden, vindt de Europese Commissie. Het komt erop neer dat alles wat in de fysieke wereld illegaal is ook illegaal zou moeten zijn in het digitale domein. Het gaat hierbij bijvoorbeeld om het maken en verspreiden van desinformatie, dat een ondermijnend effect heeft op de democratische samenleving. 

Het Europees Parlement stemde in januari dit jaar voor de DSA (1). Met deze toestemming zal ook het Nederlandse kabinet ermee aan de slag moeten. Dat de verantwoordelijke ministers zich er terdege van bewust zijn, blijkt wel uit de digitaliseringsbrief: ‘De stappen die nu in EU-verband worden gezet geven richting aan onze digitale toekomst. We vinden het daarom belangrijk dat we in Europa een voortrekkersrol vervullen, waardoor onze Nederlandse waarden en voorkeuren ook Europees worden verankerd.’ 

Akkoord: de Digital Markets Act 

Het ‘broertje’ (of zusje) van de DSA is de Digital Markets Act (hierna DMA). De DMA is een nieuwe wet die grote online platforms zoals Amazon, Facebook en Google moet reguleren. Deze bedrijven zijn zo groot en hebben een dusdanige impact op de interne markt, dat ze ‘poortwachters’ worden genoemd - platforms waar gebruikers niet of nauwelijks omheen kunnen. Denk hierbij aan bijvoorbeeld de App Store die bepaalt welke apps wel of niet in de App Store mogen worden aangeboden aan gebruikers van Apple. Deze Europese regelsdragen bij aan een eerlijker speelveld op de digitale markt en stellen kaders aan spelers, ook die van buiten de EU. Hoe? Door strenger toezicht en vooraf ingrijpen. (2)  
 
Deze groep online platforms moet zich ook aan diverse verboden en verplichtingen houden. Voorbeelden hiervan zijn een verbod op het bevoordelen van eigen diensten – het voorkomen van een rondpompeffect dus -, de mogelijkheid om data van een platform naar een ander platform mee te nemen (dat noemen we interoperabiliteit,) en de mogelijkheid vooraf geïnstalleerde apps te verwijderen.  

De Europese Unie heeft donderdag een akkoord bereikt over de wet. Naar verwachting zal het wetpakket begin 2023 overal in de EU van kracht zijn.

Onderhandelingen: Data (Governance) Act 

Eind februari dit jaar publiceerde de Europese Commissie haar voorstel voor de EU Data Act. De EU Data Act volgt op de Data Governance Act en vloeit voort uit de twee jaar geleden gepresenteerde Europese datastrategie. Waar de Data Governance Act de (bestuurlijke) processen achter het delen van data vooral gemakkelijker moet maken, gaat de Data Act specifieker in op gegevensdeling. Wie kan er profiteren van het delen van dergelijke gegevens, en onder welke voorwaarden?  

Het gaat primair om gegevens die worden gegenereerd door slimme diensten en producten. Denk bijvoorbeeld aan smart watches en smart speakers als Amazon’s Alexa.  Bij de aanschaf van zo’n product is het eigenlijk niet duidelijk wie er wat met de gegenereerde gegevens mag doen. De EU Data Act moet daar verandering in brengen. Het idee achter deze strategie is om de Europese Unie een koploper te maken in de hedendaagse datagestuurde samenleving. Maar die plannen hebben ook behoorlijke implicaties voor bedrijven, schrijft Merel Rondhuis (Kennedy van der Laan) in dit artikel voor Data&Privacyweb. Maar er zijn ook mogelijke positieve gevolgen. Zo kunnen publieke organisaties toegang krijgen tot de data van commerciële bedrijven, als dat bijvoorbeeld nodig is voor rampenbestrijding.  

Voorstel: Artificial Intelligence Act 

Algoritmes kunnen veel goed doen – denk aan AI in de gezondheidszorg – maar ook desastreuze effecten hebben, als ze worden gevoed met biased data. De toeslagenaffaire die duizenden Nederlanders in grote financiële problemen, bracht is daarvan een schrikbarend voorbeeld. De Europese Commissie publiceerde vorig jaar een concept-wetsvoorstel, de Artificial Intellligence Act (AI Act), om dit soort uitwassen te voorkomen (3). Het voorstel behelst richtlijnen voor de inzet van kunstmatige intelligentie. Algoritmes moeten veilig zijn en zorgdragen voor ‘eerbiedigen van grondrechten en waarden binnen de Unie’. De AI Act heeft tot doel om de risico’s en problemen van algoritmes aan te pakken, maar moet tegelijkertijd ook zorgen voor begunstiging van ‘goede’ AI. Niets mag waardevolle technologische ontwikkeling van dit soort algoritmes in de weg staan, valt er te lezen.  

Een aantal zaken wordt ronduit verboden. Soms nogal vaag: AI-methoden die burgers dusdanig manipuleren dat ze er fysieke of psychische schade door oplopen, bijvoorbeeld. Maar ook concreter: sociale kredietsystemen, zoals die in China bestaan, zijn uit den boze. Burgers krijgen er een score (credit) toebedeeld op basis van al dan niet wenselijk maatschappelijk gedrag. De AI Act moet dit soort praktijken door overheden in de Unie voorkomen. En er komt een soort risico-raamwerk bij gebruik van kunstmatige intelligente. Zie het als een toetsingsmechanisme: van minimaal AI-risico (de algoritmes van muziekdienst Spotify) naar onaanvaardbare risico’s (camera’s met gezichtsherkenning; social credit systems). Ergens tussenin zitten de deepfakes, gemanipuleerde nepvideo’s die niet van echt te onderscheiden zijn.

Het Europees Parlement, de Europese Raad en ook het kabinet moeten zich wel nog over het voorstel buigen. De Nederlandse regering ‘speelt een voortrekkersrol’ bij algoritmebeleid, blijkt naar eigen zeggen uit de Kamerbrief over digitalisering (4). 

 

  1. https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/identiteit/eidas/  

  2. https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-markets-act-ensuring-fair-and-open-digital-markets_nl  

  3. https://artificialintelligenceact.eu/  

  4. https://privacy-web.nl/beleid/kamerbrief-hoofdlijnen-beleid-voor-digitalisering/  

 

 

 

 

 

 

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.