De advertenties en inhoud (ook wel content) die gebruikers op onlineplatforms te zien krijgen, sluiten vaak naadloos aan bij hun interesses en eerdere zoekgedrag. Dit is het gevolg van algoritmische profilering: het geautomatiseerd analyseren van gebruikersgedrag om gepersonaliseerde aanbevelingen te doen. De Digital Services Act (“DSA”) verplicht onlineplatforms onder meer om het gebruik van algoritmes duidelijk en transparant te maken.
Onlangs oordeelde de rechtbank Amsterdam dat Meta niet aan deze transparantieverplichtingen voldoet. Zo bleek dat gebruikers van Instagram en Facebook onvoldoende keuzevrijheid hebben om een tijdlijn te gebruiken die niet gebaseerd is op algoritmische profilering. Bovendien kwalificeerde het automatisch terugschakelen naar een profilerend aanbevelingssysteem als een misleidende ontwerpkeuze (ook wel ‘dark pattern’), zoals verboden onder de DSA. Ook X schond onlangs haar transparantieverplichtingen, onder meer door onvoldoende inzicht te geven in advertenties en door het belemmeren van toegang tot data, wat de Europese Commissie (“EC”) aanleiding gaf tot een boete van € 120 miljoen.
Deze voorbeelden benadrukken dat grote onlineplatforms, die wereldwijd door miljoenen mensen dagelijks worden gebruikt, kunnen worden aangesproken op de naleving van hun (transparantie)verplichtingen. In deze blog gaan wij in op een aantal verplichtingen uit de DSA voor onlineplatforms en zoekmachines (zogeheten ‘tussenhandelsdiensten’), met een bijzondere aandacht naar (algoritmische) transparantie. In aanvulling op de DSA is ook de Digital Markets Act (“DMA”) relevant, waarbij de focus ligt op concurrentie op digitale markten. Voor een bredere introductie tot de DSA en DMA verwijzen wij graag naar onze eerdere blogreeks (zie deel 1, 2 en 3).
Onlineplatforms zoals Instagram, TikTok en X baseren hun diensten in belangrijke mate op gebruikersdata: gebruikers leveren content en interacties, waarna (de achterliggende algoritmische systemen van) onlineplatforms bepalen hoe deze content wordt weergegeven. In eerste instantie wordt inhoud getoond van profielen waarop de gebruiker zich heeft geabonneerd of die de gebruiker volgt. Gebruikersprofielen worden vervolgens systematisch opgebouwd op basis van verschillende parameters, waaronder clicks, likes, kijktijd en zoekopdrachten. Ook de leeftijd van het account en locatievoorkeuren zijn personalisatieparameters. Op basis van deze door algoritmes geanalyseerde gegevens genereren de systemen aanbevelingen per individuele gebruiker, en wordt bepaald welke video, post of advertentie die gebruiker op het onlineplatform te zien krijgt. Hoe langer een gebruiker actief is, hoe beter een gebruikersprofiel van diegene kan worden gepersonaliseerd.
De DSA verplicht onlineplatforms kort gezegd om transparant te zijn over de werking van hun diensten, waaronder het gebruik van de achterliggende (algoritmische) systemen. Platforms moeten gebruikers onder meer inzicht geven in hoe advertenties worden weergegeven, hoe profilering plaatsvindt en hoe aanbevelingssystemen functioneren. Bovendien stelt de DSA eisen aan de wijze waarop deze informatie in de algemene voorwaarden wordt gepresenteerd. Voor de grootste onlineplatforms en -zoekmachines (Very Large Online Platforms (“VLOPs”) en Very Large Online Search Engines (“VLOSEs”)) gelden aanvullende verplichtingen onder de DSA. Zo zijn zij bij het gebruik van algoritmische systemen op hun onlineplatforms verplicht om de daaruit voortvloeiende systeemrisico’s te beoordelen, met name wanneer deze een aanzienlijke maatschappelijke impact kunnen hebben, zoals verkiezingsbeïnvloeding of negatieve effecten op de mentale gezondheid van jongeren. Vastgestelde risico’s moeten vervolgens worden beperkt door passende mitigerende maatregelen, waaronder aanpassingen van systemen of voorwaarden.
De EC geeft op haar website een overzicht van de (reeds) aangewezen VLOPs en VLOSEs. VLOPs zijn onder meer Amazon, Apple, Meta, TikTok, X en Zalando. Google en Microsoft zijn VLOSEs.
Artikel 27 lid 1 en 2 DSA verplicht onlineplatforms om in hun algemene voorwaarden duidelijk toe te lichten welke kernparameters hun algoritmische aanbevelingssystemen gebruiken, hoe gebruikers deze instellingen kunnen beïnvloeden en waarom bepaalde parameters voor specifieke gebruikers relevant zijn. Daarnaast bepaalt artikel 14 lid 1 tot en met 3 DSA dat algemene voorwaarden van tussenhandelsdiensten op een heldere, begrijpelijke en toegankelijke wijze moeten uitleggen (i) welke regels en beperkingen gelden voor door gebruikers verstrekte inhoud, (ii) hoe en op basis van welke mechanismen content wordt gemodereerd en (iii) welke mogelijkheden gebruikers hebben om klachten in te dienen over de werking van het platform of de naleving van de DSA. Voor VLOPs en VLOSEs geldt de aanvullende verplichting dat zij een beknopte, machineleesbare samenvatting van hun algemene voorwaarden moeten aanbieden (artikel 14 lid 5 DSA) en deze beschikbaar stellen in alle officiële talen van de EU-lidstaten waar zij actief zijn (artikel 14 lid 6 DSA).
Hoewel de algemene voorwaarden van onlineplatforms bedoeld zijn om duidelijkheid te scheppen voor (zakelijke) gebruikers over de content op die platforms, blijkt die transparantie in de praktijk nog ver te zoeken. Uit een recent NRC-artikel van Merve Özdemir over de algemene voorwaarden van grote platforms blijkt immers dat gebruikers die willen weten wat onlineplatforms en apps met hun gegevens doen, zo’n acht werkdagen moeten besteden aan het lezen van vaak moeilijk te begrijpen algemene voorwaarden. Voor vijf van de populairste apps in Nederland (NS, Albert Heijn, Facebook, Messenger en Instagram) duurt het volledig lezen van alle algemene voorwaarden ongeveer 2,5 uur per app – met als reden dat deze apps hun gebruikers volledig willen informeren. Deze wirwar aan informatie staat echter haaks op de Algemene Verordening Gegevensbescherming.
Veel aangewezen VLOPs en VLOSEs, waaronder Amazon, Apple, Meta en Microsoft, zijn ook aangewezen als ‘poortwachter’ onder de DMA. Poortwachters zijn digitale platforms die vanwege hun substantiële economische omvang en grote gebruikersbasis een duurzame en dominante positie innemen bij het aanbieden van kernplatformdiensten binnen de EU. De DMA beoogt de machtspositie van poortwachters te begrenzen en eerlijke concurrentie te waarborgen. Zo bevat de DMA verplichtingen die direct raken aan het gebruik van data en algoritmen, bijvoorbeeld door beperkingen te stellen aan het combineren en hergebruiken van persoonsgegevens voor reclame. Verder mogen poortwachters gepersonaliseerde diensten alleen aanbieden wanneer gebruikers een echte, effectieve keuze hebben tussen gepersonaliseerde en minder gepersonaliseerde alternatieven. Deze keuze moet neutraal en niet-manipulatief worden gepresenteerd, wat de DMA expliciet verbindt met de bredere DSA-norm tegen misleidende ontwerpkeuzes (dark patterns).
In Nederland zien de Autoriteit Consument en Markt (“ACM”) en de Autoriteit Persoonsgegevens (“AP”), gezamenlijk met de EC, toe op de naleving van de DSA en de DMA.
Al vóór de inwerkingtreding van de DSA riep de ACM grote onlineplatforms op hun informatievoorziening en algemene voorwaarden te verbeteren, waaronder Airbnb, AliExpress, Apple, Bol.com, Booking.com, Expedia, Facebook en Google. Voor de naleving van de DSA door VLOPs en VLOSEs ligt de primaire toezichtstaak echter bij de EC. De EC handhaaft de DSA daarbij actief: sinds 2023 start de EC vrijwel maandelijks procedures tegen VLOPs en VLOSEs rondom de naleving van de DSA. Op 31 oktober 2024 startte de EC voor het eerst – en voor zover bekend tot nu toe als enige keer – een procedure over de werking van aanbevelingssystemen jegens Temu.
Zoals ook de miljoenenboete aan X laat zien, zijn de sanctiebevoegdheden van de EC aanzienlijk. Bij schending van DSA-verplichtingen kan zij boetes opleggen tot 6% van de wereldwijde jaaromzet en periodieke sancties tot 5% van de gemiddelde dagelijkse wereldwijde omzet voor elke dag vertraging bij naleving van maatregelen of verbintenissen. Indien een ernstige inbreuk blijft voortduren en risico’s voor leven of veiligheid oplevert, kan de EC – na het volgen van een formele procedure – de tijdelijke opschorting van de dienst verzoeken. De website van de EC biedt een overzicht van handhavingsacties tegen onlineplatforms, onder meer op grond van de DSA.
Onlineplatforms hebben dankzij hun enorme gebruikersdata een dominante positie op digitale markten, waarmee zij via algoritmische systemen de ervaring van individuele gebruikers sturen. De DSA zorgt ervoor dat deze macht niet ongecontroleerd blijft: zowel toezichthouders als gebruikers kunnen platforms aanspreken op hun transparantieverplichtingen en naleving daarvan afdwingen, bijvoorbeeld via procedures bij de civiele rechter of sancties opgelegd door de EC.
Algoritmische transparantie is daarbij geen vrijblijvende inspanning, maar een afdwingbare norm. Onlineplatforms hebben de duidelijke taak om de werking van hun algoritmische systemen uitlegbaar te maken, gebruikers echte keuzemogelijkheden te bieden en te voorkomen dat deze keuzes worden ondermijnd door misleidende ontwerpkeuzes of complexe voorwaarden. Voor VLOPs en VLOSEs betekent dit dat zij niet alleen robuuste algoritmen moeten ontwikkelen, maar ook moeten investeren in begrijpelijke informatie, toegankelijke instellingen en een ontwerp dat de autonomie van gebruikers respecteert. Wie transparantie beschouwt als enkel een vinkje in de algemene voorwaarden, loopt onder de DSA een reëel handhavingsrisico.
