• Home
  • Nieuws
  • Interview impact Digital Service Act (Digitale Diensten verordening) voor leden van Dutch Cloud Community

Interview impact Digital Service Act (Digitale Diensten verordening) voor leden van Dutch Cloud Community

Interview van Dion Goudkuil, Mijndomein met Jacqueline van de Werken, General Counsel – Hoofd Global Legal & Compliance bij Leaseweb.

Inleiding
Vorig jaar is de DSA voor zeer grote online platforms zoals Facebook en Booking.com van kracht geworden. Vanaf 17 februari 2024 geldt de Digital Services ook voor hosting partijen en partijen die intermediaire online diensten met netwerkinfrastructuur aanbieden zoals internetproviders en domeinnaam registrars en registries. Belangrijke websites om te raadplegen zijn die van de Rijksoverheid, KVK & Rijksdienst voor Ondernemend Nederland, waarin ook wordt verwezen naar de toezichthouder van de Digital Services Act, de ACM. Alle website vindplaatsen staan onderaan na het interview. De ACM heeft de DSA Leidraad uitgegeven waarop nog eventueel aanpassingen komen vanwege de ronde tafel voor consultatie op 8 februari 2024, maar het is een alvast goed overzicht voor ons.

In dit interview bespreken Jacqueline en Dion de DSA en de mogelijke impact op onze branche en de leden van onze vereniging.

Wat is de achtergrond van de Digital Services Act? Deze wet is in zijn geheel niet compleet nieuw en heeft raakvlakken met bestaande wet- en regelgeving en zelfs het Burgerlijk Wetboek. Kun je daar wat meer over vertellen?

De verplichtingen van de hosting aanbieder en ook voor communicatienetwerken en voor cachingdiensten stonden al in ons burgerlijk wetboek gebaseerd op de Europese eCommerce Directive die was omgezet naar Nederlands Recht.

Het komt neer op de bekende begrippen van “hosting immunity” of “good samaritan” omdat deze verplichting neerkomt op zorgvuldig en daadkrachtig handelen als de hosting provider te weten komt dat er sprake is van illegaal gebruik en illegaal materiaal over zijn diensten.

De wettelijke taak om dan snel en gericht actie te nemen op basis van de bekende Notice en Take Down om het abuse te stoppen is dus steeds daarop gebaseerd geweest. Door dat goed te doen, (met als taak dat de hosting provider prompt de informatie verwijdert of de toegang daartoe onmogelijk maakt) wordt de hosting provider niet aansprakelijkheid gehouden voor het abuse op zijn netwerk en diensten. Het is ook geborgd dat de melding zeer gericht moet zijn dat het niet kan leiden tot schieten met hagel om uitingen te frustreren en vrijheden te beperken.

Dus de Digital Services Act is een vervolg met veel meer uitleg en context van deze verplichting, maar het goed nieuws is dat de essentie van de hosting immunity niet is gewijzigd. Wat ook nieuw is, en meer bescherming geeft met behoud van deze bescherming is dat er meer eigen onderzoek kan worden gedaan, dus op eigen initiatief, terwijl dit onder de oude regeling kon leiden tot een gebrek en verlies aan bescherming.

De maatschappelijke trend om meer verantwoordelijkheid neer te leggen bij de aanbieders is ook terug te vinden in de nieuwe regeling (zogenaamde artikel 18) dat de hosting aanbieder zelf melding moet maken bij de opsporingsdiensten als die informatie signaleren en te weten komen van strafbare feiten die de veiligheid van personen en levensbedreigende situaties opleveren.

In de DSA wordt de term platform veel gebruikt. Dit is wellicht een verwarrende term in onze industrie. Kun je duiden wat er exact in de DSA met platform wordt bedoeld?

We maken inderdaad voor allerlei systemen en tools graag gebruik van de term platform, het is een heel ingeburgerd begrip in de IT-wereld. Het gaat hier om online platform waarvoor nu speciale regels gelden boven op de regels voor hosting aanbieders.

Maar toch even opletten in formele brochures of beschrijving van je diensten aan de afnemers (dat is de nieuwe DSA term voor een klant) want onder de DSA is een online platform nu belast met veel maatschappelijke- en technische taken voor inzicht om het internet schoon en veilig houden. Dat gaat over het bieden van transparantie voor de informatieverwerking en het beschermen van gebruikers voor het gebruik van deze informatiedienst op zo’n online platform.

Er zijn ook zogenaamde grote online platforms aangewezen met nog verregaande veiligheids- en transparantie verplichtingen. Het is in feite een hostingdienst die wordt gebruikt door iedereen die graag informatie daar op slaat en laat verspreiden aan het publiek.

De DCC leden zijn onder de DSA vooral aanbieders van hosting diensten en vallen onder een (beetje wennen) verzamelbegrip van online tussenhandel diensten, de online intermediairies. Dan ben je nog geen online platform, want dat is een speciale categorie waar vraag en aanbod gefaciliteerd bij elkaar komt ten behoeve van gebruik door consumenten en bedrijven als eindgebruikers van de informatie.

De verplichtingen onder de DSA voor een hosting dienst als intermediaire onlinedienst zijn dus anders dan voor een online platform met het toepassen van de Notice en Take Down procedures met wat meer transparantie verplichtingen naar de melder en de klant (de afnemer).

Op de website van de Vereniging DCC kan je makkelijk nalezen en begrijpen wat je moet doen voor het opvolgen van de nieuwe DSA, daar staan namelijk de Gedragscodes van de DCC zelf met verwijzing naar de sector Gedragscode Abuse bestrijding met daarin ook KYC en Notice en Take Down aanwijzingen.

Als belangrijk onderdeel van de DSA is belangrijk dat de Algemene Voorwaarden van alle online intermediairs (dus inclusief hosting providers) duidelijk aangeven dat er sprake kan zijn van het beperken of stoppen van de dienstverlening aan afnemers (afnemer is dan de definitie voor klant) vanwege illegale activiteiten en illegale inhoud met uitleg van de procedure, de feedback van de afnemer en de gevolgen van het niet opvolgen van de Notice en Take Down door de afnemer. Dit moet volgens de DSA in heldere taal en makkelijk te vinden beschikbaar worden gemaakt, dan kan prima aan worden voldaan om dit online op de website te plaatsen van de hosting aanbieder.

Zoals wel al gewend waren, is ook de meld knop voor illegale inhoud en illegale activiteiten met de IP-nummers en diensten van de hosting provider op de website te plaatsen met heldere uitleg erbij.

Er zijn wel nieuwe beschermende regels voor de melder, want bij het uitvoeren van de Notice en Take Down procedure mogen zijn identiteit alleen worden meegestuurd in de melding naar de afnemer die wordt gevraagd om illegale inhoud te verwijderen als dat er toe doet en relevant is voor het oplossen van de illegale inhoud zoals bij inbreuk intellectuele eigendomsrechten, dat is het geoorloofd. Maar bijvoorbeeld zeker niet bij CSEM meldingen, dan mag de identiteit van de melder niet worden meegestuurd. Dus raadpleeg goed de Leidraad van de ACM hiervoor.

Wanneer dient een DCC lid zich aan de DSA te houden? Ik heb begrepen dat er een minimale omzetgrens is, aantal medewerkers in loondienst, type dienstverlening. Hoe zit dit en op welke wijze kan een lid eenvoudig bepalen of zij zich moet houden aan specifieke eisen?

De uitzondering is alleen van toepassing voor micro en kleine tussenhandels diensten (<250 medewerkers, jaaromzet < 50 miljoen euro en jaarlijkse balans < 43 miljoen) voor het afgeven van een zogemaand Transparantie Raport maar voor gewone hosting diensten zoals de DCC leden als online intermediaries geldt de DSA voor alle aanbieders. Het was ook niet eerder uitgesloten onder het burgerlijk wetboek en de eCommerce Directive. Dus het is van belang voor start ups en kleine ondernemers om toch altijd als online intermediaire dienst goed te oriënteren en te organiseren wat er nodig is voor een schoon internetnetwerk.

De DSA brengt eisen met zich mee waar een partij aan dient te voldoen. ik heb gelezen over het jaarlijkse publiceren van een Transparency Report, het faciliteren van een NTD proces en meer. Deels zaken die we in onze Code of Conduct als vereniging al goed hebben ingericht. Welke eisen gelden er exact en welke zijn opvallend? En kan een lid op eenvoudige wijze toetsen of zij voldoet?

Het Transparantie rapportageverplichting onder de DSA is van toepassing voor alle aanbieders van tussenhandel diensten, dus vooral ook de hosting providers maar geldt niet voor micro en kleine tussenhandels diensten hosting aanbieders zoals al eerder aangegeven. Voor hosting providers gelden extra rubrieken.

Deze Transparantierapportage is nu verplicht gesteld, maar veel DCC leden zullen onder de uitzonder vallen (micro en kleine tussenhandels diensten (<250 medewerkers, jaaromzet < 50 miljoen euro en jaarlijkse balans < 43 miljoen). Het staat ook in de overwegingen van de DSA om transparantie en verantwoording te waarborgen, jaarlijks in een openbaar verslag over de zogenaamde “illegale inhouds- moderatie” over dat jaar de statistiek van de maatregelen die zijn genomen als gevolg van de de NTD en zogenaamd law enforcement, dus bevelen van opsporingsdiensten over illegale inhoud. Dit verslag kan worden gesteld op eigen wijze met een bepaalde indeling om helderheid te geven over het type meldingen en de genomen maatregelen.

Het is natuurlijk een goede keuze zoals meer DCC leden al doen om dergelijke transparantie te bieden ten behoeve van je afnemers, zodat klanten kunnen zien dat een schoon netwerk serieus wordt genomen. Het heeft als bijkomend voordeel dat het een afschrikkende werking heeft voor klanten die bijvoorbeeld illegale inhoud en abuse niet schuwen, want met een Transparantie Report weten ze dat de hosting aanbieder compliant wil zijn en de vorderingen tijdig en adequaat afhandelt.

Wat zijn mogelijke consequenties voor leden als zij niet (tijdig) voldoen en op welke wijze kan dit extern worden getoetst, is er een toezichthouder?

Zoals dergelijke wetgeving als GDPR heeft ook de DSA het systeem van boetes op basis van omzet en omvang. De ACM is de toezichthouder en heeft heel recent haar richtlijnen gepubliceerd. De ACM heeft als taak op basis van de DSA om ook beleid en lokale Nederlandse wetgeving te maken om dergelijke boetes te kunnen toepassen. Meer informatie hierover volgt nog, ik zag hierin geen persoonlijke bestuurdersaansprakelijkheid maar dergelijke boetes zijn dringend genoeg.

Als we naar de eisen kijken dan helpt dit ook onze leden om haar diensten op een nog hoger niveau te brengen en risico’s te beperken. De regeldruk valt mee en in dat opzicht is de impact van de DSA beperkt. Is dit ook jouw beeld?

Het is een goede zaak dat nu naast de sector zelfregulering er ook een verplichting is op basis van de DSA zodat binnen de EU (en daarbuiten, want de DSA geldt ook voor buitenlandse aanbieders die zich richten op EU-afnemers) de online veiligheid en de manier van werken voor schone internet diensten met gemeenschappelijke standaarden goed is afgestemd. Dit is een eerlijker business model want alle aanbieders moeten dan dezelfde maatregelen treffen en hebben een gelijksoortige administratieve lastendruk door de regelgeving. Dus dit zorgt voor zogenaamd “level playing field”, beter dan vroeger onder de eCommerce Directive die eerst nog werd omgezet naar nationaal recht. Deze verordening geldt direct voor alle bedrijven die hieronder vallen.

Het is wel zo dat de DSA meer taken geeft met concrete verplichtingen. Bijvoorbeeld: het moet helder in de algemene voorwaarden van de hosting aanbieder zijn opgenomen hoe de melding van illegale inhoud kan worden gedaan op makkelijk vindbare wijze en wat de gevolgen zijn voor zowel de afnemer (klant) en de melder. De melder heeft ook het recht dat zijn persoonlijke gegevens niet worden meegestuurd aan de afnemer (klant) die de illegale inhoud moet staken, dus er zijn wel nieuwe maatregelen nodig die extra regelduk opleveren. Let goed op de richtlijnen van de ACM.

Dank voor jouw tijd Jacqueline en het beantwoorden en delen van deze informatie!

Welke providers vallen hieronder?
De wetgeving omvat regels voor onlinetussenhandelsdiensten, die miljoenen Europeanen dagelijks gebruiken. De verplichtingen van de verschillende onlinespelers passen bij hun rol, omvang en impact op het online-ecosysteem.

  • Zeer grote onlineplatforms en zoekmachines zijn een specifiek risico voor het verspreiden van illegale inhoud en het toebrengen van schade aan de maatschappij. Voor platforms die meer dan 10% van de 450 miljoen gebruikers in Europa bereiken, zijn er specifieke regels opgesteld. De lijst van aangewezen platforms is beschikbaar op de website over de wetgeving digitale diensten: zeer grote onlineplatforms en zoekmachines.
  • Onlineplatforms waar verkopers en consumenten samenkomen, zoals onlinemarktplaatsen, appstores, deeleconomieplatforms en socialemediaplatforms.
  • Hostingdiensten zoals cloud- en webhostingdiensten (inclusief onlineplatforms).
  • Intermediaire diensten die netwerkinfrastructuur aanbieden: internetproviders, domeinnaamregistrators (inclusief hostingdiensten).

Alle onlinetussenpersonen die hun diensten op de interne markt aanbieden, ongeacht of zij in de EU of daarbuiten gevestigd zijn, moeten aan de nieuwe regels voldoen. De verplichtingen van micro- en kleine ondernemingen staan in verhouding tot hun vermogen en omvang en zorgen ervoor dat zij voldoende verantwoording afleggen. Bovendien worden micro- en kleine ondernemingen, zelfs indien zij aanzienlijk groeien, gedurende een overgangsperiode van 12 maanden vrijgesteld van een reeks verplichtingen.

Meld je nu aan voor onze nieuwsbrief!
[mc4wp_form id="483"]

ISPConnect en DHPA zijn nu Dutch Cloud Community

We zijn sinds januari 2021 gefuseerd tot de Dutch Cloud Community.

De fusie van ISPConnect en DHPA heeft plaatsgevonden om als nieuwe branchevereniging de belangen te behartigen voor de Nederlandse cloud-, hosting- en internetsector.

Al onze informatie vind je vanaf nu op dutchcloudcommunity.nl