Toezichthouders samen aan de slag met nieuwe Europese wetgevingen

De overlap in het werk van toezichthouders wordt bijvoorbeeld duidelijk vanuit de cookiewetgeving. Privacy speelt daar een belangrijke rol in, waardoor het onderwerp in het domein van de Autoriteit Persoonsgegevens (AP) valt. Maar het heeft vooral ook effect op de Autoriteit Consument en Markt (ACM). Bedrijven kunnen in theorie dus met beide toezichthouders te maken krijgen, zelfs als het om slechts één zaak gaat. Dat kan betekenen dat bedrijven informatie twee keer moeten aanleveren en de toezichthouders in feite hetzelfde werk moeten doen. Bovendien kunnen de beide toezichthouders ieder een eigen uitleg hebben van de wet, waarbij de één misschien strenger is dan de ander.

Om dat soort scenario’s te voorkomen, begonnen de ACM, de AP, de Autoriteit Financiële Markten (AFM) en het Commissariaat voor de Media anderhalf jaar geleden het SDT. Binnen het samenwerkingsplatform stroomlijnen de toezichthouders hun ideeën bij bepaalde wetgevingen en wordt bepaald welke zaak onder wiens toezicht valt.

De komende tijd gaat vooral veel focus naar de aankomende Europese wetgevingen, zoals de Digital Services Act, de Data Governance Act, de Data Act, de Digital Markets Act en de AI Act. “Dat maakt de noodzaak tot samenwerking alleen nog maar groter”, vertelt Martijn Snoep, bestuursvoorzitter van de ACM, nu aan AG Connect. “Dat betekent een enorme verandering voor de digitale sector. Hoe gaan we dat organiseren? Hoe moeten wij dat aanpakken?”

Regulering van het wilde westen

“Je zou nu kunnen zeggen dat de techsector een beetje het wilde westen is. Maar met de komst van de nieuwe wetgevingen worden grote bedrijven eigenlijk een soort gereguleerde bedrijven worden. Je kunt het vergelijken met hoe banken gereguleerd worden, in de zin van dat er een doorlopende toezichtrelatie gaat ontstaan tussen toezichthouders en grote techbedrijven”, legt Snoep uit.

Techbedrijven krijgen mogelijk niet met slechts één toezichthouder, maar met meerdere nationale organisaties én met de Europese Commissie. Samenwerking wordt daardoor des te belangrijker. “Dat is voor ons allemaal nieuw. Voor ons als toezichthouders is het nieuw om zo intensief te moeten samenwerken. Voor digitale bedrijven zal het nieuw zijn dat ze plotseling gereguleerd worden. Je ziet ook dat sommigen zich daar makkelijker bij neerleggen dan anderen.”

Snoep heeft daar wel enige sympathie voor. “Het zijn veelal in het buitenland gevestigde ondernemingen, die in hun eigen land helemaal niet zo streng gereguleerd worden als in Europa. Dus waarom nu wel in Europa?” De bestuursvoorzitter voorziet echter dat er een Brussel-effect kan ontstaan, waardoor ondernemingen ook in hun eigen land niet meer aan strenge regels ontkomen. “In de zin dat de Europese regels de wereldwijde norm worden. Dat zie je bijvoorbeeld met onze privacywetgeving, daar liften heel veel landen op mee.”

Geen wettelijke basis

Hoewel het SDT inmiddels anderhalf jaar bestaat, blijven de toezichthouders los van elkaar opereren. Er is namelijk geen wettelijke basis om als één organisatie op te treden. “Het is echt een samenwerkingsplatform, dus uiteindelijk zijn het altijd de individuele autoriteiten die bevoegd zijn en ook de daadwerkelijke handhavingsactie doen. Maar wel gecoördineerd en onderling afgestemd, om te voorkomen dat je op dag één de ACM krijgt, op dag twee de AP, op dag drie de AFM en op dag vier het Commissariaat voor de Media nog eens langskomt. En dat ze allemaal eigenlijk dezelfde informatie vragen. Dat zou voor bedrijven geen doen zijn en dat is voor ons ook niet wenselijk.”

Dat betekent wel dat bepaald moet worden wie zich over welke zaak buigt. Volgens Snoep is dat echter geen probleem: “Er is zoveel werk dat die beslissing wel meevalt. Vaak is er een toezichthouder die al veel weet over een bepaald onderwerp of er al een keer iets mee heeft gedaan.”

Wat is transparantie?

Om te zorgen dat voor iedereen duidelijk is hoe een bepaalde wetgeving geïnterpreteerd wordt, heeft het SDT twee lijsten met uitgangspunten opgezet. Eén draait om transparantie. Organisaties moeten namelijk transparant zijn over voorwaarden, over producten en diensten die verkocht worden, en over bijvoorbeeld het gebruik van cookies. Maar ja, wat is transparant? “Inmiddels betekent transparantie dat er zoveel informatie gegeven wordt dat je door de bomen het bos niet meer ziet. Daarom zeggen we nu: het gaat niet om transparantie an sich, maar om effectieve transparantie”, verklaart Snoep.

“Dat betekent dat partijen die transparant moeten zijn ook moeten meten of die transparantie bij jou leidt tot een goed geïnformeerde beslissing. En pas als je je daarvan hebt te vergewissen, kun je spreken van transparantie die voldoet aan de verplichting.” In de praktijk betekent dit dat bedrijven echt moeten nadenken over hoe informatie wordt aangeboden, in plaats van alleen een groot document met algemene voorwaarden online zetten. “Je moet de essentiële voorwaarden verzamelen en die helemaal in het begin van het aankoopproces neerzetten. Je kunt dus niet ergens een lichtgrijs, klein i’tje neerzetten waar je kunt klikken om alleen bij een document van 35 pagina’s uit te komen.” Uit het onderwerp vloeit ook een nieuw onderzoek van de toezichthouders, specifiek naar de effectiviteit van de transparantie van influencers.

Daarnaast is er een lijst met uitgangspunten opgezet voor het beschermen van kinderen, gericht op bijvoorbeeld influencers en webshops. Juist kinderen hebben immers niet altijd door wat de gevolgen zijn van online actief of wat de commerciële motieven zijn van boodschappen of afbeeldingen. Daarom geldt voor kinderen een hoger beschermingsniveau in de wet, maar ook dat kan natuurlijk door iedereen anders uit worden gelegd. “Daarom hebben we een aantal uitgangspunten neergezet om dat hogere beschermingsniveau ook te kunnen effectueren.” Denk aan uitgangspunten als het afzien van de profilering van kinderen voor reclame- en marketingdoeleinden.

Twee nieuwe ‘kamers’

De komende tijd ligt de focus echter met name op de aankomende Europese wetgeving. In aanloop daarnaar heeft het SDT aangekondigd de samenwerking uit te breiden met twee nieuwe ‘Kamers’. De nieuwe wetgeving is namelijk niet alleen relevant voor de vier toezichthouders die nu samenwerken in het SDT, maar ook voor andere toezichthouders die (nog) niet bij het SDT zijn aangesloten, zoals de Rijksinspectie Digitale Infrastructuur en De Nederlandse Bank. Bovendien kan het zomaar zo zijn dat één van de vier aangesloten toezichthouders als nationaal coördinerend toezichthouder wordt aangewezen voor de aankomende Digital Services Act en AI Act. “Dat betekent dat er ook met andere toezichthouders moet worden samengewerkt”, aldus Snoep.

Deze samenwerking wordt vormgegeven in de twee opgerichte ‘Kamers’. Eén van die kamers richt zich op het toezicht op online platformen -  met het oog op de Digital Services Act – en één op het toezicht op kunstmatige intelligentie (AI), vanwege de AI Act. De samenstelling van die Kamers verschilt dan ook. “Niet alle toezichthouders hebben hier belang bij. Ik betwijfel bijvoorbeeld of De Nederlandse Bank veel te maken krijgt met de Digital Services Act. Maar die zullen wel belang hebben bij het AI-deel, dus daar kunnen ze op aansluiten.”