Drie Europese wetten die ons online leven gaan bepalen

Wetgeving voor de digitale wereld loopt al lange tijd achter. De afgelopen tien jaar hadden technologiebedrijven nagenoeg vrij baan. De Europese Unie brengt daar dit jaar eindelijk verandering in. Wat houden die nieuwe EU-wetten in?

De EU behandelt momenteel drie belangrijke nieuwe wetsvoorstellen die de toekomst van ons (digitale) leven zullen bepalen: de Digital Services Act, Digital Markets Act en de Artifical Intelligence Act.

De eerste twee wil Emmanuel Macron nog binnen zijn voorzitterschap, die tot de zomer duurt, doorvoeren. De raad en het parlement zijn hierover druk in overleg. De wet over kunstmatige intelligentie staat nog in de kinderschoenen: daarover nemen de raad en het parlement nu een positie in.

We spraken over deze voorstellen met Nadia Benaissa en Lotje Beek. Zij zijn beleidsadviseurs bij Bits of Freedom, een beweging voor internetvrijheid in Nederland. Zij legden ons uit wat we over iedere wet moeten weten.

1. Digital Services Act (DSA)

De Digital Services Act (afgekort DSA) beperkt de macht van alle online diensten als apps en platforms, maar ook cloud- en webhostservices en internetproviders. Het doel is de transparantie te vergroten, burgers beter te beschermen en illegale praktijken op het internet verminderen.

Over verschillende aanvullingen op deze wet moet het Europees Parlement nog in overleg met de raad:

Persoonlijke advertenties
Nu krijgt iedereen op het internet andere advertenties te zien, gebaseerd op persoonlijke gegevens en surfgedrag. Maar straks kan iedere internetgebruiker kiezen tussen gepersonaliseerde of algemene advertenties. Ook worden bedrijven verplicht te vermelden waarom een bepaalde advertentie aan jou is gericht. Advertenties mogen niet meer gebaseerd zijn op gevoelige persoonlijke gegevens zoals etniciteit, seksuele geaardheid en politieke voorkeur. Zodat jij bijvoorbeeld niet omwille van je geboorteplek een advertentie voor een vacature of politieke partij mist.

Dark patterns
Er komt een verbod op zogenaamde ‘dark patterns': designtrucjes die je manipuleren bij het maken van bepaalde keuzes. Denk bijvoorbeeld aan een ‘abonneren op de nieuwsbrief’-knop die automatisch is aangevinkt.

Contentmoderatie
Apps en websites worden verantwoordelijk voor het tegengaan van haatzaaien, illegale handel en de verspreiding van nepnieuws op hun platform. Content wordt nu verwijderd wanneer het door genoeg mensen wordt gerapporteerd. Straks moet het eerst door interne juristen als illegaal worden beoordeeld voordat het verwijderd kan worden.

In elk Europees land komt er een aparte toezichthouder die de handhaving van de DSA in de gaten gaat houden.

Tekortkomingen
Lotje Beek van Bits of Freedom had graag gezien dat de DSA het toeliet systemen van derde partijen op een platform te gebruiken voor aanbevelingen. Zodat bijvoorbeeld niet YouTube (gericht op de content met de meeste winst), bepaalt wat je volgende video wordt, maar een derde partij die je zelf kunt kiezen. Een partij die bijvoorbeeld een video met een andere inkijk over een onderwerp aanbeveelt.

Advertenties mogen straks niet meer gebaseerd zijn op gegevens zoals etniciteit, seksuele geaardheid of politieke voorkeur

2. Digital Markets Act (DMA)

De Digital Markets Act is specifiek op gericht de tien tot vijftien grootste online platformen, waaronder Meta, Apple en Google.

Poortwachters
De macht van de grootste online platforms (de zogenaamde poortwachters tussen bedrijven en internetgebruikers) wordt beperkt. Zo mogen deze platformen hun eigen diensten niet bevoordelen, moet er een mogelijkheid zijn om vooraf geïnstalleerde apps te verwijderen en moeten er in sommige situaties diensten van derden worden toegelaten.

Bij overtreding van de regels worden proportionele boetes uitgedeeld, uitgedrukt in een percentage van de jaaromzet.

Interoperabiliteit
Het Europees Parlement stelt voor ook het principe van interoperaliteit in de DMA op te nemen. Dit betekent dat je tussen verschillende platformen kunt communiceren, zodat je bijvoorbeeld met een Whatsapp-account ook een berichtje kunt sturen en ontvangen naar iemand met een Signal-account. Dit zou de monopoliepositie van bedrijven als Meta verzwakken en de keuzevrijheid aan gebruikers teruggeven. Een succes voor onze digitale burgerrechten.

De vraag is nog of dit beginsel het gaat halen, het Europese Parlement is hierover in discussie met de raad.

3. Artificial Intelligence Act (AIA)

De Artificial Intelligence Act (AIA) gaat over kunstmatige intelligentie in de breedste zin van het woord. De Europese Commissie heeft een officiële definitie opgesteld, die veel vormen van AI omhelst. Niet alleen in de toepassing bij platformen, maar in ons hele leven. Denk aan toepassingen als gezichtsherkenning, zorgrobots, zelfrijdende auto’s en gedragsvoorspelling door overheden, banken en verzekeraars.

De vier verboden
Voor AI met een hoog risico op schade aan mensen is een aantal verboden opgesteld. Zo is er een verbod op schadelijke ‘onzichtbare’, subliminale AI, waar mensen zich niet bewust van zijn. Daarnaast mag AI geen misbruik maken van kwetsbare groepen, mensen met een fysieke of mentale beperking. Ook mag AI geen oordeel vellen over de betrouwbaarheid van mensen op basis van persoonsgegevens en mogen persoonsgegevens niet direct ‘in real time’ worden gebruikt ter identificatie.

Toepassingen met een lager risico
Bij AI waarvan het geschatte risico beperkt is, bijvoorbeeld deepfakes, hebben burgers in het kader van transparantie het recht om te weten dat ze interactie hebben met een AI-toepassing.

Een andere set met regels is gemaakt voor AI die te maken heeft met de directe veiligheid of fundamentele rechten van mensen. Denk bijvoorbeeld aan AI die wordt gebruikt in ziekenhuizen, in het verkeer of in het onderwijs. Deze moet onder andere voldoen aan transparantie (zodat burgers weten dat ze te maken hebben met een AI-toepassing), risicomanagement en menselijk toezicht. Wanneer de regels niet worden nageleefd, kan dat een boete opleveren.

De AIA is van toepassing op alle AI die in Europa is ontwikkeld en wordt aangeboden, en geldt ook wanneer alleen de output (bijvoorbeeld de voorspelling op basis van een algoritme) in de EU wordt gebruikt.

Voor AI met een hoog risico op schade aan mensen heeft de EU een aantal verboden opgesteld.

Tekortkomingen
De inspanning van de EU om kunstmatige intelligentie te reguleren is de eerste binnen heel Europa, wat betekent dat er van niets iets gemaakt moest worden. Dat is moeilijk, en er ontbreekt nog een hoop. Volgens Benaissa schiet de AIA op een aantal punten nog flink tekort.

Ten eerste zijn de verboden zijn erg nauw gedefinieerd. Als er bijvoorbeeld een vertraging van twee seconden op beeld zit, valt het dan nog onder ‘real time’? En er zijn meer kwetsbare groepen dan die nu zijn beschreven. Denk bijvoorbeeld aan ongedocumenteerden, hoe worden zij beschermd? Daarbij komt: het is moeilijk aan te tonen dat je schade lijdt aan AI omdat er een enorme informatieasymmetrie is tussen slachtoffers en gebruikers of ontwikkelaars.

Benaissa zet ook vraagtekens bij de op risico gebaseerde aanpak. We zitten middenin de innovatie van AI en kunnen risico’s voor de toekomst nog niet goed inschatten. Zij stelt voor ook AI met een minimaal beoogd risico in enige mate te reguleren.

Ten slotte besteedt de AIA vrijwel geen aandacht aan de dataverzameling aan het begin van het proces. Voor gebruikers (degenen die AI inzetten) is het via deze verordening mogelijk om transparantie af te dwingen bij de ontwikkelaar om na te gaan hoe de toepassing werkt. Voor mensen die geraakt worden door AI is er vrijwel geen recht op transparantie geregeld in het wetsvoorstel. En als er gebruik is gemaakt van anonieme data, kunnen burgers zich ook niet beroepen op de Europese privacywet (de AVG) omdat die wel alleen van toepassing is als eigen persoonsgegevens worden gebruikt.

AI gebaseerd op anonieme data blijft dus een mysterie, waardoor bedrijven en overheden hun beslissingen niet kunnen motiveren. Deze wet is geen aansporing om systemen te bouwen die wél begrijpbaar zijn.