Wie dacht dat we met de GDPR het meeste qua ingrijpende wetgeving wel achter de rug hadden, komt bedrogen uit. Want de Europese Unie, en dus ook Nederland, ontwikkelt momenteel een stapel met nieuwe wetgeving en regulering die onze bedrijfstak flink zal raken. Het idee is dat maatschappelijke onrust over privacy, veiligheid, en de invloed van grote online platforms op het publieke debat door haatzaaierij, fake nieuws en meer, nieuwe regels en wetten voor internetbedrijven noodzakelijk maakt. Maar hoe terecht sommige van die maatschappelijke kritiek en onrust ook is, het mag niet resulteren in regulering van organisaties die niet verantwoordelijk kunnen zijn voor wat hun gebruikers doen. En toch is dat precies wat er nu in Brussel dreigt te gebeuren.
Bij de uitwerking van al die wetsvoorstellen worden, om de wetten toekomstvast en techniek onafhankelijk te houden, zeer algemene termen bedacht om internetbedrijven aan te duiden. En definities zijn ook ruim om te voorkomen dat de beoogde partijen niet onder de definities van de regels zouden vallen. De termen vliegen je dan ook om de oren. Diensten van de informatie maatschappij, mere-conduit, digital service providers, aanbieders van essentiële diensten, platforms, hostingproviders, cloudproviders, serviceproviders, aanbieders van communicatiediensten, gegevensverwerkers en ga zo maar door. Het is vaak onduidelijk wie precies onder die definities vallen en wie niet.
Onmogelijke regels
Het resultaat is vaak dat bedrijven die dieper in de ketens zitten, zoals aanbieders van generieke internetinfrastructuur zoals IaaS, netwerken, datacenters en hosters door die wetten worden geraakt. Waarbij de regels vaak voor hen technisch onmogelijk of onuitvoerbaar zijn. Dat is uiteraard ongewenst. Zulke partijen zijn niet op de hoogte van wat hun gebruikers doen, en mogen dat in de meeste gevallen ook helemaal niet weten. Het is net alsof de telecomaanbieder zich ineens moet gaan bezighouden met waar je gesprekken over gaan.
Het beginsel dat providers van colocatie, netwerken, computer, opslag en andere basis faciliteiten nooit verantwoordelijk of aansprakelijk kunnen zijn voor wat hun gebruikers doen, is de basis van een open internet. Maar op de agenda in Brussel staan een aantal wetgevingstrajecten die de bijl aan de wortel zetten.
- Copyright
Providers moeten ervoor zorgen dat er geen copyrighted materiaal (content, snippets) online kan komen waar geen contracten voor bestaan. Zet e-commerce directive buitenspel - E-Privacy
Informatie met persoonsgegevens , dus ook veiligheidsinformatie, mag alleen nog worden uitgewisseld als er expliciete toestemming is van betrokkenen. Geen enkele ingreep in welke vorm van communicatie dan ook is mogelijk zonder expliciete toestemming. Dat blokkeert ook allerlei vormen van uitwisseling van informatie die nodig is voor handhaven van veiligheid en tegengaan van technisch abuse. - E-evidence
Het omzeilen van internationale rechtshulp verzoeken: Elke law enformcement instantie in elke EU lidstaat mag straks rechtstreeks informatie vorderen bij elk online bedrijf in de EU. - Terroristische content online
Na aanwijzingen van de overheid moet content binnen 1 uur (24/7) offline gehaald worden.Daarna staydown: providers moeten zorgen dat die content niet meer online kan komen. Gebeurt dat niet? Dan riskeer je een forse boete. - P2B
Afnemers van diensten van platforms (ook API’s, data etc) moeten in het vervolg toestemming geven voor wijzigingen door providers. - Cyber security act
De EU wil standaardisatie van security regimes, dat is prima. Maar de EU lijkt alles te zetten op ISO2700x, in dat eval zullen ISAE 3402, SOCII verklaringen niet meer erkend worden.
In Nederland:
- Uitwerking WBNI – AT
Er zijn zorgen over onduidelijkheid wie nu een DSP is, en welke normering er gaat gelden voor DSP’s, en hoe dubbele of driedubbele meldplichten precies moeten worden ingevuld. - CPC verordening
Elke Nederlandse toezichthouder kan straks zelf rechtstreeks ingrepen vorderen in content, DNS, verbindingen, netwerken, et cetera, bij elk internet bedrijf.