Aanbieders van online diensten zijn sinds 17 februari van dit jaar onderworpen aan de Digital Services Act (DSA). Om de naleving ervan te bevorderen heeft de Autoriteit Consument & Markt een leidraad opgesteld met een nadere toelichting op de regelgeving.
De DSA bevat gelaagde regelgeving, die door de ACM in de leidraad als een pyramide wordt voorgesteld. Het grootste deel van de regels geldt enkel voor aanbieders van diensten die het dichtst bij de eindgebruiker van online diensten staan, voor cloud- en hostingdiensten (IaaS en PaaS) geldt maar een deel van regels.
Een interessant punt uit de leidraad is de volgende:
Er zijn relevante gedragscodes ontwikkeld die u kunnen helpen bij het inrichten van uw kennisgevings- en actiemechanisme. Een voorbeeld van een dergelijk initiatief is de Notice and Takedown (NTD) Code. Deze code is een onderdeel van een initiatief van meerdere partijen die zich inzetten tegen de aanwezigheid van onrechtmatige informatie op het (Nederlandse) internet. De NTD Code schept geen nieuwe wettelijke verplichtingen, maar is bedoeld om partijen te helpen om binnen de bestaande wettelijke kaders te opereren bij het op verzoek van derden verwijderen van informatie van het internet.
Houd er rekening mee dat de NTD Code is opgesteld in 2018, en op sommige vlakken mogelijk verouderd is. Zorg er dus voor dat u altijd op zijn minst voldoet aan de wettelijke vereisten uit de DSA die in dit hoofdstuk worden behandeld.
De eerste vraag bij het bovenstaande is, of de Gedragscode NTD überhaupt wel over hetzelfde gaat als waar de DSA over gaat. Daarbij gaat het vooral om de vraag of de uitsluiting van de aansprakelijkheid van aanbieders van digitale tussenpersonen, op hetzelfde ziet. Juridisch gezien is het altijd redelijk risicovol om daar ja op te zeggen. Echter gelet op het gebruik van dezelfde bewoordingen in artikel 14 van de Richtlijn inzake elektronische handel en artikel 6 van de DSA kan die vraag vermoedelijk wel met een ja worden beantwoord.
Wat betreft de vraag of de Gedragscode NTD nog beantwoord aan de verplichtingen die voortvloeien uit de DSA, lijkt mij het verstandig om dat inderdaad even te controleren. In elk geval zijn er duidelijk nieuwe (wettelijke) verplichtingen voor aanbieders van cloud- en hostingdiensten. Het kan natuurlijk zijn dat deze al op vrijwillige basis verwerkt waren in de gedragscode.
Dat neemt echter niet weg dat dit toch echt even gecontroleerd dient te worden. Het beste kan die conformiteit natuurlijk worden gecontroleerd door het publiek-private samenwerkingsverband waarbinnen de gedragscode tot stand is gekomen, en de gedragscode kan dan ook zonodig weer worden geactualiseerd.