Moesten we een paar jaar geleden allemaal aan de bak met GDPR, nu staat er een heel scala aan nieuwe wet- en regelgeving voor de deur. Wat moet je als customerservice- of contactcentermanager of als toeleverancier met de NIS2 Directive, de Digital Services Act of de Artificial Intelligence Act?
Ziptone sprak met Micha Groeneveld, jurist tech & privacy law bij BDO. “De ketenverantwoordelijkheid wordt essentieel.” In het eerste deel van dit artikel gaan we in op de AI Act en de DSA.

 

Klantcontact wordt steeds meer datadriven, realtime en voorspellend. Daarbij neemt het belang van digitale contactkanalen toe. Voeg daar aan toe de ingrediënten platformisering, cloud- en AI-technologie en je begrijpt dat de nieuwe wet- en regelgeving op het vlak van data, privacy en security ook effect zal hebben op bijvoorbeeld de customerservice.

Veelheid aan nieuwe wetten en regels

In het digitale domein komt dan ook een veelheid aan wetten en regels op organisaties af. Micha Groeneveld, jurist tech & privacy law bij BDO, somt op: “Denk aan de ePrivacy Regulation of aan de AI Act die recent is aangenomen. Daarnaast hebben we de AI Liability Directive en de Modernisering Richtlijn Productaansprakelijkheid die bestaande aansprakelijkheidsregels uitbreidt naar digitale producten (denk ook aan AI) en fabrikanten stimuleert om veilige ICT-producten te leveren. Er komen nieuwe regels op het gebied van information Security en Cybersecurity (de Information Security Regulation en de Cyber Resiliance Act en ook de NIS2 en DORA), maar ook de Medical Device Richtlijn, Data Act en Data Governance Act en de regulering van online dienstverleners via de DSA en DMA en dan heb ik nog niet eens alles genoemd.”

Zwaartepunt ligt op security en privacy

Waar gaat al die nieuwe wet- en regelgeving over? Het zwaartepunt ligt wat Groeneveld betreft steeds op de bescherming van en omgang met data en privacy en op cybersecurity.

Dat is echter niet het enige, er gaat ook veel aandacht uit naar specifieke regels voor de financiële sector, naar mededinging en naar e-commerce. In de context van klantcontact zijn vooral de Artificial Intelligence Act (AI Act), de NIS2 Directive (NIS2), de Digital Services Act (DSA) en DORA het meest relevant.

Samen met Groeneveld hebben we de vier belangrijkste Europese wetsgebieden globaal doorgenomen. In dit eerste deel aandacht voor de AI Act en NIS2.

De AI Act

De AI Act gaat over risico’s, risico-inschatting en maatregelen om die te beheersen, uitlegbaarheid, transparantie en het respecteren van privacy en auteursrecht. De AI Act is onlangs aangenomen door het Europarlement. “Daarmee is overeenstemming bereikt over de hoofdlijnen,” zegt Groeneveld. “We zijn nu in de fase aangeland dat het resultaat van de zogenaamde triloog tussen de Europese Commissie, het Europees Parlement en de Europese Raad (bestaand uit de vakministers van de EU-landen) moet worden omgezet in teksten die in de AI Act worden opgenomen.”

De precieze uitkomst van dat proces is onzeker, zo is bijvoorbeeld nog niet duidelijk of alle door AI-gegenereerde tekst of beeld een watermerk of iets dergelijks moet krijgen, aldus Groeneveld.

AI Act en klantcontact

Door het bereiken van een akkoord is er ook eindelijk meer duidelijkheid over ‘General Purpose AI’ (GPAI). Het gaat dan onder meer om regels op het gebied van transparantie en documentatie, het naleven van de Europese auteursrechtwetgeving en een risico-gebaseerd model voor het beheer van en toezicht op AI-oplossingen, inclusief regels voor het melden van incidenten, zorgen voor cyberveiligheid en verslag uitbrengen over hun energie-efficiëntie.

Er is nog veel werk aan de winkel, niet alleen voor de gebruikers, maar ook voor de leveranciers van GPAI. “De AI Act biedt straks transparantievoorschriften voor systemen die ‘interageren’ met klanten (denk aan chatbots bijvoorbeeld); mensen moeten weten dat zij te maken hebben met een AI-systeem.”

Groeneveld benadrukt daarnaast dat bijvoorbeeld OpenAI op dit moment niet transparant is en niet compliant aan de GDPR, terwijl een partij die zo’n toepassing als basis gebruikt voor zijn eigen specifieke toepassing zélf de uiteindelijke verantwoording moet dragen en dus zal moeten zorgen dat die gebruikte basis ook compliant is.

Digital Services Act (DSA)

Dan de DSA, de Digital Services Act. Deze wet heeft als doel het creëren van een veiligere digitale ruimte waar de grondrechten van gebruikers worden beschermd en het zorgen voor een gelijk speelveld voor bedrijven.

De DSA is ingegaan op 25 augustus 2023 en heeft betrekking op ‘partijen die verkopers en consumenten samenbrengen dan wel informatie van derden opslaan en die informatie op verzoek van de informatieverstrekker beschikbaar stellen aan het publiek’. Het gaat kortgezegd dus vooral om platformen, maar een partij die alleen eigen producten of diensten aanbiedt op zijn platform valt er niet onder; een partij die goederen van derden aanbiedt wel.

De meest vergaande regels zijn van toepassing op (grote) platformen met dagelijks meer dan 45 miljoen gebruikers: denk aan online marktplaatsen, app stores, sharing economy platforms, grote zoekmachines en social media platforms. Maar ook voor kleinere platformen is er werk aan de winkel.

De DSA legt allerlei verplichtingen op. Denk aan een verplichting voor platforms om te zorgen voor gebruiksvriendelijke systemen waarmee illegale content (van haatzaaiende taal tot namaakproducten) kan worden gemeld; hetzelfde geldt voor het melden van online intimidatie en online pesten. Ook moeten platformen duidelijk aangeven wie advertenties plaatst en waarom jij deze te zien krijgt. Daarnaast staat de DSA voor het invoering van een gebruiksvriendelijk, gratis klachtensysteem over moderatiebeslissingen. Ook moeten zeer grote onlineplatforms hun algemene voorwaarden kort en duidelijk in de lokale EU-taal samenvatten.

Speciale aandacht voor VLOPs

De zogenaamde VLOPs (Very Large Online Platforms) en VLOSEs (Very Large Online Search Engines) moeten vanaf 17 februari 2024 aan allerlei verplichtingen voldoen op het gebied van transparantie, verantwoording en naleving. Zo moeten ze nu al ieder half jaar informatie publiceren over de gemiddelde maandelijkse actieve ontvangers van hun dienst in de EU. Hoe dat moet, heeft de EC vastgelegd in richtlijnen.

De VLOPS en VLOSE’s krijgen ook te maken met een de verplichte afdracht van een jaarlijkse ‘toezichtvergoeding’. Zalando is een van de bedrijven die als VLOP is aangewezen, maar hiertegen een rechtszaak is gestart; het bedrijf zegt dat bijna twee derde van het aanbod van Zalando zelf is en de rest van derden zodat ze eigenlijk onder die grens van 45 miljoen actieve gebruikers blijft als het gaat over het aanbieden van producten/informatie van derden.

De Europese Commissie zal het komende jaar richtlijnen aannemen om de toepassing van de DSA verder te definiëren. De wet wordt met andere woorden gefaseerd ingevoerd. De plicht om gebruikersaantallen bij te houden of te melden geldt zoals gezegd overigens al wel voor iedereen. Vanaf 17 februari 2024 geldt deze wet ook voor andere partijen dan de VLOPs en VLOSEs.

DSA en klantcontact

“Een belangrijk onderdeel uit de DSA heeft betrekking op klantcontact,” zegt Groeneveld. “In artikel 12 van de DSA staat dat ‘tussenhandelsdiensten’ (waaronder ook online platformen) niet uitsluitend via een chatbot of een ander geautomatiseerd kanaal bereikbaar mogen zijn. Er wordt gesproken over het faciliteren van een ‘gebruikersvriendelijke manier’ van communiceren. Bovendien moeten de platformen informatie openbaar maken die afnemers van de dienst nodig hebben om hun centrale contactpunten gemakkelijk te identificeren en ermee te communiceren.”

In dit verband is het interessant dat DNB heeft gewezen op het risico dat bedrijven in de financiële sector bij hun klantcontact steeds meer gebruikmaken van technologie die geleverd wordt door Big Tech. Dat zou het lastiger maken “voor risicodragende instellingen om goede risico-inschattingen te maken en risico’s te managen,” stelt DNB.

Een ander element uit de DSA heeft te maken met het reguleren van aanbevelingssystemen en met procedures om een dienst te annuleren (zoals door middel van een eenvoudige herroepingsknop). Het gaat hierbij ook om het gemakkelijker maken van afmelden bij onlineplatformen.

Dit is aflevering 1 van de tweedelige serie over wet- en regelgeving die digitaal klantcontact raakt.
Volgende week (op 27 december) volgt deel 2, met aandacht voor NIS2 en DORA.  

Featured, Kennisbank, Technologie