Praktische implicaties voor organisaties die werken met grote platforms en hun data-ecosystemen
Historisch precedent: Op 9 oktober 2025 publiceerden de Europese Commissie en de EDPB voor het eerst gezamenlijk regelgevende richtlijnen. Dit markeert een nieuwe fase waarin mededingingsrecht en privacybescherming bewust worden gecoördineerd.
Waarom deze richtlijnen verder reiken dan alleen gatekeepers
Op 9 oktober 2025 publiceerden de Europese Commissie en de European Data Protection Board (EDPB) een reeks gezamenlijke richtlijnen die verduidelijken hoe de Digital Markets Act (DMA) en de Algemene Verordening Gegevensbescherming (AVG) met elkaar interacteren. Het is de eerste keer dat deze twee regulerende instanties gezamenlijk richtlijnen opstellen.
De DMA, die sinds 2023 van kracht is, richt zich op het bevorderen van eerlijke concurrentie in digitale markten. De AVG beschermt individuele privacy-rechten. Waar deze twee regelgevingen elkaar raken, ontstond tot nu toe aanzienlijke juridische onzekerheid. Deze nieuwe richtlijnen bieden voor het eerst concrete handvatten.
Hoewel de richtlijnen primair gericht zijn op de zes aangewezen gatekeepers (Alphabet, Amazon, Apple, ByteDance, Meta en Microsoft), hebben zij bredere implicaties voor elk bedrijf dat met deze platforms werkt of data-intensieve diensten aanbiedt.
De zes kerngebieden die worden verduidelijkt
1. Toestemming voor datacombinatie: het einde van stilzwijgende bundeling
Het meest concrete onderdeel van de richtlijnen betreft Artikel 5(2) van de DMA, dat gatekeepers verbiedt om persoonlijke data te combineren over verschillende diensten zonder specifieke, AVG-conforme toestemming.
Wat betekent 'specifieke keuze en geldige toestemming'?
De richtlijnen specificeren dat toestemming moet voldoen aan alle AVG-eisen: vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig. Dit betekent concreet: geen vooraf aangevinkte vakjes, geen manipulatieve interface-ontwerpen (dark patterns), en gescheiden toestemming per doel.
Voor advertentie-personalisatie betekent dit dat een gatekeeper bijvoorbeeld niet zomaar data van een zoekdienst mag combineren met data uit een videoplatform zonder expliciete, separate toestemming voor die specifieke combinatie.
Praktische consequentie voor gatekeepers: Meta kan niet langer Facebook-data automatisch combineren met Instagram- of WhatsApp-data voor advertentiedoeleinden. Google moet aparte toestemming vragen om YouTube-gedrag te koppelen aan zoekgeschiedenis. Amazon moet expliciet vragen of zij winkelgedrag mogen combineren met Prime Video-voorkeuren.
Praktische consequentie voor organisaties: Bedrijven die adverteren via deze platforms krijgen te maken met gefragmenteerde datasets. De rijke, cross-platform profielen waar veel targeting op gebaseerd was, worden minder toegankelijk. Dit vereist een herijking van marketing-strategieën.
2. Datatoegang voor zakelijke gebruikers: wie is verantwoordelijk?
Artikel 6(10) van de DMA verplicht gatekeepers om zakelijke gebruikers toegang te geven tot persoonlijke data van eindgebruikers, maar de richtlijnen verduidelijken nu de AVG-consequenties.
Kernprincipe: Wanneer een gatekeeper data deelt met een zakelijke gebruiker, functioneren beiden als afzonderlijke verwerkingsverantwoordelijken. De gatekeeper kan zich niet verschuilen achter de rol van verwerker.
Dit heeft drie directe implicaties. Voor gatekeepers betekent het dat zij eindgebruikers duidelijk moeten informeren dat data wordt gedeeld met een derde partij, zij verantwoordelijk blijven voor de rechtmatigheid van de oorspronkelijke dataverzameling, en zij technische mechanismes moeten implementeren waarbij eindgebruikers toestemming kunnen geven per zakelijke gebruiker.
Voor zakelijke gebruikers brengt dit eveneens verplichtingen met zich mee. Zij moeten hun eigen AVG-grondslag hebben voor het verwerken van de ontvangen data en kunnen niet steunen op de toestemming die de gatekeeper heeft verkregen. Daarnaast moeten zij zelf voldoen aan transparantieverplichtingen richting eindgebruikers.
Praktijkvoorbeeld: Een e-commerce bedrijf dat gebruikmaakt van Google Shopping moet nu:
- Zelf toestemming vragen aan gebruikers om data te ontvangen via Google
- Documenteren waarom zij deze data nodig hebben (AVG-grondslag)
- Gebruikers informeren over hoe zij de ontvangen data verwerken
- Een eigen verwerkersregister bijhouden
3. Data-anonimisering: een hoge technische en juridische lat
Artikel 6(11) van de DMA vereist dat gatekeepers geanonimiseerde ranking-, query-, klik- en weergavedata delen met zoekmachines en sociale-mediaplatforms. De richtlijnen benadrukken dat deze anonimisering moet voldoen aan AVG-standaarden.
AVG-standaard voor anonimisering
De richtlijnen refereren aan de EDPB-definitie: data is alleen anoniem als heridentificatie onherroepelijk onmogelijk is. Dit gaat verder dan het simpelweg verwijderen van namen of ID's - het vereist een grondige risk assessment waarbij gekeken wordt naar beschikbare technische middelen voor re-identificatie, combinatie met andere datasets, en statistische benaderingen zoals groepsaanvallen.
Praktische uitdaging: Veel datasets die bedrijven als "geanonimiseerd" beschouwen, voldoen niet aan deze strikte standaard. Research heeft herhaaldelijk aangetoond dat ogenschijnlijk anonieme data vaak kan worden geher-identificeerd door slimme combinaties met andere bronnen.
Compliance-vereiste: Gatekeepers moeten niet alleen technische anonimiseringsmethoden implementeren, maar ook contractuele clausules opnemen die pogingen tot re-identificatie verbieden, regelmatig audits uitvoeren op de effectiviteit van anonimisering, en documenteren waarom hun methode voldoet aan de "onherroepelijk onmogelijk"-standaard.
4. Data-portabiliteit: verder dan de AVG ooit ging
De DMA's portabiliteitsrecht (Artikel 6(9)) gaat aanzienlijk verder dan Artikel 20 AVG, en de richtlijnen verduidelijken deze verschillen.
| Aspect | AVG Artikel 20 | DMA Artikel 6(9) |
|---|---|---|
| Toepassingsvoorwaarde | Alleen bij toestemming of contract als grondslag | Bij elke verwerkingsgrondslag |
| Type data | Door gebruiker verstrekte data | Verstrekte én gegenereerde data |
| Frequentie | Op verzoek | Real-time/continue toegang |
| Formaat | Gestructureerd, gangbaar | Gestructureerd, machine-leesbaar (bijv. JSON) |
| Data van anderen | Uitgesloten | Inbegrepen (met restricties) |
Unieke complexiteit: data over anderen
Een van de meest vernieuwende aspecten is dat de DMA portabiliteit vereist van data over andere personen die gegenereerd is door de activiteit van de gebruiker. Denk aan: interacties met anderen op sociale media, gezamenlijke playlists, of gedeelde documenten.
De richtlijnen stellen dat dit alleen mag als:
- De oorspronkelijke gebruiker expliciete toestemming geeft
- De data van anderen wordt gefilterd op basis van granulaire gebruikerstools
- Er mechanismes zijn om rechten van de andere betrokkenen te beschermen
Praktijkvoorbeeld: Een gebruiker die zijn Facebook-data wil exporteren naar een concurrent-platform, kan eigen posts en likes exporteren onder standaard portabiliteitsrechten. Daarnaast kan deze gebruiker ook interactiedata met vrienden exporteren via de DMA-uitbreiding, waarbij filtering wordt toegepast. Wat echter niet geëxporteerd mag worden zijn de volledige profielen van vrienden, vanwege privacy-bescherming van die andere gebruikers.
5. Interoperabiliteit van berichtendiensten: privacy by design in de praktijk
Artikel 7 van de DMA verplicht gatekeepers met berichtendiensten (zoals WhatsApp, Messenger) om interoperabiliteit mogelijk te maken met andere diensten. De richtlijnen verduidelijken de AVG-waarborgen.
Kernvereiste: Gatekeepers die interoperabiliteit implementeren moeten een Data Protection Impact Assessment (DPIA) uitvoeren en kunnen alleen "strikt noodzakelijke" persoonlijke data delen.
Wat is "strikt noodzakelijk"? De richtlijnen geven aan dat dit beperkt blijft tot berichtinhoud (indien end-to-end versleuteld), gebruikers-identifiers voor routing, en essentiële metadata zoals tijdstip en type bericht. Wat daarentegen niet gedeeld mag worden zonder extra toestemming zijn locatiedata, contactlijsten, gebruiksstatistieken, en profiel-informatie buiten de basisidentiteit.
Praktische implementatie: WhatsApp moet bij interoperabiliteit met Signal:
- End-to-end encryptie behouden over platforms heen
- Alleen minimale metadata delen voor berichtrouting
- Gebruikers laten kiezen welke opt-in features zij willen (leesbevestigingen, typing indicators)
- Documenteren waarom specifieke data-elementen noodzakelijk zijn
6. Third-party app-distributie: veiligheid zonder lock-in
Artikel 6(4) van de DMA vereist dat gatekeepers alternatieve app-distributie toestaan (bijvoorbeeld sideloading op iOS). De richtlijnen benadrukken dat dit veilig moet gebeuren volgens AVG-principes.
Beveiligingsvereisten voor third-party apps
Gatekeepers moeten verschillende beveiligingsmaatregelen implementeren. Sandboxing zorgt ervoor dat apps niet zonder toestemming bij data van andere apps kunnen. Malware-bescherming door scanning op schadelijke software is verplicht. Transparante toestemmingsvragen moeten ervoor zorgen dat gebruikers begrijpen welke data-toegang apps vragen. Tot slot vereist E-Privacy Directive compliance expliciete toestemming voor tracking en cookies.
Praktische consequentie: Apple's implementatie van sideloading in de EU moet alternatieve app stores toestaan zonder Apple's reviewproces, terwijl wel beveiligingsmechanismes zoals sandboxing APIs behouden blijven. Discriminerende restricties aan third-party stores zijn niet toegestaan. Apple moet gebruikers duidelijk waarschuwen voor risico's, maar mag alternatieve stores niet blokkeren.
Handhaving: wie doet wat?
Een cruciaal onderdeel van de richtlijnen is de verduidelijking van handhavingsverantwoordelijkheden.
Verdeelde handhaving
Europese Commissie handhaaft DMA-schendingen en kan boetes opleggen tot 10% van de wereldwijde jaaromzet. Bij herhaalde overtredingen kan dit oplopen tot 20%. De Commissie kijkt naar marktmacht-misbruik en anti-concurrentie gedrag.
Nationale toezichthouders (zoals de Autoriteit Persoonsgegevens) handhaven AVG-schendingen en kunnen boetes opleggen tot €20 miljoen of 4% van wereldwijde jaaromzet, wat het hoogste is. Zij focussen op privacy-rechten en dataverwerkingsprincipes.
Coördinatiemechanisme: De richtlijnen introduceren een samenwerkingsprotocol waarbij de Commissie toezichthouders informeert bij DMA-procedures die AVG-implicaties hebben, en toezichthouders omgekeerd de Commissie informeren bij AVG-zaken tegen gatekeepers. Gezamenlijke fact-finding kan plaatsvinden bij overlappende kwesties, terwijl finale handhavingsbeslissingen gecoördineerd worden om tegenstrijdigheden te voorkomen.
Wat dit betekent voor niet-gatekeepers
Hoewel de richtlijnen zich richten op de zes aangewezen gatekeepers, hebben zij bredere implicaties:
Voor zakelijke gebruikers van gatekeeper-platforms
Herzie uw AVG-grondslag
U kunt niet langer steunen op de toestemming die de gatekeeper verzamelde. Evalueer of u een eigen rechtmatige grondslag heeft.
Update contracten
Zorg dat contracten met gatekeepers duidelijk maken dat u als verwerkingsverantwoordelijke optreedt, niet als verwerker.
Implementeer transparantie
Informeer eindgebruikers direct over hoe u data van gatekeepers ontvangt en verwerkt.
Bereid u voor op fragmentatie
Cross-platform profielen worden schaars. Ontwikkel alternatieve targeting-strategieën.
Voor toekomstige gatekeepers
De richtlijnen creëren een precedent dat waarschijnlijk wordt toegepast op toekomstige gatekeepers. Organisaties die groeien naar gatekeeper-status moeten proactief:
- Separate consent-flows ontwerpen voor verschillende diensten en doeleinden
- Portabiliteits-infrastructuur bouwen die real-time export mogelijk maakt
- Anonimiseringsprocessen implementeren die AVG-proof zijn
- Interoperabiliteits-architectuur ontwikkelen met privacy by design
Voor marktpartijen in concurrentie met gatekeepers
De richtlijnen creëren kansen voor concurrenten. Data-portabiliteit verlaagt de switching costs voor gebruikers, interoperabiliteit maakt het mogelijk om met gatekeeper-ecosystemen te communiceren, en gescheiden toestemming breekt de data-voordelen van bundeling af.
Strategische implicatie: Kleinere platforms kunnen nu gemakkelijker gebruikers aantrekken door betere privacybescherming te bieden als differentiator, door interoperabiliteit te omarmen zodat netwerkeffecten gedeeld worden zonder lock-in, en door tools te bouwen die data-import van gatekeepers automatiseren.
Praktische compliance roadmap
Voor gatekeepers: 90-dagen actieplan
Onmiddellijke prioriteiten (Week 1-4)
Week 1-2: Gap analysis
- Inventariseer alle huidige data-combinaties tussen diensten
- Identificeer welke combinaties nu plaatsvinden zonder specifieke toestemming
- Evalueer huidige consent-mechanismes tegen AVG-eisen (vrijelijk, specifiek, geïnformeerd)
Week 3-4: Juridische review
- Bepaal voor elke data-deling met zakelijke gebruikers of contracten correct verwerkingsverantwoordelijkheid toewijzen
- Review anonimiseringsprocessen tegen EDPB-standaarden
- Controleer of portabiliteits-implementaties voldoen aan DMA-eisen (real-time, continue, JSON-formaat)
Maand 2: Technische aanpassingen Implementeer granulaire consent-interfaces zonder dark patterns en bouw data-segregatie tussen diensten in de infrastructuur. Ontwikkel portabiliteits-APIs die voldoen aan de specificaties en versterk anonimiseringstechnieken terwijl u de methodologie documenteert.
Maand 3: Testing en documentatie Test consent-flows met echte gebruikers via A/B-testing zonder manipulatieve varianten. Voer DPIAs uit voor interoperabiliteits-features en documenteer alle beslissingen en trade-offs voor toekomstige audits. Train legal en product teams op de nieuwe requirements.
Voor zakelijke gebruikers: snelle compliance-check
Stel uzelf deze vijf vragen:
- Hebben wij onze eigen AVG-grondslag voor data die we ontvangen van gatekeepers, of steunen we op hun toestemming?
- Informeren wij eindgebruikers direct over onze dataverwerkingspraktijken, of verwijzen we alleen naar de gatekeeper?
- Staat in onze contracten expliciet dat we verwerkingsverantwoordelijke zijn, of is dit dubbelzinnig?
- Hebben wij mechanismes om toestemming per eindgebruiker te beheren, of verwerken we bulk-data?
- Documenteren wij waarom we specifieke data-elementen nodig hebben, of vragen we "zo veel mogelijk"?
Als u bij één van deze vragen "nee" antwoordt, is actie vereist.
De bredere verschuiving: convergentie van mededinging en privacy
Deze richtlijnen markeren een fundamentele verschuiving in hoe Europeesregelgevers naar digitale markten kijken.
Regulatoire volwassenheid: Voor het eerst zien we expliciete coördinatie tussen mededingingsrecht en privacybescherming. Dit signaleert dat Europa digitale markten beschouwt als een samenhangend ecosysteem waar markteerlijkheid en data-soevereiniteit onlosmakelijk verbonden zijn.
Drie strategische implicaties
1. Het einde van "privacy versus innovatie" De richtlijnen tonen aan dat strikte privacy-eisen en markt-innovatie niet tegenstrijdig hoeven te zijn. Door transparante spelregels te stellen, creëren regulatoren voorspelbaarheid waarbinnen innovatie kan floreren.
2. Data als mededingingsinstrument De expliciete aandacht voor data-portabiliteit en toegang erkent dat data-controle een cruciale vorm van marktmacht is. Dit precedent zal waarschijnlijk doorwerken naar andere sectoren (denk aan smart home, automotive, health tech).
3. Globale norm-setting Net zoals de AVG wereldwijd de standaard werd voor privacywetgeving, zullen deze DMA-GDPR-richtlijnen waarschijnlijk invloed hebben op hoe andere jurisdicties over platform-regulering denken. We zien al parallelle ontwikkelingen in het VK, Australië en delen van Azië.
Publieke consultatie: uw stem telt
De richtlijnen bevinden zich nu in publieke consultatie tot 4 december 2025. Feedback kan ingediend worden via het Digital Markets Act consultatie-portaal.
Wie zou feedback moeten geven?
- Gatekeepers die helderheid willen over specifieke implementatievragen
- Zakelijke gebruikers die onzekerheden ervaren over hun verplichtingen
- Privacy-advocaten met input over bescherming van eindgebruikers
- Technische experts met inzichten over praktische haalbaarheid
- Academici met onderzoeksdata over effectiviteit van maatregelen
De finale versie zal naar verwachting begin 2026 worden gepubliceerd na assessment van de feedback.
Vooruitblik: verwachte ontwikkelingen
Handhavingszaken op komst
Nu de richtlijnen beschikbaar zijn, verwachten we dat de Europese Commissie sneller DMA-handhavingszaken start tegen gatekeepers die niet-compliant zijn met consent-vereisten. Toezichthouders zullen naar verwachting gefocuste AVG-audits uitvoeren bij gatekeepers op gebieden die de richtlijnen benadrukken. De eerste boetes die zowel DMA- als AVG-componenten bevatten, zullen vermoedelijk niet lang op zich laten wachten.
AI Act integratie
Zoals aangekondigd, werken de EDPB en het AI Office van de Commissie aan vergelijkbare gezamenlijke richtlijnen voor de interactie tussen de AI Act en AVG. We verwachten dat deze in Q1 2026 gepubliceerd worden en een soortgelijk patroon volgen: verduidelijking van overlappende verplichtingen, concrete guidance over consent bij AI-systemen, en handhavingscoördinatie tussen AI-toezicht en privacy-toezichthouders.
Internationale doorwerking
Zoals de AVG een mondiale standaard werd, verwachten we dat deze DMA-GDPR-interplay wereldwijd navolging krijgt. Het VK's Digital Markets, Competition and Consumers Act zal waarschijnlijk vergelijkbare guidance publiceren. Australië's platform-regelgeving (momenteel in ontwikkeling) neemt mogelijk dezelfde principes over. VS-staten die platform-regulering overwegen, zullen naar deze richtlijnen kijken als precedent.
Vijf concrete aanbevelingen voor organisaties
1. Start een DMA-GDPR gap analysis, zelfs als u geen gatekeeper bent
De principes uit deze richtlijnen (scheiding van consent-doelen, transparantie over verwerkingsverantwoordelijkheid, strenge anonimisering) zetten een nieuwe standaard voor alle data-intensieve platforms. Begin met het inventariseren waar u nu data combineert zonder granulaire toestemming, evalueer of uw anonimiseringsprocessen de "onherroepelijk onmogelijk"-test doorstaan, en controleer of zakelijke partners begrijpen dat zij verwerkingsverantwoordelijke zijn.
2. Herontwerp consent-flows met gebruikers-empowerment als uitgangspunt
De richtlijnen maken duidelijk dat consent geen formaliteit is maar een daadwerkelijke keuze. Verwijder alle vooraf aangevinkte vakjes en test interface-ontwerpen op manipulatie (dark patterns). Implementeer even makkelijke "weiger"-knoppen als "accepteer"-knoppen en maak withdrawal van toestemming net zo eenvoudig als het verlenen ervan.
3. Documenteer, documenteer, documenteer
De richtlijnen benadrukken herhaaldelijk documentatie-verplichtingen. Zorg voor DPIAs voor elke nieuwe data-combinatie of portabiliteits-feature, gedetailleerde uitleg waarom specifieke data-elementen noodzakelijk zijn, auditlogs van anonimiseringsprocessen, en records van interne compliance-beslissingen. Deze documentatie is niet alleen wettelijk vereist, maar beschermt u ook bij toekomstige audits of handhavingszaken.
4. Bereid uw organisatie voor op data-fragmentatie
Als cross-platform data-combinaties moeilijker worden, moet u first-party data-strategieën versterken en contextual targeting herontdekken (content-based in plaats van profiel-based). Verken privacy-preserving technologieën zoals federated learning en pas verwachtingen aan over beschikbare gebruikersprofielen.
5. Zie compliance als concurrentievoordeel
Organisaties die proactief inspelen op deze richtlijnen kunnen vertrouwen opbouwen bij gebruikers die moe zijn van ondoorzichtige data-praktijken, talent aantrekken dat ethische technologie-ontwikkeling waardeert, handhavingsrisico's minimaliseren en reputatieschade voorkomen, en vroeg-mover voordelen realiseren in een verschuivend competitief landschap.
Conclusie: naar een nieuw evenwicht tussen macht en privacy
Deze richtlijnen markeren meer dan technische compliance-vereisten. Zij signaleren een fundamentele herziening van hoe digitale platforms functioneren in Europa.
De kernboodschap is helder: marktmacht rechtvaardigt geen privacy-compromissen. Integendeel, hoe machtiger een platform, des te strenger de waarborgen die gebruikers verdienen.
Voor gatekeepers betekent dit een periode van aanzienlijke aanpassing, waarbij legacy-systemen die gebouwd zijn op data-bundeling herontworpen moeten worden rond principes van gebruikers-controle en granulaire toestemming.
Voor kleinere marktpartijen opent dit strategische kansen om te concurreren op basis van superieure privacy-praktijken en gebruikers-empowerment.
Voor eindgebruikers betekent het - op termijn - meer controle over hun digitale identiteit en gemakkelijkere mogelijkheden om tussen diensten te wisselen zonder lock-in.
De consultatie loopt tot 4 december 2025. Organisaties die specifieke vragen of zorgen hebben over implementatie, worden aangemoedigd feedback in te dienen. De finale richtlijnen, die begin 2026 verschijnen, zullen deze input meewegen.
De convergentie van mededingingsrecht en privacybescherming in deze richtlijnen is geen toevalligheid. Het is een bewuste keuze om digitale markten te hervormen naar een model waarin concurrentie en privacy hand in hand gaan, niet tegenover elkaar staan.
Voor organisaties die bereid zijn om deze verschuiving te omarmen, liggen er kansen. Voor degenen die vasthouden aan oude modellen van data-extractie en gebruikers-lock-in, wordt het speelveld steeds uitdagender.
De vraag is niet meer óf deze verschuiving plaatsvindt, maar hoe snel uw organisatie zich kan aanpassen om te floreren in deze nieuwe realiteit.
Bronnen en verdere lezing
- European Data Protection Board: DMA and GDPR: EDPB and European Commission endorse joint guidelines (9 oktober 2025)
- European Commission: Public consultation on joint guidelines on the interplay between DMA and GDPR (9 oktober 2025)
- EDPB: Joint EDPB-Commission Guidelines on the Interplay between DMA and GDPR (consultatie-document, PDF 1.8MB)