DSA & AI Act
Platform compliance op twee fronten
Waarom platforms DSA én AI Act tegelijk moeten aanpakken
Online platforms staan voor een fundamentele dubbele complianceplicht. De Digital Services Act (DSA) stelt eisen aan contentmoderatie, algoritmische transparantie en het tegengaan van manipulatieve ontwerppraktijken. De AI Act stelt eisen aan de systemen die platforms gebruiken om die moderatie en personalisatie uit te voeren. Beide verordeningen zijn tegelijk van toepassing — en op cruciale punten raken ze elkaar.
De aanbevelingssystemen die bepalen welke content een gebruiker te zien krijgt vallen tegelijk onder DSA Artikel 27 (uitlegbaarheid van aanbevelingssystemen) en onder de AI Act (transparantievereisten voor AI-systemen). De AI-tools die platforms inzetten voor geautomatiseerde contentmoderatie worden beschermd door DSA-procedurewaarborgen én geraakt door de AI Act-transparantieverplichtingen uit Artikel 50. En de risicobeoordeling die Very Large Online Platforms (VLOPs) moeten uitvoeren voor systeemrisico's overlapt aanzienlijk met de risicobeoordelingssystematiek van de AI Act.
Dit maakt DSA × AI een bijzonder complex kruispunt: geen van beide verordeningen is volledig te begrijpen zonder de andere. Platforms die uitsluitend op DSA focussen missen de AI Act-laag in hun moderatie- en aanbevelingsinfrastructuur. Platforms die uitsluitend op de AI Act focussen missen de platformspecifieke verplichtingen van de DSA. De slimste aanpak is een gecoördineerd complianceprogramma dat beide kaders gelijktijdig adresseert.
Wat is de Digital Services Act?
De Digital Services Act (Verordening (EU) 2022/2065) is op 17 februari 2024 volledig van toepassing geworden voor alle in-scope dienstverleners. De DSA creëert een geharmoniseerd Europees kader voor intermediaire dienstverleners — van simpele hostingproviders tot de grootste sociale-mediaplatforms en zoekmachines. Het centrale principe is dat wat offline verboden is, ook online verboden moet zijn. En dat platforms verantwoordelijkheid dragen voor de manier waarop hun systemen de informatie-omgeving van gebruikers inrichten.
De verordening introduceert een gelaagde structuur van verplichtingen. Alle intermediaire dienstverleners krijgen basale transparantie- en verantwoordingsverplichtingen. Hostingproviders krijgen aanvullende vereisten voor het melden van onwettige content en klachtenafhandeling. Online platforms voegen hier verplichtingen voor contentmoderatie, aanbevelingssystemen en advertentietransparantie aan toe. En de Very Large Online Platforms en Very Large Online Search Engines (VLOPs en VLOSEs) — met meer dan 45 miljoen maandelijkse actieve gebruikers in de EU — krijgen de zwaarste categorie verplichtingen, inclusief verplichte systeemrisicobeoordelingen en externe audits.
Voor AI-systemen is de DSA bijzonder relevant omdat vrijwel alle vormen van algoritmische personalisatie, geautomatiseerde contentbeslissingen en profieltargeting direct in scope vallen. Platforms die AI inzetten voor contentmoderatie, aanbevelingen of advertentieselectie opereren op het snijvlak van beide regelgevingskaders. De Europese Commissie houdt rechtstreeks toezicht op de naleving van VLOPs en VLOSEs; voor kleinere platforms zijn de nationale coördinatoren voor digitale diensten (Digital Services Coordinators, DSC) verantwoordelijk. In Nederland is de Autoriteit Consument en Markt (ACM) aangewezen als DSC.
De 5 kruispunten van DSA en AI Act
Hieronder beschrijven we de vijf concrete punten waar DSA en AI Act elkaar raken. Bij elk kruispunt leggen we uit wat de verplichting inhoudt, welke artikelen van toepassing zijn, en wat dit betekent voor jouw compliance-aanpak als platform.
Algoritmische transparantie
DSA Art. 27 × AI Act Art. 13-14
DSA Artikel 27 verplicht online platforms die aanbevelingssystemen gebruiken om in hun algemene voorwaarden uitleg te geven over de parameters die het systeem gebruikt, de mogelijkheid voor gebruikers om die parameters aan te passen, en ten minste één optie die niet gebaseerd is op profilering. Dit zijn brede transparantievereisten gericht op begrijpelijkheid voor gewone gebruikers — de nadruk ligt op wat het systeem doet en hoe gebruikers er controle over kunnen uitoefenen.
De AI Act voegt een andere laag toe. Artikel 13 verplicht aanbieders van hoog-risico AI-systemen om degenen die het systeem inzetten (deployers) voldoende informatie te geven om de output te interpreteren en te beoordelen. Artikel 14 stelt eisen aan menselijk toezicht: deployers moeten in staat zijn om in te grijpen, het systeem stop te zetten en beslissingen te corrigeren. Aanbevelingssystemen die significante gevolgen kunnen hebben voor gebruikers — denk aan nieuwsaanbevelingen met impact op politieke meningsvorming — kunnen onder de hoog-risico definitie vallen. Dan gelden beide transparantieregimes tegelijk: de DSA-uitleg aan gebruikers én de AI Act-documentatie voor deployers. De uitdaging is dat de twee regimes verschillende doelgroepen bedienen: gebruikers versus deployers.
Praktisch: Praktisch: documenteer voor elk aanbevelingssysteem de parameters en werking dubbel — een begrijpelijke gebruikersversie voor de DSA-verplichting (Art. 27) en een technische deployer-versie voor de AI Act (Art. 13). Controleer of het systeem als hoog-risico kwalificeert en stel dan ook menselijk-toezicht-procedures in (Art. 14).
AI-contentmoderatie
DSA Art. 14-15 × AI Act Art. 50
DSA Artikelen 14 en 15 verplichten hostingproviders en online platforms om mechanismen in te richten waarmee gebruikers onwettige content kunnen melden (notice-and-action) en om de maatregelen die zijn genomen naar aanleiding van dergelijke meldingen te rapporteren in transparantierapporten. Platforms die geautomatiseerde systemen inzetten voor contentmoderatie moeten uitleggen hoe die systemen werken, hoe vaak ze fouten maken en welke waarborgen er zijn voor revisie door mensen.
AI Act Artikel 50 introduceert een specifieke transparantieverplichting voor AI-systemen die interactie hebben met mensen of content genereren: gebruikers moeten worden geïnformeerd dat zij met een AI-systeem communiceren of dat content AI-gegenereerd is, tenzij dit uit de context overduidelijk is. Voor contentmoderatie-AI die besluiten neemt over het verwijderen, verbergen of dempen van gebruikersbijdragen geldt bovendien dat degene wiens content wordt geraakt recht heeft op uitleg — een verplichting die zowel door de DSA (via de klachtenprocedure) als door de AI Act (via transparantievereisten) wordt gevoed. Geautomatiseerde contentbesluiten zonder menselijke revisie-optie zijn onder beide regelgevingskaders problematisch.
Praktisch: Praktisch: zorg dat je AI-moderatiesystemen voorzien zijn van een duidelijk intern auditspoor (welke beslissing, op basis van welke parameters, wanneer) en een extern-zichtbare beroepsgrond voor gebruikers. Combineer de DSA-klachtenprocedure met de AI Act-transparantieplicht in één geïntegreerde workflow — zo hoef je niet twee aparte systemen te bouwen.
Risicobeoordelingen voor VLOPs
DSA Art. 34-35 × AI Act risicosystematiek
DSA Artikelen 34 en 35 verplichten VLOPs en VLOSEs tot jaarlijkse systeemrisicobeoordelingen. Die beoordelingen moeten de risico's identificeren die het platform meebrengt voor maatschappelijke thema's als democratie, volksgezondheid, veiligheid en grondrechten — en moeten aantonen welke risicomaatstaven het platform treft. Externe auditeurs controleren vervolgens of die maatregelen afdoende zijn. Dit is een brede, systeemgerichte beoordeling die verder gaat dan individuele gevallen.
De AI Act werkt met een andere risicosystematiek: per AI-systeem wordt bepaald of het hoog-risico, beperkt-risico of minimaal-risico is, en op basis daarvan gelden specifieke verplichtingen (technisch dossier, conformiteitsbeoordeling, registratie in de EU-database). Voor platforms betekent dit dat dezelfde algoritmische infrastructuur — het aanbevelingssysteem, de moderatietool, het advertentieplatform — tegelijk onderwerp is van de DSA-systeemrisicobeoordeling én van de AI Act-risicoclassificatie per systeem. De twee beoordelingen overlappen maar zijn niet identiek: de DSA kijkt naar maatschappelijke systeemeffecten, de AI Act naar risico's voor individuele gebruikers per systeem.
Praktisch: Praktisch: gebruik de AI Act-risicoclassificatie per systeem als bouwsteen voor de bredere DSA-systeemrisicobeoordeling. Documenteer welke AI-systemen hoog-risico zijn en neem die bevindingen mee in de DSA-risicobeoordeling. Zo creëer je één geïntegreerde risicoanalyse die beide toezichthouders kunnen gebruiken — en vermijd je dubbel werk bij de jaarlijkse DSA-audit.
Dark patterns en manipulatie
DSA Art. 25 × AI Act Art. 5
DSA Artikel 25 verbiedt online platforms om zogenaamde "dark patterns" te gebruiken: ontwerp- en interactietechnieken die gebruikers misleiden, manipuleren of ertoe bewegen keuzes te maken die niet in hun belang zijn. Denk aan misleidende knopplaatsingen, verborgen afmeldopties, valse urgentieberichten of de automatische reset naar een algoritmische tijdlijn na het kiezen voor chronologisch — een praktijk die onlangs door een Nederlandse rechter als DSA-schending werd gekwalificeerd in de zaak tegen Meta.
AI Act Artikel 5 verbiedt AI-systemen die gebruikmaken van subliminale technieken, uitbuiting van kwetsbaarheden of andere manipulatieve methoden om het gedrag van mensen significant te beïnvloeden op een manier die hun belangen schaadt. Dit zijn verboden praktijken — de zwaarste categorie in de AI Act, met boetes tot €35 miljoen of 7% van de wereldwijde jaaromzet. De overlap is precies op het punt waar AI-systemen worden ingezet om dark patterns te implementeren of te versterken: een algoritme dat bewust kwetsbare gebruikers identificeert om ze vaker te tonen aan engagement-drijvende content, valt onder beide verboden tegelijk. Dit is geen theoretisch risico — het is precies wat toezichthouders als de Europese Commissie bij TikTok en Meta onderzoeken.
Praktisch: Praktisch: voer voor elk gepersonaliseerd ontwerpelement — notificaties, aanbevelingen, interface-keuzes — een dubbele toets uit: is dit een dark pattern onder DSA Art. 25? En maakt het gebruik van AI-manipulatie onder AI Act Art. 5? Leg de uitkomst vast als onderdeel van je risicodocumentatie. Zorg dat product- en techteams op de hoogte zijn van beide verboden.
Advertenties en profilering
DSA Art. 26 × AI Act + GDPR
DSA Artikel 26 verplicht online platforms om voor elke advertentie die een gebruiker te zien krijgt duidelijk te maken dat het een advertentie is, namens wie de advertentie wordt getoond, en op basis van welke parameters de gebruiker is geselecteerd als doelgroep. Voor VLOPs gelden aanvullende vereisten: zij moeten een doorzoekbaar register bijhouden van alle advertenties die zij tonen — het zogenaamde advertentieregister. En gerichte advertenties op basis van bijzondere categorieën persoonsgegevens (religie, politieke opvattingen, gezondheid) zijn voor VLOPs expliciet verboden.
AI-gedreven advertentieselectie raakt hier drie regelgevingskaders tegelijk. De DSA stelt eisen aan transparantie en verbiedt bepaalde targetingvormen. De GDPR eist een geldige rechtsgrondslag voor de profilering die ten grondslag ligt aan die targeting — en voor bijzondere categorieën geldt expliciete toestemming. De AI Act voegt toe dat AI-systemen voor advertentieselectie die significante gevolgen hebben voor individuen als hoog-risico gekwalificeerd kunnen worden, met alle documentatie- en transparantieverplichtingen van dien. Platforms die AI-aanbevelingen combineren met advertentie-targeting moeten al deze lagen tegelijk adresseren in hun compliance-architectuur.
Praktisch: Praktisch: breng voor elk AI-gedreven advertentiesysteem in kaart welke persoonsgegevens worden verwerkt (GDPR), welke transparantie verplicht is (DSA) en of het systeem als hoog-risico kwalificeert (AI Act). Behandel dit niet als drie aparte compliance-trajecten maar als één geïntegreerd dataflow-assessment. Het advertentieregister dat de DSA verplicht, kan tevens dienen als onderdeel van de AI Act-documentatieplicht.
Wat moet je dubbel regelen?
Hieronder vind je een praktische checklist van maatregelen die zowel de DSA als de AI Act vereisen van platforms. Dit zijn de punten waar een geïntegreerde aanpak het meeste oplevert.
Transparantiedocumentatie voor aanbevelingssystemen
Menselijk toezicht op geautomatiseerde contentbesluiten
Systeemrisicobeoordeling (VLOPs en VLOSEs)
Verbod op manipulatieve AI-praktijken gecontroleerd
Advertentietransparantie en targeting-beperkingen
Notice-and-action procedure voor AI-gegenereerde onwettige content
Technisch dossier en registratie voor hoog-risico AI-systemen
Klachten- en beroepsprocedure voor gebruikers
Gerelateerde artikelen
Nederlandse rechter dwingt Meta tot wijziging tijdlijn-algoritmes
De Amsterdamse rechtbank oordeelt dat Meta's automatisch resetten naar de algoritmische feed een verboden dark pattern is onder de DSA.
Lees meerCode of Practice: transparantie over AI-content
De Europese Commissie publiceert een concept Code of Practice voor transparantie rond AI-gegenereerde content. Wat betekent dit voor platforms?
Lees meerDigital Omnibus 2025: nieuwe regels voor EU digitale wetgeving
Het Digital Omnibus-pakket vereenvoudigt digitale wetgeving — en heeft directe gevolgen voor de verhouding tussen DSA, AI Act en GDPR.
Lees meerDigital Omnibus: vereenvoudiging of uitholling van de AI Act?
Wat betekent de Digital Omnibus concreet voor de AI Act-verplichtingen van platforms? Een kritische analyse.
Lees meerHoe compliant is jouw platform op beide fronten?
De AI Readiness Score toetst je organisatie specifiek op de raakvlakken tussen de AI Act en gerelateerde wetgeving zoals de DSA. Je krijgt een score per thema en concrete aanbevelingen voor platforms.