Digital Services Act er vedtaget, hvorfor er det værd at bruge din tid på at forstå?
Du har sikkert allerede set at EU i længere tid har talt om en ny lovpakke, ved navn Digital Services Act (herefter DSA). Men er du også med på hvad det egentlig går ud på, hvad indholdet af lovpakken er og ikke mindst, hvad det kommer til at betyder for dig som virksomhed, marketeer? Hvis du har helt styr på det, så er der ikke mere at læse her og du kan roligt browse videre. Men hvis ikke, så går jeg dybere her.
Formålet med indlægget er nemlig at gå i dybden med facetterne i lovpakken og give et fuldt overblik på:
- 1) Hvad DSA og formålet med lovpakken er overordnet
- 2) Hvilke elementer der er centrale i den vedtagne aftale og
- 2.1) Hvad betyder lovpakkens reelt for danske virksomheder?
- 3) Hvad kan du gøre her og nu?
Hvad er Digital Services Act (DSA)?
DSA er netop her ultimo april 2022 blevet vedtaget. En historisk aftale, der kommer til at forme måden det digitale økosystem bliver styret på i EU.
DSA er grundlæggende en Europæisk lovpakke, der har til formål at regulere det digitale økosystem og med et lovgivende system gøre op med digitale udfordringer i markedet i dag og i fremtiden.
Aldrig før har der været så markant en lovpakke som DSA, der med stor sikkerhed kommer have en stor indflydelse på det digitale landskab i dag, og inden for hvilke rammer vi, som marketeers og beslutningstagere, anvender data, algoritmer, transperans, produktsikkerhed og meget mere.
DSA lovgiver mod:
– Salg af falske eller kopierede produkter
– Hadefulde ytringer (hate speech) på digitale platforme
– Cyber trusler generelt
– Regulering af markedskonkurrence og markedsdominans generelt med fokus på Big Tech
– Sikkerhed for brugere i digitale økosystemer og ansvarlighed for udbydere og platforme
Generelt har både Margrethe Vestager og Christel Schaldemose begge ytret formålet med Digital Service Act som en lov, der skal sikre, at det der er ulovligt i vores (fysiske) verden i dag, også skal være ulovligt digitalt, og ultimativt modernisere den måde vi kan handler og interagerer med nettet på i dag. Med andre ord gøre det mere sikkert at bevæge sig i digitale økosystemer.
Derudover er DSA et initialtiv, der fungerer sammen med den bredere retsakt om digitale markeder (også kaldet DMA), der omhandler specielt store platformes adfærd og business practises, som ikke lever om til en forbruger-etisk og data-etisk adfærd, hvorfor der lovgives for det.
I blogindlægget her koncentrerer vi os om DSA-lovpakken, MEN hvis du er interesseret i videre læsning om DMA-området, så kan du læse EU’s egne udlægning af hvad det omhandler mere i detaljen her: (engelsk):
https://www.europarl.europa.eu/news/da/press-room/20220315IPR25504/deal-on-digital-markets-act-ensuring-fair-competition-and-more-choice-for-users
Opløbet til DSA
Historikken, intentionerne og hele processen omkring lovpakkens tilblivelse har været undervejs i noget tid. Forslaget til DSA blev fremsat første gang i EU, allerede i december 2020 og i slutningen af januar 2022 blev foreslaget så stemt igennem med et meget klart fjertal, men knapt 80% stemmer for (530 stk).
Og så, den 23. april 2022, blev selve lovpakkens overordnede tekster vedtaget og er dermed forhandlet til ende. Det eneste der nu mangler, er at selve lovteksten skal færdiggøres juridisk og træde i kraft efter ca 15 måneder efter offentliggørelsen. Med andre der er indbygget tid til at agere netop nu.
Så tiltagene i pakken kommer med andre ord til at ske med sikkerhed. Derfor er det også interessant at se nærmere på hvad DSA-lovpakken så reelt betyder danske virksomhed og deres digitale aktiviteter. Det bringer os til næste afsnit?
Hvad er DSA?
Digital Service Act (DSA) er en ny (2022) europæisk lovpakke der har til formål at regulere det digitale økosystem særligt for store medier, platforme og annoncører.
Pakkens formål er at beskytte forbrugeren på det data-etiske plan og give højere transparens, samt aktive valg.
Hvad er hovedemnerne i DSA?
Hvad er hovedemnerne i DSA? Der er defineret tre overordnede emner som DSA beskæftiger sig med:
1) Øget ansvarlighed for digitale platforme
2) Øget sikkerhed for brugere i digitale økosystemer
3) Regulering af skadeligt indhold og misinformation
Hvad forbydes i DSA
De mest centrale forbud der forventes fra DSA er:
Annoncering til børn og målretning pba personfølsomme oplysninger
Dark Patterns og visse adfærdsnudgings
Fokus på transperans
Brugere skal forstå hvorfor indhold vises og på hvilke baggrund
Store platforme pålægges at dele deres algoritmer med EU og medlemslande
Sanktioner
Bøder på op til 6% af globale omsætninger for non-compliant adfærd
Falske eller ulovlige varer
især markedspladser vil blive pålagt større ansvarlighed for de varer der sælges på deres platforme, for at sikre mindre salg af ulovlige varer
De centrale elementer indehold i DSA
Lad os se nærmere på DSAs specifikke indhold egentlig er og hvad det så betyder for os marketeers.
Spørger man EU selv, så opdeles DSA i 3 forskellige hovedemner, som hver især har flere initiativer under sig. De tre hovedemner er:
- Øget ansvarlighed for online platform
- Øget sikkerhed for brugere i digitale økosystemer
- Skadeligt indhold og disinformation
Øget ansvarlighed for online platforme
Under det første emne ligger et fokus på at sikre brugernes sikkerhed på digitale platforme – ud fra EUs egen udsagn er det specielt Sociale Medier og Markedspladser, der er tale om her – mere specifikt:
“Algoritmisk ansvarlighed” – som kort og godt henviser til, at EU ønsker at kommisionen og alle Eus medlemslande skal have adgang til algoritmerne på de store platforme.
Hvad der menes heri, med “store” platforme vides ikke mere specifikt endnu, men EU nævner selv at der skal be officielt visit hos Meta, Google, Apple m.fl, så givetvis er det big-tech der henvises til her størrelsesmæssigt og ikke de mere emerging platforme – endnu…
Det er samtidig også uklart hvad “adgang til algoritmer” betyder specifikt. I tidligere kommunikationer har Meta selv ytret at de ikke er parate til at blive reguleret på så dybt et niveau og hellere droppede tilstedeværeselen i Europa. Om det er samme retotik man kommer til at finde her, imod at opgive deres algo-IP informationer ved vi ikke med sikkerhed, men jeg har svært ved at se at Algoritmerne lægges 100% open for alle – mon ikke det bliver en kompromis, hvor need-to-knows bliver opgivet i en form der ikke skader forretningen, men tilfredsstiller informationsbehovet hos lovgiverne.
“Fjernelse af ulovligt indhold, og beskyttelse af grunlæggende rettigheder”
Herunder ligger der en klarere procedure for hhv hvordan man forventes at fjerne ulovligt indhold, hvilke beføjelser brugere skal have for at kunne anmelde ulovligheder, samt garantier for hvordan diskriminationer, ofre for cybervold og sanktioner for disse pfor brugere kan håndteres og samtidig have digital respekt for ytringsfriheder og datasikkerhed.
Specielt markedspladser vil blive pålagt at kunne kontrollere deres kunder og de proukter de sælger på markedspladserne, så falske produkter ikke kan sælges herigennem og med potentialle sanktioner på op til 6% af de bagvedliggende platformes globale omsætning.
- Denne giver generelt rigtig god mening. Selvom det kommer til at betyde at platformenes i højer grad skal levere KYC og man som bruger på platformene eller af disse i højere grad skal stå indenfor de produkter man sælger, hvordan de sælges og at man rent faktisk har rettigheder dertil.
- Faktisk håber vi meget af denne også kommer til at omfatte ansvarlighed for alle affiliaters. Misforstå ikke, vi er bestemt ikke imod dygtige affiliaters,, som der er rigtig mange af derude. Tanker her går på den del af branchen hvor der ansvaret for produktet og offerings helheden kan højnes, som DSAen vil være et oplagt initiativ til at føre ud i livet.
Øget sikkerhed for brugere i digitale økosystemer
Under dette emne ligger et fokus på hvordan man som bruger får en forbedret sikkerhed, når man bevæger sig rundt på nettet, herunder:
- Øget brugerkontrol over, hvordan personfølsomme oplysninger anvendes i reklame/kommunikationer – eksempelvis vil målretning på seksuel orientering, religion eller etnicitet og til børn blive forbudt.
- Recommendationals, som for eksempel algoritmer der bestemmer feedindhold på platforme, skal være gennemsigtigt. Så lidt ligesom gennemsigtigheden af algoritmerne til lande og EU, skal det også være muligt for brugerne at forstå hvorfor de ser det indhold de gør og også en mulighed for at se indhold, som ikke er baseret på data og/eller profilering.
- “Dark patterns” og anvendelse af visse nudging teknikker bliver forbudt. Det er uklart præcist hvad der ligger under dette punkt, men der henvises blandt andet til “brugertilskyndelse” og at fremtrædne produkter ikke på styre brugervalg – så eksempelvis CRO teknikker i Consent pop-ups, til og frameldings lethed for abonnementer, men principielt og måske også diverse funktionaliteter på shops/sites/platforme, der anvendes CRO teknikker eller nudging til at optimere brugervalg og derigennem kommerciel performance for mange marketeer derude i dag.
Sikkerheden for brugerne, som dette afsnit indeholder, giver naturligt også rigtig god mening. Det er dog uklart hvad præcist hhv algoritmeindsigt, kontrol over disse, forbud i dark patterns og behandling af personlige oplysninger helt præcist betyder.
For virksomheder kan det principielt betyder store, store ændringer i CX strukturer, hvis reglerne her tager til det yderligste og eksempelvis nudging og CRO teknikker defineres i dybden og forbydes. Det har vi dog meget svært ved at forestille os bliver tilfælder for andre end platformene selv – ikke annoncører. For omvendt, så forudser vi også en vis logisk sands i denne del af DSAen, da samme teknikker også anvendes til at skabe mindre støj, bedre brugeroplevelser og mere relevans for den enkelte bruger – så nuancen i hvordan man præcist implementerer disse tiltag bliver afgørende, men vi forventer implikationer i første omgang bliver på platformsniveau og i consent regi for personoplysninger og permissions..
Skadeligt indhold og disinformation
Den sidste subsektion omhandler igen big-tech og deres ansvar for hvor store samfundsmæssige konsekvenser indhold og misinformation der spredes via platformene kan have af konsekvense, herunder:
- Bøder til de store platformene, hvis algoritmerne er med til at sprede misformation på det indhold der distribueres videre til brugere
- En speciel nedlukning eller begrænsning af trusler i krisetider efter vurdering af kommisionen.
Overblik og implikationer
Ovenstående emner favner de mest centrale områder af DSA’s sigte og de initiativer, der kommer til at blive implementeret. I dette afsnit opsummerer vi, hvad vi tolker af indholdet og sætter det i perspektiv til, hvad det så betyder for dig som virksomhed, digital marketeer eller CMO.
De tre områder er primært møntet på big tech og store annoncører, medier og markedspladser, men når det er sagt, så vil implikationerne ramme alle virksomheder med digitale aktiviteter.
De 6 store implikationer fra DSA og vores tolkning af deres betydning:
1. Forbud imod dark patterns
DSA forbyder dark patterns. Med ordre at man nudger brugeren i en retning ved at manupulere brugeroplevelse. F.eks en stor grøn knap (ved et tilvag) mod en lille grå (for et fravalg). Generelt stiller DSA dermed spørgsmålstegn ved hvordan vi fremadrettet har mulighed for at arbejde med UX, kommunikation, virkmidler kommunikativt og hvordan man vil skulle udvikle brugeroplevelsen og differentiere sin visuelle identitet på taktiske niveau, når det vedrører følsomme brugerdata.
Det har vi som sagt svært ved at se hvordan det skulle ske i praksis, så her vil der komme et element af subjektivitet ind og formegentlig vil dette tiltag starte med at ramme på consent niveau og hvordan man (ikke) nudger sine brugere i sine consent-aktiviteter (så som cookies, kundeklub tilmelding mm), samt hvordan man sikrer at det er så nemt at komme ud af et consent som at komme ud. En dialog der iøvrigt har været aktiv længe, men som man gør klogt i at forholde sig til hvis ikke man allerede har gjort det. Reelt betyder det at man skal gøre sin UX/design langt mere objektiv, hvor der indgår kundedata.
Gør noget nu eller afvent?
Generelt vurderer vi at det her langt de fleste virksomheder allerede bør gøre en indsats.
2. Kontrol af consent og kundedata
Her vi en tendens til at mange virksomheder ikke har centrale kundedata og dermed fragmenteret forståelse af dels hvilke kunde data man har til rådighed, hvilket er en forudsætning for at kunne aktivere dem kommercielt, men også i forhold til at kunne styre og opdatere dem, hvis/når det behov kommer ift lovgivningen i DSA. Der findes heldivis masser af både isolerede consent platforme, der kan integrere med customer data platforme (CDP) eller andre typer af data warehouses, hvor data kan bo. CDP’erne er på manges læber i dag, fordi vi også her kan opnå en større forståelse og aktibvering af kommercielle kunde data, hvilket kun bliver mere relevant med DSAens udrulning og det som virksomhed at have endnu bedre styr på data.
Gør noget nu eller afvent?
Generelt vurderer vi at det her langt de fleste virksomheder allerede bør gøre en indsats.
3. Opt-ud af anbefalingsalgoritmer
Det vil sige som minimum have muligheden for at vælge det fra som bruger, kan det betyde at flere segmenter i de målgrupper vi bruger i dag, forsvinder eller bliver formindskede (igen helt afhægig af hvordan adoptionsrater komemr til at se ud på brugerniveau) – det leder principielt både til en ny måde at tænke sine segmenter på når vi arbejder med annoncering i platformene, men ligesom ovenfor betyder det også endnu en understregning af, hvor vigtigt det er at have styr på egne 1. parts kunde data og ikke mindst have både platformen til at håndtere data, men også strategien til at kunne arbejde med dem, når platformene begrænses yderligere og man i højere grad selv skal lever profileringsdata med consent.
Gør noget nu eller afvent?
Generelt vurderer vi at det her langt de fleste virksomheder allerede bør gøre en indsats, såfremt man selv gør brug af personaliseringsplatform med algortimer i. Men gør det i samspil med jeres tech-provider.
4. Åbne algortimer
Om de store platforme blot åbner op for algo-sluserne og viser motorrummet frem til fri skue, tvivler vi stærkt på. Det er et kritisk forretningsgrundlag for platformene og for deres vækst, hvordan disse fungerer. Det er meget få mennesker der i dag ved dette og derfor tror jeg også mere på et kompromis med hvordan denne “åbenhed” bæres ud i virkeligheden. I virkeligheden handler det mere om hvordan algoritmerne fungerer og leverer end hvordan de ser ud og dén del tror jeg fokus kommer til at ligge på. Brugerne (udover hvis man er fagnørd, som jeg antager du som læser og jeg selv er) er iøvrigt heller ikke intersserede i tunge statisketiske modelforklaering som de færreste alligevel forstår – de vil bare have en god, relevant og ærlig oplevelse.
Gør noget nu eller afvent?
Afvent markedet, da tiltaget primært er målrettet de helt store internationale platforme og digitale virksomheder som Meta, Amazon mv.
5. Implementeringen starter allerede nu
DSA nævner at mindre virksomheder vil få længere tid til at få styr på alle reglerne når de rulles ud, men selvom der er længere tid, så kommer regulativerne. Det er selvfølgelig altid et spørgsmål om prioritering for den enkelte virksomheds andre projekter, men hvis man kender til det digitale space og pacen af udviklingen heri generelt, tror jeg de fleste vil være enige om, at det er en god ide at få styr på implikationer specifikt for ens egen virksomhed/brand med det samme og holde sig “foran kurven” af udviklinger og i videre strategisk øjemed tage muligheden for at få en fordel: have/få styr på data, og aktivt anvende sin compliance overfor målgruppen som en konkurrenceparameter, frem for at se det som en udfordring med negativt fortegn.
Gør noget nu eller afvent?
Ja der er heldvigvis indløbstid, men ligesom GDRP tager implementeringen tid og bliver et konkurrenceparametrer og derefter en hygiejnefaktor. Da DSA er langt større en GDPR, bør man tage aktion med det samme.
6. Etikken kommer i højsæddet
På tværs af lovgivningen, ser vi dog ikke kun benspænd, men generelt nogle sunde tanker for hvordan virksomheder bør og skal agere i forhold til forbruger-etik og forbrugerdata. Det giver samtidig nogle muligheder for at virksomheder, som os og jer, allerede nu tager forbrugeren seriøst. Så ligesom bæredygtighed er en vigtig agenda, vil data-etik blive det samme (hvis det ikke allerede er det), hvorfor vi også mener det grundlæggende at tage fat på det med det samme. Lever vi op til DSA? Og kan vi aktivt se forbrugeren i øjenene og sige vi tager dem seriøst? Samtidig fordrer det også at få styr på sine data. Datacentralisering, bliver ikke alene en forretningsdriver, det bliver et fundament for ganske enkelt at kunne opfylde kravene til DSA.
Gør noget nu eller afvent?
Ja der er heldvigvis indløbstid, men ligesom GDRP tager implementeringen tid og bliver et konkurrenceparametrer og derefter en hygiejnefaktor. Da DSA er langt større en GDPR, bør man tage aktion med det samme.
Hvad gør jeg så nu?
Hvis du vil være på forkant med udviklingen og sikre du står på den rigtige side at de forventede implikaitoner i markeder, er der en række initiativer vi anbefaler, herunder:
- Overblik over teknologierne i tech-tool stack – arbejder du i dag med technologier, som anvender algoritmer der er stridige imod DSAen?
- Nudgings i dag – er der steder i dit setup, der stikker ud ift dark patterns eller nudging teknikker, ift de kommende lovændringer
- Opt in og ud strukturer – har du styr på dataopsamlingen af permissions, håndteringen af disse og hvordan der opt’es ind eller ud af permissions eller abonnementer
- Er du selv en platform eller en markedsplads, er der så styr på dine sælgeres informationer og overholder du produktansvar for de produkter der sælges via platformen i dag?
- Overblik over brugerdata implikationer – er der kritiske segmenter/profiler/målgrupper/datapools eller andet der kritisk bidrager til kommercielle KPIer i dit setup idag, som forsvinder med DSAens implementering og en klar plan for hvordan disse mitigeres i datahåndtering, 1. parts staretgier mv.
Få et DSA pre-audit og kom igang nu
Vil du vide mere konkret, hvordan ovenstående ser ud for netop jeres virksomhed eller brand? Vi har på baggeund af ovenstående, bygget et DSA Pre-audit der kortlægger alle relevante indsigter og tilhørende actions/ anbefalinger ift. dit nuværende setup, så I kan få lagt en plan nut til at stå stærkt rustet til fremtiden.
Kontakt os direkte for videre dialog på kontakt@kynetic.dk – så kan vi tage en indledende dialog om hvad der giver mening for netop dig/jer.
Er du stadig med så langt? – Så tak fordi du læste med.
Vi håber indlægget gav ny eller relevant information om hvorfor DSA er vigtigt at forstå både overordnet og specifikt for dig og dermed noget stof til eftertanke.
