Wat de DSA dekt en voor wie hij geldt

De DSA is een verordening, geen richtlijn — hij heeft directe werking in alle EU-lidstaten zonder nationale omzetting. Hij trad volledig in werking voor zeer grote onlineplatforms en zoekmachines in augustus 2023 en voor alle anderen in februari 2024, wat betekent dat uitgevers nu twee jaar operationele ervaring hebben met het regime. De wet creëert een gelaagd stelsel van verplichtingen op basis van omvang en platformtype: micro- en kleine ondernemingen zijn grotendeels vrijgesteld, tussenhandelsdiensten hebben basisverplichtingen, hostingproviders hebben inhoudsmoderatieplichten, onlineplatforms hebben extra transparantieregels en zeer grote onlineplatforms (meer dan vijfenveertig miljoen maandelijkse actieve EU-gebruikers) hebben de strengste verplichtingen, waaronder systemische risicobeoordelingen en externe audits.

Waar de meeste uitgevers zich bevinden

De overgrote meerderheid van uitgevers valt onder de categorie onlineplatform — ze hosten door gebruikers gegenereerde inhoud (reacties, forumberichten, lezerbijdragen), ze tonen advertenties en ze bevelen content aan via algoritmische feeds of gerelateerde-artikelenmodules. De onlineplatformlaag is waar de DSA operationeel relevant wordt: beperkingen op gerichte reclame voor minderjarigen, transparantieverplichtingen over advertentielevering en targetingparameters, uitleg over aanbevelingssystemen en opt-outs, en een melding-en-actiemechanisme voor illegale inhoud. Uitgevers boven de drempel van het zeer grote onlineplatform voegen systemische risicobeoordeling toe, verplichtingen voor een officiële externe auditor en de vereiste om door de Commissie gescreende onderzoekers toegang te geven tot platformdata.

De geografische toets

De DSA heeft extraterritoriale werking. Een Amerikaanse uitgever met Europese bezoekers valt binnen de reikwijdte zodra EU-gebruikers met de dienst kunnen interageren — dat geldt in wezen voor elke publiek toegankelijke website. De toets is niet waar de uitgever gevestigd is, maar of de dienst wordt aangeboden aan EU-ontvangers. Net als bij GDPR treft dit standaard het grootste deel van de mondiale uitgeversbranche.

De beperkingen op gerichte reclame

De DSA-laag die het meest relevant is voor cookieconsent en advertentieoperaties, is Article 26, die gerichte reclame op twee specifieke manieren beperkt waaromheen uitgevers moeten ontwerpen.

Het verbod op targeting van minderjarigen

De DSA verbiedt gerichte reclame aan minderjarigen op basis van profilering met persoonsgegevens. Het verbod geldt telkens wanneer de uitgever weet, of redelijkerwijs had moeten weten, dat de ontvanger een minderjarige is — wat in de praktijk betekent dat het ingaat bij elk signaal waarop een uitgever redelijkerwijs kan handelen (een zelfverklaarde leeftijd, een ouderlijk toezichtsignaal, een contentcategorie die sterk duidt op een jong publiek, een accountmarkering uit het eigen gebruikerssysteem van de uitgever). De CMP moet deze beperking coderen: zelfs als een minderjarige gebruiker marketingcookies accepteert, moet het pad voor gerichte reclame standaard uitgeschakeld zijn. De fallback is contextuele reclame — advertentieselectie op basis van de pagina-inhoud in plaats van gebruikersprofielen — die de meeste grote SSP's en advertentieservers nu als eersteklasse leveringswijze aanbieden.

Het verbod op gevoelige data

De DSA verbiedt ook gerichte reclame op basis van profilering die gebruikmaakt van bijzondere categorieën persoonsgegevens zoals gedefinieerd in GDPR Article 9 — ras, godsdienst, politieke opvattingen, vakbondslidmaatschap, gezondheid, seksleven, seksuele gerichtheid, biometrische gegevens, genetische gegevens. Het verbod is absoluut: toestemming heft het niet op. Uitgevers die contentcategorieën beheren die een van deze gebieden raken — gezondheidsuitgevers, religieuze media, politieke nieuwssites, LGBTQ+-publicaties — moeten ervoor zorgen dat hun advertentietechstack geen profielsignalen afgeleid van deze gegevens doorstuurt naar adverteerders, ook niet wanneer de gebruiker toestemming heeft gegeven voor alle marketingcategorieën.

Operationele gevolgen voor de CMP

De CMP moet de DSA-beperkingen coderen als harde sluizen, niet als toestemmingsstatuswisselaars. Een toestemmingsbewijs dat zegt 'alle categorieën geaccepteerd' machtigt geen gerichte reclame aan een minderjarige of op basis van Article 9-data. De schoonste implementatieroute leidt de toestemmingsstatus, het minderjarigensignaal en de gevoeligeclassificatie van de pagina door een enkele beslissingsfunctie die tussen de CMP en de advertentietechverkopers zit, en de functie valt standaard terug op contextuele levering wanneer een van de DSA-sluizen wordt geactiveerd.

De opt-out voor aanbevelingssystemen

Article 38 van de DSA vereist dat onlineplatforms die aanbevelingssystemen gebruiken — algoritmische contentrangschikking in feeds, gerelateerde-artikelenmodules, video-opvolgrijen — de belangrijkste parameters van die systemen uitleggen en gebruikers minstens één optie aanbieden die niet is gebaseerd op profilering. Uitgevers die gepersonaliseerde contentontdekking aanbieden, mogen profilering niet als enige beschikbare modus aanbieden.

Hoe de modus zonder profilering eruitziet

De modus zonder profilering is doorgaans een chronologische feed, een op populariteit gerangschikte feed of een redactioneel samengestelde feed die niet personaliseert op basis van het gedrag van de individuele gebruiker. De gebruiker moet er via een duidelijk zichtbare bediening op kunnen overstappen — niet begraven in accountinstellingen — en de keuze moet voor toekomstige sessies worden onthouden. Uitgevers moeten de aanbevelingssysteemcontrole behandelen als een eersteklas onderdeel van de toestemmings-UX, vaak aangeboden via dezelfde CMP-interface die cookievoorkeuren afhandelt.

Transparantie over rangschikkingsparameters

Het platform moet in begrijpelijke taal de belangrijkste parameters publiceren die zijn aanbevelingssysteem gebruikt — recentheid, populariteit, gelijkenis met eerder gedrag, redactioneel gewicht, advertentierelevantie. De publicatie is doorgaans een sectie in het privacybeleid of een aparte transparantiepagina, en zij moet specifiek genoeg zijn zodat een toezichthouder die het leest de beschrijving kan verifiëren aan de hand van het werkelijke platformgedrag. Vage bewoordingen zoals 'we gebruiken machine learning om content aan te bevelen die u mogelijk interesseert' voldoen niet aan de norm.

Hoe de DSA bovenop GDPR en ePrivacy komt

De DSA vervangt GDPR of ePrivacy niet — hij voegt platformniveauregels toe bovenop die. De interacties zijn grotendeels additief, maar op twee specifieke punten beperken ze wat toestemming alleen kan machtigen.

Toestemming kan DSA-verboden niet omzeilen

Het verbod op targeting van minderjarigen en het verbod op gevoelige data van Article 9 zijn absoluut. Een gebruiker kan in geen van beide gevallen via toestemming gerichte reclame ontvangen. Dit is een betekenisvolle ontwerpbeperking voor CMP's die toestemming historisch als de universele ontgrendelaar beschouwden — onder de DSA is de toestemmingsstatus noodzakelijk maar niet voldoende, en de CMP-architectuur moet dat weerspiegelen.

Transparantieverplichtingen liggen bovenop die van GDPR

De DSA-advertentietransparentieverplichtingen — advertenties duidelijk identificeren, de adverteerder benoemen, de belangrijkste targetingparameters uitleggen die voor de specifieke advertentielevering zijn gebruikt — zijn onafhankelijk van de transparantievereisten van GDPR en moeten worden nagekomen in het advertentiemateriaal zelf. De meeste uitgevers regelen dit via advertentieserversjablonen die het DSA-advertentiemarkeringsblok automatisch in geserveerde creatives injecteren.

Praktische CMP- en advertentiestackwijzigingen

De DSA-bewuste CMP en advertentiestack hebben een klein aantal herhaalbare elementen die in 2026 op de grote commerciële platforms zijn gestabiliseerd.

Minderjarigensignaalbedrading

De CMP moet een minderjarigensignaal ontvangen van het gebruikersaccountsysteem van de uitgever, de contentclassificatie van de pagina of de ouderlijk toezichtslaag, en het signaal doorgeven aan de toestemmingsbeslissing. De meeste CMP's stellen dit nu beschikbaar als het attribuut 'minor' op het toestemmingsbewijs dat de advertentiestack naast de toestemmingsstatus leest. Het signaal stroomt stroomafwaarts via Google Consent Mode v2, de IAB TCF v2.3-string en elke leveranciersspecifieke integratie die het ondersteunt.

Classificatie van gevoelige inhoud

Uitgevers moeten op elke pagina een contentclassificatieslag uitvoeren die de pagina koppelt aan de gevoelige-datacategorieën van de DSA. De classificatie kan handmatig zijn voor redactionele sites met gestructureerde taxonomieën of geautomatiseerd voor sites met een hoog volume met NLP-gebaseerde contenttagging. De classificatie voedt de contextuele fallbackbeslissing van de advertentiestack: een pagina gemarkeerd met een gevoelige categorie wordt doorgestuurd naar uitsluitend contextuele advertenties, ongeacht de toestemmingsstatus.

Schakelaar voor aanbevelingssystemen

De opt-out voor het aanbevelingssysteem hoort op dezelfde plek als de voorkeursweergave van de toestemmingsbanner — de meeste CMP's bieden hiervoor nu een generieke module 'platformcontroles'. De schakelaar wijzigt de sessievoorkeur van de gebruiker en, als de gebruiker is geauthenticeerd, zijn of haar accountvoorkeur. De stroomafwaartse aanbevelingsservice leest de voorkeur bij elke rangschikkingsoproep.

Veelgemaakte DSA-fouten die tot bevindingen leiden

De DSA-handhavingsbeslissingen in 2024 en 2025 hebben een duidelijke lijst van patronen opgeleverd die leiden tot Commissie-onderzoeken. De CMP zet de minderjarigentargetingvlag standaard op onwaar voor elke gebruiker zonder ooit de eigen leeftijdssignalen van de uitgever te controleren. De opt-out voor het aanbevelingssysteem is drie klikken diep begraven in accountinstellingen in plaats van weergegeven bij de toestemmingsbanner. Het DSA-advertentiemarkeringsblok in het advertentiemateriaal wordt toegevoegd aan displayadvertenties maar gemist voor videocreatives. De classificatie van gevoelige inhoud dekt voor de hand liggende categorieën zoals gezondheid en godsdienst maar mist politieke nieuwssites die toch kwalificeren onder de bescherming van politieke opvattingen van Article 9. De laag van het zeer grote onlineplatform publiceert zijn systemische risicobeoordeling maar behandelt het als een eenmalige oefening in plaats van het jaarlijkse levende document dat de DSA vereist.

Conclusie

De DSA is de eerste grote EU-verordening sinds GDPR die materieel hervormt wat uitgevers kunnen doen met de aandacht van het publiek waarvoor ze al toestemming hebben verzameld. De verboden op targeting van minderjarigen en op Article 9-data zijn absolute ontwerpbeperkingen, geen toestemmingsopties. De opt-out voor aanbevelingssystemen is een eersteklas gebruikerscontrole die naast de cookiebanner staat. De transparantieverplichtingen over advertentielevering vereisen advertentieserversjablonen die automatisch de juiste markeringen injecteren in elke geserveerde creative. Niets hiervan is optioneel en niets ervan kan in haast worden nagesynchroniseerd wanneer er een handhavingsbrief aankomt. Uitgevers die de DSA-sluizen in hun CMP en advertentiestack hebben ingebouwd tijdens de ingroeifase van 2023–2024 opereren nu soepel; uitgevers die de DSA behandelden als een documentatieoefening brengen 2026 door in de handhavingswachtrij van de Commissie. Het werk is beperkt, de architectuur is vastgesteld en de gevolgen van het overslaan ervan zijn niet langer hypothetisch.