Hva DSA dekker og hvem den gjelder for

DSA er en forordning, ikke et direktiv — den har direkte virkning i alle EU-medlemsstater uten behov for nasjonal gjennomføring. Den trådte fullt i kraft for svært store nettplattformer og søkemotorer i august 2023 og for alle andre i februar 2024, noe som betyr at utgivere nå har to års operativ erfaring med regimet. Loven skaper et lagdelt sett med forpliktelser basert på størrelse og plattformtype: mikro- og små foretak er i stor grad unntatt, mellomleddsjenester har grunnleggende forpliktelser, vertstjenester har plikt til innholdsmoderering, nettplattformer har ytterligere transparensregler, og svært store nettplattformer (over førtifem millioner månedlige aktive EU-brukere) har de strengeste forpliktelsene, inkludert systemrisikovurderinger og eksterne revisjoner.

Hvor de fleste utgivere befinner seg

Det store flertallet av utgivere faller inn under kategorien nettplattform — de hoster brukergenerert innhold (kommentarer, foruminnlegg, leserbidrag), de viser annonser, og de anbefaler innhold gjennom algoritmiske feeder eller relaterte-artikler-moduler. Nettplattformnivået er der DSA blir operativt relevant: begrensninger på målrettet reklame for mindreårige, transparensforpliktelser om annonselevering og målrettingsparametere, forklaringer om anbefalingssystemer og opt-outs, og et melde-og-handlingsregime for ulovlig innhold. Utgivere over terskelen for svært store nettplattformer legger til systemrisikovurdering, forpliktelser for offisiell ekstern revisor, og kravet om å gi Kommisjonens godkjente forskere tilgang til plattformdata.

Den geografiske testen

DSA gjelder eksterritorielt. En amerikansk utgiver med europeiske besøkende er i virkeområdet i det øyeblikk EU-brukere kan samhandle med tjenesten — noe som i praksis gjelder for ethvert offentlig tilgjengelig nettsted. Testen er ikke hvor utgiveren er basert, men om tjenesten tilbys til EU-mottakere. I likhet med GDPR fanger dette som standard opp det meste av den globale forlagsbransjen.

Begrensningene på målrettet reklame

DSA-laget som betyr mest for informasjonskapselsamtykke og annonseoperasjoner, er Article 26, som begrenser målrettet reklame på to spesifikke måter som utgivere må designe rundt.

Forbudet mot målretting av mindreårige

DSA forbyr målrettet reklame mot mindreårige basert på profilering ved hjelp av personopplysninger. Forbudet gjelder når utgiveren vet, eller rimeligvis burde vite, at mottakeren er mindreårig — noe som i praksis betyr at det trer i kraft for ethvert signal en utgiver rimeligvis kan handle på (en selvdeklarert alder, et signal fra foreldrekontroll, en innholdskategori som sterkt indikerer et ungt publikum, et kontoflagg fra utgiverens eget brukersystem). CMP-en må kode inn denne begrensningen: selv om en mindreårig bruker godtar markedsføringskapsler, må banen for målrettet reklame være av som standard. Reserveløsningen er kontekstuell reklame — annonseutvalg basert på sideinnhold fremfor brukerprofiler — som de fleste store SSP-er og annonseservere nå tilbyr som en førsteklasses leveringsmodus.

Forbudet mot sensitiv data

DSA forbyr også målrettet reklame basert på profilering som bruker særlige kategorier av personopplysninger som definert i GDPR Article 9 — rase, religion, politiske meninger, fagforeningsmedlemskap, helse, seksualliv, seksuell orientering, biometriske data, genetiske data. Forbudet er absolutt: samtykke løser det ikke opp. Utgivere som driver innholdskategorier som berører noen av disse områdene — helseutgivere, religiøse medier, politiske nyhetssider, LGBTQ+-publikasjoner — må sikre at annonseteknologistackene deres ikke sender profilsignaler avledet fra disse dataene til annonsører, selv når brukeren har samtykket til alle kategorier av markedsføring.

Operative konsekvenser for CMP

CMP-en må kode DSA-begrensningene som harde porter, ikke tilstandsbrytere for samtykke. En samtykkekvittering som sier 'alle kategorier godtatt' autoriserer ikke målrettet reklame til en mindreårig eller basert på Article 9-data. Den reneste implementeringsruten leder samtykketilstanden, signalet for mindreårige og sidens sensitive innholdsklassifisering gjennom en enkelt beslutningsfunksjon som sitter mellom CMP-en og annonseteknologileverandørene, og funksjonen faller som standard tilbake til kontekstuell levering når noen av DSA-portene utløses.

Opt-outen for anbefalingssystemer

Article 38 i DSA krever at nettplattformer som bruker anbefalingssystemer — algoritmisk innholdsrangering i feeder, relaterte-artikler-moduler, video-opp-neste-køer — forklarer de viktigste parameterne i disse systemene og tilbyr brukerne minst ett alternativ som ikke er basert på profilering. Utgivere som tilbyr personlig innholdsoppdagelse, kan ikke gjøre profilering til den eneste tilgjengelige modusen.

Hva ikke-profilering-modusen ser ut som

Ikke-profilering-modusen er vanligvis en kronologisk feed, en popularitetsrangert feed eller en redaksjonelt kuratert feed som ikke personaliserer basert på den individuelle brukerens atferd. Brukeren må kunne bytte til den gjennom en klart synlig kontroll — ikke begravd i kontoinnstillinger — og valget må huskes for fremtidige sesjoner. Utgivere bør behandle anbefalingssystemkontrollen som en førsteklasses del av samtykke-UX, ofte vist gjennom det samme CMP-grensesnittet som håndterer informasjonskapselpreferanser.

Transparens om rangparametere

Plattformen må publisere, på et enkelt språk, de viktigste parameterne anbefalingssystemet bruker — aktualitet, popularitet, likhet med tidligere atferd, redaksjonell vekt, annonserelevans. Publikasjonen er vanligvis en seksjon i personvernreglene eller en dedikert transparensside, og den bør være spesifikk nok til at en tilsynsmyndighet som leser den kan verifisere beskrivelsen mot faktisk plattformatferd. Vagt språk som 'vi bruker maskinlæring for å anbefale innhold du kanskje liker' oppfyller ikke standarden.

Hvordan DSA legger seg oppå GDPR og ePrivacy

DSA erstatter ikke GDPR eller ePrivacy — den legger plattformnivåregler oppå dem. Samspillene er for det meste additive, men på to spesifikke steder begrenser de hva samtykke alene kan autorisere.

Samtykke kan ikke overstyre DSA-forbud

Forbudet mot målretting av mindreårige og Article 9-forbudet mot sensitiv data er absolutte. En bruker kan ikke gi samtykke til å motta målrettet reklame i noen av tilfellene. Dette er en meningsfull designbegrensning for CMP-er som historisk har behandlet samtykke som den universelle låseopp-nøkkelen — under DSA er samtykketilstanden nødvendig, men ikke tilstrekkelig, og CMP-arkitekturen må gjenspeile det.

Transparensforpliktelsene ligger oppå GDPRs

DSAs annonsetransparensforpliktelser — tydelig identifisere annonser, navngi annonsøren, forklare de viktigste målrettingsparameterne som ble brukt for den spesifikke annonseleveransen — er uavhengige av GDPRs transparenskrav og må oppfylles i selve annonsekreasjonen. De fleste utgivere håndterer dette gjennom annonseservermaler som automatisk injiserer DSA-annonsemarkeringsblokken i serverte kreasjoner.

Praktiske CMP- og annonsestackendringer

Den DSA-bevisste CMP og annonsestacken har et lite antall repeterbare elementer som har stabilisert seg på tvers av de store kommersielle plattformene innen 2026.

Mindreårig-signal-rørlegging

CMP-en må motta et mindreårigs-signal fra utgiverens brukerkontosystem, sidens innholdsklassifisering eller foreldrekontrolllaget, og spre signalet inn i samtykkevedtaket. De fleste CMP-er eksponerer nå dette som et 'minor'-attributt på samtykkekvitteringen som annonsestacken leser ved siden av samtykketilstanden. Signalet flyter nedover gjennom Google Consent Mode v2, IAB TCF v2.3-strengen og enhver leverandørspesifikk integrasjon som støtter det.

Klassifisering av sensitivt innhold

Utgivere bør kjøre en innholdsklassifiseringsgjennomgang på hver side som kartlegger den til DSAs sensitive datakategorier. Klassifiseringen kan være manuell for redaksjonelle nettsteder med strukturerte taksonomier eller automatisert for nettsteder med høyt volum med NLP-basert innholdskoding. Klassifiseringen mater annonsestackens kontekstuelle reservebeslutning: en side tagget med en sensitiv kategori rutes til kontekstuelle annonser alene, uavhengig av samtykketilstanden.

Bryter for anbefalingssystem

Opt-outen for anbefalingssystemet bør ligge på samme sted som preferansevisningen til samtykkebanneret — de fleste CMP-er eksponerer nå en generisk 'plattformkontroller'-modul til dette formålet. Bryteren endrer brukerens sesjonsnivåpreferanse og, hvis brukeren er autentisert, kontonivåpreferansen. Den nedstrøms anbefalingstjenesten leser preferansen ved hvert rangeringsanrop.

Vanlige DSA-feil som utløser funn

DSAs håndhevelsesvedtak gjennom 2024 og 2025 har produsert en klar liste over mønstre som fører til Kommisjonens undersøkelser. CMP-en setter standard mindreårigs-målrettingsflagget til usant for alle brukere uten noen gang å sjekke utgiverens egne aldressignaler. Opt-outen for anbefalingssystemet er begravd tre klikk dypt i kontoinnstillinger fremfor å vises nær samtykkebanneret. Annonsekreasjonsmarkeringsblokken legges til displayannonser, men mangler for videokreasjoner. Klassifiseringen av sensitivt innhold dekker åpenbare kategorier som helse og religion, men overser politiske nyhetssider som likevel kvalifiserer under Article 9s beskyttelse av politiske meninger. Nivået for svært store nettplattformer publiserer sin systemrisikovurdering, men behandler den som en engangsøvelse fremfor det årlige levende dokumentet DSA krever.

Konklusjonen

DSA er den første store EU-reguleringen siden GDPR som materielt omformer hva utgivere kan gjøre med den publikumsoppmerksomheten de allerede har samlet inn samtykke for. Forbudene mot målretting av mindreårige og Article 9 er absolutte designbegrensninger, ikke samtykkelternativer. Opt-outen for anbefalingssystemer er en førsteklasses brukerkontroll som sitter ved siden av informasjonskapselbanneret. Transparensforpliktelsene om annonselevering krever annonseservermaler som automatisk injiserer de riktige markeringene i hver serverte kreasjone. Ingenting av dette er valgfritt, og ingenting av det kan etterinstalleres i hui og hast når et håndhevelsesbrev ankommer. Utgivere som bygde DSA-portene inn i CMP-en og annonsestacken sin i løpet av innfasingsfasen 2023–2024, opererer nå rent; utgivere som behandlet DSA som en dokumentasjonsøvelse, tilbringer 2026 i Kommisjonens håndhevelseskø. Arbeidet er moderat, arkitekturen er etablert, og konsekvensene av å hoppe over det er ikke lenger hypotetiske.