AI en platformregulering: hoe de AI Act, DSA en DMA je marketing beïnvloeden

Voor effectieve online marketing zijn de grote platformen zoals Meta, Google en TikTok onmisbaar. AI speelt bij hen een grote, deels verborgen, rol.

De grote platformen vormen de spil in veel marketingstrategieën. Denk aan personalisatie, targeting en performance analyse. Tegelijkertijd draaien deze platformen grotendeels op advertentie-inkomsten en speelt AI achter de schermen een steeds grotere, vaak onzichtbare rol in hoe content wordt gepresenteerd, hoe gebruikers worden gestuurd en hoe advertenties worden aangeboden.

In dit vierde artikel uit de DDMA Legal X AI-serie duiken we in veelvoorkomende AI-toepassingen binnen platformomgevingen en analyseren we hoe deze zich verhouden tot de belangrijkste regels uit de Europese AI Act, de Digital Services Act (DSA) en de Digital Markets Act (DMA). We leggen uit hoe deze kaders zich tot elkaar verhouden, waar ze botsen en wat dit betekent voor je marketingpraktijk. We sluiten af met concrete aanbevelingen, inclusief voorbeelden van wat wel en niet mag en geven best practices om compliant te blijven.

Voor marketingprofessionals die AI-tools inzetten via platformen als Google, Meta of TikTok, is het essentieel te begrijpen dat deze toepassingen onder meerdere Europese wetten vallen. AI-functionaliteiten worden namelijk vrijwel altijd aangeboden door een handvol dominante techbedrijven: platformen die onder toezicht staan van zowel de Digital Services Act (DSA) als de Digital Markets Act (DMA). Tegelijkertijd stelt de AI Act specifieke eisen aan de inzet van deze technologieën. De drie wetgevingen vullen elkaar aan, maar brengen in de praktijk ook spanningen met zich mee, zeker voor organisaties die afhankelijk zijn van AI-gedreven targeting, personalisatie of contentdistributie via deze platformen.

De DSA: risico’s en transparantie bij AI-systemen

De DSA legt regels op aan grote online platformen die gebruikers in contact brengen met content, producten of diensten. Denk aan aanbevelingssystemen die bepalen welke advertenties gebruikers te zien krijgen, of moderatie-algoritmes die content filteren. Platformen met meer dan 45 miljoen gebruikers in de Europese Unie worden aangemerkt als een “zeer groot online platform” (“very large online platform” of VLOP) en moeten, onder andere, jaarlijks rapporteren over systeemrisico’s (art. 34 DSA) zoals manipulatie, verslaving en discriminatie. Ook moeten VLOPs maatregelen ter beperking van deze risico’s implementeren (art. 35 DSA).

De verplichtingen zijn technologieneutraal, maar raken AI-toepassingen zoals aanbevelingssystemen of dynamische prijsmodellen direct. Concreet kunnen systeemrisico’s bij AI-toepassingen bestaan uit de verspreiding van desinformatie, of het gebruik van verslavende algoritmes. Deze transparantieverplichtingen onder de DSA lijken veel op de regels uit de AI Act voor hoog-risico-AI-systemen, zoals het verplicht documenteren van risicobeoordelingen of het transparant maken van het gebruikte model.

De AI Act: risico-gebaseerde aanpak en verbod op manipulatie

De AI Act werkt met een risicogebaseerde aanpak waarbij AI-systemen in vier categorieën worden onderverdeeld: minimaal, beperkt, hoog en onaanvaardbaar risico. Voor de meeste marketingrelevante toepassingen vallen de AI-tools in de lage of beperkte risicoklasse. Het draait dus vooral om het verbod op manipulatieve technieken (art. 5(1)(a)) en het gebruik van AI om kwetsbare groepen te beïnvloeden (art. 5(1)(b)). Dit betreft dus ook marketing op platformen, bijvoorbeeld wanneer AI op basis van gedragsdata voorspelt wanneer een gebruiker vatbaar is voor een koopbeslissing en op dat moment een aanbieding toont.

AI-systemen die op onderbewuste wijze het gedrag van gebruikers beïnvloeden, zoals door het herkennen van emotionele staat of het inzetten van zogenaamde dark patterns, onder het verbod vallen. Dit betekent dat adverteerders onder de AI Act risico lopen bij het gebruik van AI-tools voor gedragsprofilering, tenzij ze kunnen aantonen dat deze technologie valt onder “lawful persuasion” en niet onder manipulatie. Overtuigen mag, manipuleren niet, iets waar je als marketeer goed bij stil moet staan.

De DMA: bescherming tegen machtsmisbruik door poortwachters

De Digital Markets Act gaat nog een stap verder. Deze verordening richt zich op grote technologiebedrijven die een fundamentele rol vervullen in het digitale ecosysteem, omdat ze veel invloed hebben op de interne markt, een kernplatformdienst beheren en een verankerde marktpositie innemen. Denk hierbij aan Alphabet, Amazon, Apple, ByteDance (TikTok), Meta, Microsoft.

De DMA legt deze zogenaamde poortwachters (gatekeepers) een reeks do’s and don’ts op om machtsmisbruik te voorkomen. De wet reguleert de Core Platform Services van deze poortwachters, precies omdat deze diensten een poortwachtersfunctie vervullen: ze bepalen in hoge mate hoe bedrijven eindgebruikers kunnen bereiken.

Overzicht Core Platform Services in categorieën:

Voor professionals in marketing is vooral van belang hoe de DMA data- en platformtoegang reguleert. Zo mogen poortwachters zonder uitdrukkelijke toestemming van de gebruiker geen persoonlijke data combineren van hun verschillende diensten (art. 5(2) DMA). Met andere woorden: een bedrijf als Meta kan niet zomaar data uit Facebook, Instagram en WhatsApp op één hoop gooien voor targeting zonder dat de gebruiker expliciet “ja” zegt tegen die datacombinatie. Ook Google moet vragen om toestemming als het data van bijvoorbeeld YouTube en Google Search wil samenvoegen voor gepersonaliseerde advertenties.

Voor een e-commercepartij die met Meta adverteert via Facebook én Instagram betekent dit dat de platformbeheerder niet zomaar gegevens mag delen tussen die kanalen om de AI-algoritmes te trainen die advertenties personaliseren. Denk verder ook aan systemen, zoals “predictive audiences” in Meta of in Google Performance Max, die gedrag analyseren dat is verzameld uit meerdere bronnen — zoals zoekhistorie, e-mailgedrag en aankopen — dan kunnen ze onder het datacombinatieverbod uit de DMA vallen. Tegelijkertijd moeten ze volgens de AI Act aantonen dat ze géén verboden technieken gebruiken zoals manipulatie of het uitbuiten van kwetsbaarheden.

Bovendien verplicht de DMA de poortwachters tot meer transparantie en het delen van data met zakelijke gebruikers, zoals adverteerders (art. 5(1)(a) DMA). Zo moeten ze real-time toegang geven tot prestatiedata en inzage geven in advertentieprijzen en –fees bieden aan adverteerders op hun platform. Dit betekent dat Google bijvoorbeeld moet onthullen waarom er een bepaalde doelgroep in Performance Max wordt aanbevolen. Dit is fijn voor marketeers: je kunt bijvoorbeeld beter begrijpen waar je advertentiebudget blijft en hoe campagnes presteren, omdat de platformen geen black box meer mogen zijn.

Naast transparantie moeten algoritmes en AI ook ‘eerlijk’ zijn. Google kreeg al eerder een boete van 2,4 miljard voor het visueel en qua ranking bevoordelen van eigen shopping-resultaten. Dit was vanwege strijd met het mededingingsrecht (vrij vertaald: ‘oneerlijke concurrentie’). Deze regel is nu ook vastgelegd in de DMA. De Commissie onderzoekt nu wederom of Google eigen diensten voortrekt. Want de DMA maakt het eenvoudiger om ‘eerlijke’ algoritmes te handhaven: met minder juridische procedures en snellere boetes.
De DSA en de DMA zorgen dus voor een gelijker speelveld in marketing via grote online platformen aangezien deze eerlijk moeten omgaan met data en concurrenten, wat resulteert in nieuwe kansen voor iedereen die van deze platformen gebruikmaakt.

Spanning tussen de kaders

De drie kaders (AI Act, DSA en DMA) overlappen, maar hanteren verschillende aansprakelijkheidsstructuren. De AI Act wijst de provider en deployer van het AI-systeem aan als verantwoordelijke (art. 3 AI Act), terwijl de DSA zich richt op platformexploitanten. Dit zorgt in de praktijk voor onduidelijkheid. Bijvoorbeeld: wie is aansprakelijk wanneer een adverteerder AI-tools inzet die gedragspatronen analyseren, maar de distributie van content verloopt via een aanbevelingssysteem van het platform?

Er bestaan ook verschillen in beschermingsomvang. Waar de AI Act manipulatie van gedrag in absolute termen verbiedt, vraagt de DSA enkel om mitigerende maatregelen. Hierdoor bestaat het risico dat dezelfde toepassing onder het ene regime verboden is, maar onder het andere slechts goed gemonitord hoeft te worden. Dit levert rechtsonzekerheid op, vooral voor bedrijven die afhankelijk zijn van externe platformfunctionaliteiten. Nog een ander concreet verschil: de AI Act harmoniseert AI-wetgeving binnen de EU, terwijl de DSA ruimte laat voor nationale toezichthouders om aanvullende eisen te stellen. Dit kan vooral bij grensoverschrijdende campagnes of AI-training op publieke content leiden tot juridische versnippering.

Praktijkvoorbeelden AI en grote platformen

• Gepersonaliseerde advertenties: beperkingen bij minderjarigen en gevoelige data

De DSA verbiedt het tonen van gepersonaliseerde advertenties aan minderjarigen en het gebruik van gevoelige persoonsgegevens (zoals etniciteit, politieke opvattingen, gezondheid, etc.) voor advertentietargeting. Grote online platformen hebben zich hieraan aangepast. Zo staan onder meer Snapchat, Google, YouTube en Meta’s Instagram en Facebook sinds 2023 niet langer toe dat adverteerders gerichte advertenties tonen aan gebruikers onder 18 jaar.

• Data-invoer en AI-classificatie bij Meta: verantwoordelijkheid voor adverteerders

Verder is targeting op basis van gevoelige categorieën ook verboden, dus platformen mogen zulke gegevens niet langer inzetten voor advertenties. Meta heeft hiervoor recent zelfs aanpassingen doorgevoerd in het Events-Manager-systeem binnen de Meta Business Tools, met nadruk op het omgaan met gevoelige gegevens, dus er gelden extra beperkingen voor informatie over gezondheid en etniciteit.

Ook categoriseert Meta automatisch de herkomst (website, apps etc.). Adverteerders zijn er zelf verantwoordelijk voor om in Events Manager te controleren of hun data correct is ingedeeld en voldoet aan de regels. Meta probeert hiermee compliant te zijn en tegelijkertijd adverteerders verantwoordelijkheid te geven voor hun datagebruik, maar adverteerders kunnen de impact ook direct merken. Bepaalde campagnes kunnen automatisch worden afgewezen, soms onterecht door een verkeerde categorisering, waardoor belangrijke conversiegegevens niet meer zichtbaar zijn en de prestaties van campagnes verslechteren. Een beroep tegen zo’n indeling kan vervolgens vertraging opleveren van gemiddeld drie tot zeven dagen.

Transparantie over AI-inhoud en advertentieplaatsing onder DSA en AI Act

Zowel de AI Act als de DSA leggen de nadruk op transparantie, maar vanuit een iets ander perspectief. De AI Act richt zich op de techniek achter content, terwijl de DSA vooral kijkt naar de verspreiding en zichtbaarheid ervan op grote platformen. Volgens de AI Act moeten generatieve AI-systemen, zoals ChatGPT of beeldgeneratoren, duidelijk aangeven wanneer content door AI is gemaakt. Hiervoor worden standaarden als C2PA (Coalition for Content Provenance and Authenticity) gebruikt, die via metadata de herkomst en echtheid van bijvoorbeeld afbeeldingen of video’s zichtbaar maken. Dit moet misleiding en desinformatie helpen voorkomen.

Aan de platformzijde verplicht de DSA partijen zoals Meta om een actieve rol te spelen bij het monitoren en beheren van AI-gegenereerde content. Gebruikers moeten kunnen herkennen of iets door AI is gemaakt, zeker bij gevoelige thema’s zoals verkiezingen of volksgezondheid. Transparantieverplichtingen onder de DSA gaan verder dan alleen contentlabeling. Grote platformen (de zogeheten VLOPs) zijn ook verplicht een openbaar advertentie-archief bij te houden. In dat archief moet bij elke advertentie worden vastgelegd wie de adverteerder is, wat de boodschap inhoudt en op welke doelgroep die gericht is. Het doel: grip krijgen op online beïnvloeding, zoals politieke advertenties, misleidende campagnes of buitenlandse inmenging.

Een concreet voorbeeld is TikTok, dat in 2025 werd aangesproken door de Europese Commissie omdat het nog geen doorzoekbare advertentiebibliotheek had gepubliceerd. Volgens de Europese Commissie overtrad TikTok daarmee de DSA. Frankrijk steunde dit en wees op mogelijke boetes tot 6% van de wereldwijde omzet. Deze situatie laat zien hoe de DSA en AI Act elkaar aanvullen: waar de DSA transparantie eist over advertentieplaatsing en algoritmes, verplicht de AI Act dat de onderliggende AI-systemen verantwoord zijn ontwikkeld.

Voor marketeers betekent dit dat transparantie over de werking van de tools, de herkomst van trainingsdata, het risico op gedragsbeïnvloeding en de advertentieprijzen steeds belangrijker wordt omdat ook jouw merk daar indirect op wordt afgerekend. Of je nu AI inzet voor targeting, dynamic creative optimization of biddingstrategieën: de juridische kaders bepalen steeds vaker waar de grens ligt tussen slimme marketing en verboden beïnvloeding.

Toekomstperspectief: volledig geautomatiseerd adverteren via Meta?

Het toekomstperspectief zou kunnen zijn dat adverteren op platformen als Instagram grotendeels geautomatiseerd verloopt. Meta heeft namelijk aangekondigd dat het merken tegen eind volgend jaar de mogelijkheid wil bieden om advertenties volledig te laten ontwikkelen en uitserveren door AI. Van creatie tot targeting: adverteerders zouden straks alleen nog een afbeelding, doel en budget hoeven op te geven, waarna AI de campagne opzet, personaliseert en optimaliseert voor verschillende doelgroepen.

Dit kan vooral aantrekkelijk zijn voor kleinere bedrijven zonder grote marketingteams. Tegelijk roept zo’n aanpak vragen op over controle, transparantie en juridische verantwoordelijkheid, zeker in het licht van de AI Act en DSA. Als AI straks de hele advertentiecyclus overneemt, moeten adverteerders en marketeers scherp blijven op hun eigen rol en hoe die technologie werkt en waar de grenzen liggen.

Best practices: hoe navigeer je het spanningsveld?

• Inventariseer afhankelijkheden van platformen
 – Breng in kaart welke AI-toepassingen steunen op externe platformfunctionaliteiten (zoals targetingtools of trackingpixels) en beoordeel of dit binnen de DSA/DMA-kaders blijft.
• Houd toezicht op de risico’s van je AI-tools
 – Voer periodieke AI-risicoanalyses uit, ook als je zelf geen ontwikkelaar bent. Gebruik de AVG als basis, aangevuld met risicocategorieën uit de AI Act (zoals beïnvloeding van gedrag).
• Neem eigenaarschap over AI-beslissingen – Ook al gebruik je platformtools zoals Google Performance Max of Meta’s voorspellende audiences, jij blijft verantwoordelijk voor de uitkomsten. Check regelmatig welke doelgroepen en creative de AI-systemen selecteren, stel waar mogelijk grenzen in (bijvoorbeeld geen targeting rond bedtijd), en documenteer je keuzes.
• Train medewerkers in AI-geletterdheid
 – Richt trainingen in voor medewerkers die met AI werken, met aandacht voor juridische, ethische en technische kaders. Gebruik daarvoor het vierstappenmodel uit de ACM-richtlijn en ons AI-geletterdheid stappenplan.

Over de auteurs: Allisha Hosli en Frank de Vries zijn beiden Legal counsel bij DDMA.

Over deze serie – Het idee achter de AI-&-Legal-artikelenreeks is om meer inzicht te geven in hoe AI zich verhoudt tot bestaande wetgeving die relevant is voor de (datagedreven) marketingsector. We gaan in op thema’s en onderwerpen als privacy, auteursrecht, reclamerecht (influencermarketing), cookies, platformen en cybersecurity, allemaal in relatie tot AI. Zo kijken we verder dan alleen de AI Act, zodat we kunnen beschrijven wat relevant is voor onze leden.