Terug

AVG en het opnemen van zakelijke gesprekken

Juridische kaders voor toestemming en compliance op de werkvloer

Privacy & VeiligheidLeestijd 7 min
Article header image: AVG en het opnemen van zakelijke gesprekken

De technologische mogelijkheden om zakelijke overleggen vast te leggen en te analyseren zijn de afgelopen jaren explosief toegenomen. Waar notuleren voorheen een handmatige en tijdrovende taak was, bieden moderne tools nu de mogelijkheid om elk woord digitaal te vereeuwigen en doorzoekbaar te maken.

Deze vooruitgang brengt echter een complexe juridische realiteit met zich mee die door veel organisaties wordt onderschat. Het ondoordacht opnemen van gesprekken raakt direct aan de kern van de privacywetgeving en kan leiden tot ernstige inbreuken op de persoonlijke levenssfeer van werknemers en cliënten.

Voor professionals in de advocatuur, de zorgsector, de overheid en het bedrijfsleven is het daarom essentieel om niet alleen de technische voordelen te zien, maar vooral ook de strikte juridische grenzen te kennen. De Algemene Verordening Gegevensbescherming biedt geen grijs gebied voor onwetendheid.

Dit artikel analyseert de noodzakelijke rechtsgronden, de valkuilen rondom toestemming en de vereisten voor proportionaliteit en dataminimalisatie die elke organisatie moet beheersen voordat de opnameknop wordt ingedrukt.

Stemgeluid als persoonsgegeven

De basis van de Europese privacywetgeving is helder: het verwerken van persoonsgegevens is verboden, tenzij er een specifieke wettelijke uitzondering van toepassing is. Dit wordt ook wel het verbodsbeginsel genoemd.

Wanneer een organisatie besluit om audio-opnames te maken van gesprekken, worden er per definitie persoonsgegevens verwerkt. De menselijke stem is immers een uniek persoonskenmerk waarmee een individu direct kan worden geïdentificeerd, ofwel indirect kan worden herleid. In bepaalde specifieke contexten kan stemgeluid zelfs worden geclassificeerd als een biometrisch gegeven, wat een nog zwaarder beschermingsregime met zich meebrengt onder artikel 9 van de AVG. Dit is bijvoorbeeld het geval wanneer de stem wordt gebruikt voor unieke identificatie of toegangsbeveiliging. Bij reguliere transcriptie voor verslaglegging is dit doorgaans niet het doel, maar de data blijft bijzonder gevoelig.

Veel organisaties maken de fout door te denken dat het 'handig' zijn van een opname voldoende rechtvaardiging biedt. Gemak of efficiëntie zijn echter geen juridische grondslagen. Voordat een organisatie ook maar één seconde aan audio vastlegt, moet zij vaststellen op welke van de zes limitatieve grondslagen uit artikel 6 van de AVG zij zich beroept. Het achteraf zoeken naar een rechtvaardiging is niet toegestaan en kan leiden tot handhavend optreden van de toezichthouder.

In de zakelijke praktijk zijn voornamelijk drie grondslagen relevant:

  • Toestemming
  • De noodzaak voor de uitvoering van een overeenkomst
  • Het gerechtvaardigd belang

Een foutieve keuze hierin maakt de gehele verwerking onrechtmatig, met alle juridische risico's van dien.

De valkuil van toestemming

De meest voor de hand liggende grondslag lijkt vaak toestemming, zoals vastgelegd in artikel 6 lid 1 sub a van de AVG. In de praktijk blijkt dit echter een juridisch moeras, zeker binnen arbeidsrelaties.

Voor een geldige toestemming moet aan vier cumulatieve eisen worden voldaan:

  • De toestemming moet vrij
  • Specifiek
  • Geïnformeerd
  • Ondubbelzinnig zijn

Met name het vereiste van 'vrije' toestemming vormt een groot obstakel op de werkvloer. De AVG en de bijbehorende richtlijnen stellen expliciet dat er geen sprake kan zijn van vrije wil als er een duidelijke machtsverhouding bestaat tussen de betrokkene en de verwerkingsverantwoordelijke. In de relatie tussen werkgever en werknemer is deze ongelijkwaardigheid inherent aanwezig. Een werknemer die door zijn leidinggevende wordt gevraagd of het goed is dat een functioneringsgesprek wordt opgenomen, zal zich vaak niet vrij voelen om te weigeren. De angst voor negatieve gevolgen, zoals een slechtere beoordeling of een verstoorde arbeidsrelatie, maakt dat de toestemming niet in vrijheid wordt gegeven. Hierdoor is de verkregen toestemming juridisch waardeloos. Zelfs als een werknemer schriftelijk en met handtekening akkoord gaat, kan de Autoriteit Persoonsgegevens oordelen dat de grondslag ontbreekt.

Dit betekent dat organisaties in interne verhoudingen uiterst terughoudend moeten zijn met het gebruik van toestemming als basis. Een informele vraag aan het begin van een vergadering, zoals 'vindt iedereen het goed als ik dit opneem', volstaat in formele zin zelden en biedt geen enkele juridische zekerheid als het er later op aankomt. Alleen in strikt gelijkwaardige verhoudingen, zoals tussen twee onafhankelijke business partners, heeft deze grondslag reële kans van slagen.

Gerechtvaardigd belang en noodzaak

Wanneer toestemming vanwege de gezagsverhouding geen optie is, wordt vaak uitgeweken naar de grondslag van het gerechtvaardigd belang (artikel 6 lid 1 sub f AVG). Dit is echter geen vrijbrief om naar believen op te nemen, maar vereist een zware en gedocumenteerde belangenafweging.

Organisaties die structureel gesprekken willen vastleggen moeten hierbij een driestapstoets doorlopen:

  1. Allereerst moet er een concreet en legitiem belang zijn, zoals kwaliteitscontrole, bewijsvoering in juridische geschillen of het vastleggen van complexe financiële afspraken. Algemene termen als 'bedrijfsbelang' zijn hier te vaag.
  2. Ten tweede moet de noodzaak worden aangetoond: kan dit doel niet op een andere, minder ingrijpende manier worden bereikt? Vaak is het antwoord hierop bevestigend, bijvoorbeeld door een notulist in te zetten. Alleen als een organisatie kan onderbouwen waarom handmatige verslaglegging niet volstaat, bijvoorbeeld vanwege de snelheid of de absolute noodzaak van een woordelijk verslag, komt men door deze stap heen.
  3. De derde en laatste stap is de belangenafweging zelf: weegt het belang van de organisatie zwaarder dan de inbreuk op de privacy van de betrokkenen?

Hierbij speelt proportionaliteit een sleutelrol. Het integraal en permanent bewaren van audiobestanden is een zware inbreuk. Het bewaren van een geanonimiseerde tekstuele samenvatting is daarentegen veel lichter.

Een praktisch voorbeeld is een callcenter: het opnemen van gesprekken voor trainingsdoeleinden kan gerechtvaardigd zijn, mits de medewerker weet dat dit gebeurt, de opnames willekeurig zijn en na korte tijd automatisch worden gewist. Het continu opnemen van alle gesprekken op de werkvloer om productiviteit te meten is daarentegen disproportioneel en strijdig met de wet.

Contractuele noodzaak en doelbinding

In de zakelijke dienstverlening is de noodzaak voor de uitvoering van een overeenkomst (artikel 6 lid 1 sub b AVG) een veelgebruikte grondslag. Dit speelt met name in situaties waar de opname een integraal onderdeel is van de dienst die wordt geleverd. Een duidelijk voorbeeld is de financiële sector, waar onder de MiFID II-richtlijn adviseurs verplicht zijn om telefoongesprekken over transacties vast te leggen. Hier vloeit de noodzaak voort uit een wettelijke verplichting die weer samenhangt met de contractuele relatie. Ook journalisten die een interview afnemen in opdracht van een uitgever of op basis van een afspraak met de geïnterviewde, kunnen zich vaak op deze grondslag beroepen, aangezien de opname noodzakelijk is om het overeengekomen artikel accuraat te kunnen schrijven.

Echter, deze grondslag kent strikte grenzen wat betreft doelbinding. Dat een opname noodzakelijk is voor de uitvoering van een specifiek contract, betekent niet dat de data vervolgens voor andere doelen mag worden gebruikt. Een advocaat die een intakegesprek opneemt om de zaak goed voor te bereiden, mag diezelfde opname niet gebruiken om een nieuwe stagiair in te werken, tenzij daar een aparte grondslag voor is gevonden. Het 'recyclen' van data voor secundaire doelen zonder nieuwe toetsing is een veelgemaakte fout. Organisaties moeten daarom per doel vaststellen of de verwerking noodzakelijk is. Het opnemen van een verkoopgesprek 'om later nog eens terug te luisteren voor marketinginzichten' valt niet onder de uitvoering van de koopovereenkomst en vereist dus een aparte juridische basis.

Transparantie en rechten van betrokkenen

Ongeacht welke grondslag wordt gekozen, geldt altijd de absolute plicht tot transparantie. De AVG vereist dat betrokkenen proactief en in duidelijke taal worden geïnformeerd over de verwerking van hun gegevens. Heimelijk opnemen is in de zakelijke context uit den boze en kan naast een AVG-boete ook strafrechtelijke consequenties hebben. De informatieplicht houdt in dat deelnemers vóór de start van de opname moeten weten wat er gaat gebeuren. In een fysieke vergaderruimte moet de voorzitter dit mondeling aankondigen. In digitale meetings is een visuele indicator in de software, zoals een rood bolletje of een banner, vaak onvoldoende omdat deelnemers deze over het hoofd kunnen zien of de betekenis niet direct doorgronden. Een expliciete melding bij aanvang of in de uitnodiging is vereist.

Daarnaast moeten organisaties wijzen op de rechten van de betrokkenen. Deelnemers hebben het recht om te weten hoe lang de opname wordt bewaard en wie er toegang toe heeft. Ook hebben zij recht op inzage en rectificatie. Als een transcriptiefout leidt tot een verkeerde weergave van wat er is gezegd, moet dit gecorrigeerd kunnen worden.

Een cruciaal aspect is ook het 'recht om vergeten te worden'. Dit vertaalt zich in strikte bewaartermijnen. Zodra het doel van de opname is bereikt, bijvoorbeeld het uitwerken van het verslag, moet het bronbestand worden verwijderd. Het eindeloos bewaren van audiobestanden 'voor het archief' is in strijd met het beginsel van dataminimalisatie en creëert onnodige beveiligingsrisico's.

Technische beveiliging en datasoevereiniteit

AVG en het opnemen van zakelijke gesprekken abstract

De verantwoordelijkheid stopt niet bij het verkrijgen van een juridische grondslag; de technische beveiliging van de data is minstens zo belangrijk. Gespreksopnames bevatten vaak een schat aan vertrouwelijke bedrijfsinformatie en persoonsgegevens. Wanneer organisaties gebruikmaken van externe diensten voor transcriptie of analyse, schakelen zij in juridische zin een verwerker in. De AVG stelt strenge eisen aan deze samenwerking. Er moet een verwerkersovereenkomst worden gesloten waarin harde garanties worden opgenomen over de beveiliging en geheimhouding.

Een groot risico in de huidige markt is het gebruik van cloudoplossingen die data opslaan of verwerken op servers buiten de Europese Economische Ruimte, met name in de Verenigde Staten. Sinds het invalidere van het Privacy Shield door het Europese Hof van Justitie, is de doorgifte van persoonsgegevens naar de VS problematisch. Amerikaanse inlichtingendiensten kunnen onder hun lokale wetgeving toegang vorderen tot data van Europese burgers, wat haaks staat op de Europese privacybescherming.

Organisaties, zeker in gereguleerde sectoren zoals de zorg en advocatuur, moeten daarom kritisch kijken naar de datasoevereiniteit van hun leveranciers. Waar staan de servers? Wordt de data gebruikt om de AI-modellen van de leverancier te trainen? Als het antwoord op die laatste vraag 'ja' is, betekent dit vaak een datalek. Privacy by design vereist dat organisaties kiezen voor tools die standaard zijn ingesteld op maximale privacy, zoals versleuteling in rust en tijdens transport, en opslag binnen de EU.

Risicoanalyse en medezeggenschap

Voor organisaties die structureel gesprekken willen vastleggen of nieuwe technologieën zoals spraakherkenning willen implementeren, is een Data Protection Impact Assessment (DPIA) vaak een verplichte stap. Dit is een uitgebreide risicoanalyse die voorafgaand aan de ingebruikname moet worden uitgevoerd. Tijdens een DPIA worden de risico's voor de rechten en vrijheden van de betrokkenen systematisch in kaart gebracht en gewogen. Zeker bij het gebruik van AI, dat vaak wordt gezien als een 'nieuwe technologie' in de zin van de AVG, is dit geen vrijblijvende optie. De uitkomst van een DPIA dwingt organisaties vaak tot extra maatregelen, zoals striktere toegangsbeveiliging of kortere bewaartermijnen.

Daarnaast mag de rol van de ondernemingsraad niet worden onderschat. Het invoeren van een systeem waarmee prestaties of gedrag van werknemers kunnen worden gevolgd, valt onder het instemmingsrecht van de ondernemingsraad op grond van artikel 27 van de Wet op de ondernemingsraden. Een transcriptietool kan, indien verkeerd gebruikt, fungeren als een personeelvolgsysteem. Het negeren van de medezeggenschap kan leiden tot de nietigheid van het besluit om de tool in te voeren. Een zorgvuldig proces, waarbij de OR vroegtijdig wordt betrokken bij de keuze van de software en de vaststelling van het privacyreglement, is cruciaal voor het creëren van draagvlak en het waarborgen van compliance binnen de organisatie.

Conclusie

Het opnemen en digitaal verwerken van zakelijke gesprekken biedt ongekende mogelijkheden voor efficiëntie en accuratesse, maar vraagt om een volwassen en doordachte aanpak. Het is geen kwestie van simpelweg een tool installeren, maar van het formuleren van helder beleid, het zorgvuldig toetsen van grondslagen en het transparant communiceren met alle betrokkenen. De balans tussen technologische vooruitgang en de bescherming van fundamentele rechten moet continu worden bewaakt.

Organisaties die hierin investeren, voorkomen niet alleen boetes en reputatieschade, maar bouwen ook aan een cultuur van vertrouwen. Door bewust te kiezen voor technologie die is ontwikkeld met Europese waarden en regelgeving als uitgangspunt, kunnen bedrijven innoveren zonder hun integriteit op het spel te zetten.

Met oplossingen zoals RecapAI, die specifiek gebruikmaken van lokale modellen en strikte dataverwerking binnen Europa, wordt het voor organisaties haalbaar om te voldoen aan deze complexe juridische eisen terwijl de dagelijkse verslaglegging aanzienlijk wordt vereenvoudigd.

Benieuwd of RecapAI voor jouw organisatie werkt?

Uitproberen is de snelste manier om erachter te komen. Gratis, vrijblijvend en zonder account.

Bronnen

  • Grondslagen AVGUitleg van de Autoriteit Persoonsgegevens over de zes wettelijke grondslagen voor het verwerken van persoonsgegevens.
  • Algemene Verordening GegevensbeschermingDe volledige wettekst van de AVG inclusief overweging 43 over toestemming en machtsverhoudingen.
  • Rijksoverheid PrivacyInformatie van de Rijksoverheid over regels voor bedrijven en organisaties omtrent het beschermen van persoonsgegevens.

Gerelateerde artikelen

Terug naar alle artikelen