Terug

Verwerkersovereenkomst voor transcriptiesoftware: eisen en valkuilen

Essentiële onderdelen voor het veilig inkopen van spraaktechnologie en ai

Privacy & VeiligheidLeestijd 6 min
Article header image: Verwerkersovereenkomst voor transcriptiesoftware: eisen en valkuilen

De inzet van automatische transcriptie biedt organisaties enorme efficiëntievoordelen. Het direct omzetten van spraak naar tekst bespaart tijd en verhoogt de productiviteit aanzienlijk. Toch worstelen inkoopteams, juristen en privacy officers vaak met de juridische inkadering van deze tools. Wanneer vertrouwelijke bedrijfsgesprekken worden verwerkt, volstaat het simpelweg accepteren van algemene voorwaarden niet. De aard van spraakdata brengt specifieke risico's met zich mee die in standaardovereenkomsten vaak onderbelicht blijven.

Een gedegen verwerkersovereenkomst is daarom geen formaliteit maar een noodzakelijk instrument voor risicobeheersing. In dit artikel analyseren we de verplichte onderdelen van zo'n overeenkomst volgens de AVG en bieden we handvatten om compliant te blijven bij de selectie van leveranciers.

Noodzaak van een specifieke overeenkomst

Wanneer een organisatie besluit om audio opnames van vergaderingen, interviews of consulten te laten uitschrijven door een externe partij, ontstaat er direct een juridische relatie die onder de Algemene Verordening Gegevensbescherming valt. U bent als organisatie in deze constructie de verwerkingsverantwoordelijke. De leverancier van de software fungeert als de verwerker. Deze rolverdeling blijft ongewijzigd of het nu gaat om een menselijke transcribent of een volledig geautomatiseerde AI dienst. Artikel 28 van de AVG schrijft dwingend voor dat deze relatie wordt vastgelegd in een verwerkersovereenkomst. Dit document is geen vrijblijvende optie maar een harde wettelijke eis om de vertrouwelijkheid en integriteit van persoonsgegevens te borgen.

Veel standaard SaaS contracten bevatten weliswaar een paragraaf over dataverwerking, maar deze is zelden specifiek genoeg voor de complexiteit van spraakdata. Spraak wordt juridisch gezien vaak beschouwd als een biometrisch gegeven waardoor de beschermingsgraad hoger ligt. Daarnaast kan de inhoud van gesprekken onbedoeld bijzondere persoonsgegevens bevatten. Denk hierbij aan gezondheidsinformatie, strafrechtelijke gegevens of politieke opvattingen die tijdens een vergadering ter sprake komen. Een generieke overeenkomst dekt deze specifieke risico's vaak onvoldoende af. Het is daarom essentieel om niet blind te tekenen bij het kruisje maar kritisch te kijken naar de specifieke clausules die gaan over de aard van de data. De verwerkersovereenkomst vormt het fundament van uw juridische verdediging bij een datalek of klacht. Zonder een sluitende overeenkomst bent u als organisatie direct in overtreding en riskeert u aanzienlijke boetes van de toezichthouder.

Subverwerkers en de ketenverantwoordelijkheid

Een van de meest kritieke en vaak over het hoofd geziene onderdelen bij AI diensten is het beheer van subverwerkers. In de wereld van moderne softwareontwikkeling bouwen veel partijen hun dienst bovenop de technologie van andere giganten. Wanneer u een transcriptiedienst gebruikt die in de kern slechts een doorgeefluik is naar de API van een grote Amerikaanse techspeler, dan is die techspeler een subverwerker van uw data. In de verwerkersovereenkomst moet expliciet worden opgenomen welke subverwerkers worden ingeschakeld en waar deze partijen zich bevinden.

U moet als verwerkingsverantwoordelijke vooraf algemene of specifieke toestemming geven voor het inschakelen van nieuwe subverwerkers. Daarbij hoort ook de mogelijkheid om bezwaar te maken tegen wijzigingen in deze keten. Dit is complexer dan het op het eerste gezicht lijkt. Als een leverancier gebruikmaakt van een lange keten van subverwerkers die allemaal data naar elkaar doorsturen, verliest u al snel het zicht op de locatie en beveiliging van uw gegevens.

Voor sectoren met een beroepsgeheim of strenge compliance eisen is dit een onacceptabel risico. Het is daarom raadzaam om te zoeken naar leveranciers die de keten zo kort mogelijk houden of gebruikmaken van eigen modellen die op lokale servers draaien. In de overeenkomst moet duidelijk staan dat de leverancier volledig aansprakelijk blijft voor het handelen van deze subverwerkers. Een clausule die de aansprakelijkheid voor subverwerkers uitsluit of beperkt moet direct leiden tot een heroverweging van de samenwerking.

Data opslag en soevereiniteit

Verwerkersovereenkomst voor transcriptiesoftware: eisen en valkuilen abstract

De fysieke locatie van de servers en de wetgeving die daarop van toepassing is, zijn onlosmakelijk verbonden met de veiligheid van uw data. Sinds het Schrems II arrest van het Europese Hof van Justitie ligt de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte onder een vergrootglas. Hoewel er nieuwe afspraken worden gemaakt, blijft het voor Europese organisaties de veiligste route om data exclusief binnen de EER te houden. In de verwerkersovereenkomst moet u laten vastleggen in welke landen de data wordt verwerkt en opgeslagen.

Let op het cruciale verschil tussen opslag en verwerking. Een leverancier kan beweren dat de database in Amsterdam staat, maar als de rekenkracht voor de transcriptie wordt ingehuurd bij een serverpark in Virginia, gaat de data alsnog de oceaan over. Dit moet expliciet worden uitgesloten of worden afgedekt met zware juridische waarborgen.

Daarnaast is het van belang om vast te leggen wat er gebeurt met de data na afloop van de dienstverlening. Worden de gegevens direct verwijderd of blijven ze in backups hangen? Voor transcriptie is het gebruikelijk dat data na een bepaalde periode automatisch wordt gewist tenzij de gebruiker anders beslist. De zogenaamde retentieperiodes moeten helder gedefinieerd zijn in het contract. U wilt voorkomen dat gevoelige vergaderingen jarenlang op een server blijven staan waar u geen zicht meer op heeft. Een goede verwerkersovereenkomst bevat daarom harde deadlines voor datavernietiging na beëindiging van het contract of na verloop van de bewaartermijn.

Verbod op trainen met klantdata

Een specifiek aandachtspunt bij AI en transcriptie is het gebruik van data voor trainingsdoeleinden. Veel gratis of goedkope tools gebruiken de ingevoerde data om hun algoritmes te verbeteren en slimmer te maken. Voor een consumentenapp is dat wellicht acceptabel, maar in een zakelijke context is dit volstrekt onmogelijk. Stelt u zich voor dat vertrouwelijke fusiegesprekken of patiëntgegevens worden gebruikt om een taalmodel te trainen. Hierdoor kunnen flarden van die informatie theoretisch in de output bij andere gebruikers opduiken of gereconstrueerd worden.

In de verwerkersovereenkomst moet daarom een expliciet verbod staan op het gebruik van klantdata voor het trainen van algemene AI modellen. De instructies die u als verwerkingsverantwoordelijke geeft, moeten beperkt zijn tot het leveren van de dienst zelf: het omzetten van spraak naar tekst en het eventueel genereren van een samenvatting. Elk ander gebruik door de leverancier, zoals productverbetering op basis van inhoudelijke data, statistische analyse op persoonsniveau of marketingdoeleinden, moet contractueel worden uitgesloten. Dit vergt nauwkeurig lezen van de kleine lettertjes want leveranciers proberen hier vaak ruimte te creëren onder de noemer van service improvement. Eis helderheid: metadata mag wellicht gebruikt worden voor statistiek over het platformgebruik, maar de inhoudelijke audio en transcriptie moeten strikt geïsoleerd blijven voor de klant.

Checklist voor de inkoop

Om inkoopteams en juristen te ondersteunen hebben we een uitgebreide checklist samengesteld. Deze punten moeten terugkomen in de verwerkersovereenkomst of de bijlagen daarbij. Gebruik deze lijst om het contract van een potentiële leverancier grondig te toetsen.

Checklist voor de Verwerkersovereenkomst

  • Identiteit en contactgegevens: Zorg dat duidelijk is wie de verwerker is en wie de functionaris gegevensbescherming is. De eerste stap is het vaststellen van de identiteit en contactgegevens.
  • Onderwerp en duur: Specificeer dat het gaat om transcriptie en analyse van audio en hoe lang het contract loopt.
  • Aard en doel: Het doel is uitsluitend het leveren van de dienst terwijl de aard het verwerken van audiobestanden en tekst betreft.
  • Soorten persoonsgegevens: Specificeer nauwkeurig. Denk aan stemgeluid, namen, functies en eventuele bijzondere persoonsgegevens die in gesprekken voorkomen.
  • Categorieën van betrokkenen: Dit zijn doorgaans medewerkers, klanten, patiënten of burgers.
  • Rechten van de verwerkingsverantwoordelijke: U moet altijd de regie houden en instructies kunnen geven.
  • Geheimhouding: Personen die toegang hebben tot de data zoals beheerders moeten een geheimhoudingsplicht hebben.
  • Beveiligingsmaatregelen: Vraag om concrete maatregelen. Denk aan encryptie tijdens verzending en in rust en ISO certificeringen als bewijslast.
  • Afspraken over subverwerkers: Transparantie en toestemming zijn hierbij essentieel.
  • Meldplicht bij datalekken: De leverancier moet een lek binnen 24 tot 48 uur melden zodat u tijdig de Autoriteit Persoonsgegevens kunt informeren.
  • Medewerkingsplicht: De leverancier moet helpen bij het uitvoeren van risico analyses of het beantwoorden van verzoeken van betrokkenen.
  • Auditrechten: U moet de mogelijkheid hebben om de naleving van de afspraken te controleren via een externe auditor.

Kritische vragen voor de leverancier

Naast de formele checklist is het verstandig om tijdens de aanbesteding of het gesprek met de leverancier een aantal scherpe vragen te stellen die direct inzicht geven in de volwassenheid van hun compliance.

  • Vraag bijvoorbeeld of zij kunnen garanderen dat data de Europese Economische Ruimte nooit verlaat, ook niet via subverwerkers. Een leverancier die hier aarzelt heeft zijn datastromen waarschijnlijk niet volledig in kaart of maakt gebruik van Amerikaanse cloud providers zonder aanvullende waarborgen.
  • Een tweede cruciale vraag is of het audiomateriaal door mensen wordt beluisterd ter kwaliteitscontrole. Bij sommige diensten die zich als geautomatiseerd presenteren kijken er op de achtergrond toch mensen mee om de foutmarge te verkleinen. Dit staat bekend als human in the loop. Dit moet u weten want het verandert het risicoprofiel aanzienlijk.
  • Vraag ook naar de procedure voor het definitief verwijderen van data en of zij daar bewijs van kunnen leveren. Het simpelweg verwijderen van een indexverwijzing is niet hetzelfde als het daadwerkelijk overschrijven van de schijfruimte.
  • Vraag tot slot naar het beleid rondom overheidsverzoeken. Hoe reageert de leverancier als een buitenlandse opsporingsdienst data opeist? Een betrouwbare partner zal aangeven dat zij dergelijke verzoeken altijd eerst juridisch toetsen en u als klant direct informeren tenzij dit wettelijk verboden is.

Deze vragen dwingen de leverancier om kleur te bekennen en tonen aan dat u de privacy van uw stakeholders serieus neemt.

Conclusie

De implementatie van spraaktechnologie biedt enorme kansen voor efficiëntie maar mag nooit ten koste gaan van privacy en vertrouwelijkheid. Een waterdichte verwerkersovereenkomst is meer dan een bureaucratische verplichting. Het is de verzekering dat uw bedrijfsgeheimen en de privacy van uw gesprekspartners gewaarborgd blijven.

Door strikte eisen te stellen aan datasoevereiniteit, subverwerkers en trainingsdoeleinden creëert u een veilige omgeving voor innovatie. Het selecteren van partijen die specifiek voor de Europese markt zijn gebouwd helpt hierbij aanzienlijk. Platforms zoals RecapAI, die werken met lokale servers en transparante voorwaarden, maken het eenvoudiger om aan deze zware juridische eisen te voldoen zonder in te leveren op functionaliteit.

Benieuwd of RecapAI voor jouw organisatie werkt?

Uitproberen is de snelste manier om erachter te komen. Gratis, vrijblijvend en zonder account.

Bronnen

  • Autoriteit PersoonsgegevensAlgemene informatie en richtlijnen over de AVG en de eisen aan verwerkersovereenkomsten.
  • Europese UnieDe volledige wettekst van de Algemene Verordening Gegevensbescherming met specifieke aandacht voor Artikel 28.
  • RijksoverheidInformatie van de overheid over privacywetgeving en de toepassing hiervan voor ondernemers en organisaties.

Gerelateerde artikelen

Terug naar alle artikelen