Compliance bij RecapAI
RecapAI verwerkt gesprekken voor zorg, juridisch, overheid, onderwijs en MKB. Op deze pagina staat hoe de dienst is ingericht op AVG, NEN-7510, EU-hosting en centrale bewaartermijnen, zodat compliance-officers en functionarissen gegevensbescherming op één plek de basis kunnen verifiëren.
In het kort
- Verwerking gebeurt uitsluitend op servers binnen de Europese Unie; klantdata wordt niet gebruikt voor modeltraining.
- Een verwerkersovereenkomst is standaard onderdeel van zakelijke contracten, met expliciete benoeming van subverwerkers.
- Toegang tot opnames is per gebruiker privé; de organisatiebeheerder stelt centrale bewaartermijnen in via het klantportaal.
AVG / GDPR
RecapAI verwerkt persoonsgegevens en, in zorg- en juridische context, ook bijzondere persoonsgegevens. De verwerking is ingericht conform de Algemene verordening gegevensbescherming (AVG / GDPR), met aandacht voor grondslag, dataminimalisatie en de rechten van betrokkenen.
- Verwerking op basis van uitvoering van een overeenkomst (artikel 6 lid 1 sub b) of gerechtvaardigd belang (sub f). Voor zorggegevens geldt de uitzondering van artikel 9 lid 2 sub h, voor juridische dossiers artikel 9 lid 2 sub f.
- Klantdata wordt niet gebruikt voor modeltraining. Transcripties, samenvattingen en metadata blijven eigendom van de afnemende organisatie.
- Betrokkenen kunnen via de afnemer hun AVG-rechten uitoefenen: inzage, correctie, verwijdering, bezwaar en dataportabiliteit. RecapAI ondersteunt verwijderverzoeken technisch via API of vanuit de applicatie.
- Datalekken worden binnen 72 uur gemeld aan de afnemer, met informatie die de afnemer in staat stelt zelf aan de meldplicht richting Autoriteit Persoonsgegevens te voldoen.
NEN-7510 voor de zorg
NEN-7510 is de Nederlandse norm voor informatiebeveiliging in de zorg, gebaseerd op ISO 27001 en aangevuld met sector-specifieke maatregelen. RecapAI is op die context afgestemd; de zorginstelling blijft eindverantwoordelijk voor de organisatorische maatregelen.
- Encryptie in rust (AES-256) en in transit (TLS 1.2 of hoger) voor alle audio, transcripties en metadata.
- Toegangscontroles en versleuteling; opnames zijn privé per gebruiker. Organisatiebeheerder stelt centrale bewaartermijnen in via het klantportaal.
- Incident response volgens een gedocumenteerde procedure; jaarlijkse evaluatie van leveranciersmaatregelen op verzoek beschikbaar.
EU-hosting en dataverwerking
Alle verwerking en opslag vindt plaats op infrastructuur binnen de Europese Unie. Dat sluit doorgifte buiten de EER uit en voorkomt blootstelling aan de Amerikaanse CLOUD Act, een veelgestelde eis bij audits in zorg, juridisch en overheid.
- Spraakherkenning, AI-samenvatting en opslag draaien op Europese cloud-infrastructuur; subverwerkers zijn benoemd in de verwerkersovereenkomst.
- Geen routering via Amerikaanse of niet-EER datacenters; modeltraining gebeurt niet op klantdata.
- Retentie is centraal configureerbaar via het klantportaal: de organisatiebeheerder kiest één bewaartermijn voor alle opnames. Langere bewaring volgens WGBO, Advocatenwet of Archiefwet regelt u door verslagen te exporteren naar uw eigen archief- of dossiersysteem.
- Op verzoek beschikbaar: overzicht van datacenter-locaties, certificeringen van de hosting-partner en informatie over backup-strategie.
Toegang en bewaartermijn
Opnames en transcripties zijn privé per gebruiker. De organisatiebeheerder beheert centrale instellingen via het klantportaal, waaronder optionele automatische verwijdering op basis van leeftijd.
- Opnames zijn uitsluitend toegankelijk via het account van de maker, ook wanneer cloudsynchronisatie is ingeschakeld.
- Automatisch verwijderen is optioneel en organisatiebreed: de beheerder kiest één instelbare bewaartermijn; opnames ouder dan die termijn worden definitief verwijderd voor alle gebruikers.
- Zonder automatisch verwijderen bepaalt elke gebruiker zelf wanneer opnames worden gewist; handmatige verwijdering is altijd mogelijk.
- Voor langere bewaring volgens sectorale wetgeving exporteert u verslagen naar uw eigen dossier- of archiefsysteem; RecapAI is geen archiefoplossing.
Veelgestelde vragen over compliance
Vraag een verwerkersovereenkomst aan
Compliance-officers, functionarissen gegevensbescherming en inkopers kunnen de verwerkersovereenkomst en aanvullende beveiligingsdocumentatie opvragen via het contactformulier.