Het inzetten van een spraakagent AI in contact met Europese klanten brengt specifieke juridische verantwoordelijkheden met zich mee die veel bedrijven onderschatten. Tussen de RGPD (van toepassing sinds 2018), de Europese AI Act (van toepassing sinds augustus 2025), en de sectorale regelgeving (HDS voor de medische sector, DSP2 voor de financiën), is het normatieve kader dicht. Maar goed begrepen, wordt het een concurrentievoordeel: conforme bedrijven winnen het vertrouwen van hun klanten.
De stem: een biometrische gegevens onder de RGPD
De menselijke stem bevat biometrische informatie: timbre, fundamentele frequentie, ademhalingsritme — allemaal kenmerken die het mogelijk maken om een persoon te identificeren. In dit opzicht valt de opname en verwerking van menselijke stemmen onder gevoelige gegevens in de zin van artikel 9 van de RGPD, met versterkte beschermingsvereisten.
Dit betekent dat u niet zomaar al uw gesprekken kunt opnemen "om de kwaliteit van de service te verbeteren" zonder een expliciete juridische basis. De geldige juridische bases voor deze verwerking zijn: expliciete en voorafgaande toestemming (geen stilzwijgende toestemming door voortzetting van het gesprek), uitvoering van een contract (als de opname noodzakelijk is voor de dienstverlening), of legitiem belang (op voorwaarde dat de belangenafwegingstest wordt doorstaan).
De praktische verplichtingen van conformiteit
De voorafgaande informatie
Voor elke spraakopname moet de beller geïnformeerd worden: dat het gesprek kan worden opgenomen, met welk doel, hoe lang de gegevens worden bewaard, en hoe hij zijn rechten kan uitoefenen (toegang, rectificatie, verwijdering). Deze informatie kan door de AI-agent zelf aan het begin van het gesprek worden gegeven, in de vorm van een korte en duidelijke boodschap.
De bewaartermijn
Spraakopnames mogen niet onbeperkt worden bewaard. De bewaartermijn moet in verhouding staan tot het doel: 3 maanden voor de opleiding van agents, 12 maanden voor de oplossing van geschillen, maximaal 5 jaar voor gereguleerde sectoren (bank, verzekering) met gedocumenteerde rechtvaardiging. Na deze termijnen moeten de gegevens worden verwijderd of geanonimiseerd.
De hosting: Europese verplichting
De spraakgegevens van Europese burgers moeten worden gehost in de EU of in een land dat wordt erkend als een land dat een adequate bescherming biedt. Dit sluit in de praktijk oplossingen uit die opnames opslaan op Amerikaanse servers zonder voldoende contractuele garanties (standaardcontractbepalingen + aanvullende mechanismen volgens de jurisprudentie Schrems II).
Vocalis host al zijn gegevens in Frankrijk en Duitsland (AWS Parijs, OVHcloud Straatsburg), met ISO 27001-certificering en gedocumenteerde RGPD-conformiteit in de DPA's (Data Processing Agreements) die aan elke klant worden verstrekt.
De AI Act: de nieuwe verplichtingen sinds augustus 2025
De Europese verordening inzake kunstmatige intelligentie (AI Act) heeft specifieke verplichtingen geïntroduceerd voor AI-systemen die in contact staan met natuurlijke personen:
- Transparantieverplichting: Iedereen die interactie heeft met een AI-systeem moet daar duidelijk aan het begin van de interactie over worden geïnformeerd. "Dit is een geautomatiseerd bericht" is niet meer voldoende — de AI moet expliciet worden vermeld.
- Mensenlijk opt-out recht: Voor klantservice-interacties moet de gebruiker de mogelijkheid hebben om te vragen om in contact te worden gebracht met een mens.
- Technische documentatie: De implementators van AI-systemen met een beperkt risico (waaronder spraakagents voor klantservice) moeten technische documentatie bijhouden die toegankelijk is voor de autoriteiten.
- Beheer van vooroordelen: Systemen moeten worden geëvalueerd op potentiële vooroordelen, met name voor systemen die beslissingen beïnvloeden (toekenning van krediet, acceptatie van claims, fraudescoring).
De sectoren met specifieke beperkingen
De gezondheidszorg (HDS) vereist dat alle gezondheidsgegevens die worden verzameld of verwerkt via een spraakagent worden gehost door een HDS-gecertificeerde host. De spraakgegevens van een patiënt die belt voor een medische afspraak bevatten niet noodzakelijk gezondheidsgegevens — maar zodra het gesprek over een aandoening, behandeling of voorschrift gaat, is het HDS-kader van toepassing.
De bank- en verzekeringssector moet voldoen aan de eisen voor prudentiële archivering (ACPR): bewaring van contractuele bewijzen (opname van toestemming) gedurende de looptijd van het contract + 5 jaar. De systemen voor spraakidentiteitsverificatie moeten gedocumenteerd en controleerbaar zijn.
"RGPD-conformiteit is geen belemmering voor de uitrol van spraak-AI — het is een kader dat dwingt om robuustere en betrouwbaardere systemen te bouwen." — DPO, Franse financiële dienstengroep
Checklist voor RGPD-conformiteit voor uw spraak-AI-implementatie
- Register van verwerkingsactiviteiten bijgewerkt met spraakverwerking
- DPA ondertekend met uw spraak-AI-leverancier
- Documentatie van gegevenshosting in de EU
- Voorafgaande informatie geregistreerd aan het begin van het gesprek
- Bewaartermijnen gedefinieerd en technisch geïmplementeerd
- Procedure voor het uitoefenen van rechten (toegang, verwijdering, overdraagbaarheid)
- Documentatie AI Act indien van toepassing op uw sector
- Training van teams over de rechten van gebruikers