De 3 categorieën gegevens die beschermd moeten worden
1. Biometrische spraakgegevens
De menselijke stem wordt door de RGPD als een biometrische gegevens beschouwd (Artikel 9). De verwerking ervan vereist expliciete toestemming, apart van de algemene toestemming voor het gesprek, en mag alleen voor specifieke doeleinden plaatsvinden.
2. Conversatie-inhoud (PII)
Alles wat tijdens het gesprek wordt gezegd, is persoonlijke inhoud: identiteit, adres, IBAN, gezondheid, financiële situatie. De transcriptie moet versleuteld zijn, de toegang beperkt, en de bewaartermijn minimaal.
3. Metadata
Tijdstempel, duur, herkomst, gedrag (aarzeling, pauzes), patronen. Deze gegevens zijn ook gereguleerd, hoewel ze vaak worden vergeten.
RGPD-checklist: wat uw leverancier moet afvinken
Toestemming
- ☐ Expliciete spraaktoestemming aan het begin van het gesprek, met een gestandaardiseerde zin
- ☐ Registratie van de toestemming gescheiden van de rest van het gesprek
- ☐ Direct recht op intrekking tijdens het gesprek op eenvoudig verzoek
- ☐ Informatie over de IA-natuur van de gesprekspartner (algoritmische transparantie, cf. Europese AI-wet)
Hosting en locatie
- ☐ Servers uitsluitend in de Europese Unie
- ☐ Geen uitbesteding buiten de EU zonder standaard contractuele clausules (CCT)
- ☐ Fysiek adres van de datacenters gedocumenteerd in het contract
- ☐ Anti-CLOUD Act clausules als de leverancier een moederbedrijf in de VS heeft
Versleuteling
- ☐ Versleuteling tijdens transport: minimaal TLS 1.3
- ☐ Versleuteling in rust: AES-256
- ☐ Versleuteling van back-ups
- ☐ Rotatie van sleutels: gedocumenteerde procedure
Bewaartijd en verwijdering
- ☐ Gedefinieerde bewaartijd volgens het doel (meestal 3 tot 24 maanden)
- ☐ Automatische verwijdering aan het einde van de termijn
- ☐ Recht op vergetelheid toegankelijk in self-service of op verzoek binnen 72 uur
- ☐ Gegevensportabiliteit in machine-leesbaar formaat
Governance
- ☐ Aangewezen DPO bij de leverancier, direct bereikbaar
- ☐ Register van verwerkingen actueel en controleerbaar
- ☐ Impactanalyse (AIPD) uitgevoerd en gedeeld
- ☐ Procedure voor melding van inbreuken binnen 72 uur
De Europese AI-wet: wat verandert er in 2025-2026
De Europese verordening inzake IA (AI Act), die in 2024 van kracht werd, voegt specifieke verplichtingen toe voor spraakagenten IA:
- Verplichte transparantie: de gesprekspartner moet geïnformeerd worden dat hij met een IA spreekt
- Technische documentatie: systemen met "hoog risico" (gezondheid, financiën, HR) moeten gedetailleerde documentatie verstrekken
- Mensenlijke toezicht: automatische beslissingen die de rechten beïnvloeden moeten menselijke tussenkomst mogelijk maken
- Robuustheidstests: systemen moeten getest worden op vooroordelen en fouten
Het niet naleven van de AI Act kan leiden tot boetes tot 35 miljoen euro of 7% van de wereldwijde omzet, meer dan de RGPD.
Bijzondere gevallen per sector
Gezondheid
Spraakagenten IA die gezondheidsgegevens verwerken vallen onder Artikel 9 RGPD en moeten worden gehost op HDS-gecertificeerde infrastructuren (Hébergement de Données de Santé) in Frankrijk.
Financiën en bank
Bankgesprekken vereisen een volledige logging voor regelgevende traceerbaarheid (MIF II, DSP2). De IA moet een volledige export op verzoek van de toezichthoudende autoriteit mogelijk maken.
Incasso
Incasso is bijzonder gevoelig omdat het financiële gegevens van mensen in moeilijkheden verwerkt. De spraaktoestemming moet worden aangevuld met een schriftelijke kennisgeving (e-mail of brief). Bekijk onze incasso-aanpak.
Hoe Vocalis AI de compliance waarborgt
Vocalis AI is vanaf het begin ontworpen om RGPD- en AI Act-compliant te zijn:
- Exclusieve hosting in Europa (Frankrijk, Duitsland, Nederland)
- AES-256 versleuteling in rust, TLS 1.3 tijdens transport
- Geregistreerde en tijdgestempelde spraaktoestemming
- Toegewijde DPO, 24/7 bereikbaar voor verzoeken om rechten uit te oefenen
- Standaard AIPD beschikbaar op verzoek
- Standaard CNIL-verklaring beschikbaar
- Jaarlijkse audit door een extern bureau
Heeft u een RGPD-conforme spraakagent IA nodig voor uw bedrijf? Boek een gratis audit en wij overhandigen u onze compliance-documentatie tijdens de afspraak.