AVG en transcriptie: wat moet u weten als organisatie?

Steeds meer organisaties zetten AI-transcriptie in voor vergaderingen. Het bespaart tijd, levert betere notulen op en voorkomt discussies over wat er is gezegd. Maar het transcriberen van vergaderingen raakt direct aan de Algemene Verordening Gegevensbescherming (AVG). Audio-opnames bevatten persoonsgegevens, en de manier waarop u die verwerkt heeft juridische consequenties.

Dit artikel behandelt de acht belangrijkste AVG-aspecten bij vergadertranscriptie. Van de keuze voor een rechtsgrond tot bewaartermijnen en de rechten van deelnemers. Bedoeld voor privacy officers, juristen, controllers en iedereen die verantwoord met vergaderdata wil omgaan.

1. Persoonsgegevens in audio: meer dan u denkt

Een audio-opname van een vergadering bevat meerdere categorieen persoonsgegevens. Ten eerste is de stem zelf een biometrisch gegeven — uniek identificeerbaar en daarmee een bijzonder persoonsgegeven onder de AVG. Ten tweede worden in vergaderingen namen genoemd, van deelnemers en van derden. Ten derde bevatten vergaderingen meningen, standpunten en soms gevoelige zakelijke informatie die herleidbaar is tot individuen.

Dit betekent dat het opnemen en transcriberen van een vergadering altijd een verwerking van persoonsgegevens is in de zin van Art. 4 AVG. U kunt dit niet omzeilen door te stellen dat het "alleen om notulen gaat". De verwerking begint bij de opname, niet bij het resultaat.

2. Rechtsgrond kiezen: gerechtvaardigd belang of toestemming?

Elke verwerking van persoonsgegevens vereist een rechtsgrond (Art. 6 AVG). Bij vergadertranscriptie komen twee opties in beeld: toestemming (Art. 6.1.a) en gerechtvaardigd belang (Art. 6.1.f).

Waarom toestemming problematisch is

Toestemming lijkt de voor de hand liggende keuze, maar kent fundamentele problemen bij vergaderingen. Toestemming moet vrij zijn — maar als een medewerker in een vergadering met zijn leidinggevende zit, is de vraag of weigering echt zonder gevolgen is. Bovendien kan toestemming op elk moment worden ingetrokken. Als een deelnemer halverwege de vergadering zijn toestemming intrekt, moet u de volledige opname verwijderen — inclusief de bijdragen van alle andere deelnemers. In de praktijk is dit onwerkbaar.

Gerechtvaardigd belang als betere basis

Art. 6.1.f AVG biedt een werkbare rechtsgrond: gerechtvaardigd belang. De organisatie heeft een legitiem belang bij accurate verslaglegging van vergaderingen. De verwerking is noodzakelijk om dat belang te bereiken — handmatige notulen zijn aantoonbaar minder accuraat. En de belangen van de betrokkenen worden niet onevenredig geschaad, mits u passende waarborgen treft: deelnemers vooraf informeren, data minimaliseren, en verwerking beveiligen.

Let op: u moet de belangenafweging documenteren. Dit is geen formaliteit — het is een verplichting onder Art. 6.1.f. Leg vast waarom het belang van de organisatie prevaleert en welke maatregelen u treft om de privacy van betrokkenen te beschermen.

3. Verwerkersovereenkomst: wanneer en wat erin moet

Wanneer u een externe transcriptiedienst inschakelt, treedt die dienst op als verwerker in de zin van Art. 28 AVG. U bent en blijft verwerkingsverantwoordelijke. Dat betekent dat u een verwerkersovereenkomst (Data Processing Agreement) moet sluiten voordat u audio deelt.

Een verwerkersovereenkomst moet minimaal het volgende bevatten:

• Onderwerp en duur — welke gegevens worden verwerkt, hoe lang, en met welk doel
• Aard van de verwerking — spraakherkenning, AI-samenvatting, opslag
• Categorieen betrokkenen — vergaderdeelnemers, eventueel derden die worden genoemd
• Beveiligingsmaatregelen — encryptie, toegangscontrole, logging
• Sub-verwerkers — welke derde partijen worden ingeschakeld en waar zij data verwerken
• Locatie van verwerking — in welk land en bij welke hosting provider
• Verwijdering na afloop — wat gebeurt er met data na beeindiging van de overeenkomst
• Auditrecht — uw recht om naleving te controleren

Controleer of uw transcriptiedienst een verwerkersovereenkomst aanbiedt. Bij Transcribeer.nl is onze verwerkersovereenkomst publiek beschikbaar en specifiek geschreven voor audio-transcriptie.

4. Doorgifte buiten de EU: Schrems II en de CLOUD Act

Dit is het punt waar veel organisaties onbedoeld in overtreding zijn. Wanneer u een transcriptiedienst gebruikt die audio verwerkt in de Verenigde Staten — of die onder een Amerikaans moederbedrijf valt — is er sprake van doorgifte van persoonsgegevens naar een derde land (Art. 44-49 AVG).

Schrems II

Het Europese Hof van Justitie oordeelde in het Schrems II-arrest (2020) dat het EU-VS Privacy Shield ongeldig was. Hoewel er inmiddels een EU-US Data Privacy Framework bestaat, blijft de juridische status fragiel. De kern van het probleem is niet opgelost: Amerikaanse inlichtingendiensten hebben vergaande bevoegdheden die niet verenigbaar zijn met Europese grondrechten.

De CLOUD Act

De Amerikaanse CLOUD Act geeft autoriteiten het recht om data op te vragen bij Amerikaanse bedrijven, ongeacht waar die data fysiek is opgeslagen. Standaard contractuele clausules (SCC's) bieden hier geen bescherming tegen — een Amerikaans bedrijf is wettelijk verplicht aan een CLOUD Act-verzoek te voldoen, ook als de SCC's iets anders zeggen.

Voor audio-opnames van vergaderingen is dit extra problematisch. Audio is rijker dan tekst: het bevat emotie, toon, achtergrondgeluiden en soms onbedoelde uitspraken. Dit is niet het type data dat u onder Amerikaanse jurisdictie wilt plaatsen. Wilt u begrijpen hoe verschillende diensten hiermee omgaan? Bekijk onze vergelijkingspagina's waarin we EU-verwerking tegenover VS-verwerking plaatsen.

5. DPIA: wanneer is een gegevensbeschermingseffectbeoordeling verplicht?

Art. 35 AVG vereist een Data Protection Impact Assessment (DPIA) wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. Bij vergadertranscriptie met AI komen meerdere risicofactoren samen:

• Nieuwe technologie — AI-gebaseerde spraakherkenning en samenvatting
• Grootschalige verwerking — structureel alle vergaderingen transcriberen, niet incidenteel
• Systematische monitoring — het vastleggen van wat medewerkers zeggen in vergaderingen kan als monitoring worden beschouwd
• Bijzondere persoonsgegevens — stembiometrie valt onder Art. 9 AVG als het wordt gebruikt voor identificatie

De Autoriteit Persoonsgegevens hanteert de vuistregel dat een DPIA verplicht is wanneer twee of meer van bovenstaande criteria van toepassing zijn. Bij organisatiebrede inzet van AI-transcriptie is een DPIA vrijwel altijd verplicht. Voer deze uit voordat u begint met transcriberen, niet achteraf.

6. Bewaartermijnen: hoe lang mag u opnames en transcripten bewaren?

Het opslagbeperkingsbeginsel (Art. 5.1.e AVG) schrijft voor dat persoonsgegevens niet langer worden bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Voor vergadertranscriptie betekent dit concreet:

• Audio-opnames: Zodra de transcriptie en samenvatting zijn goedgekeurd, is er geen reden meer om de audio te bewaren. Een termijn van 30 dagen na transcriptie is een werkbare standaard — lang genoeg om fouten te corrigeren, kort genoeg om opslagminimalisatie te waarborgen.
• Transcripten: De bewaartermijn hangt af van het doel. Vergadernotulen kunnen langer worden bewaard als ze dienen als zakelijke documentatie. Maar ook hier geldt: bepaal een termijn en handhaaf die.
• Sectorspecifieke verplichtingen: Let op aanvullende regelgeving. Onder MiFID II geldt voor financiele instellingen een bewaarplicht van 5 tot 7 jaar voor vastgelegde zakelijke communicatie. De AVG-bewaartermijn wordt dan bepaald door de langste toepasselijke wettelijke verplichting.

Bij Transcribeer.nl worden audio-opnames automatisch verwijderd binnen 30 dagen na goedkeuring van het transcript. Dit is geen optie die u zelf moet instellen — het is de standaard.

7. Rechten van betrokkenen: inzage, rectificatie en verwijdering

Vergaderdeelnemers zijn betrokkenen in de zin van de AVG. Zij hebben rechten die u moet faciliteren:

• Recht op informatie (Art. 13/14): Informeer deelnemers vooraf dat de vergadering wordt opgenomen, wie de verwerkingsverantwoordelijke is, wat het doel is, en hoe lang data wordt bewaard. Dit kan via een standaard openingszin aan het begin van de vergadering, aangevuld met een verwijzing naar uw privacyverklaring.
• Recht op inzage (Art. 15): Een deelnemer kan vragen welke data u over hem of haar heeft verwerkt. Zorg dat u transcripten kunt doorzoeken op naam en de relevante passages kunt verstrekken.
• Recht op rectificatie (Art. 16): Als een transcript onjuistheden bevat — een verkeerd geattribueerde uitspraak, een foutieve naam — moet u dit kunnen corrigeren.
• Recht op verwijdering (Art. 17): In bepaalde gevallen kan een deelnemer verwijdering vragen. Let op: dit recht is niet absoluut. Als u een gerechtvaardigd belang hebt dat zwaarder weegt, of als bewaring wettelijk verplicht is, kunt u het verzoek weigeren — maar u moet dit motiveren.
• Recht op beperking (Art. 18): Een deelnemer kan vragen dat u de verwerking tijdelijk staakt, bijvoorbeeld terwijl een geschil over juistheid wordt beoordeeld.

Het is raadzaam om vooraf een procedure vast te leggen voor het afhandelen van deze verzoeken. Wie is het aanspreekpunt? Wat is de responstermijn? (Wettelijk maximaal een maand.) Hoe identificeert u de verzoeker?

8. Checklist: transcriptie AVG-proof inrichten

Voordat u AI-transcriptie organisatiebreed uitrolt, doorloop deze checklist:

1. Rechtsgrond vastgesteld — Kies gerechtvaardigd belang (Art. 6.1.f) en documenteer de belangenafweging
2. Informatieplicht geregeld — Deelnemers worden vooraf geinformeerd over opname, doel en bewaartermijn
3. Verwerkersovereenkomst gesloten — Met elke partij die audio of transcripten verwerkt
4. Verwerking binnen de EU — Geen doorgifte naar de VS of andere derde landen zonder adequaat beschermingsniveau
5. DPIA uitgevoerd — Bij structurele inzet van AI-transcriptie, vooraf en gedocumenteerd
6. Bewaartermijnen vastgelegd — Audio automatisch verwijderen na goedkeuring, transcripten niet onbeperkt bewaren
7. Procedure voor betrokkenenrechten — Aanspreekpunt, proces en responstermijn vastgelegd
8. Register van verwerkingsactiviteiten bijgewerkt — Vergadertranscriptie opgenomen in uw Art. 30-register

Hoe Transcribeer.nl hier invulling aan geeft

Bij het ontwerp van Transcribeer.nl is de AVG niet achteraf als checkbox behandeld, maar als uitgangspunt voor elke technische en organisatorische beslissing.

• Verwerking uitsluitend binnen de EU — Alle spraakherkenning en AI-samenvatting draait op onze eigen server in een Duits datacenter (Hetzner, Falkenstein). Geen externe AI-providers, geen data naar OpenAI, Google of andere Amerikaanse partijen.
• Self-hosted AI — We gebruiken Whisper voor transcriptie en Ollama voor samenvattingen, beide op onze eigen infrastructure. Uw audio verlaat nooit de EU.
• Automatische verwijdering — Audio wordt standaard verwijderd binnen 30 dagen na goedkeuring van het transcript. Gebruikers kunnen eerder verwijderen.
• Verwerkersovereenkomst beschikbaar — Onze verwerkersovereenkomst is publiek toegankelijk en specifiek opgesteld voor audio-transcriptie.
• Geen Amerikaans moederbedrijf — Transcribeer.nl is een dienst van Chef Data B.V., gevestigd in Nederland. Geen CLOUD Act-risico.
• Volledige verwijdering — Gebruikers kunnen op elk moment hun account en alle bijbehorende data definitief verwijderen.
• Transparante architectuur — Onze volledige privacy-pagina beschrijft precies welke data waar wordt verwerkt, door welke componenten, en hoe lang.

Conclusie

AI-transcriptie van vergaderingen biedt aanzienlijke voordelen, maar de AVG stelt duidelijke voorwaarden aan hoe u dit inricht. De kern is niet ingewikkeld: weet wat u verwerkt, kies de juiste rechtsgrond, sluit een verwerkersovereenkomst, houd data binnen de EU, en respecteer de rechten van betrokkenen.

Het verschil tussen compliant en non-compliant zit vaak in de keuze van uw dienstverlener. Een tool die audio naar de VS stuurt plaatst u in een juridisch grijs gebied. Een tool die alles binnen de EU verwerkt, op eigen servers, zonder externe AI-providers, geeft u een helder en verdedigbaar verhaal richting uw privacy officer, uw klanten en uw toezichthouder.

Relevant voor uw situatie?

• Financial controllers — AVG-compliant transcriberen van financiele vergaderingen
• Juristen en advocaten — beroepsgeheim beschermd bij vergadertranscriptie
• Waarom privacy belangrijk is bij vergadertranscriptie — achtergrondartikel over dataverwerking en locatie

Wilt u zelf ervaren hoe AVG-conforme transcriptie werkt? Probeer Transcribeer.nl gratis — eerste 2 uur transcriptie zonder kosten.