Aan de slag met voice? Betrek juristen & houd je aan de (privacy)wet

Voice groeit in rap tempo uit tot een volwassen communicatiekanaal. Maar zoals bij iedere nieuwe technologie zijn de regels nog niet allemaal even duidelijk. Zeker op gebied van privacy zijn er nog veel vragen. Wie moet je betrekken bij een voice-traject om privacy goed te kunnen waarborgen? En welke wetgeving geldt er precies? In dit artikel deel ik een aantal aanbevelingen om op een privacyvriendelijke manier met klanten te communiceren via voice.

Verdiep jezelf in voice & beslis welke gegevens je verzamelt

Om een voice-traject juridisch bestendig te maken is het belangrijk om de volgende vragen te kunnen beantwoorden:

• Wat is voice precies?
• Hoe verloopt de communicatie via het kanaal?
• Welke gegevens zijn er nodig?

Voice is de verzamelnaam voor alle spraakassistenten waarmee gebruikers met spraak kunnen communiceren. Voorbeelden van bekende spraakassistenten zijn Siri (Apple), Alexa (Amazon), Google Assistant (Google) en Bixby (Samsung).

Gebruikers kunnen via hun telefoon, slimme speaker of slimme TV praten met de assistent en met spraakopdrachten communiceren met de voice-aanbieder. Denk aan vragen als: ‘hoe laat is het?’ En ‘wat voor weer wordt het vandaag?’

Op deze generieke vragen en opdrachten hebben in principe alle spraakassistenten een antwoord. Dit is zo omdat de informatie die nodig is al in huis is bij de aanbieder. Maar de meeste voice-aanbieders stellen hun kanalen ook open voor andere organisaties. Als organisatie kun je namelijk zelf een voice-applicatie in een spraakassistent bouwen. Je bepaalt zelf de opdrachten en vragen die gebruikers kunnen stellen en de antwoorden die de assistent daarop teruggeeft. Zo kunnen gebruikers via een voice-applicatie van een bank bijvoorbeeld hun banksaldo opvragen.

Je kunt je voorstellen dat dit soort voice-interacties best wat gevoelige persoonsgegevens kunnen bevatten. Om een voice-traject goed te beginnen is het belangrijk dat je een duidelijk beeld hebt van wat voor gegevens je met je voice-applicatie gaat verwerken.

Betrek juristen zo vroeg mogelijk bij het voice-traject

Binnen een voice-interactie tussen gebruikers en spraakassistenten worden gegevens van klanten gekoppeld om ervoor te zorgen dat de spraakassistent de juiste antwoorden geeft. Dat gaat niet zonder privacyrisico’s. Hanteer daarom hiervoor een privacy by design-werkwijze. Neem privacy vanaf de start van het traject mee in denkprocessen, brainstorms en beslispunten. En zorg dat iedereen die bij het project betrokken is weet welke privacy-uitgangspunten van belang zijn. Het is namelijk belangrijk dat niet alleen de ontwikkelaars en de marketeers, maar ook de juristen vanaf het begin goed op de hoogte zijn van wat er gebeurt. Zij moeten er immers voor zorgen dat je voice-plannen passen binnen de kaders van de wet.

Breng voor een goede juridische beoordeling je juristen dus up-to-date met de juiste documenten – zoals deze handleiding waar dit artikel op is gebaseerd – zodat ze zich in voice, je plannen en de relevante wetgeving kunnen verdiepen. Zo voorkom je dat je ver in het ontwikkelingsproces onverwachts en noodgedwongen grote veranderingen moet doorvoeren omdat je voice-applicatie niet voldoet aan de wet.

Let op de relevante privacywetgeving

Om een goede juridische beoordeling te kunnen maken, moeten je juristen goed voor ogen hebben aan welke wetgeving je moet voldoen. Dat zal in de eerste plaats gaan om de AVG. Het verwerken van persoonsgegevens is bij voice immers onvermijdelijk. Apparaten zijn altijd gekoppeld aan een individu en zoekopdrachten bevatten vaak persoonlijke informatie. Compliance met de AVG is helaas geen makkelijke checklist, maar ik raad je aan om te starten met deze vier aandachtspunten:

1. Bepaal de verwerkersrol van je organisatie

Denk na over vragen als:

• Welke persoonsgegevens worden verwerkt?
• Waar worden ze opgeslagen?
• Welke partijen hebben invloed op de manier waarop de gegevens verwerkt worden?

Op basis van dit soort vragen bepalen toezichthouders namelijk in welke mate jij ‘verwerkingsverantwoordelijk’ bent binnen een voice-proces. Die rol is bepalend voor de AVG-verplichtingen die je hebt. Zoals het melden van een datalek als het misgaat. Het is daarom van belang om de afspraken die je hierover maakt met aanbieders schriftelijk vast te leggen.

Let wel op: toezichthouders kijken altijd naar de feitelijke situatie. Als je een in een overeenkomst afspreekt dat je ‘verwerker’ bent, en vervolgens uit de feitelijke situatie blijkt dat jij toch méér invloed hebt op de manier waarop gegevens verwerkt worden, dan riskeer je alsnog flinke boetes.

2. Breng privacyrisico’s in kaart

Volgens de AVG ben je verplicht maatregelen te treffen die passen bij de privacyrisico’s van je voice-traject. Deze risico’s verschillen per voice-applicatie. Risico’s doen zich bijvoorbeeld voor op het gebied van datalekken (toegang door onbevoegden). Bij voice-interacties via de telefoon is het eenvoudiger om de kans op toegang door onbevoegden te beperken vanwege al ingebouwde identificatiemethoden, zoals een pincode, vingerafdrukken of faceID. Ook is een toestel doorgaans aan één persoon gebonden.

Slimme speakers gaan daarentegen gepaard met een groter risico omdat deze vaak voor meerdere gebruikers toegankelijk zijn. Denk dus goed na over hoe je personen toegang geeft tot de juiste gegevens.

3. Bepaal de locatie van je data

Als verwerkingsverantwoordelijke moet je ervoor zorgen dat gegevens buiten de Europese Unie net zo goed beschermd blijven als binnen de EU. De AVG stelt dat de wetgeving van een aantal landen deze bescherming al waarborgt. Denk bijvoorbeeld aan het Privacy Shield-certificeringsmechanisme in de Verenigde Staten. Als je data opslaat in deze landen ben je dus niet verplicht aanvullende waarborgen te treffen. Wel moet je de gebruiker over gegevensopslag in deze landen informeren. Opslag in Europa heeft daarom altijd de voorkeur.

4. Bepaal een bewaartermijn en handel ernaar

De AVG stelt organisaties verplicht gegevensverwerking niet langer te laten duren dan noodzakelijk is voor de gespecificeerde doeleinden. De bewaartermijn of de manier waarop deze termijn wordt vastgesteld moet je ook duidelijk communiceren naar de gebruikers van je voice-applicatie. De meest voor de hand liggende plek om dit te vermelden is in het privacy statement op de website van je organisatie.

Zorg ervoor dat je ook een bewaartermijn vaststelt voor minder voor de hand liggende persoonsgegevens, zoals de transcripts van gesprekken van gebruikers. Gekoppeld aan identificerende informatie – en dus niet anoniem – valt de verwerking van deze gegevens onder de AVG. Daarom ben je dus verplicht om een duidelijke bewaartermijn te communiceren. Zorg dat je de gecommuniceerde bewaartermijn nauwkeurig naleeft.

Kijk verder dan de AVG

Als je in je voice-project gegevensbescherming vanaf het begin meeneemt, ben jij als organisatie goed op weg naar een privacyvriendelijke inzet van voice. Maar let ook goed op andere relevante wetgeving. Wil jij bijvoorbeeld commerciële spraakberichten sturen naar gebruikers?

Dan heb je ook te maken met de Telecommunicatiewet. Bovendien moet je volgens de AVG, naast de bovenstaande aandachtspunten, aan meer eisen voldoen om te kunnen zeggen dat je inzet van voice helemaal AVG-compliant is. Denk bijvoorbeeld aan de grondslag voor je gegevensverwerking. Op basis waarvan mag jij de gegevens van gebruikers verzamelen en analyseren? Daarnaast geldt in een aantal sectoren specifieke, sector-eigen wetgeving, zoals de E-commerce Richtlijn voor online webshops. Kijk dus goed naar welke regels gelden voor de communicatie die jij met voice bewerkstelligt. En of je voldoet aan de wetgeving in je eigen sector.