De eerste stappen naar een privacyvriendelijke voice-implementatie

Dit artikel is ook verschenen op Frankwatching.

1. Verdiep jezelf in voice en breng in kaart wat voor gegevens je gaat verzamelen

Om een voice-traject juridisch bestendig te maken is het belangrijk om te weten wat voice precies is, hoe de communicatie via het kanaal verloopt en welke gegevens er voor nodig zijn. Voice is de verzamelnaam voor alle spraakassistenten waarmee gebruikers met spraak kunnen communiceren. Voorbeelden van bekende spraakassistenten zijn Siri (Apple), Alexa (Amazon), Google Assistant (Google) en Bixby (Samsung). Gebruikers kunnen via hun telefoon, slimme speaker of slimme TV praten met de assistent en met spraakopdrachten communiceren met de voice-aanbieder. Denk aan vragen als: hoe laat is het? Doe het licht uit! Wat voor weer wordt het vandaag?

Op deze generieke vragen en opdrachten hebben in principe alle spraakassistenten een antwoord, doordat de informatie die nodig is al in huis is bij de aanbieder. Maar de meeste voice-aanbieders stellen hun kanalen ook open voor andere organisaties. Als organisatie kun je namelijk zelf een voice-applicatie in een spraakassistent bouwen; je bepaalt zelf de opdrachten en vragen die gebruikers kunnen stellen en de antwoorden die de assistent daarop teruggeeft. Zo kunnen gebruikers via een voice-applicatie van een bank bijvoorbeeld hun banksaldo opvragen. Je kunt je voorstellen dat dit soort voice-interacties best wat gevoelige persoonsgegevens kunnen bevatten. Om een voice-traject goed te beginnen is het belangrijk dat je een duidelijk beeld hebt van wat voor gegevens je met je voice-applicatie gaat verwerken.

2. Betrek juristen zo vroeg mogelijk bij het voice-traject

Binnen een voice-interactie tussen gebruikers en spraakassistenten worden gegevens van klanten gekoppeld om ervoor te zorgen dat de spraakassistent de juiste antwoorden geeft. Dat gaat niet zonder privacyrisico’s. Hanteer daarom hiervoor een privacy by design-werkwijze: neem privacy vanaf de start van het traject mee in denkprocessen, brainstorms en beslispunten – en zorg dat iedereen die bij het project betrokken is weet welke privacy-uitgangspunten van belang zijn. Het is namelijk belangrijk dat niet alleen de ontwikkelaars en de marketeers, maar ook de juristen vanaf het begin goed op de hoogte zijn van wat er gebeurt. Zij moeten er immers voor zorgen dat je voice-plannen passen binnen de kaders van de wet. Breng voor een goede juridische beoordeling je juristen dus up-to-date met de juiste documenten – zoals deze handleiding waar dit artikel op is gebaseerd – zodat ze zich in voice, je plannen en de relevante wetgeving kunnen verdiepen. Zo voorkom je dat je ver in het ontwikkelingsproces onverwachts en noodgedwongen grote veranderingen moet doorvoeren omdat je voice-applicatie niet voldoet aan de wet.

3. Let op de relevante privacywetgeving

Om goede juridische beoordeling te kunnen maken, moeten je juristen goed voor ogen hebben aan welke wetgeving je moet voldoen. Dat zal in de eerste plaats gaan om de AVG; het verwerken van persoonsgegevens bij voice is immers onvermijdelijk. Apparaten zijn altijd gekoppeld aan een individu en zoekopdrachten bevatten vaak persoonlijke informatie. Compliance met de AVG is helaas geen makkelijke checklist, maar ik raad je aan om te starten met deze vier aandachtspunten:

1. Bepaal de verwerkersrol van je organisatie: Denk na over vragen als: welke persoonsgegevens worden verwerkt, waar worden ze opgeslagen en welke partijen hebben invloed op de manier waarop de gegevens verwerkt worden? Op basis van vragen als deze bepalen toezichthouders namelijk in welke mate jij ‘verwerkingsverantwoordelijke’ bent binnen een voice-proces. Die rol is bepalend voor de AVG-verplichtingen die je hebt. Zoals het melden van een datalek als het mis gaat. Het is daarom van belang om de afspraken die je hierover maakt met aanbieders schriftelijk vast te leggen. Let wel op: toezichthouders kijken altijd naar de feitelijke situatie. Als je een in een overeenkomst afspreekt dat je ‘verwerker’ bent, en vervolgens uit de feitelijke situatie blijkt dat jij toch méér invloed hebt op de manier waarop gegevens verwerkt worden, dan riskeer je alsnog flinke boetes.
2. Breng privacyrisico’s in kaart: Volgens de AVG ben je verplicht maatregelen te treffen die passen bij de privacyrisico’s van je voice-traject. Deze risico’s verschillen per voice-applicatie.Risico’s doen zich bijvoorbeeld voor op het gebied van datalekken (toegang door onbevoegden). Bij voice-interacties via de telefoon is het eenvoudiger om de kans op toegang door onbevoegden te beperken vanwege al ingebouwde identificatiemethoden, zoals een pincode, vingerafdrukken of faceID. Ook is een toestel doorgaans aan één persoon gebonden. Slimme speakers gaan daarentegen gepaard met een groter risico omdat deze vaak voor meerdere gebruikers toegankelijk zijn. Denk dus goed na over hoe je personen toegang geeft tot de juiste gegevens.
3. Bepaal de locatie van je data: Als verwerkingsverantwoordelijke moet je er voor zorgen dat gegevens buiten de Europese Unie net zo goed beschermd blijven als binnen de EU. De AVG stelt dat de wetgeving van een aantal landen deze bescherming al waarborgt. Denk bijvoorbeeld aan het Privacy Shield-certificeringsmechanisme in de Verenigde Staten. Als je data opslaat in deze landen ben je dus niet verplicht aanvullende waarborgen te treffen. Wel moet je de gebruiker over gegevensopslag in deze landen informeren. Opslag in Europa heeft daarom altijd de voorkeur.
4. Bepaal een bewaartermijn en handel ernaar: De AVG stelt organisaties verplicht gegevensverwerking niet langer te laten duren dan noodzakelijk is voor de gespecificeerde doeleinden. De bewaartermijn of de manier waarop deze termijn wordt vastgesteld moet je ook duidelijk communiceren naar de gebruikers van je voice-applicatie. De meest voor de hand liggende plaats om dit te vermelden is in het privacy statement op de website van je organisatie. Zorg ervoor dat je ook een bewaartermijn vaststelt voor minder voor de hand liggende persoonsgegevens, zoals de transcripts van gesprekken van gebruikers. Gekoppeld aan identificerende informatie – en dus niet anoniem – valt de verwerking van deze gegevens onder de AVG. Daarom ben je dus verplicht een duidelijke bewaartermijn te communiceren. Zorg dat je ervoor dat je de gecommuniceerde bewaartermijn nauwkeurig naleeft.

Als je in je voice-project gegevensbescherming vanaf het begin meeneemt ben jij als organisatie goed op weg naar een privacyvriendelijke inzet van voice. Maar let ook goed op andere relevante wetgeving. Wil jij bijvoorbeeld commerciële spraakberichten sturen naar gebruikers? Dan heb je ook te maken met de Telecommunicatiewet. Bovendien moet je volgens de AVG, naast de bovenstaande aandachtspunten, aan meer eisen voldoen om te kunnen zeggen dat je inzet van voice helemaal AVG-compliant is. Denk bijvoorbeeld aan de grondslag voor je gegevensverwerking. Op basis waarvan mag jij de gegevens van gebruikers verzamelen en analyseren? Daarnaast geldt in een aantal sectoren specifieke, sector-eigen wetgeving, zoals de E-commerce Richtlijn voor online webshops. Kijk dus goed naar welke regels gelden voor de communicatie die jij met voice bewerkstelligt – en of je voldoet aan de wetgeving in je eigen sector.

De aanbevelingen in dit artikel zijn gebaseerd op de DDMA-publicatie Voice Explained: wat je moet weten over voice en de privacywetgeving. In deze handleiding ga ik, in samenwerking met de DDMA Commissie Voice, uitgebreider in op hoe je voice op een privacyvriendelijke manier implementeert. Ook is er op 28 mei een Digital Talk over dit onderwerp, met onder meer een case van Rabobank.

Matthias de Bruyne

Voormalig Senior legal counsel bij DDMA