Verwerkersovereenkomst voor AI-notulen: waar let je op?

Zodra je een AI-tool je vergaderingen laat opnemen en samenvatten, verwerk je persoonsgegevens van iedereen aan tafel. En dat betekent dat je volgens de AVG een verwerkersovereenkomst nodig hebt met de leverancier. Veel mensen tekenen die overeenkomst klakkeloos, terwijl er juist een paar cruciale punten in staan die bepalen hoe veilig jouw gespreksdata is.

In dit artikel leggen we uit wat een verwerkersovereenkomst precies is, waarom je hem nodig hebt bij automatisch notuleren, en op welke punten je echt moet letten voordat je je handtekening zet.

Wat is een verwerkersovereenkomst eigenlijk?

Een verwerkersovereenkomst, ook wel DPA genoemd (data processing agreement), is een contract tussen jou als verwerkingsverantwoordelijke en de leverancier die jouw data namens jou verwerkt. In dit geval ben jij degene die bepaalt waarom en hoe de vergadering wordt vastgelegd, en de AI-notulist is de partij die het technisch uitvoert.

De AVG schrijft voor dat je deze afspraken zwart op wit zet. Wie mag wat met de data? Hoe lang wordt het bewaard? Wat gebeurt er bij een datalek? Zonder zo'n overeenkomst loop je een juridisch risico, en kan de Autoriteit Persoonsgegevens je daarop aanspreken.

Waarom je hem nodig hebt bij automatisch notuleren

Bij een AI-notulist gaat het niet om droge cijfers, maar om gesproken woord. Mensen delen in vergaderingen vaak gevoelige informatie: namen, klantgegevens, salarissen, strategische plannen of medische details. Die opnames en transcripties zijn dus een rijke bron aan persoonsgegevens.

Daarom is het belangrijk dat je weet wat de leverancier ermee doet. Een nette tool maakt dit transparant en biedt standaard een verwerkersovereenkomst aan. Een AI-notulist als Fireflies, dat een kant-en-klare DPA aanbiedt, maakt het je makkelijk om aan deze verplichting te voldoen. Toch blijf jij verantwoordelijk om te controleren of de afspraken kloppen.

Waar let je op in de verwerkersovereenkomst?

Een goede verwerkersovereenkomst is meer dan een formaliteit. Dit zijn de onderdelen die je echt moet doorlezen.

Doel en omvang van de verwerking

De overeenkomst moet duidelijk omschrijven welke gegevens worden verwerkt en met welk doel. Bij notuleren gaat het om audio, transcripties en samenvattingen. Let op dat de leverancier de data alleen gebruikt om de dienst te leveren, en niet voor andere doeleinden.

Waar wordt je data opgeslagen?

De locatie van de servers is misschien wel het belangrijkste punt. Wordt je vergaderdata binnen de EU opgeslagen, of gaat het naar de Verenigde Staten? Bij opslag buiten de EU gelden extra eisen, zoals de standaardcontractbepalingen (SCC's) van de Europese Commissie. Vraag hier expliciet naar als het niet helder in de tekst staat.

Bewaartermijnen en verwijdering

Hoe lang blijven je opnames en notulen bewaard? En kun je ze zelf verwijderen of laten verwijderen? Een goede overeenkomst legt vast dat data na afloop van het contract wordt gewist of teruggegeven. Bewaar niet langer dan nodig, dat is een kernprincipe van de AVG.

Subverwerkers

Veel AI-tools werken samen met andere partijen, bijvoorbeeld voor cloudopslag of spraakherkenning. Dit zijn subverwerkers. De overeenkomst moet vermelden welke partijen dat zijn en of jij wordt geïnformeerd als er een nieuwe bijkomt. Zo houd je grip op de hele keten.

Beveiligingsmaatregelen

Welke technische en organisatorische maatregelen neemt de leverancier? Denk aan versleuteling van data, toegangsbeperking en periodieke audits. Certificeringen zoals ISO 27001 of SOC 2 zijn een goed teken dat beveiliging serieus wordt genomen.

Worden je gesprekken gebruikt om AI te trainen?

Dit is een punt dat in standaardvoorwaarden makkelijk over het hoofd wordt gezien. Sommige aanbieders gebruiken klantdata om hun modellen te verbeteren. Voor vertrouwelijke vergaderingen wil je dat vaak juist niet.

Zoek in de overeenkomst naar een passage over modeltraining. De beste tools verklaren expliciet dat ze jouw gespreksdata niet gebruiken om hun AI te trainen. Staat er niets over? Vraag het dan na voordat je tekent.

Praktische checklist voordat je tekent

Loop deze punten af voordat je een AI-notulist in gebruik neemt:

• Verwerkersovereenkomst aanwezig: biedt de leverancier er standaard een aan?
• Dataopslag: staan de servers binnen de EU, of zijn er passende garanties voor doorgifte?
• Bewaartermijn: kun je zelf bepalen hoe lang data bewaard blijft?
• Verwijdering: wordt data na het contract gewist of teruggegeven?
• Subverwerkers: is duidelijk welke derde partijen worden ingeschakeld?
• AI-training: is uitgesloten dat jouw gesprekken worden gebruikt om modellen te trainen?
• Beveiliging: zijn er certificeringen en versleuteling?

Twijfel je over de juiste keuze of wil je ervaringen uitwisselen met anderen die met AI-tools werken? Op de AI-tafel deel je kennis over dit soort tools en blijf je op de hoogte van wat goed werkt in de praktijk.

Tot slot

Een verwerkersovereenkomst klinkt als saaie kleine lettertjes, maar het is je belangrijkste waarborg dat gevoelige gespreksdata in goede handen is. Neem de tijd om de punten hierboven na te lopen, vraag door waar het onduidelijk is, en kies een AI-notulist die transparant is over wat er met jouw data gebeurt. Zo profiteer je van het gemak van automatisch notuleren zonder dat je de privacy van je collega's en klanten op het spel zet.

Veelgestelde vragen

Is een verwerkersovereenkomst verplicht bij AI-notuleren?

Ja. Zodra een AI-tool namens jou persoonsgegevens verwerkt, schrijft de AVG voor dat je een verwerkersovereenkomst met de leverancier sluit. Zonder die overeenkomst voldoe je niet aan de wet.

Mag mijn vergaderdata buiten de EU worden opgeslagen?

Dat mag, maar alleen onder strikte voorwaarden. Bij opslag buiten de EU moeten er passende garanties zijn, zoals de standaardcontractbepalingen van de Europese Commissie. Controleer de datalocatie altijd in de overeenkomst.

Worden mijn gesprekken gebruikt om de AI te trainen?

Dat verschilt per aanbieder. Sommige tools gebruiken klantdata om hun modellen te verbeteren, andere sluiten dat expliciet uit. Lees de overeenkomst goed door en kies bij voorkeur een tool die jouw gespreksdata niet voor training inzet.