EDPB publiceert richtsnoeren over virtuele spraakassistenten

09/09/’21 - De European Data Protection Board (EDPB) heeft onlangs richtsnoeren gepubliceerd over virtuele spraakassistenten oftewel virtual voice assistant (hierna: VVA’s). Deze technologie brengt nieuwe uitdagingen met zich mee rondom privacy en gegevensbescherming. Dit blog bespreekt enkele van de belangrijkste aanbevelingen van de EDPB.

VVA’s 

VVA’s zijn diensten die spraakverzoeken kunnen herkennen, uitvoeren en koppelen met andere IT-systemen. Deze technologie is breed beschikbaar op onder meer smartphones, tablets, smart speakers en connected vehicles. VVA’s maken het bijvoorbeeld mogelijk om via een spraakverzoek informatie uit een encyclopedie op te vragen, de thermostaat te bedienen of muziek af te spelen van een streamingdienst.

Betrokken partijen 

Bij VVA’s zijn vaak meerdere partijen betrokken. Naast de leverancier die de VVA ontwerpt en levert, zijn er bijvoorbeeld ontwikkelaars van applicaties die de functionaliteiten van VVA’s uitbreiden en partijen die apparaten ontwikkelen die aangesloten kunnen worden op een VVA’s (integrators). Deze partijen moeten hun onderlinge rolverdeling duidelijk vaststellen, afbakenen en betrokkenen daarover informeren. Afhankelijk van de situatie en de onderlinge positie, kunnen zij verwerkingsverantwoordelijke of verwerker zijn en daardoor verschillende verplichtingen hebben.  

Transparantie 

Het op de juiste wijze informeren van betrokkenen over de verwerking van hun persoonsgegevens in VVA’s is geen eenvoudige opgave. Allereerst omdat persoonsgegevens van meerdere personen verwerkt worden. Onderscheiden kunnen worden: geregistreerde gebruikers, niet-geregistreerde gebruikers en personen in de buurt van de VVA die onbewust persoonsgegevens delen. Daarnaast hebben VVA’s vaak geen beeldscherm. De vereiste informatie moet daarom vaak op alternatieve wijze worden geboden, zoals via een app of een hyperlink naar de privacyverklaring. In het bijzonder wijst de EDPB erop dat gebruikers te allen tijde op de hoogte moeten zijn van de status (meeluisterend of niet), bijvoorbeeld via een indicator-lampje. 

Doelbinding en grondslag 

Het moet helder zijn voor welke doeleinden VVA’s persoonsgegevens verwerken en op welke grondslag dit gebaseerd is. Grofweg onderscheidt de EDPB de volgende doeleinden:  

  1. Het uitvoeren van spraakverzoeken; 
  2. Het uniek herkennen van een gebruiker op basis van de stem; 
  3. Het verbeteren van de spraakverzoekherkenning via machine learning of menselijke tussenkomst; en 
  4. Profilering van de gebruiker voor gepersonaliseerde content en advertenties. 

Deze verschillende doeleinden vergen steeds een andere afweging. Zo zal het uitvoeren van spraakverzoeken van een gebruiker die zich hiervoor heeft geregistreerd bij de VVA-aanbieder, vaak gebaseerd kunnen worden op de grondslag van de uitvoering van de overeenkomst (artikel 6 lid 1 sub b AVG). Verwerkingen voor doeleinden die daarbuiten vallen, zoals gepersonaliseerde advertenties, kunnen volgens de EDPB niet op die grondslag gebaseerd worden. Wat de praktijk moeilijker maakt, is dat ook gebruikers betrokken kunnen die geen overeenkomst hebben met de aanbieder (bijvoorbeeld huisgenoten van de geregistreerde gebruiker). 

Bovendien is naast de AVG ook de Europese e-Privacyrichtlijn (richtlijn 2002/58) van toepassing. Hierin staan regels over het via een elektronisch communicatienetwerk opslaan van informatie op randapparatuur van een gebruiker of het uitlezen van die informatie. In beginsel is hiervoor toestemming vereist. Er geldt een uitzondering voor opslaan of uitlezen dat strikt noodzakelijk is om de gevraagde dienst te leveren, maar die uitzondering zal niet voor alle processen in een VVA gelden. 

Daar komt nog bij dat wanneer de VVA voorziet in herkenning van een gebruiker op basis van de stem, de EDPB dit ziet als verwerking van biometrische persoonsgegevens. Aangezien verwerking daarvan in beginsel verboden is, zal waarschijnlijk ook uitdrukkelijke toestemming vereist zijn om dat verbod te doorbreken. 

Kortom, door de complexiteit en veelheid van toepasselijke regels is het waarborgen van een rechtmatige inzet van VVA’s geen eenvoudige opgave.  

Andere onderwerpen 

De richtsnoeren behandelen daarnaast onder meer de positie van kinderen, bewaartermijnen, data protection by design & by default, beveiligingsaspecten en de verantwoordingsplicht (accountability).

Opvallend is bijvoorbeeld de aanbeveling van de EDPB dat betrokkenen in staat moeten zijn hun rechten uit te oefenen via een spraakverzoek. Verder legt de EDPB nadruk op het belang van authenticatiemaatregelen, bijvoorbeeld om te voorkomen dat verschillende gebruikers via spraakverzoeken toegang kunnen krijgen tot elkaars persoonsgegevens. En last but not least, volgens de EDPB is hoogstwaarschijnlijk verplicht een Data Protection Impact Assessment (DPIA) te verrichten.

Aanbieders van VVA’s en aanverwante producten en diensten, hebben al met al te maken met interessante uitdagingen.   

Armin Karimi Legal Consultant

Hulp nodig?

Considerati biedt ondersteuning in het doorgronden van nieuwe monitoringstechnieken en wat deze digitale hulpmiddelen betekenen voor de privacy van de werknemers. Bent u op zoek naar dergelijke ondersteuning of wilt u meer informatie over privacy binnen de arbeidsverhouding? Neem dan contact op met Considerati.