Nadat in april 2021 de consultatieversie verscheen, heeft de Europese koepel van privacytoezichthouders (EDPB) tijdens deze zomer de definitieve versie aangenomen van hun Guidelines on Virtual Voice Assistants (hierna VVA). In deze guideline wordt uitgelegd hoe partijen die spraakassistenten aanbieden (of ontwikkelen) moeten omgaan met de persoonsgegevens die zij hierbij verwerken. In dit artikel bespreken we de belangrijkste en meest opvallende punten uit deze guideline.
Voice is een relatief jong kanaal met veel onontdekte mogelijkheden voor (onder andere) marketing. De regels waren er eerder dan het kanaal, waardoor voor het toepassen van de regels wat meer interpretatie nodig is. De EDPB geeft daarom deze richtlijnen, zodat ontwikkelaars en marketeers weten hoe zij het juridisch kader hierop moeten toepassen.
Om te beginnen is het goed om te weten met welke regels we rekening moeten houden. Het opnemen van iemands stem wordt gezien als het verwerken van persoonsgegevens waardoor de AVG van toepassing is en je dus een geldige grondslag moet hebben. Daarnaast worden de gegevens (net als bij cookies) verzameld vanaf een apparaat dat in handen is van een gebruiker. Hierdoor is ook de ePrivacyrichtlijn (omgezet in de Telecommunicatiewet) van toepassing. Dit betekent volgens de EDPB dat de hoofdregel voor VVA’s is dat er toestemming nodig is om de persoonsgegevens te verwerken. Verderop lees je in welke gevallen een uitzondering op de hoofdregel van toepassing kan zijn.
Rollen
Zowel de gebruiker als de betrokken partijen moeten duidelijk hebben wie welke gegevens verwerkt. Hieruit kan worden achterhaald wie (sub)verwerkers zijn en wie verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is namelijk degene die moet toezien op een geldige toestemming en de gebruikers informeren. Het lastige hieraan is per verwerking de rollen kunnen verschillen en dat de rollen door elkaar heen kunnen lopen. Een ontwerper van de VVA zal namelijk in eerste instantie als verantwoordelijke worden aangemerkt omdat deze het doel bepaalt van het gebruik daarvan maar in sommige situaties zal de ontwerper ook gekwalificeerd kunnen worden als verwerker. Bijvoorbeeld wanneer zij gegevens verzamelen in opdracht van de ontwikkelaar van de applicatie waarin de VVA wordt ingepast. Vaak zal er dan ook sprake zijn van een gezamenlijke verantwoordelijkheid.
Bij het inzichtelijk maken van de rollen kunnen we onderscheid maken tussen het proces dat plaatsvindt tussen de gebruiker en de VVA én het technische proces dat aan de achterkant plaatsvindt tussen de aanbieder van een VVA, de ontwerper van een VVA en (bijvoorbeeld) de adverteerder.
Gebruikers
Ook is het goed om de groepen gebruikers te categoriseren:
– Geregistreerde gebruikers (Interacteerders met een account)
– Ongeregistreerde gebruikers (Interacteerders zonder een account)
– Onbedoelde gebruikers (Personen die per ongeluk interacteren)
Afhankelijk van het type gebruiker moet je andere stappen nemen om deze gegevens AVG-proof te kunnen verwerken. Volgens de EDPB ligt het grootste gevaar bij verwerking van persoonsgegevens van gebruikers die per ongeluk de VVA activeren. Deze data wordt namelijk opgeslagen zonder dat de gebruiker hier weet van heeft of hiervoor toestemming heeft gegeven. Er wordt dan ook de nadruk op gelegd bij de ontwerpers van een VVA dat er veel aandacht wordt besteed om deze gebruikers te beschermen tegen een onbedoelde verwerking van hun persoonsgegevens.
Ook is het volgens de EDPB belangrijk dat een gebruiker weet in welke staat de VVA zich bevindt. Dus is deze geactiveerd, uitgeschakeld óf staat deze op stand-by. Daardoor is het voor de gebruiker namelijk controleerbaar dat er spraak door de VVA wordt opgenomen. Dit zijn functionaliteiten die bij de VVA-aanbieder liggen, maar het kan zijn dat diegene die de VVA inzet hierover moet informeren.
Als verwerkingsverantwoordelijke moet je ervoor zorgen dat de gebruiker goed wordt geïnformeerd. Dit kan dus een adverteerder zijn. Dit kun je het beste doen op het moment dat er een account wordt aangemaakt voor een omgeving waarbinnen een VVA gebruikt kan worden. Als adverteerder kan je dit bijvoorbeeld doen binnen de eigen applicatie. Maar bij een Google Home zal deze verantwoordelijkheid bij Google liggen.
Om ervoor te zorgen dat een gebruiker goed geïnformeerd is, geeft de EDPB een aantal aanbevelingen, de volgende zijn relevant voor een adverteerder:
Vul je privacystatement aan met een afhankelijke sectie die informatie over de VVA bevat.
• Benoem hierin de exacte gegevens die verzameld worden, welke verwerkingen er plaatsvinden en voor welk doel dit gebeurt. Ook is het aanbevolen om te vermelden welke audio daadwerkelijk wordt opgenomen. Denk daarbij bijvoorbeeld aan omgevingsgeluid van andere personen.
Maak duidelijk welke partijen de persoonsgegevens verwerken en waarom.
• Het is belangrijk dat het voor de gebruiker duidelijk is welke partijen in de keten daadwerkelijk de gegevens in handen krijgen.
Doel van de verwerking
Een ander belangrijk aspect is bepalen voor welk doel de persoonsgegevens worden verzameld. De EDPB bespreekt onder andere van deze ‘gewone’ doelen bij een VVA:
1. Uitvoeren van een verzoek
De ePrivacyrichtlijn kent een uitzondering op de hoofdregel van toestemming. Wanneer de verwerking van persoonsgegevens strikt noodzakelijk is om uitvoering te geven aan een verzoek van de gebruiker heb je geen toestemming nodig. Een verzoek van de gebruiker betekent hier bijvoorbeeld het geven van een opdracht aan de VVA, zoals: ‘’Hey Google, wat is mijn banksaldo’’. In dit geval verwerken de bank en Google de gegevens om de opdracht van de gebruiker uit te voeren en is er geen toestemming nodig. In veel gevallen zal er een account zijn aangemaakt en gekoppeld aan bijvoorbeeld de bankgegevens. Volgens de EDPB is het dan ook mogelijk om bij deze geregistreerde gebruikers deze uitzondering toe te passen. Wanneer een gebruiker zich namelijk registreert bij een VVA ontstaat er een contractuele relatie die simpelweg tot doel heeft om verzoeken van de gebruiker uit te voeren.
Let op het accepteren van voorwaarden bij het aanmaken van een account is niet hetzelfde als het geven van toestemming voor de verwerking van je persoonsgegevens. Je kan er dus bijvoorbeeld niet vanuit gaan dat wanneer de algemene voorwaarden voor een applicatie zijn geaccepteerd, de gebruiker ook toestemming heeft gegeven voor het inzetten van een VVA.
Profilering voor gepersonaliseerde content en advertenties
Bij het gebruiken van een VVA is het ook mogelijk om content terug te geven die persoonlijk relevant is voor de gebruiker. Een voorbeeld hiervan is een gebruiker die regelmatig een VVA de opdracht geeft om het nieuws weer te geven. Gaandeweg kan de VVA leren welke interesses de gebruiker heeft en alleen nog relevant nieuws weergeven dat gebaseerd is op deze interesses. Het bouwen van een dergelijk profiel voor gepersonaliseerde content, kan een wezenlijk (en verwacht) onderdeel zijn van een VVA. Maar dit is zeker niet altijd het geval. Factoren die een rol spelen zijn: de aard van de service, de verwachtingen van de betrokkenen bij de gestelde doelen en of de service kan worden aangeboden zonder personalisatie.
Als het gaat om geregistreerde gebruikers, kan het zo zijn dat deze vorm van profilering valt binnen de contractuele relatie die is ontstaan tussen de gebruiker en de VVA-aanbieder bij het aanmaken van het account. Maar ook hierbij is weer de vraag: is het profileren beperkt tot het strikt noodzakelijke? Het is echter nog onduidelijk wat de EDPB in deze context als noodzakelijk ziet.
Wel is duidelijk dat volgens de EDPB het niet mogelijk is om persoonsgegevens te verzamelen voor profilering op grond van het gerechtvaardigd belang. Het is namelijk niet mogelijk om de gebruiker op juiste wijze te informeren over het verwerken van deze gegevens op grond van het gerechtvaardigd belang én ze de mogelijkheid te geven zich hiertegen te verzetten.
Let op: profilering voor gepersonaliseerde advertenties op basis van data uit een VVA kan volgens de EDPB niet plaatsvinden zonder dat hiervoor toestemming is verkregen. Dit kan namelijk nooit worden gezien als een verzoek van de eindgebruiker.
Dit artikel is eerder verschenen op de website van DDMA.