GDPR-Compliance Checklist: Voorkom €20 Miljoen Boetes | Transcriptie Tools

Gebruik je een transcriptie tool met US-hosting? Je riskeert €20 miljoen aan GDPR-boetes. De Nederlandse Autoriteit Persoonsgegevens (AP) handhaaft compliance actief, en ‘cloud storage’ in de VS voldoet niet aan EU-dataresidency eisen.

In 2024 ontdekten honderden Nederlandse bedrijven dit op de harde manier tijdens audits, toen ze moesten toegeven dat hun data buiten de EU was opgeslagen.

Klaar voor GDPR-complianten transcriptie? Bekijk onze functies met EU-opslag en encryptie. Start gratis - 120 minuten transcriptie zonder risico.

Wat is GDPR Certificering?

Belangrijk: Er bestaat geen officieel “GDPR certificaat” van de overheid. Wanneer bedrijven spreken over “GDPR certificering” bedoelen ze dat hun product voldoet aan alle GDPR-vereisten.

De Autoriteit Persoonsgegevens (AP) is de toezichthouder in Nederland die handhaving toepast. Bij niet-naleving kunnen boetes oplopen tot €20 miljoen of 4% van de wereldwijde omzet.

Wanneer is GDPR van toepassing?

GDPR is van toepassing wanneer je:

• ✅ Persoonsgegevens verwerkt van EU-burgers
• ✅ Gevestigd bent in de EU
• ✅ Goederen/diensten aanbiedt aan EU-burgers

Transcriptie van audio bevat vaak persoonsgegevens (stemmen, namen, adressen, medische info), dus GDPR is bijna altijd van toepassing.

Checklist: GDPR-Compliance voor Transcriptie Tools

Gebruik deze checklist om transcriptie software te evalueren.

1. Data Opslag Locatie 📍

❌ Niet-compliant:

• Data opgeslagen in de Verenigde Staten
• Data opgeslagen in het Verenigd Koninkrijk (na Brexit)
• “Wereldwijd” of “multi-region” opslag zonder specificatie

✅ Compliant:

• Alle data opgeslagen binnen Europese Unie
• Specifieke locatie vermeld (bijv. Frankfurt, Duitsland)
• Geen data-overdracht buiten EU

Waarom dit belangrijk is:

• Privacy Shield (EU-VS) is ongeldig verklaard (2020)
• US Cloud Act geeft Amerikaanse overheid toegang tot data
• Internationale data transfers vereisen complexe aanvullende maatregelen

TalkMark: Alle data op EU servers in Frankfurt, Duitsland.

2. Encryptie Standaarden 🔐

❌ Niet-compliant:

• Geen encryptie of alleen “standaard” encryptie
• HTTPS zonder specificatie
• Encryptie tijdens transport maar niet bij opslag

✅ Compliant:

• In transit: TLS 1.3 of hoger
• At rest: AES-256 of vergelijkbaar
• End-to-end encryptie voor gevoelige data
• Versleutelde backups

Vraag de leverancier:

“Welke encryptie gebruiken jullie voor data in rust en data tijdens transport?“

3. Verwerkersovereenkomst (DPA) 📄

❌ Niet-compliant:

• Geen DPA beschikbaar
• Alleen “accepteer onze terms of service”
• DPA alleen op aanvraag (niet standaard)

✅ Compliant:

• Standaard Data Processing Agreement
• DPA ondertekend voorafgaand aan verwerking
• Sub-verwerkers expliciet genoemd
• Clear beëindigingsbepalingen

Elementen die in een DPA moeten staan:

• Rechtsgrond voor verwerking
• Doel van verwerking
• Duur van verwerking
• Beveiliging maatregelen
• Procedure bij datalekken
• Rechten van betrokkenen
• Teruggave of verwijdering bij beëindiging

TalkMark: Standaard DPA beschikbaar voor alle BUSINESS klanten.

4. Privacy Rechten Facilitering 👤

❌ Niet-compliant:

• Geen export functie
• Geen delete functie
• Alleen via support verzoeken indienen
• Meer dan 30 dagen reactietijd

✅ Compliant:

• Recht op inzage: Gebruiker kan eigen transcripties inzien
• Recht op correctie: Transcripties kunnen bewerkt worden
• Recht op verwijdering: “Permanent verwijderen” functie
• Recht op data portabiliteit: Exporteer JSON/CSV/ZIP
• Recht op beperking: Data markeren als beperkt
• Recht van bezwaar: Verzet tegen verwerking

Technische implementatie:

• Self-service export (geen support ticket nodig)
• Automatische verwijdering binnen 30 dagen
• Bevestiging van verwijdering
• Versiebeheer voor correcties

5. Bewaartermijnen ⏱️

❌ Niet-compliant:

• Data “voor altijd” bewaard
• Geen bewaartermijn instellingen
• Geen automatische verwijdering

✅ Compliant:

• Configureerbare bewaartermijnen
• Automatische verwijdering na termijn
• Notificatie voorafgaand aan verwijdering
• Uitzonderingen voor wettelijke verplichtingen

Aanbevolen termijnen:

• Klantenservice: 1 jaar na afloop contract
• HR: 2 jaar na uitdiensttreding
• Juridisch: 7 jaar (wettelijke bewaarplicht)
• Medisch: 20 jaar (WGBO)

6. Data Leuk Protocol 🚨

❌ Niet-compliant:

• Geen data breach procedure
• Meldden niet verplicht
• Geen logging van data acces

✅ Compliant:

• Gedocumenteerd incident response plan
• Melding bij AP binnen 72 uur (indien verplicht)
• Melding aan betrokkenen (bij hoog risico)
• Logging: wie heeft toegang tot welke data
• Security testing regelmatig uitgevoerd

Wettelijke Bewaartermijnen per Sector

Juridische Sector

• Advocaten/Notarissen: 7 jaar (wettelijk)
• Rechters: Permanent (in sommige gevallen)
• Arbeidsrecht: 2 jaar na einde dienstverband

Financiële Sector

• Banken/Verzekeraars: 5-7 jaar (AFW)
• Accountants: 7 jaar (wettelijk)
• Belastingdienst: 7 jaar (fiscaal)

Medische Sector

• Ziekenhuizen: 20 jaar (WGBO)
• Huisartsen: 15 jaar (medisch dossier)
• GGZ: 15-20 jaar

Implementatie: Stap voor Stap

Stap 1: Inventariseer je data

Vragen:

• Welke type transcripties heb ik?
• Bevat deze audio persoonsgegevens?
• Wat is mijn rechtsgrond voor verwerking?

Documentatie:

• Register van verwerkingsactiviteiten (verplicht Art. 30 AVG)
• Categoriseer transcripties per type
• Bepaal bewaartermijn per categorie

Stap 2: Kies een GDPR-compliant tool

Checklist:

• EU data opslag
• AES-256 encryptie
• DPA beschikbaar
• Privacy rechten gefaciliteerd
• Bewaartermijnen instelbaar
• Data breach protocol

Bekijk TalkMark’s GDPR features specifiek voor juridische praktijken.

Stap 3: Implementeer interne procedures

Procedures:

• Toestemming verkrijgen (indien nodig)
• Informeren van betrokkenen
• Data verzoeken afhandelen
• Datalekken melden
• Bewaartermijnen monitoren

Stap 4: Train medewerkers

Training onderwerpen:

• Wat is GDPR en waarom is het belangrijk?
• Wanneer mag je transcriberen?
• Hoe verwerk je data verzoeken?
• Wat te doen bij een datalek?
• Hoe herken je phishing/social engineering?

Veelgemaakte Fouten

Fout 1: “We gebruiken US software maar dat is wel GDPR-compliant”

Probleem: US-based tools vallen onder US Cloud Act, wat Amerikaanse overheid toegang geeft tot data. Dit is in strijd met GDPR tenzij zware aanvullende maatregelen.

Oplossing: Kies voor EU-gehoste alternatieven.

Fout 2: “We hebben toestemming, dus alles is goed”

Probleem: Toestemming is één rechtsgrond, maar deze moet vrijwillig, geïnformeerd, specifiek en intrekbaar zijn. Bovendien is toestemming niet altijd de beste rechtsgrond (contractuele basis kan beter zijn).

Oplossing: Analyseer welke rechtsgrond het beste past.

Fout 3: “Onze leverancier zegt dat ze GDPR-compliant zijn”

Probleem: Leveranciers claims zijn geen garantie. Je moet zelf due diligence doen en een DPA hebben.

Oplossing: Vraag om specifieke documentatie:

• Privacy policy
• Security documentatie
• DPA template
• Data breach procedure

Fout 4: “Data bewaren we voor het geval dat…”

Probleem: GDPR vereist dat je data niet langer bewaart dan noodzakelijk.

Oplossing: Stel automatische bewaartermijnen in.

Certificeringen en Normen

Hoewel er geen officieel GDPR certificaat is, zijn er wel normen die helpen bij compliance:

ISO 27001 (Information Security)

Wat is het: Internationale standaard voor information security management

Voordelen:

• Bewezen security practices
• Onafhankelijke audit
• Continu verbeteringsproces

Niet verplicht voor GDPR, maar helpt bij aantonen van passende maatregelen.

ISO 27701 (Privacy Information Management)

Wat is het: Uitbreiding op ISO 27001 specifiek voor privacy

Voordelen:

• GDPR-aligned requirements
• Privacy by design en by default
• Continue monitoring van compliance

SOC 2 Type II

Wat is het: Amerikaanse standaard voor security, availability, processing integrity, confidentiality en privacy

Let op: SOC 2 is geen GDPR-certificering, maar toont wel serieuze security practices aan.

Vragen aan je Leverancier

Gebruik deze vragenlijst bij het evalueren van transcriptie software:

Data Opslag

• Waar worden mijn data opgeslagen (specifieke locatie)?
• Zijn backups versleuteld?
• Wie heeft toegang tot mijn data?

Encryptie

• Welke encryptie gebruiken jullie voor data in rust?
• Welke encryptie gebruiken jullie voor data tijdens transport?
• Zijn encryption keys zelf versleuteld?

Compliance

• Hebben jullie een DPA?
• Faciliteren jullie alle GDPR privacy rechten?
• Hoe gaan jullie om met data verzoeken?
• Wat is jullie data breach melding procedure?

Juridisch

• Zijn jullie geregistreerd bij de Autoriteit Persoonsgegevens?
• Hebben jullie een Functionaris Gegevensbescherming (FG)?
• Zijn jullie verwerkersverantwoordelijke of verwerker?

Bewaartermijnen

• Kan ik bewaartermijnen instellen?
• Verwijderen jullie data automatisch na de termijn?
• Kan ik data eerder verwijderen?

Praktisch Voorbeeld: GDPR-Compliant Transcriptie Workflow

Scenario: Advocaat transcribeert cliëntgesprek

Vooraf:

1. Informeer cliënt over opname en transcriptie
2. Leg uit: doel, rechtsgrond, bewaartermijn
3. Vraag toestemming (documenteer!)
4. Start opname met context: datum, zaak, aanwezigen

Tijdens:

1. Opname versleuteld verzonden
2. Transcriptie op EU servers verwerkt
3. AI-samenvatting gegenereerd

Na afloop:

1. Cliënt kan transcriptie inzien
2. Fouten kunnen gecorrigeerd worden
3. Na 7 jaar (wettelijke termijn) automatisch verwijderd
4. Verwijdering bevestigd aan advocaat

Conclusie

GDPR compliance voor transcriptie software hoeft niet ingewikkeld te zijn. Focus op deze zes elementen:

1. EU opslag: Vermijd niet-EU servers
2. Encryptie: AES-256 voor data in rust, TLS 1.3 voor transport
3. DPA: Verwerkersovereenkomst voorafgaand aan verwerking
4. Privacy rechten: Faciliteer inzage, correctie, verwijdering
5. Bewaartermijnen: Niet langer dan nodig bewaren
6. Data breach protocol: Plan voor incidenten

TalkMark is 100% GDPR-compliant

• ✅ EU servers in Frankfurt, Duitsland
• ✅ AES-256 encryptie, TLS 1.3
• ✅ Standaard DPA beschikbaar
• ✅ Alle privacy rechten gefaciliteerd
• ✅ Instelbare bewaartermijnen
• ✅ Data breach protocol geïmplementeerd

Start GDPR-compliant transcriberen

---

Meer informatie?

• Lees onze volledige GDPR gids
• Specifiek voor advocaten
• Neem contact op met ons support team

---

Disclaimer: Deze gids is informatief, geen juridisch advies. Raadpleeg een privacy-advocaat voor specifieke situaties.

Over TalkMark: Nederlandse AI-transcriptie service gespecialiseerd in GDPR-compliance. Wij helpen professionals veilig en efficiënt te transcriberen met EU-data opslag en volledige privacy rechten facilitatie.