Jouw stem, jouw data!
Dacht je dat alleen je naam en e-mailadres als persoonsgegevens tellen? Denk opnieuw. De Gegevensbeschermingsautoriteit (GBA) heeft in een recente beslissing een duidelijk standpunt ingenomen: stemopnames kunnen niet alleen persoonsgegevens zijn, maar zelfs biometrische gegevens. Dit brengt verregaande verplichtingen met zich mee voor bedrijven die met audiodata werken, zoals callcenters, AI-ontwikkelaars en publieke instellingen.
De zaak in kwestie draaide om een innovatieproject van de Stad Antwerpen, waarbij geluidssensoren in de studentenbuurt werden geplaatst om overlast in kaart te brengen. De verwerking van deze geluidsopnames bleek echter niet conform de AVG. De GBA nam een onderbouwde beslissing die bedrijven dwingt om na te denken over hoe ze stemopnames verwerken en beveiligen.
Wat speelde er in deze zaak?
De Stad Antwerpen lanceerde een innovatieproject waarbij geluidssensoren werden ingezet om overlast in de studentenbuurt te monitoren. Het doel was om objectieve metingen te doen van geluidsoverlast en op basis daarvan beleid te ontwikkelen. De sensoren registreerden het omgevingsgeluid en analyseerden dit met behulp van een AI-systeem om te bepalen of bepaalde geluidsbronnen – zoals muziek of menselijke stemmen – bijdroegen aan overlast.
Het standpunt van de Stad Antwerpen
De Stad Antwerpen verdedigde de verwerking op basis van twee argumenten. Enerzijds stelde ze dat de verzamelde gegevens geen persoonsgegevens waren, omdat de ruwe audiobestanden niet rechtstreeks naar een persoon te herleiden zouden zijn. Dit betekende volgens hen dat de AVG niet van toepassing was. Anderzijds beriep de stad zich op een taak van algemeen belang als mogelijke rechtsgrond voor de verwerking. Hiermee probeerde ze het juridische risico te beperken en alternatieve argumenten te bieden voor de rechtmatigheid van het project.
Deze redenering bleek echter problematisch. De GBA wees erop dat de functionaris voor gegevensbescherming (DPO) van de Stad Antwerpen zelf al eerder had gewaarschuwd dat er wel degelijk sprake was van de verwerking van persoonsgegevens. Dit ondermijnde het argument dat de gegevens geen persoonsgegevens zouden zijn en stelde de vraag of de stad bewust risico’s had genegeerd.
Twee sets van gegevens: audiobestanden en stemafdrukken
De verwerking bestond uit twee verschillende datasets:
De ruwe audiobestanden die permanent werden opgenomen door de sensoren en tijdelijk lokaal werden opgeslagen. Deze bestanden bevatten mogelijk verstaanbare menselijke stemmen en gesprekken.
De MEL-spectrogrammen of stemafdrukken die uit de audiobestanden werden gegenereerd door AI-analyse. Dit waren visuele weergaven van de stemfrequenties en werden gebruikt om geluidsklassen te onderscheiden, zoals gepraat, geschreeuw of muziek.
De Stad Antwerpen beweerde dat in elk geval deze tweede dataset – de MEL-spectrogrammen – niet als persoonsgegevens moesten worden beschouwd, omdat ze enkel een abstracte weergave van geluidsgolven waren en geen directe identificatie mogelijk maakten. De GBA oordeelde echter anders: omdat stemafdrukken gebruikt kunnen worden voor sprekerherkenning, vallen ze onder de definitie van biometrische gegevens in de zin van artikel 4, lid 14 AVG.
De conclusie van de GBA
De GBA stelde dus vast dat beide datasets – de ruwe audiobestanden en de afgeleide stemafdrukken – als persoonsgegevens moesten worden beschouwd. De audiobestanden bevatten stemmen die direct identificeerbaar konden zijn, en de MEL-spectrogrammen waren biometrische gegevens die in theorie gebruikt konden worden om personen te herkennen. Hierdoor was de verwerking onderworpen aan strengere AVG-regels, inclusief de vereisten rond rechtmatigheid en transparantie. De GBA verplichtte de Stad Antwerpen daarom om de verzamelde stemafdrukken en audiobestanden te verwijderen en legde een berisping op wegens de schendingen van de AVG.
Wanneer is een stem een persoonsgegeven?
De kernvraag in deze zaak was of stemgeluiden als persoonsgegevens kunnen worden beschouwd. Volgens de AVG is een persoonsgegeven "alle informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon." De GBA hanteert deze definitie strikt en stelde vast dat zodra een stem kan worden herleid tot een individu, het een persoonsgegeven betreft.
Een stem is een unieke eigenschap van een persoon en kan zelfs zonder expliciete naam of andere directe identifiers als identificerend worden beschouwd. Wanneer een opname van een stem wordt verwerkt op een manier die sprekerherkenning of analyse mogelijk maakt, bijvoorbeeld via een AI-systeem dat patronen in stemgeluid kan herkennen, dan valt dit zonder twijfel onder de AVG-definitie van een persoonsgegeven. Dit betekent dat bedrijven die stemopnames maken en verwerken – zoals callcenters, AI-ontwikkelaars en bedrijven die klantenservice-opnames analyseren – rekening moeten houden met de regels voor verwerking van persoonsgegevens.
Daarnaast wees de GBA op het risico dat gesprekken, die worden opgenomen in de publieke ruimte, vaak ook informatie bevatten over andere identificeerbare personen. Een gesprek kan persoonlijke informatie onthullen over degene die spreekt, maar ook over derden die in het gesprek worden genoemd. Dit betekent dat de bescherming van deze gegevens een nog grotere uitdaging wordt en dat bedrijven een doordachte strategie moeten hanteren om compliant te blijven.
Stemafdrukken als biometrische gegevens: een gamechanger
Het meest ingrijpende aspect van deze beslissing was de kwalificatie van MEL-spectrogrammen als biometrische gegevens. Een MEL-spectrogram is een visuele representatie van geluid, die vaak wordt gebruikt in machine learning-modellen om spraak te analyseren. Het systeem zet een geluidsfragment om in een grafische weergave waarin frequenties en patronen duidelijk worden. Dit maakt het mogelijk om niet alleen onderscheid te maken tussen verschillende geluiden, maar ook om bepaalde stemkarakteristieken te identificeren.
De AVG definieert biometrische gegevens als “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragskenmerken van een natuurlijke persoon, op grond waarvan de unieke identificatie of verificatie van die natuurlijke persoon mogelijk is.” Omdat een MEL-spectrogram kan worden gebruikt voor sprekerherkenning en de identificatie van een individu, valt het onder deze definitie.
Hierdoor worden deze gegevens beschouwd als een bijzondere categorie persoonsgegevens, waarvoor een strenger regime geldt. Biometrische gegevens mogen alleen verwerkt worden als er een uitzondering geldt onder artikel 9 van de AVG. Dat betekent dat bedrijven die gebruik maken van geluidsherkenningstechnologie of AI-modellen die stemgeluiden analyseren, zich niet zomaar kunnen beroepen op een standaard rechtsgrond zoals gerechtvaardigd belang of de uitvoering van een overeenkomst. In de meeste gevallen is expliciete toestemming van de betrokkene vereist, of een zeer specifieke wettelijke uitzondering.
Ontbreken van een geldige rechtsgrond
Een van de belangrijkste bevindingen van de GBA in deze zaak was dan ook het ontbreken van een geldige rechtsgrond voor de verwerking van de audiogegevens en de afgeleide stemafdrukken. De Stad Antwerpen beriep zich immers op de taak van algemeen belang als rechtsgrond, maar de GBA oordeelde dat deze onvoldoende was om de verwerking te rechtvaardigen.
Volgens de AVG moet de verwerking van persoonsgegevens gebaseerd zijn op een van de in artikel 6 AVG genoemde rechtsgronden. Daarnaast geldt voor biometrische gegevens een strengere regel: deze mogen in principe niet worden verwerkt, tenzij een van de uitzonderingen in artikel 9, lid 2 AVG van toepassing is. De Stad Antwerpen kon geen beroep doen op een van deze uitzonderingen, waardoor de verwerking van de stemafdrukken onrechtmatig was.
Daarnaast stelde de GBA vast dat de verwerking niet voldeed aan het noodzakelijkheidsbeginsel. De stad had alternatieve methoden kunnen gebruiken, zoals het meten van geluidsniveaus zonder daadwerkelijk stemmen op te nemen of te analyseren. Dit betekende dat de verwerking niet de minst ingrijpende oplossing was om het beoogde doel te bereiken, wat in strijd is met het proportionaliteitsprincipe binnen de AVG.
Bovendien benadrukte de GBA dat betrokkenen niet adequaat waren geïnformeerd over het feit dat hun stemmen werden opgenomen en geanalyseerd. Dit schond de transparantievereisten van de AVG, die vereisen dat burgers duidelijk worden geïnformeerd over welke gegevens worden verwerkt, met welk doel en op basis van welke rechtsgrond.
Praktische implicaties voor bedrijven
Deze beslissing van de GBA heeft verstrekkende gevolgen voor bedrijven en organisaties die met stemopnames werken. Ondernemingen die spraaktechnologie gebruiken, zoals callcenters, AI-ontwikkelaars en bedrijven die voice-analytics toepassen, moeten zich bewust zijn van de juridische risico’s.
Elk bedrijf dat stemgeluid verwerkt, moet zich afvragen:
Worden de opgenomen stemmen als persoonsgegevens beschouwd?
Wordt er biometrische verwerking toegepast?
Is er een geldige rechtsgrond en een uitzondering onder artikel 9 AVG?
Zijn er minder ingrijpende alternatieven mogelijk?
Is de betrokkenen transparant uitgelegd hoe hun stemdata worden verwerkt?
Het naleven van deze verplichtingen is essentieel om boetes en sancties te vermijden en het vertrouwen van klanten te behouden.
Conclusie
Deze zaak laat zien dat stemopnames niet zomaar verwerkt kunnen worden zonder juridische implicaties. Stemgeluid kan een persoonsgegeven zijn en zelfs biometrische gegevens bevatten, wat betekent dat de AVG strikte regels oplegt voor verwerking. Bedrijven moeten hun gegevensverwerkingsprocessen kritisch bekijken en waar nodig aanpassen om compliant te blijven.
Wil je zeker zijn dat jouw organisatie correct omgaat met stemopnames en biometrische gegevens? Consey.legal biedt gespecialiseerd juridisch advies en audits om bedrijven te helpen AVG-compliant te blijven. Neem vandaag nog contact op en voorkom juridische risico’s!
Geschreven door Kris Seyen, Founder & Managing Partner consey.legal
