Google Assistent, Siri, Amazon Alexa en andere virtual voice assistents (VVA's) zijn niet meer weg te denken uit de samenleving. Op 9 maart heeft de European Data Protection Board (EDPB), het onafhankelijk orgaan waarin alle nationale privacytoezichthouders binnen de EU samenwerken, een eerste versie van richtsnoeren voor virtuele spraakassistenten aangenomen.
Uit onderzoek van Telecompaper bleek dat in 2019 ruim 34% van de Nederlanders wel eens een VVA gebruikt. Recente technologische ontwikkelingen hebben de nauwkeurigheid en populariteit van VVA's sterk doen toenemen. VVA's zijn onder meer geïntegreerd in smartphones, aangesloten voertuigen, smart speakers, smart tv's, knuffeldieren of interactief speelgoed.
VVA's fungeren als interface tussen gebruikers en hun computerapparatuur en onlinediensten zoals zoekmachines of online winkels. Door integratie met andere apparaten wordt toegang gekregen tot informatie van persoonlijke, zo niet intieme aard die, indien niet goed beheerd, het recht op privacy kan schaden. Zo bleek in juli 2019 dat medewerkers van Google meeluisterden naar opnames die gemaakt zijn met de Google Home-luidsprekers en via de Google Assistent-app op smartphones. Het betrof niet alleen gesprekken van mensen die heel duidelijk tegen de VVA spraken, maar ook willekeurige conversaties die niet bedoeld waren voor de VVA. Daarnaast en niet onbelangrijk worden ook gesprekken of beelden opgenomen van personen die toevallig in een ruimte aanwezig zijn.
Nu het risico op schending van privacy groot is bij VVA's, heeft de EDPB richtsnoeren opgesteld over het aanbieden van virtuele spraakassistenten en de omgang met persoonsgegevens die daarbij worden verkregen.
Informeren over gegevensverwerking
Eén van de aanbevelingen is dat VVA-aanbieders en/of -ontwikkelaars moeten voorzien in spraakgestuurde interfaces om gebruikers tijdens de installatie te informeren over gegevensverwerking. Zij moeten ook vermijden hun VVA-dienst te bundelen met andere diensten, zoals e-mail of videostreaming, om te voorkomen dat de omvang van de verwerking onduidelijk is voor gebruikers waardoor het transparantiebeginsel zou worden geschonden.
Aanbieders kunnen problemen ondervinden met betrekking tot het nodeloos langdurig bewaren van persoonsgegevens, met name als het gaat om gegevens die actief door gebruikers moeten worden gewist. Gegevens mogen niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verzameld.
Voor de gebruiker is het doel van de verwerking het opvragen en het ontvangen van informatie, het in gang zetten van acties zoals het afspelen van muziek of het in- of uitschakelen van lichten of verwarming. Nadat een vraag is beantwoord of een opdracht is uitgevoerd, is er geen reden de gegevens nog te bewaren en automatisch wissen zou in feite een standaard instelling moeten zijn die door gebruikers kan worden aangepast. Dit is een belangrijk aspect omdat juist dit type informatie veel inzicht biedt in persoonlijke levensstijl binnenshuis, zoals afwezigheid, energiegebruik, persoonlijke voorkeuren en interesses, leefgebied, samenstelling van een huishouden sociaal gedrag en politieke voorkeuren.
Geautomatiseerde filtering
Met het oog op het beperken van risico's worden in de richtsnoeren ook technische oplossingen aangedragen, zoals het toepassen van geautomatiseerde filtering van achtergrondgeluiden. Op het moment dat de stem van een gebruiker wordt verzameld, moet immers worden voorkomen dat de opname de stem of gegevens van andere personen bevat, zoals achtergrondlawaai dat niet nodig is voor het uitvoeren van de opdracht.
De richtsnoeren bepalen tot slot dat de verwerkingsverantwoordelijken ervoor moeten zorgen dat alle betrokkenen (ook degenen die niet als gebruiker van de VVA zijn geregistreerd) hun rechten uit hoofde van de AVG kunnen uitoefenen door gemakkelijk uit te voeren spraakopdrachten. De VVA moet ook bevestigen dat het verzoek is verwerkt, hetzij met een stem, hetzij door een schriftelijke kennisgeving aan een ander apparaat of account.
De richtsnoeren over VVA's zijn nog niet definitief. De consultatieronde is gestart op 12 maart jl. en tot 23 april 2021 kunnen betrokken partijen commentaar leveren via de website van de EDPB. Na de consultatie stelt de EDPB de definitieve richtsnoeren vast.
.jpg?crop=300,495&format=webply&auto=webp)
.jpg?crop=300,495&format=webply&auto=webp)
