Mag een werkgever me verplichten toestemming te geven voor stem- en gezichtsherkenning tijdens vergaderingen?
woensdag 21 januari 2026, 11:12 door Arnoud Engelfriet, 22 reacties
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Mijn werkgever wil het mogelijk maken om Copilot onze Teams-meetings te laten opnemen en transcriben tot vergaderverslagen. Dit inclusief gebruik van stem- en gezichtsherkenning, omdat dit de kwaliteit van het verslag zou verhogen. Wij moeten daar nu toestemming voor geven in Teams, maar weigeren lijkt niet echt aan de orde. Kan de werkgever me dit verplichten?
Antwoord: Hoofdregel voor inzet van ict op het werk: de werkgever kiest de middelen waarmee het werk wordt gedaan. Als werknemer heb je daar weinig van te vinden. Natuurlijk moet de werkgever wel rekening houden met jouw redelijke belangen, en privacy (en AVG) is er daar een van.
Wanneer je privacy of persoonsgegevens in het geding zijn, moet de werkgever dat via de AVG rechtvaardigen. Toestemming is daarbij geen optie, omdat in een werknemersrelatie eigenlijk altijd sprake is van afhankelijkheid (je wil dat vaste contract, opslag, managementfunctie). Dus dan moet de werkgever óf betogen dat het echt nodig is voor werk, óf dat zijn gerechtvaardigd belang wint van het jouwe.
De lat bij nodig voor het werk ligt erg hoog, en ik denk dat je met “onze vergaderverslagen worden er beter van” daar niet aan komt. Dus dan komen we automatisch bij het gerechtvaardigd belang.
Voor een transcriptie sec zie ik dat wel. Die meeting was werk en een transcriptie van een meeting is nuttig en weinig privacygevoelig. Ik zou het moeilijk vinden daar concrete bezwaren tegen te verzinnen (even aangenomen dat de AVG-randzaken gedicht zijn en we doen alsof Privacy Shield gewoon geldt, want we zijn jurist).
Die extra feature was nieuw voor mij. Bij Microsoft lees ik hierover dat
Voice and face enrollment is a feature in Microsoft Teams that allows users to create a voice and face profile. Voice and face enrollment is used to improve the audio quality and user experience of Teams meetings and calls. This feature helps to reduce background noise and secondary speakers and provides speaker attribution and Microsoft Copilot accuracy in meeting rooms equipped with Microsoft Teams Rooms devices. Admins and security teams can manage and control this feature and ensure for which user the enrollment and usage of the profile are turned on.
Het idee is dus inderdaad dat je via je stem en gezicht beter herkend wordt, en dat een transcriptie daarop afgestemd kan worden. Alice heeft een Vlaams accent, vandaar de aarzeling tussen “afstemming” en “afzetting”. Bob zit rechts en het geluid kwam van links, dus was dat Bob niet.
Uit dat Microsoft-artikel haal ik niet dat je toestemming moet geven. Een admin kan deze feature gewoon aanzetten. Maar goed, toestemming had ook geen zin, en zou je hooguit kunnen opvatten als een expliciete waarschuwing “let op, dat gaan we vanaf nu doen”.
De wijze waarop dit werkt, lijkt me gezien de beperkte impact (MS bezweert dat ze er niets mee doen verder) nog wel verdedigbaar. Het probleem zit hem zoals altijd in dat “bezweert”: velen (waaronder ik) zijn ondertussen zo cynisch over alle mooie beloftes van beperkt gebruik dat ze daar niet meer op willen varen.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Reacties (22)
21-01-2026, 12:30 door
Apke
AI inzetten om gesproken meetings te transcriben is natuurlijk een geweldige manier van werken maar ........
de AI tool zal leren van hetgeen gezegd wordt en kan deze informatie gebruiken voor toekomstige vragen. Ik kan mij voorstellen dat er bedrijven zijn die niet met naam genoemd willen worden als het gaat om het implementeren van bepaalde oplossingen of beveiligingsmaatregelen.
de AI tool zal leren van hetgeen gezegd wordt en kan deze informatie gebruiken voor toekomstige vragen. Ik kan mij voorstellen dat er bedrijven zijn die niet met naam genoemd willen worden als het gaat om het implementeren van bepaalde oplossingen of beveiligingsmaatregelen.
21-01-2026, 12:39 door
Anoniem
Sjesus zeg. Heeft Arnoud het verloren?
Nee natuurlijk sta ik mijn biometrische gegevens niet af aan big tech. Al staat morgen het hele universum in brand!
Nee natuurlijk sta ik mijn biometrische gegevens niet af aan big tech. Al staat morgen het hele universum in brand!
21-01-2026, 12:42 door
Anoniem
Ben benieuwd, hoe zit het met met mogelijk verwerken van bijzondere persoonsgegevens (afhankelijk van hoe deze tool werkt)
Wel typisch dat je refereert aan 'jurist' zijnde en dan specifiek privacy shield noemt. Volgens mij is die al lang afgeschoten en bestaat er nu een nieuw framework ;)
Wel typisch dat je refereert aan 'jurist' zijnde en dan specifiek privacy shield noemt. Volgens mij is die al lang afgeschoten en bestaat er nu een nieuw framework ;)
21-01-2026, 12:45 door
Anoniem
Door Apke: AI inzetten om gesproken meetings te transcriben is natuurlijk een geweldige manier van werken maar ........
de AI tool zal leren van hetgeen gezegd wordt en kan deze informatie gebruiken voor toekomstige vragen. Ik kan mij voorstellen dat er bedrijven zijn die niet met naam genoemd willen worden als het gaat om het implementeren van bepaalde oplossingen of beveiligingsmaatregelen.
de AI tool zal leren van hetgeen gezegd wordt en kan deze informatie gebruiken voor toekomstige vragen. Ik kan mij voorstellen dat er bedrijven zijn die niet met naam genoemd willen worden als het gaat om het implementeren van bepaalde oplossingen of beveiligingsmaatregelen.
Dit is niet helemaal waar als je het goed hebt ingeregeld. In de enterprise contracten met MS rondom Co-pilot staat dat de AI niet getrained wordt met de data die in je tennant (waaronder deze optie) wordt gezien.
21-01-2026, 13:12 door
Anoniem
Audio kan theoretisch worden ge-poisoned (audio poison pilling) zodat AI er niks mee kan. Ik heb er alleen nog geen kant en klare oplossingen voor gezien.
https://openreview.net/pdf?id=4lIXrDF6C3KF
https://openreview.net/pdf?id=4lIXrDF6C3KF
21-01-2026, 13:12 door
EersteEnigeEchte M.J. - EEEMJ
Wat ik, ook als ik er alleen met een "juridische" bril naar kijk, mis in het bovenstaande verhaal, is het feit dat er bij digitale stem- en gezichtsherkenning biometrische gegevens worden verwerkt, waardoor artikel 9 AVG van toepassing is (of zou moeten zijn).
Als het om een werkgever in de EU gaat, dan lijkt me dat er moet worden voldaan aan het in artikel 9 AVG opgelegde verbod op verwerking van die gegevens. Van de in het tweede lid van dat artikel genoemde uitzonderingen lijkt me hier geen sprake.
Graag zou ik daar nog een reactie op horen van Arnoud Engelfriet.
Als het om een werkgever in de EU gaat, dan lijkt me dat er moet worden voldaan aan het in artikel 9 AVG opgelegde verbod op verwerking van die gegevens. Van de in het tweede lid van dat artikel genoemde uitzonderingen lijkt me hier geen sprake.
Graag zou ik daar nog een reactie op horen van Arnoud Engelfriet.
21-01-2026, 13:47 door
Anoniem
Ik was bij 'teams' al afgehaakt.
Zoek maar een andere loonslaaf. Of je nou in je recht staat of niet. NEE!
Zoek maar een andere loonslaaf. Of je nou in je recht staat of niet. NEE!
21-01-2026, 14:51 door
Reinder
Door Anoniem: Sjesus zeg. Heeft Arnoud het verloren?
Nee natuurlijk sta ik mijn biometrische gegevens niet af aan big tech. Al staat morgen het hele universum in brand!
Nee natuurlijk sta ik mijn biometrische gegevens niet af aan big tech. Al staat morgen het hele universum in brand!
Nou, dat is heel stellig en zo, maar ik geloof niet helemaal hoe het werkt en wat de vraag was. De vraag is, als vergaderen een onderdeel is van het werk, en de werkgever kan van zo'n vergadering notulen maken, is er dan een goede grond op basis waarvan je kan weigeren dat die door zo'n AI-notulist wordt gemaakt in plaats van door een notulist of een van de aanwezigen.
Wellicht kan je via de "verwerking van biometrische gegevens"-route daar bezwaar tegen hebben, en bij een fatsoenlijke organisatie verwacht ik dat er vooraf gevraagd wordt of er bezwaar is tegen AI-notulen en/of gespreks-opnamen en dat die niet door AI gemaakt worden als een van de aanwezigen daartegen bezwaar uit. Maar "heeft Arnoud het verloren" vind ik een ongepaste reactie. De vraag betrof een juridische kwestie, en die lijkt mij goed (alhoewel niet geheel volledig) beantwoord.
Overigens, het staat je natuurlijk altijd vrij om de redelijke instructies van een werkgever te weigeren, maar dat is dan werkweigering en dat kan resulteren in sancties of ontslag. Je kan ook weigeren om Outlook te gebruiken om email te sturen, maar dan moet je accepteren dat je daar niet lang zal kunnen blijven werken als email sturen een onderdeel is van je werk. Je kan natuurlijk ook altijd ontslag nemen.
21-01-2026, 15:27 door
Anoniem
Kassameisjes deden vroeger, bij de supermarkt waar ik werkte, een x-aantal piepjes per minuut, waarmee de dayaboyz de caissiere van de week konden bepalen die het snelste had gepiept. Leuk gebbetje, en een boekenbon als beloning.
Uiteraard wist HR daarna ook wie het sloomste was, welke snelheid normaal was bij welke leeftijd, en hoe vaak en lang de dames naar het toilet gingen, en of dat wel in verhouding stond tot een 28-dagen cyclus.
Efficient vergaderen is een ding, maar als dit soort technieken eerst worden aangezet, dan kan men later, veel later, voorspellen welke medewerker binnenkort ontslag neemt, of wie het stiekem met wie doet. Uiteraard doen ze dat niet hoor.
Als je in deze tijd nog vol vertrouwen hebt in Amerikaanse IT bedrijven, en je nek nog wat verder de strop induwt, dan ... tsja.
(typte hij draadloos tegen een Windows PC naast een android telefoon tegen een bedrijf dat zijn ipadres en teksten opslaat op een of ander harde schijf ergens.;-)
Uiteraard wist HR daarna ook wie het sloomste was, welke snelheid normaal was bij welke leeftijd, en hoe vaak en lang de dames naar het toilet gingen, en of dat wel in verhouding stond tot een 28-dagen cyclus.
Efficient vergaderen is een ding, maar als dit soort technieken eerst worden aangezet, dan kan men later, veel later, voorspellen welke medewerker binnenkort ontslag neemt, of wie het stiekem met wie doet. Uiteraard doen ze dat niet hoor.
Als je in deze tijd nog vol vertrouwen hebt in Amerikaanse IT bedrijven, en je nek nog wat verder de strop induwt, dan ... tsja.
(typte hij draadloos tegen een Windows PC naast een android telefoon tegen een bedrijf dat zijn ipadres en teksten opslaat op een of ander harde schijf ergens.;-)
Door Reinder:
Nou, dat is heel stellig en zo, maar ik geloof niet helemaal hoe het werkt en wat de vraag was. De vraag is, als vergaderen een onderdeel is van het werk, en de werkgever kan van zo'n vergadering notulen maken, is er dan een goede grond op basis waarvan je kan weigeren dat die door zo'n AI-notulist wordt gemaakt in plaats van door een notulist of een van de aanwezigen.
De vraag is onder andere of die AI-notulist dan ook biometrische gegevens van de deelnemers aan de vergadering verwerkt. En indien beweert wordt van niet, welke waarborgen er dan zijn dat de AI-notulist dat werkelijk niet doet. Ik denk dat @Anoniem (12:39) daar wel een punt heeft (dat ik zelf ook maakte (13:12) toen de reactie van @Anoniem hier nog niet gepubliceerd was).Door Anoniem: Sjesus zeg. Heeft Arnoud het verloren?
Nee natuurlijk sta ik mijn biometrische gegevens niet af aan big tech. Al staat morgen het hele universum in brand!
Nee natuurlijk sta ik mijn biometrische gegevens niet af aan big tech. Al staat morgen het hele universum in brand!
Nou, dat is heel stellig en zo, maar ik geloof niet helemaal hoe het werkt en wat de vraag was. De vraag is, als vergaderen een onderdeel is van het werk, en de werkgever kan van zo'n vergadering notulen maken, is er dan een goede grond op basis waarvan je kan weigeren dat die door zo'n AI-notulist wordt gemaakt in plaats van door een notulist of een van de aanwezigen.
Wellicht kan je via de "verwerking van biometrische gegevens"-route daar bezwaar tegen hebben, en bij een fatsoenlijke organisatie verwacht ik dat er vooraf gevraagd wordt of er bezwaar is tegen AI-notulen en/of gespreks-opnamen en dat die niet door AI gemaakt worden als een van de aanwezigen daartegen bezwaar uit. Maar "heeft Arnoud het verloren" vind ik een ongepaste reactie. De vraag betrof een juridische kwestie, en die lijkt mij goed (alhoewel niet geheel volledig) beantwoord.
Zeker niet volledig, en in mijn ogen vooralsnog ook niet goed, omdat artikel 9 AVG niet in beschouwing wordt genomen.Overigens, het staat je natuurlijk altijd vrij om de redelijke instructies van een werkgever te weigeren, maar dat is dan werkweigering en dat kan resulteren in sancties of ontslag. Je kan ook weigeren om Outlook te gebruiken om email te sturen, maar dan moet je accepteren dat je daar niet lang zal kunnen blijven werken als email sturen een onderdeel is van je werk. Je kan natuurlijk ook altijd ontslag nemen.
Outlook weigeren is echt iets heel anders, als het alleen gaat om emails in het kader van het werk. Dat zijn als het goed is geen privégegevens, met uitzondering van je naam. Je kunt ook kiezen om alleen je voornaam te gebruiken, net zoals al die helpdeskmedewerkers en receptionisten doen als ze worden gebeld. Heeft de werkgever daartegen bezwaar? Dan zou je toestemming moeten krijgen om beroepshalve een alias te gebruiken. Ik zie het al voor me: "Laten we op 23 februari een overleg inplannen om de zaak te bespreken ter voorbereiding van de teamvergadering. Met vriendelijke groet, Count Dooku".Misschien zou de "juridisch correcte oplossing" in het geval van (mogelijke) gezichtsregistratie van deelnemers aan een vergadering zijn om deelname aan dergelijke gezichtsherkennings-gemonitorde vergaderingen niet te weigeren, maar ondertussen wel een handhavingsverzoek bij de AP in te dienen op grond van strijd met artikel 9 AVG. Een goede kans dat de AP dan vijf jaar later aan behandeling van jouw handhavingsverzoek toekomt en dat, nadat Big Tech eerst vijf jaar lang jouw biometrische gegevens heeft verwerkt, de AP concludeert dat er meer onderzoek vereist is om te kunnen bepalen of dat rechtmatig is, maar dat de AP daar geen prioriteit aan geeft.
Dit is hoe het vaak werkt, en dit is waarom werkgevers je in feite voor de keuze kunnen stellen: ofwel je laat je biometrische gegevens in strijd met de wet verwerken, ofwel je raakt je baan kwijt.
Onder het fameuze, leugenachtige motto: "Wij respecteren jouw grondrechten, maar keuzes hebben consequenties."
M.J.
P.S. Maar Ursula von der Leyen en de EC vinden dat nog te veel "bescherming" van jouw privacy en willen daarom de AVG nog wat afzwakken zodat jouw gegevens nòg makkelijker "legaal" gebruikt kunnen worden voor het trainen van AI...
21-01-2026, 16:26 door
Anoniem
Voor transcriptie van vergaderingen is het niet nodig om de persoonlijke kenmerken (spraak/beeld) van deelnemers vast te leggen, dat is optioneel. Maar als die persoonlijke kenmerken wel worden vastgelegd en zo herleidbaar zijn naar echte personen, kan een persoon dan ook worden nagedaan met die informatie die ergens staat opgeslagen? Dat moet zeker met AI een koud kunstje zijn. Die digitale kenmerken van echte personen lijken mij zo een gewild doel voor hackers.
22-01-2026, 08:22 door
Anoniem
Door EersteEnigeEchte M.J. - EEEMJ: Wat ik, ook als ik er alleen met een "juridische" bril naar kijk, mis in het bovenstaande verhaal, is het feit dat er bij digitale stem- en gezichtsherkenning biometrische gegevens worden verwerkt, waardoor artikel 9 AVG van toepassing is (of zou moeten zijn).
Als het om een werkgever in de EU gaat, dan lijkt me dat er moet worden voldaan aan het in artikel 9 AVG opgelegde verbod op verwerking van die gegevens. Van de in het tweede lid van dat artikel genoemde uitzonderingen lijkt me hier geen sprake.
Graag zou ik daar nog een reactie op horen van Arnoud Engelfriet.
Als het om een werkgever in de EU gaat, dan lijkt me dat er moet worden voldaan aan het in artikel 9 AVG opgelegde verbod op verwerking van die gegevens. Van de in het tweede lid van dat artikel genoemde uitzonderingen lijkt me hier geen sprake.
Graag zou ik daar nog een reactie op horen van Arnoud Engelfriet.
Zo zwart wit is dit niet. Belgische toezichthouder heeft daar een mooi stuk over. Een MEL-spectogram van een geluidsopname is bijv. wel een bijzonder persoonsgegevens. Het hangt af van de precieze techniek die wordt gebruikt.
Maar Arnoud gaat vaker veel te kort door de bocht als het om AVG gaat.
22-01-2026, 09:52 door
Anoniem
Ik ben wel benieuwd welke bedrijven zo ver willen gaan met het schenden van de privacy van hun personeel, mij lijkt dat je op andere manieren hetzelfde resultaat kunt bereiken.
22-01-2026, 10:54 door
majortom
Door Anoniem: Ik ben wel benieuwd welke bedrijven zo ver willen gaan met het schenden van de privacy van hun personeel, mij lijkt dat je op andere manieren hetzelfde resultaat kunt bereiken.
Sommige bedrijven zijn net mensen: een nieuwe feature wordt ingebouwd en ze willen het gebruiken, zonder na te denken over eventuele gevolgen voor hun medewerkers.In een online meeting zit ik altijd zonder beeld en dat heeft een (security & privacy) reden (en daarbij: mijn camera's zijn fysiek disabled dus kan het niet eens).
Ik snap ook niet waarom gezichtsherkenning nodig is voor een verslag: in een teams call weet je toch al exact wie wat zegt?
Door Anoniem:
Zo zwart wit is dit niet. Belgische toezichthouder heeft daar een mooi stuk over. Een MEL-spectogram van een geluidsopname is bijv. wel een bijzonder persoonsgegevens. Het hangt af van de precieze techniek die wordt gebruikt.
Door EersteEnigeEchte M.J. - EEEMJ: Wat ik, ook als ik er alleen met een "juridische" bril naar kijk, mis in het bovenstaande verhaal, is het feit dat er bij digitale stem- en gezichtsherkenning biometrische gegevens worden verwerkt, waardoor artikel 9 AVG van toepassing is (of zou moeten zijn).
Als het om een werkgever in de EU gaat, dan lijkt me dat er moet worden voldaan aan het in artikel 9 AVG opgelegde verbod op verwerking van die gegevens. Van de in het tweede lid van dat artikel genoemde uitzonderingen lijkt me hier geen sprake.
Graag zou ik daar nog een reactie op horen van Arnoud Engelfriet.
Als het om een werkgever in de EU gaat, dan lijkt me dat er moet worden voldaan aan het in artikel 9 AVG opgelegde verbod op verwerking van die gegevens. Van de in het tweede lid van dat artikel genoemde uitzonderingen lijkt me hier geen sprake.
Graag zou ik daar nog een reactie op horen van Arnoud Engelfriet.
Zo zwart wit is dit niet. Belgische toezichthouder heeft daar een mooi stuk over. Een MEL-spectogram van een geluidsopname is bijv. wel een bijzonder persoonsgegevens. Het hangt af van de precieze techniek die wordt gebruikt.
Dit is precies het argument dat ik hoopte dat iemand zou inbrengen. Want nee, het hangt niet af van de precieze techniek die wordt gebruikt. In artikel 4.1 AVG wordt "persoonsgegeven" gedefinieerd als een gegeven dat "herleidbaar is" tot personen, en dat is niet slechts een gegeven dat "daadwerklijk herleid wordt" tot personen. Bij het bepalen of iets herleidbaar is tot personen, moet worden gekeken naar alle technieken die voorhanden zijn of die naar verwachting voorhanden zullen zijn.
In artikel 9.1 AVG wordt vervolgens gedefinieerd welke persoonsgegevens "bijzonder" zijn, en daaraan wordt een verwerkingsverbod gekoppeld. In die definitie wordt de vraag of persoonsgegevens bijzonder zijn, niet(!!) afhankelijk gemaakt van het gebruik van enige techniek. In artikel 9.2 AVG worden vervolgens uitzonderingen op dat verwerkingsverbod genoemd.
Anti-privacy-lobbies en anti-privacy-overheden proberen dat te verdoezelen door te doen alsof persoonsgegevens alleen "bijzonder" zouden zijn als ze daadwerkelijk worden verwerkt en daarbij herleid tot personen. Maar die gegevens zijn precies even bijzonder als ze kunnen worden herleid tot personen, ook voordat ze daadwerkelijk worden verwerkt.
Je gaat van een hondje ook niet zeggen: "Het is alleen een rashondje als het meedoet aan hondenwedstrijd X in land Y." Nee, of het een rashondje is, hangt af van de aard van het hondje zelf, niet van wat er met dat hondje wordt gedaan.
Als het gaat om bijzondere persoonsgegevens, bijvoorbeeld biometrische kenmerken, dan geldt dat ook voor die persoonsgegevens overweging (15) van de AVG van kracht is. Die overweging gaat over technologieneutraliteit bij afwegingen welke soorten verwerking daarvan rechtmatig is, met het oog op de doelen waarvoor die verwerking plaatsvindt. Een onnodig privacy-invasieve techniek mag niet worden gebruikt als er een minder privacy-invasieve techniek voorhanden is waarmee dezelfde doelen kunnen worden bereikt ("subsidiariteit"). Anti-privacy-lobbyisten en anti-privacy-overheden negeren dat en "vergeten" die overweging van de AVG. Ook rechters doen helaas aan die "vergeetachtigheid" mee.
Een beroep op een keuze voor het "nog niet daadwerkelijk gebruiken" van een bepaalde techniek als argument waarom een persoonsgegeven niet als bijzonder zou moeten worden beschouwd, en dus minder bescherming zou verdienen, faalt dus. Of zou althans falen als er in Nederland en de EU sprake was van een rechtsstaat.
Maar Arnoud gaat vaker veel te kort door de bocht als het om AVG gaat.
Dit laatste ben ik wel met je eens. Eigenlijk is "kort door de bocht" nog niet eens de goede uitdrukking. Hij gedraagt zich, met name door het weglaten van relevante zaken, met enige regelmaat als een soort apologeet (goedprater) van onrechtmatige privacy-aantastingen. Wat zijn motieven daarvoor zijn, zou hij zelf maar eens een keer moeten uitleggen hier op dit forum.
Mogelijk is er niemand anders met een bepaalde status bereid om hier op dit forum zo'n regelmatige "adviesrubriek" bij te houden en moet de redactie van Security.nl daarom genoegen nemen met wat Arnoud biedt. Wie het weet mag het zeggen.
M.J.
22-01-2026, 16:57 door
Anoniem
Door Anoniem: Voor transcriptie van vergaderingen is het niet nodig om de persoonlijke kenmerken (spraak/beeld) van deelnemers vast te leggen, dat is optioneel. Maar als die persoonlijke kenmerken wel worden vastgelegd en zo herleidbaar zijn naar echte personen, kan een persoon dan ook worden nagedaan met die informatie die ergens staat opgeslagen? Dat moet zeker met AI een koud kunstje zijn. Die digitale kenmerken van echte personen lijken mij zo een gewild doel voor hackers.
Test het eens zou ik zeggen.
Er worden geen digitale kenmerken vast gelegd. elke vergadering is weer nieuw, transcriptie werkt niet anders dan een secretaresse die jouw naam op schrijft en er bij zet wat je zegt. niet meer en niet minder. de secretaresse herkend ook je stem en gezicht en maakt een notulen op basis van die gegevens. copilot houd de audio en video niet vast. het is niet voor niets een live transcriptie. dus er valt ook niets na te doen of te manipuleren. er zijn geen digitale kenmerken bij die persoon, Het werkt ook in een ruimte waar copilot niet eens weet wie wie is alleen kan hij daar niet de naam bij zetten, want dat weet hij rond uit niet.
22-01-2026, 21:04 door
Anoniem
De AP heeft een behoorlijke lange pagina over biometrische gegevens. Als biometrie wordt ingezet om mensen te identificeren dan is een DPIA nodig. Omdat het dan om bijzondere persoonsgegevens gaat is toestemming niet genoeg; het zou een *uitdrukkelijke* toestemming moeten zijn. En die laatste optie bestaat niet in een arbeidsrelatie.
https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie/regels-voor-gebruik-biometrie
https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie/regels-voor-gebruik-biometrie
22-01-2026, 23:29 door
Anoniem
Door Anoniem: Er worden geen digitale kenmerken vast gelegd. elke vergadering is weer nieuw, transcriptie werkt niet anders dan een secretaresse die jouw naam op schrijft en er bij zet wat je zegt. niet meer en niet minder. de secretaresse herkend ook je stem en gezicht en maakt een notulen op basis van die gegevens. copilot houd de audio en video niet vast. het is niet voor niets een live transcriptie. dus er valt ook niets na te doen of te manipuleren. er zijn geen digitale kenmerken bij die persoon, Het werkt ook in een ruimte waar copilot niet eens weet wie wie is alleen kan hij daar niet de naam bij zetten, want dat weet hij rond uit niet.
Copilot houd de audio van tot personen herleidbare stemmen en de video van de gezichten van personenwel degelijk vast, alleen heel kort. Namelijk lang genoeg om ze te kunnen gebruiken. En trouwens ook om ze te kunnen uploaden naar een server in Amerika... Maar dat weten we niet, hè? Er is dus sprake van het verzamelen van gegevens en van gegevensverwerking, en die is bij biometrische kenmerken verboden zonder ondubbelzinnige, uitdrukkelijke toestemming van de betrokkene.
Het verschil met een secretaresse die bij het notuleren ook stemmen en gezichten herkent, is dat een secretaresse geen digitaal datasysteem is, maar een mens. Dan is er bij die gezichtsherkenning geen sprake van "gegevensverwerking".
Zelfde verschil als wanneer een portier in een nachtclub een zichtcontrole doet op je rijbewijs en jouw gezicht om te checken of je al 18 bent, vergeleken met het registreren van jouw NAW-gegevens in een digitaal systeem omdat je anders niet naar binnen mag.
Waarom toch die haast om net te doen alsof mensen en machines hetzelfde zijn?
23-01-2026, 08:45 door
Anoniem
Arnoud is geloof ik van jurist (is al geen echte titel) verschoven naar big-tech promotor. Hij slaat de plank hier regelmatig mis, zo ook nu.
Een werkgever mag je nooit verplichten biometrische gegevens af te staan, tenzij er echt geen andere manier is om een bepaald doel te bewerkstelligen. Bijvoorbeeld het inloggen met een vingerafdruk op een klok systeem: mogen ze niet afdwingen, kan ook met een pasje.
In dit geval is het absoluut geen noodzaak. Biometrische gegevens gebruiken om "dingen beter te laten werken" is gewoon absoluut juridisch onhoudbaar. En wat mij betreft ook moreel verwerpelijk.
Een werkgever mag je nooit verplichten biometrische gegevens af te staan, tenzij er echt geen andere manier is om een bepaald doel te bewerkstelligen. Bijvoorbeeld het inloggen met een vingerafdruk op een klok systeem: mogen ze niet afdwingen, kan ook met een pasje.
In dit geval is het absoluut geen noodzaak. Biometrische gegevens gebruiken om "dingen beter te laten werken" is gewoon absoluut juridisch onhoudbaar. En wat mij betreft ook moreel verwerpelijk.
23-01-2026, 14:55 door
Anoniem
Door Anoniem: Sjesus zeg. Heeft Arnoud het verloren?
Nee natuurlijk sta ik mijn biometrische gegevens niet af aan big tech. Al staat morgen het hele universum in brand!
Nee natuurlijk sta ik mijn biometrische gegevens niet af aan big tech. Al staat morgen het hele universum in brand!
Nee natuurlijk doe jij dat niet. Je loopt waarschijnlijk met een hoodie en een te donkere zonnebril buiten rond? Want camera's in het centrum van je dorp/stad en genoeg voordeurbelcamera's ;) Overigens zullen de beelden van de deurbellen niet naar de BigTech gaan maar juist naar de kleinere bedrijven uit China, maar daar heb je zo te lezen dan geen probleem mee? (..sta...niet af aan big tech.)
23-01-2026, 22:33 door
Anoniem
Door EersteEnigeEchte M.J. - EEEMJ:
Dit is precies het argument dat ik hoopte dat iemand zou inbrengen. Want nee, het hangt niet af van de precieze techniek die wordt gebruikt. In artikel 4.1 AVG wordt "persoonsgegeven" gedefinieerd als een gegeven dat "herleidbaar is" tot personen, en dat is niet slechts een gegeven dat "daadwerklijk herleid wordt" tot personen. Bij het bepalen of iets herleidbaar is tot personen, moet worden gekeken naar alle technieken die voorhanden zijn of die naar verwachting voorhanden zullen zijn.
In artikel 9.1 AVG wordt vervolgens gedefinieerd welke persoonsgegevens "bijzonder" zijn, en daaraan wordt een verwerkingsverbod gekoppeld. In die definitie wordt de vraag of persoonsgegevens bijzonder zijn, niet(!!) afhankelijk gemaakt van het gebruik van enige techniek. In artikel 9.2 AVG worden vervolgens uitzonderingen op dat verwerkingsverbod genoemd.
Anti-privacy-lobbies en anti-privacy-overheden proberen dat te verdoezelen door te doen alsof persoonsgegevens alleen "bijzonder" zouden zijn als ze daadwerkelijk worden verwerkt en daarbij herleid tot personen. Maar die gegevens zijn precies even bijzonder als ze kunnen worden herleid tot personen, ook voordat ze daadwerkelijk worden verwerkt.
Je gaat van een hondje ook niet zeggen: "Het is alleen een rashondje als het meedoet aan hondenwedstrijd X in land Y." Nee, of het een rashondje is, hangt af van de aard van het hondje zelf, niet van wat er met dat hondje wordt gedaan.
Als het gaat om bijzondere persoonsgegevens, bijvoorbeeld biometrische kenmerken, dan geldt dat ook voor die persoonsgegevens overweging (15) van de AVG van kracht is. Die overweging gaat over technologieneutraliteit bij afwegingen welke soorten verwerking daarvan rechtmatig is, met het oog op de doelen waarvoor die verwerking plaatsvindt. Een onnodig privacy-invasieve techniek mag niet worden gebruikt als er een minder privacy-invasieve techniek voorhanden is waarmee dezelfde doelen kunnen worden bereikt ("subsidiariteit"). Anti-privacy-lobbyisten en anti-privacy-overheden negeren dat en "vergeten" die overweging van de AVG. Ook rechters doen helaas aan die "vergeetachtigheid" mee.
Een beroep op een keuze voor het "nog niet daadwerkelijk gebruiken" van een bepaalde techniek als argument waarom een persoonsgegeven niet als bijzonder zou moeten worden beschouwd, en dus minder bescherming zou verdienen, faalt dus. Of zou althans falen als er in Nederland en de EU sprake was van een rechtsstaat.
Dit laatste ben ik wel met je eens. Eigenlijk is "kort door de bocht" nog niet eens de goede uitdrukking. Hij gedraagt zich, met name door het weglaten van relevante zaken, met enige regelmaat als een soort apologeet (goedprater) van onrechtmatige privacy-aantastingen. Wat zijn motieven daarvoor zijn, zou hij zelf maar eens een keer moeten uitleggen hier op dit forum.
Mogelijk is er niemand anders met een bepaalde status bereid om hier op dit forum zo'n regelmatige "adviesrubriek" bij te houden en moet de redactie van Security.nl daarom genoegen nemen met wat Arnoud biedt. Wie het weet mag het zeggen.
M.J.
Door Anoniem:
Zo zwart wit is dit niet. Belgische toezichthouder heeft daar een mooi stuk over. Een MEL-spectogram van een geluidsopname is bijv. wel een bijzonder persoonsgegevens. Het hangt af van de precieze techniek die wordt gebruikt.
Door EersteEnigeEchte M.J. - EEEMJ: Wat ik, ook als ik er alleen met een "juridische" bril naar kijk, mis in het bovenstaande verhaal, is het feit dat er bij digitale stem- en gezichtsherkenning biometrische gegevens worden verwerkt, waardoor artikel 9 AVG van toepassing is (of zou moeten zijn).
Als het om een werkgever in de EU gaat, dan lijkt me dat er moet worden voldaan aan het in artikel 9 AVG opgelegde verbod op verwerking van die gegevens. Van de in het tweede lid van dat artikel genoemde uitzonderingen lijkt me hier geen sprake.
Graag zou ik daar nog een reactie op horen van Arnoud Engelfriet.
Als het om een werkgever in de EU gaat, dan lijkt me dat er moet worden voldaan aan het in artikel 9 AVG opgelegde verbod op verwerking van die gegevens. Van de in het tweede lid van dat artikel genoemde uitzonderingen lijkt me hier geen sprake.
Graag zou ik daar nog een reactie op horen van Arnoud Engelfriet.
Zo zwart wit is dit niet. Belgische toezichthouder heeft daar een mooi stuk over. Een MEL-spectogram van een geluidsopname is bijv. wel een bijzonder persoonsgegevens. Het hangt af van de precieze techniek die wordt gebruikt.
Dit is precies het argument dat ik hoopte dat iemand zou inbrengen. Want nee, het hangt niet af van de precieze techniek die wordt gebruikt. In artikel 4.1 AVG wordt "persoonsgegeven" gedefinieerd als een gegeven dat "herleidbaar is" tot personen, en dat is niet slechts een gegeven dat "daadwerklijk herleid wordt" tot personen. Bij het bepalen of iets herleidbaar is tot personen, moet worden gekeken naar alle technieken die voorhanden zijn of die naar verwachting voorhanden zullen zijn.
In artikel 9.1 AVG wordt vervolgens gedefinieerd welke persoonsgegevens "bijzonder" zijn, en daaraan wordt een verwerkingsverbod gekoppeld. In die definitie wordt de vraag of persoonsgegevens bijzonder zijn, niet(!!) afhankelijk gemaakt van het gebruik van enige techniek. In artikel 9.2 AVG worden vervolgens uitzonderingen op dat verwerkingsverbod genoemd.
Anti-privacy-lobbies en anti-privacy-overheden proberen dat te verdoezelen door te doen alsof persoonsgegevens alleen "bijzonder" zouden zijn als ze daadwerkelijk worden verwerkt en daarbij herleid tot personen. Maar die gegevens zijn precies even bijzonder als ze kunnen worden herleid tot personen, ook voordat ze daadwerkelijk worden verwerkt.
Je gaat van een hondje ook niet zeggen: "Het is alleen een rashondje als het meedoet aan hondenwedstrijd X in land Y." Nee, of het een rashondje is, hangt af van de aard van het hondje zelf, niet van wat er met dat hondje wordt gedaan.
Als het gaat om bijzondere persoonsgegevens, bijvoorbeeld biometrische kenmerken, dan geldt dat ook voor die persoonsgegevens overweging (15) van de AVG van kracht is. Die overweging gaat over technologieneutraliteit bij afwegingen welke soorten verwerking daarvan rechtmatig is, met het oog op de doelen waarvoor die verwerking plaatsvindt. Een onnodig privacy-invasieve techniek mag niet worden gebruikt als er een minder privacy-invasieve techniek voorhanden is waarmee dezelfde doelen kunnen worden bereikt ("subsidiariteit"). Anti-privacy-lobbyisten en anti-privacy-overheden negeren dat en "vergeten" die overweging van de AVG. Ook rechters doen helaas aan die "vergeetachtigheid" mee.
Een beroep op een keuze voor het "nog niet daadwerkelijk gebruiken" van een bepaalde techniek als argument waarom een persoonsgegeven niet als bijzonder zou moeten worden beschouwd, en dus minder bescherming zou verdienen, faalt dus. Of zou althans falen als er in Nederland en de EU sprake was van een rechtsstaat.
Maar Arnoud gaat vaker veel te kort door de bocht als het om AVG gaat.
Dit laatste ben ik wel met je eens. Eigenlijk is "kort door de bocht" nog niet eens de goede uitdrukking. Hij gedraagt zich, met name door het weglaten van relevante zaken, met enige regelmaat als een soort apologeet (goedprater) van onrechtmatige privacy-aantastingen. Wat zijn motieven daarvoor zijn, zou hij zelf maar eens een keer moeten uitleggen hier op dit forum.
Mogelijk is er niemand anders met een bepaalde status bereid om hier op dit forum zo'n regelmatige "adviesrubriek" bij te houden en moet de redactie van Security.nl daarom genoegen nemen met wat Arnoud biedt. Wie het weet mag het zeggen.
M.J.
Je hebt in de privacywereld de belangenbehartigers van de betrokkenen, denk aan NoYB/ bits of freedom, en de belangenbehartigers van het bedrijfsleven en marketeers zoals de heer Engelfried.
Privacy shield is idd een slip of the tongue voor een jurist die privacyopleidingen verzorgd.
Met de digitale omnibus wordt verwerking van persoonsgegevens door AI en bigtech natuurlijk bijna helemaal vrijgegeven.
24-01-2026, 20:08 door
EersteEnigeEchte M.J. - EEEMJ
[Verwijderd door moderator]
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?