Is een AI-telefoniste AVG- en AI Act-proof? Wat je moet weten (2026)

Een AI die telefoongesprekken voert, verwerkt persoonsgegevens — namen, telefoonnummers, soms gevoelige informatie. Dat maakt privacy en regelgeving een terechte zorg. Het goede nieuws: een AI-telefoniste is prima inzetbaar binnen de AVG en de EU AI Act, zolang je de juiste voorwaarden regelt. In dit artikel lees je wat de regels vragen en hoe je een aanbieder kiest die het serieus neemt.

Mag een AI-telefoniste onder de AVG?

Ja, een AI-telefoniste mag onder de Algemene Verordening Gegevensbescherming (AVG), net als elke andere verwerker van persoonsgegevens. De voorwaarden zijn dezelfde als bij een menselijke antwoordservice: er moet een rechtmatig doel zijn, je sluit een verwerkersovereenkomst met de aanbieder, en je informeert bellers over hoe je met hun gegevens omgaat. De officiële uitleg van deze verplichtingen vind je bij de Autoriteit Persoonsgegevens.

De verwerkersovereenkomst: niet optioneel

Zodra een externe partij namens jou persoonsgegevens verwerkt, schrijft artikel 28 van de AVG een verwerkersovereenkomst voor. Daarin staat wat de aanbieder met de gegevens mag doen, hoe lang ze worden bewaard en welke beveiligingsmaatregelen gelden. NeemtOp levert deze overeenkomst standaard. Krijg je van een aanbieder geen verwerkersovereenkomst, dan is dat een rode vlag.

Waar staat de data? Het belang van EU-hosting

Worden gesprekken verwerkt op servers buiten de EU, dan komen er extra verplichtingen en risico's bij kijken. Daarom is EU-hosting het verstandige uitgangspunt. NeemtOp draait alle systemen op Europese servers in Neurenberg (Duitsland), met de optie van een volledig EU-only verwerkingsketen voor gereguleerde sectoren. Vraag elke aanbieder concreet waar de data fysiek staat — 'in de cloud' is geen antwoord.

De EU AI Act: wat verandert er in 2026?

De EU AI Act is in 2025 in werking getreden en wordt gefaseerd ingevoerd. Voor een AI-telefoniste is vooral de transparantieverplichting (artikel 50) relevant: gebruikers moeten weten dat ze met een AI-systeem communiceren. Daarom opent elke NeemtOp-agent met een korte AI-melding aan het begin van het gesprek, en kan de beller altijd vragen om een mens. De officiële tekst en tijdlijn staan op de pagina van de Europese Commissie.

Strengere eisen voor gevoelige sectoren

Zet je een AI-telefoniste in voor essentiële diensten — denk aan een huisartsenpraktijk — dan kan een strengere risicoclassificatie van toepassing zijn. Dat betekent extra documentatie en een risicobeoordeling. Voor zorg, advocatuur en financiële dienstverlening loont het om vooraf met de aanbieder te bespreken hoe zij hiermee omgaan en welke afspraken zij vastleggen.

Bewaartermijnen en dataminimalisatie

De AVG vraagt om dataminimalisatie: bewaar niet meer en niet langer dan nodig. Een goede aanbieder laat je de bewaartermijn van transcripties zelf instellen en bewaart gesprekken niet standaard langdurig. Vraag specifiek hoe lang opnames en transcripten worden bewaard en of je dat kunt aanpassen — bij NeemtOp is dat configureerbaar, met een standaard van 30 dagen.

Hoe herken je een compliant aanbieder?

Veel aanbieders zetten 'AVG-compliant' op hun homepage zonder het te onderbouwen. Let daarom op aantoonbare signalen:

• Een standaard verwerkersovereenkomst die je vooraf mag inzien.
• Concrete informatie over waar de data wordt gehost (bij voorkeur EU).
• Een publiek verwerkingsregister of overzicht van sub-verwerkers.
• Een ingebouwde AI-melding aan het begin van elk gesprek.
• De mogelijkheid om bewaartermijnen zelf te bepalen.

Conclusie

Een AI-telefoniste is AVG- en AI Act-proof in te zetten, mits je let op een verwerkersovereenkomst, EU-hosting, een AI-melding en heldere bewaartermijnen. Dat is geen rem maar een keuzecriterium: het scheidt de serieuze aanbieders van de rest. Lees meer over onze aanpak op de AI Act-pagina, of stel je compliance-vragen — we beantwoorden ze graag.