DPIA-bouwblok — Transcrypt
Dit document is een vooringevulde Data Protection Impact Assessment (DPIA) die u kunt gebruiken als basis voor uw eigen DPIA conform artikel 35 van de Algemene verordening gegevensbescherming (AVG). Aanvulling met organisatiespecifieke informatie is vereist op de plaatsen gemarkeerd met [INVULLEN].
1. Beschrijving van de verwerking
1.1 Naam van het systeem
Transcrypt — desktop-applicatie voor vergadertranscriptie, sprekersherkenning en AI-notulering.
1.2 Verwerkingsverantwoordelijke
[INVULLEN: Naam van uw organisatie, adres, KvK-nummer, contactpersoon privacy]
1.3 Functionaris Gegevensbescherming
[INVULLEN: Naam en contactgegevens van uw FG, indien aangesteld]
1.4 Leverancier van de software
Evoran, handelsnaam van Frank van Tussenbroek B.V., Reelaan 61, 4105 LD Culemborg, KvK 96479906. Contact: ….
1.5 Doel van de verwerking
Het transcriberen van vergaderingen, het onderscheiden van sprekers en het automatisch genereren van notulen (samenvatting, besluiten, actiepunten) ter ondersteuning van de verslaglegging binnen de organisatie.
1.6 Categorieën betrokkenen
[INVULLEN — selecteer wat van toepassing is:]
- Medewerkers van de eigen organisatie
- Externe deelnemers aan vergaderingen (samenwerkingspartners, adviseurs, burgers)
- Bestuurders en volksvertegenwoordigers
- Cliënten of rechtzoekenden (bij juridische organisaties)
- Overige: [INVULLEN]
1.7 Categorieën persoonsgegevens
| Categorie | Beschrijving | Locatie |
|---|---|---|
| Spraakdata (audio) | Audio-opname van de vergadering | Lokaal op het apparaat van de gebruiker |
| Transcripttekst | Geschreven weergave van het gesproken woord | Lokaal op het apparaat |
| Sprekerstoewijzing | Koppeling van tekstfragmenten aan sprekers | Lokaal op het apparaat |
| Stemkenmerken | Akoestische profielen voor sprekersonderscheiding | Lokaal op het apparaat |
| Notulen | AI-gegenereerde samenvatting, besluiten, actiepunten | Lokaal op het apparaat |
| Namen (indien herkend) | Automatisch of handmatig gekoppelde sprekernamen | Lokaal op het apparaat |
Bijzondere categorieën (art. 9 AVG): Afhankelijk van de inhoud van de vergadering kan de audio of het transcript bijzondere persoonsgegevens bevatten (politieke opvattingen, gezondheidsgegevens, vakbondslidmaatschap, etc.). Dit is afhankelijk van de context van de vergadering, niet van de software.
[INVULLEN: Geef aan of vergaderingen binnen uw organisatie regelmatig bijzondere persoonsgegevens bevatten en zo ja, welke categorieën.]
1.8 Verwerker
Transcrypt (het bedrijf) is geen verwerker van vergaderdata. Alle verwerking vindt plaats op het apparaat van de gebruiker. Transcrypt heeft geen technische mogelijkheid om vergaderdata in te zien, te kopiëren of te wijzigen. Zie de verklaring niet-verwerkerschap op transcrypt.nl/verklaring-niet-verwerkerschap.
1.9 Bewaartermijnen
De gebruiker stelt zelf de bewaartermijn in via de instellingen van de applicatie. Na afloop worden gegevens automatisch en onherstelbaar verwijderd.
[INVULLEN: Welke bewaartermijn hanteert uw organisatie? Sluit deze aan bij uw archiveringsbeleid?]
2. Beschrijving van de technische architectuur
2.1 Verwerkingslocatie
Alle AI-verwerking vindt volledig lokaal plaats op het Windows-apparaat van de gebruiker. Er worden geen audio-opnames, transcripten, notulen of sprekersprofielen verstuurd naar servers van Transcrypt of derden.
2.2 Gebruikte AI-modellen
Transcrypt integreert vier open-source AI-modellen:
| Model | Functie | Herkomst | Licentie |
|---|---|---|---|
| Whisper Large v3 Turbo | Spraak-naar-tekst transcriptie | OpenAI | MIT |
| ECAPA-TDNN 1024-LM | Sprekersherkenning (diarization) | SpeechBrain | Apache 2.0 |
| Qwen3-4B Instruct | AI-notulen (standaard) | Qwen | Apache 2.0 |
| Qwen3-1.7B Instruct | AI-notulen (compacte variant voor beperkt werkgeheugen) | Qwen | Apache 2.0 |
Alle modellen zijn statisch: zij worden geleverd bij installatie en worden niet getraind of bijgewerkt op basis van vergaderinhoud.
Alle modellen draaien lokaal op het apparaat en communiceren op geen enkele wijze met externe servers.
2.3 Versleuteling
| Onderdeel | Methode |
|---|---|
| Audio, transcripten, notulen in IndexedDB | AES-256-GCM (Web Crypto API) |
| Encryptiesleutel | DPAPI-beschermd (gebonden aan Windows-profiel) |
| Woordenlijsten | DPAPI-versleuteld op schijf |
| Authenticatiegegevens | DPAPI-versleuteld op schijf |
| Pipeline-checkpoints | DPAPI-versleuteld op schijf |
2.4 Servercommunicatie
De enige servercommunicatie betreft:
| Communicatie | Data | Server |
|---|---|---|
| Licentie-activatie | E-mailadres, gehashte hardware-ID, licentiesleutel | Hetzner, Duitsland (EU) |
| Update-controle (optioneel, uitschakelbaar) | App-versie, besturingssysteemversie | Hetzner, Duitsland (EU) |
Geen van deze communicatie bevat vergaderinhoud.
2.5 Datastromen
Vergadering (audio)
↓ [lokaal op apparaat]
Whisper (transcriptie) → Transcript
↓ [lokaal]
ECAPA-TDNN (sprekersherkenning) → Sprekerstoewijzing
↓ [lokaal]
Qwen (notulering) → Notulen, besluiten, actiepunten
↓ [lokaal]
Versleutelde opslag (AES-256-GCM)
↓ [optioneel, door gebruiker geïnitieerd]
Export (.docx / .odt)
Op geen enkel punt in deze keten verlaat data het apparaat.
3. Beoordeling noodzaak en proportionaliteit
3.1 Noodzaak
[INVULLEN — beschrijf waarom uw organisatie vergadertranscriptie en AI-notulering nodig heeft. Voorbeeldformuleringen:]
- "Onze organisatie heeft behoefte aan accurate en efficiënte verslaglegging van vergaderingen ter ondersteuning van besluitvorming en verantwoording."
- "Handmatige verslaglegging is tijdintensief en foutgevoelig. Geautomatiseerde transcriptie verbetert de kwaliteit en consistentie van onze verslaglegging."
3.2 Proportionaliteit
De verwerking is proportioneel om de volgende redenen:
- Dataminimalisatie: Alleen audio van de vergadering wordt verwerkt. Er worden geen aanvullende persoonsgegevens verzameld.
- Lokale verwerking: Geen data wordt naar externe servers verstuurd, wat het risico op ongeautoriseerde toegang minimaliseert.
- Beperkte bewaartermijn: De gebruiker stelt zelf de bewaartermijn in; data wordt automatisch verwijderd.
- Bewerkbaarheid: Alle AI-output is volledig bewerkbaar. De gebruiker behoudt volledige controle.
- Geen training: De AI-modellen worden niet getraind op vergaderdata.
3.3 Grondslag
[INVULLEN — selecteer de toepasselijke grondslag en onderbouw:]
| Grondslag | Toelichting |
|---|---|
| Gerechtvaardigd belang (Art. 6(1)(f)) | Efficiënte verslaglegging als organisatiebelang, afgewogen tegen de rechten van betrokkenen. |
| Taak van algemeen belang (Art. 6(1)(e)) | Bij overheidsorganen: uitvoering van een publieke taak die adequate verslaglegging vereist. |
| Toestemming (Art. 6(1)(a)) | Indien betrokkenen vooraf worden geïnformeerd en instemmen met de opname en verwerking. |
[INVULLEN: Welke grondslag hanteert uw organisatie? Hoe worden deelnemers geïnformeerd?]
Bijzondere categorieën (art. 9 AVG): Indien vergaderingen regelmatig bijzondere persoonsgegevens bevatten, is een aanvullende grondslag vereist (bijvoorbeeld: uitdrukkelijke toestemming of noodzaak voor een taak van algemeen belang met passende waarborgen).
4. Risicobeoordeling
4.1 Geïdentificeerde risico's en mitigerende maatregelen
| # | Risico | Waarschijnlijkheid | Impact | Mitigerende maatregel |
|---|---|---|---|---|
| R1 | Ongeautoriseerde toegang tot vergaderdata op het apparaat | Laag | Hoog | AES-256-GCM versleuteling, DPAPI-sleutelbescherming gebonden aan Windows-profiel, automatische verwijdering na bewaartermijn |
| R2 | Onjuiste transcriptie of notulen worden als feitelijk beschouwd | Middel | Middel | Disclaimer in de applicatie, volledige bewerkbaarheid, gebruiker is verantwoordelijk voor controle vóór gebruik |
| R3 | Onjuiste sprekerstoewijzing leidt tot foutieve attributie | Middel | Middel | Sprekertoewijzingen zijn bewerkbaar, handmatige controle aanbevolen bij meer dan 10 deelnemers |
| R4 | Verlies van apparaat met onversleutelde data | Zeer laag | Hoog | Data is versleuteld in rust (AES-256-GCM), sleutels zijn DPAPI-beschermd. Zonder het Windows-profiel is de data onleesbaar. Aanvullend: apparaatversleuteling (BitLocker) aanbevolen. |
| R5 | AI-hallucinatie: model genereert tekst die niet is uitgesproken | Laag | Middel | Automatisch hallucinatiefilter in de applicatie, gebruikersinstructie om transcripten te controleren |
| R6 | Biometrische gegevens: stemprofielen voor naamherkenning | Laag | Middel | Stemprofielen worden lokaal opgeslagen en zijn volledig onder controle van de gebruiker. Gebruiker bepaalt welke profielen worden aangemaakt en verwijderd. Organisatie is verantwoordelijk voor grondslag. |
| R7 | Datalekrisico bij export van transcripten/notulen | Middel | Hoog | Geëxporteerde bestanden vallen onder het reguliere informatiebeveiligingsbeleid van de organisatie. Transcrypt-versleuteling beschermt data in de applicatie, niet na export. |
| R8 | Onbedoelde verwerking van bijzondere persoonsgegevens | Middel | Hoog | Organisatorische maatregel: richtlijnen voor medewerkers over welke vergaderingen worden opgenomen. Technische maatregel: bewaartermijnen, versleuteling. |
| R9 | Cloud Act risico bij servercommunicatie | Zeer laag | Hoog | Server bij Hetzner in Duitsland (EU). Communicatie bevat uitsluitend licentie-metadata, geen vergaderinhoud. Geen US-cloudproviders in de keten. |
4.2 Restrisico
Na toepassing van de mitigerende maatregelen is het restrisico laag. De kernrisico's (R1, R4, R9) worden geadresseerd door de volledig lokale architectuur en versleuteling. De AI-gerelateerde risico's (R2, R3, R5) worden geadresseerd door transparantie, bewerkbaarheid en gebruikersverantwoordelijkheid.
[INVULLEN: Beoordeel of het restrisico voor uw organisatie aanvaardbaar is, gegeven de aard van de vergaderingen die u opneemt.]
5. Maatregelen en waarborgen
5.1 Technische maatregelen (door Transcrypt geïmplementeerd)
| Maatregel | Beschrijving |
|---|---|
| Lokale verwerking | Alle AI-modellen draaien op het apparaat; geen data naar externe servers |
| Versleuteling in rust | AES-256-GCM voor alle vergaderdata in IndexedDB |
| Sleutelbescherming | DPAPI gebonden aan het Windows-profiel van de gebruiker |
| Automatische verwijdering | Configureerbare bewaartermijn met onherstelbare verwijdering |
| Hallucinatiefilter | Automatisch filter tegen door AI gegenereerde niet-uitgesproken tekst |
| Bewerkbaarheid | Alle AI-output is volledig bewerkbaar door de gebruiker |
| Geen training | AI-modellen worden niet bijgewerkt op basis van vergaderdata |
| Transparantie | EU AI Act transparantieverklaring beschikbaar op transcrypt.nl |
5.2 Organisatorische maatregelen (door uw organisatie te implementeren)
[INVULLEN — selecteer en vul aan wat van toepassing is:]
| Maatregel | Status |
|---|---|
| Medewerkers zijn geïnformeerd over het gebruik van Transcrypt | [INVULLEN] |
| Er is een protocol voor het informeren van vergaderdeelnemers over de opname | [INVULLEN] |
| Er zijn richtlijnen voor welke vergaderingen wel/niet worden opgenomen | [INVULLEN] |
| Transcripten en notulen worden gecontroleerd vóór verspreiding | [INVULLEN] |
| Geëxporteerde bestanden vallen onder het informatiebeveiligingsbeleid | [INVULLEN] |
| Bewaartermijnen zijn ingesteld conform het archiveringsbeleid | [INVULLEN] |
| Er is een procedure voor het afhandelen van inzageverzoeken van betrokkenen | [INVULLEN] |
| Apparaten waarop Transcrypt draait zijn voorzien van schijfversleuteling (BitLocker of vergelijkbaar) | [INVULLEN] |
6. Raadpleging betrokkenen
[INVULLEN: Beschrijf hoe betrokkenen (vergaderdeelnemers) worden geïnformeerd over het gebruik van Transcrypt. Voorbeeldformuleringen:]
- "Deelnemers worden vooraf geïnformeerd via de vergaderuitnodiging dat de vergadering wordt opgenomen en getranscribeerd met behulp van AI-software. Deelnemers die bezwaar hebben kunnen dit voorafgaand aan de vergadering kenbaar maken."
- "Er is een standaardtekst beschikbaar die medewerkers in de vergaderuitnodiging kunnen opnemen."
7. Conclusie
[INVULLEN — voorbeeld:]
Op basis van deze beoordeling concluderen wij dat het gebruik van Transcrypt voor vergadertranscriptie en AI-notulering binnen onze organisatie proportioneel is en dat de risico's voor de rechten en vrijheden van betrokkenen adequaat worden geadresseerd door de combinatie van technische maatregelen (lokale verwerking, versleuteling, geen dataoverdracht) en organisatorische maatregelen (informatieplicht, controle vóór verspreiding, bewaartermijnen).
Het restrisico is [laag/aanvaardbaar/vereist aanvullende maatregelen].
8. Ondertekening
| Datum | [INVULLEN] |
| Naam verwerkingsverantwoordelijke | [INVULLEN] |
| Functie | [INVULLEN] |
| Handtekening | [INVULLEN] |
| Functionaris Gegevensbescherming | [INVULLEN, indien van toepassing] |
Bijlagen
- Transcrypt privacyverklaring: transcrypt.nl/privacyverklaring
- Transcrypt verklaring niet-verwerkerschap: transcrypt.nl/verklaring-niet-verwerkerschap
- Transcrypt EU AI Act transparantieverklaring: transcrypt.nl/eu-ai-act-transparantie
- Transcrypt disclaimer AI-gegenereerde output: transcrypt.nl/disclaimer
- Transcrypt rolverdelingsnotitie AVG: transcrypt.nl/rolverdelingsnotitie
Dit document is opgesteld door Transcrypt als hulpmiddel voor klantorganisaties. Het vervangt niet het eigen oordeel van de verwerkingsverantwoordelijke. De organisatie die Transcrypt inzet is zelf verantwoordelijk voor de volledigheid en juistheid van de DPIA.
Laatst bijgewerkt: 2026-04-29