Transcrypt — Rolverdelingsnotitie AVG
Voor inkoopafdelingen, privacy officers en compliance teams
Aanleiding
Bij de aanschaf van software is het gebruikelijk om te beoordelen of een verwerkersovereenkomst (Data Processing Agreement, DPA) noodzakelijk is. Dit document licht toe waarom bij Transcrypt geen verwerkersovereenkomst van toepassing is en hoe de rolverdeling onder de Algemene verordening gegevensbescherming (AVG) is ingericht.
Kernboodschap
Transcrypt is een desktop-applicatie die volledig lokaal draait op het apparaat van de gebruiker. Vergaderdata (audio, transcripten, notulen, sprekersprofielen) verlaat uw apparaat niet. Transcrypt (het bedrijf) heeft geen technische mogelijkheid om deze data in te zien, te kopiëren of te wijzigen. Er is daarom geen verwerkersrelatie en geen verwerkersovereenkomst vereist.
Rolverdeling onder de AVG
| Vergaderdata | Licentie- en accountgegevens | |
|---|---|---|
| Welke data | Audio-opnames, transcripten, notulen, sprekersprofielen, woordenlijsten | E-mailadres, gehashte apparaat-ID, licentiesleutel, facturatiegegevens |
| Waar verwerkt | Lokaal op het apparaat van de gebruiker | Hetzner-server in Duitsland (EU) |
| Wie is verwerkingsverantwoordelijke | Uw organisatie | Transcrypt (Evoran / Frank van Tussenbroek B.V.) |
| Wie is verwerker | Niet van toepassing — geen derde partij heeft toegang | Niet van toepassing — Transcrypt verwerkt als zelfstandig verwerkingsverantwoordelijke |
| DPA vereist | Nee | Nee |
| Grondslag | Door uw organisatie te bepalen | Uitvoering overeenkomst (Art. 6(1)(b) AVG) |
Technische architectuur
Op uw apparaat (volledig lokaal): Alle verwerkingsstappen — van audio-opname via transcriptie (Whisper) en sprekersherkenning (ECAPA-TDNN) tot notulering (Qwen) — vinden plaats op uw apparaat. De resultaten worden versleuteld opgeslagen met AES-256-GCM, met sleutels beschermd via Windows DPAPI. U stelt zelf de bewaartermijn in; na afloop worden gegevens automatisch en onherstelbaar verwijderd.
Geen verbinding met Transcrypt-servers voor vergaderdata: Er worden geen audio-opnames, transcripten, notulen of sprekersprofielen verstuurd naar servers van Transcrypt of derden. Er is geen cloud, geen API-call en geen back-up naar externe systemen.
Transcrypt-server (Hetzner, Duitsland) — alleen metadata: De enige servercommunicatie betreft licentie-activatie (e-mailadres en gehashte apparaat-ID) en een optionele update-controle (app-versie en besturingssysteemversie). Deze communicatie bevat geen vergaderinhoud.
Waarom geen verwerkersovereenkomst
Een verwerkersovereenkomst (Art. 28 AVG) is vereist wanneer een partij persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke. Dit veronderstelt dat de verwerker toegang heeft tot de persoonsgegevens.
Bij Transcrypt is aan geen van deze voorwaarden voldaan voor vergaderdata:
- Geen toegang. Transcrypt kan vergaderdata niet inzien, kopiëren of wijzigen — de data staat lokaal en versleuteld op uw apparaat.
- Geen dataoverdracht. Er wordt geen vergaderdata verstuurd naar servers van Transcrypt of derden.
- Geen instructierelatie. Transcrypt verwerkt geen gegevens op uw instructie. Uw organisatie beslist zelf over het opnemen, verwerken en bewaren van vergaderingen.
- Geen serverzijde verwerking. Alle AI-modellen draaien lokaal. Er is geen server die vergaderinhoud verwerkt.
- Geen training. De AI-modellen worden niet getraind of bijgewerkt op basis van uw vergaderinhoud. De modellen zijn statisch.
Veelgestelde vragen
Onze inkoopafdeling vereist bij elke softwareaankoop een DPA. Hoe gaan we hiermee om? Dit document dient als onderbouwing dat een DPA niet van toepassing is. De technische architectuur maakt een verwerkersrelatie onmogelijk: Transcrypt heeft geen toegang tot vergaderdata. Indien uw interne procedures desondanks een formeel document vereisen, kan Transcrypt op verzoek een beperkte support-DPA aanbieden die uitsluitend ziet op het uitzonderlijke geval dat uw organisatie vrijwillig vergaderinhoud deelt voor supportdoeleinden.
Hoe weten wij zeker dat data het apparaat niet verlaat? De drie AI-modellen zijn lokaal geïnstalleerde bestanden op uw harde schijf, vergelijkbaar met een tekstverwerkingsapplicatie. Zij maken geen netwerkverbindingen. De broncode van alle modellen is openbaar beschikbaar en controleerbaar (MIT- en Apache 2.0-licenties). Uw IT-afdeling kan met standaard netwerkmonitoringtools verifiëren dat de applicatie geen vergaderdata verstuurt.
Verwerkt Transcrypt dan helemaal geen persoonsgegevens? Jawel, maar uitsluitend als zelfstandig verwerkingsverantwoordelijke — niet als verwerker. Transcrypt verwerkt: e-mailadres en apparaat-ID voor licentie-activatie, facturatiegegevens, en eventuele supportcorrespondentie. Deze verwerkingen staan beschreven in onze privacyverklaring.
Hoe zit het met de update-controle? De update-controle verstuurt uitsluitend app-versie en besturingssysteemversie. Dit zijn geen persoonsgegevens. De controle is uitschakelbaar in de instellingen.
Moeten wij als organisatie dan zelf een DPIA uitvoeren? Dat hangt af van uw interne beleid en de aard van de vergaderingen die u opneemt. Transcrypt biedt een DPIA-bouwblok aan waarin de technische architectuur (lokale verwerking, versleuteling, bewaartermijnen) wordt toegelicht. Dit kunt u gebruiken als input voor uw eigen DPIA.
Voldoet Transcrypt aan de EU AI Act? Transcrypt publiceert een EU AI Act transparantieverklaring waarin per AI-model de naam, herkomst, licentie, functie en bekende beperkingen worden beschreven. Dit document is beschikbaar op transcrypt.nl/eu-ai-act-transparantie.
Bijbehorende documenten
- Privacyverklaring — welke persoonsgegevens Transcrypt verwerkt
- Verklaring niet-verwerkerschap — juridische onderbouwing
- EU AI Act transparantieverklaring — gebruikte AI-modellen
- Disclaimer — beperkingen van AI-output
- Algemene voorwaarden — contractueel kader
Contact
Heeft u vragen over deze notitie of wenst u een DPIA-bouwblok? Neem contact op via ….
Evoran — een handelsnaam van Frank van Tussenbroek B.V. KvK 96479906 | Reelaan 61, 4105 LD Culemborg
Laatst bijgewerkt: 2026-04-28