Website im Aufbau

6-stelliger Zugangscode

Datenschutz

Dikteringssoftware GDPR: Hvorfor cloud-løsninger er et problem

Dikteringssoftware og GDPR — hvorfor cloud-talegenkendelse er risikabelt, hvad §203 StGB kræver og hvilke lokale alternativer der findes.

Tom · · 19 Min. Lesezeit
Diktiersoftware DSGVO-konform: Vergleich Cloud vs. lokale Spracherkennung

Diktatsoftware og GDPR: Hvorfor cloud-talegenkendelse er en juridisk risiko

På et øjeblik: Cloud-baseret diktatsoftware overfører taledata til eksterne servere — et problem for GDPR og især for fagpersoner med tavshedspligt jf. §203 StGB. Taleoptagelser kan indeholde biometriske data og er derfor underlagt den strenge artikel 9 GDPR. Lokale offline-løsninger undgår disse risici fuldstændigt, fordi der ikke finder nogen dataoverførsel sted.

De dikterer et processkrift for en klient. Fortrolige detaljer, sagsnumre, navne — alt flyder via tale ind i deres computer. Men hvor præcist? For de fleste diktatløsninger lyder svaret: til en server i skyen. Ofte i USA, nogle gange i Irland, sjældent i Tyskland. For faggrupper med tavshedspligt — advokater, skatterådgivere, læger — er det ikke kun et databeskyttelsesemne. Det er potentielt strafbart. Denne artikel forklarer, hvorfor diktatsoftware og GDPR udgør et spændingsfelt, hvilke konkrete risici cloud-løsninger medfører, og hvilke alternativer der findes.

Hvad sker der med deres taledata i skyen?

Cloud-baseret diktatsoftware overfører deres audiodata til en ekstern server, hvor en AI-model omdanner tale til tekst og sender resultatet tilbage. Herved passerer deres taledata gennem flere netværksknudepunkter, behandles på udbyderens server og bliver ofte midlertidigt gemt — en proces, der har vidtrækkende databeskyttelsesretlige konsekvenser.

Problemet begynder allerede ved selve overførslen. Ifølge en undersøgelse fra SkyScribe (2026) uploader nogle transkriptions-apps audiodata til eksterne servere selv før brugerens samtykke — via SDK’er, der allerede ved app-start overfører data. Denne mekanisme er usynlig for brugeren: Appen anmoder kun om mikrofon-adgang, mens audiodata i baggrunden videresendes til cloud-modeller.

De store cloud-udbydere som Google, Apple og Microsoft behandler taledata som standard på deres servere. Med Apples Siri og Googles talegenkendelse fungerer talegenkendelagen slet ikke, når WLAN er deaktiveret — et klart tegn på, at behandlingen ikke foregår lokalt. For privat brug kan det være acceptabelt. For professionelle brugere med fortrolighedspligter er det et compliance-problem.

Hertil kommer spørgsmålet om datalagring. Mange cloud-udbydere forbeholder sig ret til at bruge audiodata til forbedring af deres modeller i deres brugsbetingelser. Selv når øjeblikkelig sletning loves, mangler der ofte transparente beviser for, at dataene faktisk bliver fjernet fuldstændigt. Uden klare sletningsfrister og verificerbare processer forbliver der en restrisiko for, at deres fortrolige diktater forbliver på fremmede servere.

Et ofte undervurderet punkt: Også metadata er beskyttelsesværdige. Selv når audiostrømmen overføres krypteret, kan tidsstempler, IP-adresser, enhedsoplysninger og brugsmønstre give indblik i deres arbejde. I et advokatfirma afslører disse metadata eksempelvis, hvornår der arbejdes på hvilken sag — en oplysning, der kan være værdifuld for modparter eller konkurrenter.

Dataflow ved cloud-baseret diktatsoftware sammenlignet med lokal behandling

Hvilke GDPR-krav gælder for diktatsoftware?

Diktatsoftware, der behandler taledata, er fuldt underlagt GDPR, da audiodata er personoplysninger. De indeholder stemmen fra en identificerbar person og ofte nok også indholdsmæssigt følsomme oplysninger om tredjeparter. Om en databehandleraftale er påkrævet, afhænger af, om behandlingen foregår lokalt eller på eksterne servere.

De centrale GDPR-krav kan opdeles i fire områder:

Retsgrundlag jf. artikel 6 GDPR. Enhver behandling kræver et retsgrundlag. Ved cloud-diktatsoftware kommer der oftest artikel 6 stk. 1 litra f (legitim interesse) eller litra a (samtykke) på tale. Begge er problematiske i professionel sammenhæng: Den legitime interesse skal afvejes mod de berørte personers rettigheder, og et gyldigt samtykke fra alle personer nævnt i et diktat er praktisk næsten umuligt at indhente.

Databehandling jf. artikel 28 GDPR. Så snart en cloud-udbyder behandler deres taledata på sine servere, foreligger der databehandling. En databehandleraftale er obligatorisk. Den skal regulere genstand, varighed, art og formål med behandlingen, arten af de personoplysninger og databehandlerens pligter. Mangler databehandleraftalen, overtræder allerede brugen af softwaren GDPR — og det uafhængigt af, om der faktisk opstår et databrud.

Tredjelandsoverførsel. Mange cloud-diktatydelser behandler data i USA eller andre tredjelande. Siden EU-Domstolens Schrems-II-dom (2020) er overførsel af personoplysninger til USA knyttet til strenge forudsætninger. Det nuværende EU-US Data Privacy Framework tilbyder ganske vist et grundlag, men står allerede igen under juridisk kritik. Ifølge DLA Piper-studiet (2025) blev der alene i 2024 udstedt GDPR-bøder på 1,2 milliarder euro europæisk — tredjelandsoverførsler hørte til de hyppigste overtrædelser.

Konsekvensvurdering for databeskyttelse (DPIA). Når behandlingen sandsynligvis medfører høj risiko for fysiske personers rettigheder — eksempelvis ved biometriske data eller ved systematisk overvågning — skal der jf. artikel 35 GDPR gennemføres en DPIA. Taledata kan opfylde dette kriterium, især når de behandles i stort omfang eller systematisk.

Det afgørende punkt: Alle disse krav gælder kun, hvis der overhovedet finder dataoverførsel til tredjeparter sted. Ved ren lokal diktatsoftware, der ikke sender data til eksterne servere, bortfalder hele compliance-opofrelsen. Der er ingen databehandling, ingen tredjelandsoverførsel og dermed heller ingen pligt til DPIA — GDPR-overensstemmelsen følger af den tekniske arkitektur selv.

KravCloud-diktatsoftwareLokal diktatsoftware
Retsgrundlag (art. 6)Påkrævet, kompleksBortfalder (ingen data til tredjeparter)
Databehandleraftale (art. 28)ObligatoriskIkke nødvendig
TredjelandsoverførselHyppig (USA-servere)Udelukket
DPIA (art. 35)Ofte påkrævetSom regel ikke nødvendig
Tekniske foranstaltningerAfhængig af udbyderFuld kontrol

Hvorfor er sprogdata særligt følsomme?

Stemmeoptagelser kan indeholde biometriske data i henhold til GDPR, fordi de opfanger fysiske og adfærdstypiske træk ved en person — stemmefrekvens, talerhythme, artikulationsmønstre. Art. 4 nr. 14 GDPR definerer biometriske data som persondata, der opnås gennem særlige tekniske procedurer og kan identificere en person entydigt.

Når sprogdata anvendes til entydig identifikation, gælder det strenge behandlingsforbud efter Art. 9 stk. 1 GDPR. Dette forbud tillader kun ti snævert definerede undtagelser — såsom udtrykkelig samtykke. For cloud-dikteringstjenester betyder det: Selvom der foreligger en DPA, og data behandles i EU, kan behandlingen være i strid med Art. 9, hvis udbyderen bruger eller kunne bruge lyddata til stemmebiometri.

Ifølge positionspapiret fra Datatilsynskonferencen (DSK, 2019) skal biometriske datas egnethed til entydig identifikation altid tages i betragtning ved risikovurderingen — også når den aktuelle behandling ikke sigter mod identifikation. Blot muligheden er tilstrækkelig til at retfærdiggøre øgede beskyttelsesforanstaltninger. Dette gælder også for tilfælde, hvor cloud-udbyderen teknisk ville være i stand til at oprette stemmeprofiler — selv hvis de aktuelt ikke gør det.

Et andet aspekt: Sprogdata indeholder regelmæssigt også indholdsoplysninger om tredjeparter. Når en advokat opretter et diktat om en klientsag, indeholder det persondata om klienten, modparten og muligvis vidner. Disse personer har hverken samtykket til behandlingen eller kan kontrollere den. I skatterådgivningssammenhæng er situationen lignende: Diktater om skattesager indeholder indkomstdata, familieforhold og formueoplysninger fra klienter — alt sammen højsensible data, der ender hos en cloud-udbyder på en server, som hverken skatterådgiveren eller klienten kontrollerer.

Ifølge TU Darmstadt og Hochschule Rosenheim udgør cloud-baserede talegenkendelsessystemer en betydelig risiko, fordi de overførte optagelser indeholder både biometriske og fortrolige oplysninger — og kunne misbruges, f.eks. til såkaldte “Fake Recordings” (autentisk virkende, kunstigt genererede stemmeoptagelser). Denne risiko er fuldstændig elimineret ved lokal behandling, da lyddata aldrig forlader computeren.

Hvad betyder §203 StGB for brugen af dikteringssoftware?

§203 StGB forbyder personer med tavshedspligt — herunder advokater, skatterådgivere, revisorer og læger — uautoriseret afsløring af private hemmeligheder og straffer overtrædelser med fængsel op til et år eller bøde. Den, der overfører klient- eller patientdata via cloud-dikteringssoftware til tredjepartsservere, risikerer derved en strafbart relevant tavshedspligtskrænkelse.

Retskonsekvenserne går ud over bøden. Ved bertigelseshensigt truer op til to års fængsel (§203 stk. 6 StGB). Dertil kommer fagretlige konsekvenser: Advokatdomstolsforfaringer, frattagelse af autorisation, erstatningskrav fra berørte klienter. Wikipedia betegner overtrædelser af §203 StGB som et “vanskeligt at overgå masseforbrydelse” i sin hyppighed — en seriøs forfølgelse finder dog sjældent sted. Dette bør dog ikke forstås som alt klart: I alvorlige tilfælde — f.eks. ved et datalæk hos cloud-udbyderen — bliver spørgsmålet om omhygspligten det afgørende punkt.

Siden reformen fra 2017 tillader §203 stk. 3 StGB ganske vist inddragelse af eksterne tjenesteudbydere som “øvrige medvirkende personer”. Forudsætningen er dog, at den tavshedspligtige omhyggeligt udvælger tjenesteudbyderen og forpligter dem til tavshed. Disse medvirkende personer inddrages på deres side i strafforfølgningen efter §203 — de gør sig ligeledes straffærdige, hvis de åbenbarer en hemmelighed, der er blevet kendt i forbindelse med deres virksomhed. Ved cloud-udbydere med sæde i USA er det tvivlsomt, om denne forudsætning kan opfyldes — især i betragtning af de dortidige overvågningslove som FISA Section 702 og CLOUD Act, der giver amerikanske myndigheder adgang til data, også når disse er lagret i EU.

IT-retsspecialisten Andreas Nörr bragte det på punkt i et interview med Future-Law (2026): Mange advokater rådgiver deres klienter om databeskyttelse, men bruger selv usikre forbrugerværktøjer til fortrolige diktater. Brugen af Siri eller Google-stemmeinput til klientdiktater er en eklatant modsigelse af de faglige pligter. Han ser løsningen i professionelle værktøjer, der behandler data lokalt eller i certificerede europæiske datacentre — forbrugerprodukter hører ikke hjemme i advokatmiljøet.

Oversigt: Hvilke faggrupper er omfattet af §203 StGB

Hvilke konkrete risici findes der ved cloud-dikteringssoftware?

Cloud-baseret dikteringssoftware medfører betydelige tekniske, juridiske, økonomiske og omdømmemæssige risici, som kan forstærke hinanden. En enkelt databeskyttelseshændelse hos cloud-udbyderen kan samtidig udløse en GDPR-bøde, en straffesag efter §203 StGB, civilretlige erstatningskrav og en varig omdømmeskade hos klienter og patienter.

Tekniske risici. Lyddata bliver transmitteret til serveren via internettet. Trods HTTPS-kryptering eksisterer der en restrisiko ved kompromitterede certifikater eller Man-in-the-Middle-angreb. På selve serveren bliver dataene dekrypteret og behandlet — hvem der har adgang til serveren, har adgang til dine diktater. Ifølge Cloud-Monitor fra KPMG og Bitkom Research stiger truslerne fra cloudtjenester særligt for mellemstore virksomheder konstant, især gennem datatyveri og industrispionage. Særligt snedigt: Nogle apps overfører lyd allerede via SDK’er, før brugeren overhovedet har dikteret aktivt.

Juridiske risici. Udover GDPR-bøder (op til 20 millioner euro eller 4 % af den globale årsomsætning ifølge art. 83 GDPR) og strafbarhed efter §203 StGB truer også civilretlige erstatningskrav. Art. 82 GDPR giver berørte ret til erstatning ved GDPR-overtrædelser — også ved immaterielle skader. I 2025 pålagde BfDI alene en bøde på 45 millioner euro mod Vodafone på grund af mangelfuld databehandling (GDPR-Portal, 2026). Samme år blev Google pålagt 325 millioner euro og Shein 150 millioner euro af CNIL.

Økonomiske risici. Cloud-dikteringssoftware medfører løbende omkostninger: abonnementer, DPA-administration, regelmæssige compliance-kontroller, DSFA-oprettelse. Dragon Anywhere koster som abonnementsmodel månedligt mellem 20 og 30 euro per bruger med en mindste løbetid på 12 måneder. Hertil kommer omkostninger til juridisk prøvning af databeskyttelseskonformitet, som skal gentages ved hvert udbydersskift.

Omdømmerisici. En databeskyttelseshændelse hos en cloud-udbyder berører potentielt alle brugere samtidigt. For advokatkontorer og praksis kan en sådan hændelse være eksistentielt truende. Det gennemsnitlige antal rapporterede databeskyttelsesbrud steg ifølge DLA Piper (2025) til 363 anmeldelser om dagen i Europa. I 2025 blev der anmeldt i alt 10.259 datalæk til de tyske myndigheder — en stigning fra året før med 8.623 anmeldelser (GDPR-Portal, 2026).

RisikokategoriCloud-løsningLokal løsning
Datalæk ved transmissionMuligtUdelukket
Serverside adgang af tredjepartMuligt (også amerikanske myndigheder)Udelukket
GDPR-bødeOp til 20 mio. € / 4 % omsætningRisiko minimal
§203 StGB strafbarhedJa, for tavshedspligtige erhvervNej
Løbende compliance-omkostningerDPA, DSFA, kontrollerIngen

Hvordan fungerer lokal talegenkendelse som alternativ?

Lokal talegenkendelse behandler lyddata fuldstændigt på brugerens egen computer, uden internetforbindelse og uden transmission til eksterne servere. AI-modellen kører direkte på den lokale hardware, hvorved ingen tredjepart inddrages i behandlingskæden, ingen databehandleraftale er nødvendig, og GDPR-konformitet er arkitektonisk sikret.

Det teknologiske gennembrud, der muliggør dette, hedder OpenAI Whisper. Denne open source-model blev trænet med 680.000 timer flersproget lyddata og opnår for tysk en Word Error Rate (WER) på omkring 5,8 % — sammenligneligt med kommercielle cloud-tjenester. Det afgørende er: Whisper kører fuldstændigt på lokal hardware. Moderne CPU’er behandler diktater i tilnærmet realtid, med GPU-understøttelse (Apple Metal på Mac, NVIDIA CUDA på Windows) endda betydeligt hurtigere.

Gennem modelkantisering — omdannelsen af 32-bit floating point-vægte til mindre formater — skrumper modellen til en håndterlig størrelse uden væsentlig at påvirke nøjagtigheden. Ifølge MLCommons (2025) opnår Whisper-referencenimplementeringen en Word Accuracy på 97,93 % og reducerede fejlraten sammenlignet med den tidligere MLPerf-ASR-model med over 72 %. MIT-licensen tillader ubegrænset kommerciel anvendelse — en afgørende fordel over proprietære cloud-tjenester, hvor du er bundet til en enkelt udbyder.

For GDPR-konformitet er resultatet entydigt: Når ingen taledata forlader computeren, er der ingen databehandling, ingen tredjelandsoverførsel og ingen cloud-udbyder, du skal stole på. Hele compliance-kompleksiteten bortfalder. Også for §203 StGB er situationen klar: Data, der aldrig forlader computeren, kan ikke “åbenbares”.

Diktly anvender netop denne tilgang. Softwaren behandler tale fuldstændigt lokalt via Whisper-modellen. Intet internet, ingen cloud, ingen serverforbindelse — ikke engang for opdateringskontroller. For tavshedspligtige erhverv efter §203 StGB er dette den sikreste vej: Dataene forbliver på computeren, tavshedspligten garanteres teknisk.

En praktisk fordel, der ofte overses: Lokal talegenkendelse fungerer også dér, hvor der ikke er internet — i retten, ved klientmødet, i toget eller i udlandet. Mens cloud-løsninger fejler ved dårlig forbindelse eller kæmper med høj latenstid, arbejder lokal software pålideligt og uden forsinkelse. For skatterådgivere i den travle periode med selvangivelser og advokater med snævre frister er dette ikke et komfortspørgsmål, men en produktivitetsfaktor.

Hvilke krav bør GDPR-kompatibel diktatsoftware opfylde?

GDPR-kompatibel diktatsoftware skal sikre, at stemmedata ikke overføres til tredjeparter uden lovhjemmel, og at brugeren til enhver tid har fuld kontrol over sine lyddata. Begrebet “GDPR-kompatibel” er ikke beskyttet — undersøg derfor konkret, hvordan softwaren håndterer dine data.

Følgende kriterier hjælper med vurderingen:

1. Databehandling. Hvor finder stemmegenkendelsen sted — på din enhed eller på en ekstern server? Test dette ved at afbryde internetforbindelsen og starte et diktat. Fungerer softwaren offline, er behandlingen faktisk lokal. Denne test afslører også udbydere, der reklamerer med “lokal AI”, men faktisk er afhængige af cloud-behandling.

2. Netværkskommunikation. Undersøg, om softwaren overfører data i baggrunden. Nogle apps reklamerer med “lokal AI”, men sender alligevel telemetridata, brugsstatistikker eller modelopdateringer over nettet. Ifølge SkyScribe-analysen (2026) videresender nogle transkriptions-apps optagelser via baggrundsprocesser til cloud-modeller, selvom de kun anmoder om mikrofonadgang. Vær særligt opmærksom på apps, der etablerer en netværksforbindelse ved opstart, selvom de ikke skulle have brug for internet til diktatfunktionen.

3. DBA og dokumentation. Hvis softwaren bruger cloud-komponenter: Tilbyder udbyderen en komplet DBA? Hvor er serverne? I hvilket land er udbyderen hjemmehørende? Hvilke underleverandører er involveret? En manglende eller ufuldstændig DBA er allerede et GDPR-brud — uanset om data faktisk lækker.

4. Datalagring og -sletning. Gemmes lyddata eller transskriptioner? Hvis ja, hvor længe? Findes der klare slettefrister? Mangler oplysninger som “sletning efter X dage”, er der ifølge GDPR ingen garanti for, at dine data ikke gemmes på ubestemt tid. Vær også opmærksom på, om udbyderen bruger lyddata til træning af sine AI-modeller — det er et særskilt behandlingsformål, der kræver egen lovhjemmel.

5. Open source-gennemsigtighed. Er den anvendte AI-motor open source? Ved open source-modeller som Whisper (MIT-licens) kan der udføres uafhængige sikkerhedsaudits. Proprietære cloud-modeller er sorte bokse — du skal stole på udbyderen uden at kunne kontrollere hans databehandling.

Hvad er den juridiske situation ved cloud-stemmegenkendelse i advokatkontoret?

Cloud-baseret stemmegenkendelse i advokatfirmaer er ikke forbudt per se, men det kræver overholdelse af både databeskyttelses- og erhvervsretlige regler. Ud over GDPR gælder advokatreglerne: §43a stk. 2 BRAO forpligter til tavshed om alt, der er blevet kendt under udøvelse af erhvervet.

Brug af cloud-diktatsoftware i advokatkontoret kræver mindst:

  • En komplet DBA med cloud-udbyderen efter art. 28 GDPR
  • Undersøgelse af, om cloud-udbyderen kan kvalificeres som “anden medvirkende person” i henhold til §203 stk. 3 StGB
  • En skriftlig forpligtelse fra udbyderen til hemmeligholdelse
  • Ved amerikanske udbydere: Undersøgelse af virkningerne af FISA Section 702, CLOUD Act og EU-US Data Privacy Framework
  • En dokumenteret databeskyttelses-konsekvensanalyse efter art. 35 GDPR
  • Information til alle berørte (art. 13/14 GDPR) — altså også klienter, hvis data dikteres

I praksis betyder det betydelig administrativ indsats. Som Simon Reuvekamp, CTO hos advokatfirmaet Meyer-Köring og specialist i diktatsystemer, bemærkede på legal-tech.de: Databeskyttelse begrænser ikke fordelene ved stemmegenkendelse — forudsat at der ligger et gennemtænkt koncept bag. Hvem derimod bare bruger Siri eller Google-stemmeinput til klientdiktater, handler uagtsomt. Han anbefaler som den sikreste alternativ brugen af lokale stemmegenkendelses-løsninger, der fungerer helt uden netværksoverførsel — eller i det mindste løsninger, hvor data udelukkende kører over advokatkontorets egen krypterede server.

Den nemmeste løsning, der omgår alle disse krav: Software, hvor stemmegenkendelsen kører helt lokalt på advokatkontorets computer. Ingen cloud-udbyder, ingen DBA, ingen tredjelandsoverførsel — og ingen åben flanke ved næste databeskyttelseskontrol.

Et praktisk eksempel illustrerer forskellen: Et enkeltmandsadvokatfirma, der bruger Dragon Anywhere, skal undersøge DBA’en med Nuance/Microsoft, vurdere tredjelandsproblematikken (serverne står ifølge udbyderen i et tysk datacenter, men Microsoft som amerikansk virksomhed er underlagt CLOUD Act), oprette en konsekvensanalyse, informere alle klienter i henhold til art. 13 GDPR og kvalificere cloud-udbyderen som medvirkende person efter §203 stk. 3 StGB og forpligte til hemmeligholdelse. Det samme advokatfirma med en lokal løsning som Diktly behøver ikke at gøre noget af dette — GDPR-kompatibiliteten følger af arkitekturen.

Hvad koster GDPR-konforme dikteringsoftware i sammenligning?

De samlede omkostninger for GDPR-konforme dikteringsoftware består af anskaffelsesprisen og de ofte oversete compliance-omkostninger — sidstnævnte kan overstige den rene softwarepris for cloud-løsninger med et multiplum. En fair sammenligning skal derfor ud over licensgebyrerne også tage hensyn til databehandleraftale-gennemgang, konsekvensanalyse og løbende compliance-dokumentation.

LøsningPrisModelCloud / LokalDatabehandleraftale nødvendig?
Siri / Google StemmeinputGratisCloudJa (næsten umulig)
Dragon Anywhere~25 €/måned (Abonnement)Abo, 12 mdr.Cloud (ty. datacenter)Ja
Philips SpeechLive~15–25 €/månedAboCloud (EU)Ja
Whisper (Self-Hosted)Gratis (Open Source)LokalNej
Diktly Basic14,99 € engangsbeløb + momsEngangskøb100 % lokalNej
Diktly Pro49,99 € engangsbeløb + momsEngangskøb100 % lokalNej

For cloud-løsninger kommer compliance-omkostninger oveni: Den indledende gennemgang af en databehandleraftale af en databeskyttelsesrådgiver koster afhængigt af kompleksiteten 500–2.000 €. En konsekvensanalyse ligger på 1.000–5.000 €. Disse omkostninger påløber pr. udbyder og ved hvert udbydereskift igen. For større advokatfirmaer med flere erhvervsudøvere multipliceres licensomkostningerne pr. bruger, mens compliance-omkostningerne kun påløber én gang — ved små enheder overvejder compliance-overhead derimod tydeligt.

For solopreneurs og små advokatfirmaer falder regningen særligt tydeligt ud: Et cloud-abonnement summer sig over to år til 600 € eller mere — plus compliance-arbejde. Regner man den engangsmæssige databehandleraftale-gennemgang (fra 500 €) og en konsekvensanalyse (fra 1.000 €) med, ligger de samlede omkostninger for GDPR-konform drift af en cloud-dikteringsløsning hurtigt på over 2.000 € i de første to år. En lokal løsning som Diktly koster engangsmæssigt 14,99 € og kræver ingen løbende databeskyttelsesadministration. Også de formentlig “gratis” forbrugertools som Siri eller Google Stemmeinput har en pris: De betaler med deres data, og for tavshedspligtige professionelle kommer i værste fald prisen for en straffesag oveni.

Hyppige spørgsmål om dikteringsoftware og GDPR

Er dikteringsoftware GDPR-konform?

Det afhænger af arkitekturen. Cloud-baseret dikteringsoftware overfører stemmedata til eksterne servere og kræver en databehandleraftale efter artikel 28 GDPR. Lokalt installeret software som Diktly behandler alt på computeren — ingen dataoverførsel, ingen databehandleraftale nødvendig, GDPR-konform by Design.

Hvorfor er cloud-dikteringsløsninger problematiske dataretligt?

Cloud-tjenester overfører audiodata til eksterne servere, ofte uden for EU. Stemmeoptagelser indeholder biometriske kendetegn og potentielt fortroligt indhold. Uden korrekt retsgrundlag, databehandleraftale og konsekvensanalyse overtræder brugen GDPR.

Hvad har §203 StGB at gøre med dikteringsoftware?

§203 StGB beskytter privatlivets hemmeligheder for tavshedspligtige erhverv som advokater, skatterådgivere og læger. Den, der overfører klient- eller patientdata via cloud-dikteringsoftware til tredjepartsservere, risikerer en krænkelse af tavshedspligten — strafbar med op til et års frihedsberøvelse.

Har jeg brug for en databehandleraftale til dikteringsoftware?

Kun hvis softwaren overfører data til eksterne servere. For cloud-baserede løsninger er en databehandleraftale efter artikel 28 GDPR obligatorisk. For rent lokal software bortfalder denne pligt, da ingen databehandling finder sted.

Hvilken dikteringsoftware fungerer helt offline?

Diktly behandler tale fuldstændigt lokalt på computeren og behøver intet internet. Også den klassiske Dragon-desktop-version arbejder lokalt. De fleste moderne alternativer som Siri, Google Stemmeinput eller Dragon Anywhere bruger derimod cloud-servere.

Er stemmedata biometriske data efter GDPR?

Stemmeoptagelser kan være biometriske data i henhold til artikel 4 nr. 14 GDPR, hvis de behandles til entydig identifikation af en person. I dette tilfælde gælder det strenge behandlingsforbud efter artikel 9 GDPR med dets begrænsede undtagelser.

Hvad koster GDPR-konform dikteringsoftware?

Prisspændet er stort. Diktly Basic koster engangsmæssigt 14,99 € plus moms. Cloud-løsninger som Dragon Anywhere koster ofte 20–30 € månedligt som abonnement. Hertil kommer ved cloud-løsninger skjulte omkostninger til databehandleraftale-administration, konsekvensanalyse og compliance-dokumentation.

Konklusion: Lokal behandling er den sikreste vej til GDPR-konformitet

Spørgsmålet er ikke, om cloud-dikteringsoftware kan drives GDPR-konformt. Med nok indsats — databehandleraftale, konsekvensanalyse, tredjelande-gennemgang, §203-sikring — er det teoretisk muligt. Spørgsmålet er, om denne indsats er det værd, når der findes en enklere løsning.

Lokal talegenkendelse eliminerer problemet ved roden. Når ingen data forlader computeren, er der ingen databehandler, ingen tredjelandeoverførsel og ingen krænkelse af tavshedspligten. Compliance er ikke besværlig — den er arkitektonisk givet. Takket være open source-modeller som Whisper er genkendelseskvaliteten af lokale løsninger i dag på niveau med kommercielle cloud-tjenester — den ofte nævnte kvalitetsfordel ved cloud er ikke længere et argument.

Hvis De som advokat, skatterådgiver eller læge bruger dikteringsoftware, så undersøg i dag: Hvor ender Deres stemmedata? Hvis svaret er “i clouden”, er det tid til et skift. Diktly behandler alt lokalt, koster engangsmæssigt fra 14,99 € og kræver ikke en eneste compliance-proces. For den bedste databeskyttelse er den, hvor der ikke er noget at beskytte — fordi data aldrig forlader Deres computer.

← Zurück zum Blog