Website im Aufbau

6-stelliger Zugangscode

Datenschutz

Dicteersoftware AVG: Waarom cloud-oplossingen een probleem zijn

Dicteersoftware en AVG — waarom cloud-spraakherkenning risicovol is, wat §203 StGB vereist en welke lokale alternatieven er zijn.

Tom · · 20 Min. Lesezeit
Diktiersoftware DSGVO-konform: Vergleich Cloud vs. lokale Spracherkennung

Dicteersoftware en AVG: Waarom cloud-spraakherkenning een juridisch risico is

In één oogopslag: Cloud-gebaseerde dicteersoftware stuurt spraakgegevens naar externe servers — een probleem voor de AVG en helemaal voor beroepsgeheimhouders onder §203 StGB. Spraakopnames kunnen biometrische gegevens bevatten en vallen daarmee onder de strenge art. 9 AVG. Lokale offline-oplossingen omzeilen deze risico’s volledig, omdat er geen gegevensoverdracht plaatsvindt.

U dicteert een processtuk voor een cliënt. Vertrouwelijke details, zaaknummers, namen — alles stroomt via spraak uw computer in. Maar waar precies naartoe? Bij de meeste dicteeroplossingen luidt het antwoord: naar een server in de cloud. Vaak in de VS, soms in Ierland, zelden in Duitsland. Voor beroepsgroepen met geheimhoudingsplicht — advocaten, belastingadviseurs, artsen — is dat niet alleen een privacykwestie. Het is potentieel strafbaar. Dit artikel legt uit waarom dicteersoftware en AVG een spanningsveld vormen, welke concrete risico’s cloud-oplossingen met zich meebrengen en welke alternatieven er zijn.

Wat gebeurt er met uw spraakgegevens in de cloud?

Cloud-gebaseerde dicteersoftware stuurt uw audiogegevens naar een externe server, waar een AI-model de spraak omzet in tekst en het resultaat terugstuurt. Daarbij doorlopen uw spraakgegevens meerdere netwerkknooppunten, worden ze verwerkt op de server van de aanbieder en vaak tijdelijk opgeslagen — een proces dat verstrekkende privacyrechtelijke gevolgen heeft.

Het probleem begint al bij de overdracht zelf. Volgens een onderzoek van SkyScribe (2026) uploaden sommige transcriptie-apps audiogegevens zelfs vóór toestemming van de gebruiker naar externe servers — via SDK’s die al bij het opstarten van de app gegevens overdragen. Dit mechanisme is voor de gebruiker onzichtbaar: de app vraagt alleen microfoon-toegang aan, terwijl op de achtergrond de audiogegevens doorgestuurd worden naar cloud-modellen.

De grote cloud-aanbieders zoals Google, Apple en Microsoft verwerken spraakgegevens standaard op hun servers. Bij Apple’s Siri en Google’s spraakherkenning werkt de spraakherkenning bij uitgeschakelde wifi helemaal niet — een duidelijk teken dat de verwerking niet lokaal gebeurt. Voor privégebruik mag dat acceptabel zijn. Voor professionele gebruikers met vertrouwelijkheidplichten is het een compliance-probleem.

Daarnaast is er de kwestie van gegevensopslag. Veel cloud-aanbieders behouden zich in hun gebruiksvoorwaarden het recht voor om audiogegevens te gebruiken voor het verbeteren van hun modellen. Zelfs als onmiddellijke verwijdering wordt beloofd, ontbreken vaak transparante bewijzen dat de gegevens daadwerkelijk volledig verwijderd worden. Zonder duidelijke verwijderingstermijnen en verifieerbare processen blijft er een restrisico dat uw vertrouwelijke dictaten op vreemde servers blijven staan.

Een vaak onderschat punt: ook metadata zijn beschermingswaardig. Zelfs als de audiostream versleuteld wordt overgedragen, kunnen timestamps, IP-adressen, apparaatinformatie en gebruikspatronen inzichten geven over uw werk. In een advocatenkantoor verraden deze metadata bijvoorbeeld wanneer aan welke zaak gewerkt wordt — informatie die voor tegenpartijen of concurrenten waardevol kan zijn.

Gegevensstroom bij cloud-gebaseerde dicteersoftware vergeleken met lokale verwerking

Welke AVG-eisen gelden voor dicteersoftware?

Dicteersoftware die spraakgegevens verwerkt, valt volledig onder de AVG, omdat audiogegevens persoonsgegevens zijn. Ze bevatten de stem van een identificeerbare persoon en vaak genoeg ook inhoudelijk gevoelige informatie over derden. Of een verwerkersovereenkomst vereist is, hangt ervan af of de verwerking lokaal of op externe servers plaatsvindt.

De centrale AVG-eisen zijn in vier gebieden in te delen:

Rechtsgrondslag volgens art. 6 AVG. Elke verwerking heeft een rechtsgrondslag nodig. Bij cloud-dicteersoftware komt meestal art. 6 lid 1 onder f (gerechtvaardigd belang) of onder a (toestemming) in aanmerking. Beide zijn in professionele context problematisch: het gerechtvaardigd belang moet afgewogen worden tegen de rechten van betrokkenen, en effectieve toestemming van alle in een dictaat genoemde personen is praktisch nauwelijks te verkrijgen.

Verwerking in opdracht volgens art. 28 AVG. Zodra een cloud-aanbieder uw spraakgegevens op zijn servers verwerkt, is er sprake van verwerking in opdracht. Een verwerkersovereenkomst is verplicht. Deze moet het onderwerp, de duur, de aard en het doel van de verwerking, de soort persoonsgegevens en de verplichtingen van de verwerker regelen. Ontbreekt de verwerkersovereenkomst, dan schendt al het gebruik van de software de AVG — onafhankelijk van of er daadwerkelijk een privacy-incident optreedt.

Doorgifte naar derde landen. Veel cloud-dicteerdiensten verwerken gegevens in de VS of andere derde landen. Sinds het Schrems-II-arrest van het HvJ-EU (2020) is de overdracht van persoonsgegevens naar de VS aan strenge voorwaarden gebonden. Het huidige EU-US Data Privacy Framework biedt weliswaar een basis, maar staat alweer onder juridische kritiek. Volgens de DLA Piper studie (2025) werden alleen al in 2024 Europa-wijd AVG-boetes van 1,2 miljard euro opgelegd — doorgifte naar derde landen behoorde tot de meest voorkomende overtredingen.

Gegevensbeschermingseffectbeoordeling (DPIA). Wanneer de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten van natuurlijke personen — zoals bij biometrische gegevens of bij systematische monitoring — moet volgens art. 35 AVG een DPIA uitgevoerd worden. Spraakgegevens kunnen aan dit criterium voldoen, vooral als ze grootschalig of systematisch verwerkt worden.

Het beslissende punt: al deze eisen gelden alleen als er überhaupt gegevensoverdracht naar derden plaatsvindt. Bij puur lokale dicteersoftware die geen gegevens naar externe servers stuurt, vervalt de gehele compliance-last. Er is geen verwerking in opdracht, geen doorgifte naar derde landen en daarmee ook geen DPIA-plicht — de AVG-conformiteit volgt uit de technische architectuur zelf.

EisCloud-dicteersoftwareLokale dicteersoftware
Rechtsgrondslag (art. 6)Vereist, complexVervalt (geen gegevens naar derden)
Verwerkersovereenkomst (art. 28)VerplichtNiet nodig
Doorgifte derde landenVaak (VS-servers)Uitgesloten
DPIA (art. 35)Vaak vereistMeestal niet nodig
Technische maatregelenAfhankelijk van aanbiederVolledige controle

Waarom zijn spraakdata bijzonder gevoelig?

Spraakopnames kunnen biometrische data in de zin van de AVG bevatten, omdat ze fysieke en gedragskenmerken van een persoon vastleggen — stemfrequentie, spreekritme, articulatiepatronen. Art. 4 nr. 14 AVG definieert biometrische data als persoonsgegevens die verkregen worden door speciale technische procedures en een persoon uniek kunnen identificeren.

Wanneer spraakdata voor unieke identificatie worden ingezet, geldt het strenge verwerkingsverbod volgens art. 9 lid 1 AVG. Dit verbod laat slechts tien nauw gedefinieerde uitzonderingen toe — zoals uitdrukkelijke toestemming. Voor cloud-dicteerdiensten betekent dit: ook als er een verwerkersovereenkomst bestaat en de data in de EU worden verwerkt, kan de verwerking in strijd zijn met art. 9 als de aanbieder de audiodata voor stembiometrie gebruikt of zou kunnen gebruiken.

Volgens het standpunt van de Datenschutzkonferenz (DSK, 2019) moet de geschiktheid van biometrische data voor unieke identificatie altijd in de risico-inschatting worden meegenomen — ook als de huidige verwerking niet op identificatie is gericht. De louter mogelijkheid volstaat om verhoogde beveiligingsmaatregelen te rechtvaardigen. Dit geldt ook voor gevallen waarin de cloudaanbieder technisch in staat zou zijn stemprofielen te maken — ook als hij dit momenteel niet doet.

Een ander aspect: spraakdata bevatten regelmatig ook inhoudelijke informatie over derden. Wanneer een advocaat een dictaat over een cliëntzaak maakt, zitten daar persoonsgegevens van de cliënt, de tegenpartij en mogelijk van getuigen in. Deze personen hebben noch toestemming gegeven voor de verwerking noch kunnen zij deze controleren. In de context van belastingadvies is de situatie vergelijkbaar: dictaten over belastingzaken bevatten inkomensgegevens, familieverhoudingen en vermogensinformatie van cliënten — allemaal zeer gevoelige data die bij een cloudaanbieder op een server belanden die noch de belastingadviseur noch de cliënt controleert.

Volgens TU Darmstadt en Hochschule Rosenheim vormen cloud-gebaseerde spraakherkenningssystemen een aanzienlijk risico, omdat de overgedragen opnames zowel biometrische als vertrouwelijke informatie bevatten — en misbruikt zouden kunnen worden, bijvoorbeeld voor zogenaamde “Fake Recordings” (authentiek lijkende, kunstmatig gegenereerde spraakopnames). Dit risico is bij lokale verwerking volledig geëlimineerd, omdat de audiodata de computer nooit verlaten.

Wat betekent §203 StGB voor de inzet van dicteersoftware?

§203 StGB verbiedt beroepsgeheimhouders — waaronder advocaten, belastingadviseurs, accountants en artsen — de onbevoegde openbaring van privégeheimen en stelt overtredingen strafbaar met gevangenisstraf tot een jaar of geldboete. Wie cliënt- of patiëntdata via cloud-dicteersoftware naar servers van derden overdraagt, riskeert daarmee een strafrechtelijk relevante schending van de geheimhoudingsplicht.

De rechtsgevolgen gaan verder dan de geldboete. Bij berekeningsopzet dreigen tot twee jaar gevangenisstraf (§203 lid 6 StGB). Daarnaast zijn er tuchtrechtelijke consequenties: advocatentuchtprocedures, intrekking van de toelating, schadevergoedingsclaims van de getroffen cliënten. Wikipedia omschrijft overtredingen van §203 StGB als een in frequentie “nauwelijks te overtreffen massadelict” — een serieuze vervolging vindt echter zelden plaats. Dit moet echter niet als ontwarning worden opgevat: in het geval van nood — bijvoorbeeld bij een datalek bij de cloudaanbieder — wordt de vraag van de zorgvuldigheidsplicht tot het beslissende punt.

Sinds de hervorming van 2017 staat §203 lid 3 StGB weliswaar de inschakeling van externe dienstverleners als “overige meewerkende personen” toe. Voorwaarde is echter dat de beroepsgeheimhouder de dienstverlener zorgvuldig selecteert en tot geheimhouding verplicht. Deze meewerkende personen worden op hun beurt in de strafbaarheid volgens §203 betrokken — zij maken zich eveneens strafbaar als zij een bij gelegenheid van hun werkzaamheden bekendgeworden geheim openbaar maken. Bij cloudaanbieders met vestiging in de VS is twijfelachtig of aan deze voorwaarde kan worden voldaan — met name gezien de daar geldende toezichtswetten zoals FISA Section 702 en de CLOUD Act, die Amerikaanse autoriteiten toegang tot data mogelijk maken, ook als deze in de EU zijn opgeslagen.

De IT-rechtspecialist Andreas Nörr bracht het in een interview met Future-Law (2026) op de punt: veel advocaten adviseren hun cliënten over databescherming, maar gebruiken zelf onveilige consumententools voor vertrouwelijke dictaten. Het gebruik van Siri of Google-spraakinvoer voor cliëntdictaten zou een flagrante tegenspraak zijn met de beroepsplichten. Hij ziet de oplossing in professionele tools die data lokaal verwerken of in gecertificeerde Europese datacenters — consumentenproducten zouden niets te zoeken hebben in de kantooromgeving.

Overzicht: Welke beroepsgroepen vallen onder §203 StGB

Welke concrete risico’s bestaan er bij cloud-dicteersoftware?

Cloud-gebaseerde dicteersoftware brengt aanzienlijke technische, juridische, economische en reputatiegerelateerde risico’s met zich mee, die elkaar kunnen versterken. Een enkele datalek bij de cloud-provider kan tegelijkertijd een AVG-boete, een strafrechtelijk onderzoek onder artikel 272 Wetboek van Strafrecht, civielrechtelijke schadevergoedingseisen en blijvende reputatieschade bij cliënten en patiënten veroorzaken.

Technische risico’s. Audiodata wordt bij overdracht naar de server via internet geleid. Ondanks HTTPS-versleuteling blijft er een restrisico bij gecompromitteerde certificaten of Man-in-the-Middle-aanvallen. Op de server zelf worden de data ontsleuteld en verwerkt — wie toegang heeft tot de server, heeft toegang tot uw dictaten. Volgens de Cloud-Monitor van KPMG en Bitkom Research stijgen de bedreigingen uit de cloud vooral voor middelgrote ondernemingen gestaag, met name door diefstal van gegevens en industriële spionage. Bijzonder verraderlijk: sommige apps versturen audio al via SDK’s voordat de gebruiker überhaupt actief heeft gedicteerd.

Juridische risico’s. Naast AVG-boetes (tot 20 miljoen euro of 4% van de wereldwijde jaaromzet volgens art. 83 AVG) en strafbaarheid onder artikel 272 Wetboek van Strafrecht dreigen ook civielrechtelijke schadevergoedingsclaims. Art. 82 AVG verleent betrokkenen recht op schadevergoeding bij AVG-overtredingen — ook bij immateriële schade. In 2025 legde alleen al de Duitse DPA een boete van 45 miljoen euro op aan Vodafone wegens gebrekkige verwerkersovereenkomsten (AVG-Portal, 2026). In hetzelfde jaar kreeg Google van de CNIL 325 miljoen euro en Shein 150 miljoen euro.

Economische risico’s. Cloud-dicteersoftware veroorzaakt doorlopende kosten: abonnementen, verwerkersovereenkomstbeheer, regelmatige compliance-controles, DPIA-opstelling. Dragon Anywhere kost als abonnementsmodel maandelijks tussen 20 en 30 euro per gebruiker bij een minimale looptijd van 12 maanden. Daarbovenop komen kosten voor juridische toetsing van dataprotectieconformiteit, die bij elke providerwisseling opnieuw optreden.

Reputatierisico’s. Een datalek bij een cloud-provider treft potentieel alle gebruikers tegelijk. Voor advocatenkantoren en praktijken kan zo’n incident existentieel bedreigend zijn. Het gemiddelde aantal gemelde datalekken steeg volgens DLA Piper (2025) naar 363 meldingen per dag in Europa. In 2025 werden bij de Duitse autoriteiten in totaal 10.259 datalekken gemeld — een stijging ten opzichte van het voorgaande jaar met 8.623 meldingen (AVG-Portal, 2026).

RisicocategorieCloud-oplossingLokale oplossing
Datalekken bij overdrachtMogelijkUitgesloten
Servertoegang door derdenMogelijk (ook VS-autoriteiten)Uitgesloten
AVG-boeteTot 20 mln. € / 4% omzetRisico minimaal
Art. 272 Sr strafbaarheidJa, bij beroepsgeheimhoudersNee
Doorlopende compliance-kostenVerwerkersovereenkomst, DPIA, controlesGeen

Hoe werkt lokale spraakherkenning als alternatief?

Lokale spraakherkenning verwerkt audiodata volledig op de eigen computer van de gebruiker, zonder internetverbinding en zonder overdracht naar externe servers. Het AI-model draait direct op de lokale hardware, waardoor geen derde partij in de verwerkingsketen wordt betrokken, geen verwerkersovereenkomst nodig is en AVG-conformiteit architectonisch gewaarborgd is.

De technologische doorbraak die dit mogelijk maakt, heet OpenAI Whisper. Dit open-source model werd getraind met 680.000 uur meertalige audiodata en bereikt voor Nederlands een Word Error Rate (WER) van ongeveer 5,8% — vergelijkbaar met commerciële clouddiensten. Beslissend is: Whisper draait volledig op lokale hardware. Moderne CPU’s verwerken dictaten in bijna realtime, met GPU-ondersteuning (Apple Metal op Mac, NVIDIA CUDA op Windows) zelfs aanzienlijk sneller.

Door modelkwantisering — de omzetting van 32-bit floating-point gewichten naar kleinere formaten — krimpt het model tot een hanteerbare grootte, zonder de nauwkeurigheid wezenlijk aan te tasten. Volgens MLCommons (2025) bereikt de Whisper-referentie-implementatie een Word Accuracy van 97,93% en reduceerde de foutmarge ten opzichte van het voorgaande MLPerf-ASR-model met meer dan 72%. De MIT-licentie staat daarbij onbeperkt commercieel gebruik toe — een beslissend voordeel ten opzichte van propriëtaire clouddiensten, waarbij u aan een enkele provider gebonden bent.

Voor AVG-conformiteit is het resultaat eenduidig: wanneer geen spraakdata de computer verlaten, is er geen verwerking in opdracht, geen doorgifte naar derde landen en geen cloud-provider die u moet vertrouwen. De gehele compliance-complexiteit valt weg. Ook voor artikel 272 Wetboek van Strafrecht is de situatie helder: gegevens die de computer nooit verlaten, kunnen niet worden “bekendgemaakt”.

Diktly hanteert precies deze aanpak. De software verwerkt spraak volledig lokaal via het Whisper-model. Geen internet, geen cloud, geen serververbinding — zelfs niet voor update-controles. Voor beroepsgeheimhouders onder artikel 272 Wetboek van Strafrecht is dit de veiligste weg: de gegevens blijven op de computer, de zwijgplicht wordt technisch gegarandeerd.

Een praktisch voordeel dat vaak over het hoofd wordt gezien: lokale spraakherkenning werkt ook daar waar geen internet is — in de rechtbank, bij cliëntgesprekken, in de trein of in het buitenland. Terwijl cloud-oplossingen bij slechte verbindingen falen of kampen met hoge latency, werkt lokale software betrouwbaar en zonder vertraging. Voor belastingadviseurs in de spitsperiode van belastingaangiften en advocaten met krappe deadlines is dit geen comfortthema, maar een productiviteitsfactor.

Aan welke eisen moet GDPR-conforme dicteersoftware voldoen?

GDPR-conforme dicteersoftware moet ervoor zorgen dat spraakgegevens niet zonder rechtsgrondslag aan derden worden doorgegeven en dat de gebruiker te allen tijde volledige controle over zijn audiogegevens behoudt. De term “GDPR-conform” is daarbij niet beschermd — controleer daarom concreet hoe de software omgaat met uw gegevens.

De volgende criteria helpen bij de beoordeling:

1. Gegevensverwerking. Waar vindt de spraakherkenning plaats — op uw apparaat of op een externe server? Test dit door de internetverbinding te verbreken en een dictaat te starten. Werkt de software offline, dan is de verwerking daadwerkelijk lokaal. Deze test ontmaskert ook aanbieders die adverteren met “lokale AI”, maar eigenlijk afhankelijk zijn van cloudverwerking.

2. Netwerkcommunicatie. Controleer of de software op de achtergrond gegevens verzendt. Sommige apps adverteren met “lokale AI”, maar versturen toch telemetriegegevens, gebruiksstatistieken of modelupdates via het netwerk. Volgens de SkyScribe-analyse (2026) leiden sommige transcriptie-apps opnames via achtergrondprocessen door naar cloudmodellen, hoewel ze alleen microfoontoegang aanvragen. Let vooral op apps die bij het opstarten een netwerkverbinding opbouwen, hoewel ze voor de dicteerfunctie geen internet zouden moeten nodig hebben.

3. VVV en documentatie. Als de software cloudcomponenten gebruikt: biedt de aanbieder een volledige VVV aan? Waar staan de servers? In welk land is de aanbieder gevestigd? Welke onderaannemers zijn betrokken? Een ontbrekende of onvolledige VVV is al een GDPR-overtreding — ongeacht of er daadwerkelijk gegevens weglekken.

4. Gegevensopslag en -verwijdering. Worden audiogegevens of transcripties opgeslagen? Zo ja, hoe lang? Zijn er duidelijke verwijderingstermijnen? Ontbreken gegevens zoals “verwijdering na X dagen”, dan bestaat er volgens de GDPR geen garantie dat uw gegevens niet onbeperkt worden opgeslagen. Let er ook op of de aanbieder audiogegevens gebruikt voor het trainen van zijn AI-modellen — dat is een apart verwerkingsdoel dat een eigen rechtsgrondslag vereist.

5. Open-source-transparantie. Is de gebruikte AI-engine open source? Bij open-source-modellen zoals Whisper (MIT-licentie) kunnen onafhankelijke beveiligingsaudits worden uitgevoerd. Propriëtaire cloudmodellen zijn black boxes — u moet de aanbieder vertrouwen zonder zijn gegevensverwerking te kunnen controleren.

Hoe ziet de rechtssituatie eruit bij cloudspraakherkenning in het kantoor?

Cloudgebaseerde spraakherkenning in advocatenkantoren is niet per se verboden, maar vereist wel naleving van zowel privacyrechtelijke als beroepsrechtelijke vereisten. Naast de GDPR geldt de Beroepsordening voor Advocaten (BRAO): §43a lid 2 BRAO verplicht tot geheimhouding over alles wat bij uitoefening van het beroep bekend is geworden.

Het gebruik van clouddicteersoftware in het kantoor vereist minimaal:

  • Een volledige VVV met de cloudaanbieder volgens art. 28 GDPR
  • De beoordeling of de cloudaanbieder kan worden gekwalificeerd als “andere meewerkende persoon” in de zin van §203 lid 3 StGB
  • Een schriftelijke verplichting van de aanbieder tot geheimhouding
  • Bij US-aanbieders: beoordeling van de gevolgen van FISA Section 702, CLOUD Act en EU-US Data Privacy Framework
  • Een gedocumenteerde gegevensbeschermingseffectbeoordeling volgens art. 35 GDPR
  • De informatie aan alle betrokkenen (art. 13/14 GDPR) — dus ook aan cliënten over wiens gegevens wordt gedicteerd

In de praktijk betekent dit een aanzienlijke administratieve last. Zoals Simon Reuvekamp, CTO bij kantoor Meyer-Köring en specialist voor dicteersystemen, opmerkte op legal-tech.de: gegevensbescherming beperkt de voordelen van spraakherkenning niet — mits er een doordacht concept achter zit. Wie daarentegen simpelweg Siri of Google-spraakherkenning gebruikt voor cliëntendictaten, handelt nalatig. Hij beveelt als veiligste alternatief het gebruik van lokale spraakherkenningstoplossingen aan die helemaal zonder netwerküberdragung werken — of in ieder geval oplossingen waarbij de gegevens uitsluitend via de eigen versleutelde kantoorserver lopen.

De eenvoudigste oplossing die al deze vereisten omzeilt: software waarbij de spraakherkenning volledig lokaal op de kantoorcomputer draait. Geen cloudaanbieder, geen VVV, geen derdenlandoverdracht — en geen open flank bij de volgende privacycontrole.

Een praktijkvoorbeeld verduidelijkt het verschil: Een eenmansadvocatenkantoor dat Dragon Anywhere gebruikt, moet de VVV met Nuance/Microsoft controleren, de derdenlandproblematiek beoordelen (de servers staan volgens de aanbieder in een Duits datacenter, maar Microsoft als US-onderneming valt onder de CLOUD Act), een DPIA opstellen, alle cliënten informeren conform art. 13 GDPR en de cloudaanbieder kwalificeren als meewerkende persoon volgens §203 lid 3 StGB en tot geheimhouding verplichten. Hetzelfde kantoor met een lokale oplossing zoals Diktly hoeft niets hiervan te doen — de GDPR-conformiteit volgt uit de architectuur.

Wat kost GDPR-conforme dicteersoftware in vergelijking?

De totale kosten van GDPR-conforme dicteersoftware bestaan uit de aanschafprijs en de vaak over het hoofd gezien compliance-kosten — de laatste kunnen bij cloudoplossingen de pure softwareprijs een veelvoud overtreffen. Een eerlijke vergelijking moet daarom naast de licentiekosten ook AVG-controle, gegevensbeschermingseffectbeoordeling en lopende compliance-documentatie meenemen.

OplossingPrijsModelCloud / LokaalAVG nodig?
Siri / Google SpraakherkenningGratisCloudJa (nauwelijks mogelijk)
Dragon Anywhere~€25/maand (Abonnement)Abo, 12 mnd.Cloud (Duitse datacenters)Ja
Philips SpeechLive~€15–25/maandAboCloud (EU)Ja
Whisper (Self-Hosted)Gratis (Open Source)LokaalNee
Diktly Basic€14,99 eenmalig + BTWEenmalige aankoop100% lokaalNee
Diktly Pro€49,99 eenmalig + BTWEenmalige aankoop100% lokaalNee

Bij cloudoplossingen komen compliance-kosten bij: De initiële controle van een verwerkersovereenkomst door een gegevensbeschermingsfunctionaris kost afhankelijk van de complexiteit €500–2.000. Een gegevensbeschermingseffectbeoordeling ligt tussen €1.000–5.000. Deze kosten vallen per aanbieder aan en bij elke leverancierswisseling opnieuw. Voor grotere kantoren met meerdere beroepsbeoefenaars vermenigvuldigen de licentiekosten per gebruiker zich, terwijl de compliance-kosten slechts één keer vallen — bij kleine eenheden weegt daarentegen de compliance-overhead duidelijk zwaarder.

Voor solopreneurs en kleine kantoren valt de rekening bijzonder duidelijk uit: Een cloudabonnement telt over twee jaar op tot €600 of meer — plus compliance-inspanning. Rekent men de eenmalige AVG-controle (vanaf €500) en een DPIA (vanaf €1.000) erbij, dan liggen de totale kosten voor het GDPR-conforme gebruik van een clouddicteeroplossing snel boven €2.000 in de eerste twee jaren. Een lokale oplossing zoals Diktly kost eenmalig €14,99 en vereist geen lopend gegevensbeschermingsbeheer. Ook de zogenaamd “gratis” consumententools zoals Siri of Google Spraakherkenning hebben een prijs: je betaalt met je gegevens, en voor beroepsgeheimhouders komt in het ergste geval de prijs van een strafrechtelijke uiteinanderzetting bij.

Veel gestelde vragen over dicteersoftware en GDPR

Is dicteersoftware GDPR-conform?

Dat hangt van de architectuur af. Cloudgebaseerde dicteersoftware draagt spraakgegevens over naar externe servers en vereist een verwerkersovereenkomst (AVG) volgens art. 28 GDPR. Lokaal geïnstalleerde software zoals Diktly verwerkt alles op de computer — geen gegevensoverdracht, geen AVG nodig, GDPR-conform by design.

Waarom zijn clouddicteeroplossingen gegevensbeschermingsrechtelijk problematisch?

Clouddiensten dragen audiogegevens over naar externe servers, vaak buiten de EU. Spraakopnames bevatten biometrische kenmerken en potentieel vertrouwelijke inhoud. Zonder juiste rechtsgrondslag, AVG en gegevensbeschermingseffectbeoordeling overtreedt het gebruik de GDPR.

Wat heeft artikel 272 Wetboek van Strafrecht met dicteersoftware te maken?

Artikel 272 Wetboek van Strafrecht beschermt de beroepsgeheimen van beroepsgeheimhouders zoals advocaten, belastingadviseurs en artsen. Wie cliënt- of patiëntgegevens via clouddicteeroftware naar derdeservers overdraagt, riskeert een schending van de geheimhoudingsplicht — strafbaar met gevangenisstraf.

Heb ik een AVG nodig voor dicteersoftware?

Alleen als de software gegevens naar externe servers overdraagt. Bij cloudgebaseerde oplossingen is een verwerkersovereenkomst volgens art. 28 GDPR verplicht. Bij puur lokale software vervalt deze plicht, omdat er geen verwerking in opdracht plaatsvindt.

Welke dicteersoftware werkt volledig offline?

Diktly verwerkt spraak volledig lokaal op de computer en heeft geen internet nodig. Ook de klassieke Dragon-desktopversie werkt lokaal. De meeste moderne alternatieven zoals Siri, Google Spraakherkenning of Dragon Anywhere gebruiken daarentegen cloudservers.

Zijn spraakgegevens biometrische gegevens volgens GDPR?

Stemopnames kunnen biometrische gegevens zijn in de zin van art. 4 nr. 14 GDPR, als ze worden verwerkt voor unieke identificatie van een persoon. In dat geval geldt het strenge verwerkingsverbod volgens art. 9 GDPR met beperkte uitzonderingen.

Wat kost GDPR-conforme dicteersoftware?

De prijsrange is groot. Diktly Basic kost eenmalig €14,99 plus BTW. Cloudoplossingen zoals Dragon Anywhere kosten vaak €20–30 per maand in abonnement. Daarbij komen bij cloudoplossingen verborgen kosten voor AVG-beheer, gegevensbeschermingseffectbeoordeling en compliance-documentatie.

Conclusie: Lokale verwerking is de veiligste weg naar GDPR-conformiteit

De vraag is niet of clouddicteeroftware GDPR-conform kan worden gebruikt. Met genoeg inspanning — AVG, DPIA, derdelandcontrole, art. 272-waarborging — is dat theoretisch mogelijk. De vraag is of deze inspanning de moeite waard is als er een eenvoudigere oplossing bestaat.

Lokale spraakherkenning elimineert het probleem bij de wortel. Als geen gegevens de computer verlaten, is er geen verwerker, geen derdelandoverdracht en geen schending van de geheimhoudingsplicht. De compliance is niet bewerkelijk — ze is architectonisch gegeven. Dankzij open-source-modellen zoals Whisper is de herkwaliteit van lokale oplossingen vandaag op het niveau van commerciële clouddiensten aangekomen — het vaak genoemde kwaliteitsvoordeel van de cloud is geen argument meer.

Als u als advocaat, belastingadviseur of arts dicteersoftware inzet, controleer dan vandaag: Waar belanden uw spraakgegevens? Als het antwoord “in de cloud” luidt, is het tijd voor een wissel. Diktly verwerkt alles lokaal, kost eenmalig vanaf €14,99 en vereist geen enkel compliance-proces. Want de beste gegevensbescherming is die waarbij er niets te beschermen valt — omdat de gegevens uw computer nooit verlaten.

← Zurück zum Blog