Dit gesprek wordt opgenomen. Punt.

“Dit gesprek kan worden opgenomen voor kwaliteits- en opleidingsdoeleinden.” Bijna iedereen hoort die zin regelmatig. Bij banken, energieleveranciers, telecomoperatoren en zowat elke klantendienst van België klinkt ze ondertussen zo vanzelfsprekend dat niemand er nog vragen bij stelt. Tot de Gegevensbeschermingsautoriteit dat plots wél begon te doen.

In een recente beslissing fileert de GBA de juridische fundamenten achter opgenomen telefoongesprekken. En daarbij viseert ze niet alleen privacyregels of GDPR-documentatie, maar vooral een veel fundamentelere vraag die ondernemingen zichzelf vaak niet eens stellen: mag u dat gesprek eigenlijk wel opnemen? Voor veel organisaties zou het antwoord juridisch veel minder evident kunnen zijn dan jarenlang werd aangenomen.

Veel ondernemingen vertrekken juridisch vanuit het verkeerde kader

De GDPR komt eigenlijk pas later

Wanneer ondernemingen nadenken over telefoonopnames, springen ze vandaag bijna automatisch naar de GDPR. Welke rechtsgrond gebruiken we? Welke privacyverklaring hebben we nodig? Hoe lang mogen we de opname bewaren? Dat zijn uiteraard relevante vragen, maar juridisch zijn ze eigenlijk pas van belang zodra vaststaat dat de opname zelf toegelaten is.

En net daar loopt het in de praktijk vaak al fout.

De Belgische regels rond elektronische communicatie vertrekken principieel vanuit de vertrouwelijkheid van communicatie. Artikel 124 van de Wet Elektronische Communicatie verbiedt in principe het afluisteren, kennisnemen of opnemen van elektronische communicatie, behalve wanneer een specifieke uitzondering van toepassing is.

Waarom dat onderscheid praktisch zo belangrijk is

Dat onderscheid tussen het telecommunicatiegeheim en de GDPR lijkt misschien een technische juridische nuance, maar het verandert dus de volledige logica van de analyse. Zodra men begrijpt dat telefoonopnames in principe verboden zijn, wordt ook duidelijk waarom de GDPR eigenlijk pas later in beeld komt.

Precies daar situeert zich ook de kern van de recente GBA-beslissing. De discussie gaat namelijk veel verder dan louter privacydocumentatie of transparantieverplichtingen. De toezichthouder onderzoekt eerst waarom de betrokken onderneming meent gesprekken te mogen opnemen, en pas daarna hoe die opnames vervolgens onder de GDPR worden verwerkt.

Waarom ondernemingen gesprekken opnemen

Wettelijke verplichtingen en gereguleerde sectoren

In de praktijk nemen ondernemingen gesprekken meestal op om drie redenen. Een eerste categorie bestaat uit situaties waarin de wet zelf uitzonderingen voorziet op het principiële verbod om communicatie op te nemen.

In bepaalde gereguleerde sectoren moeten gesprekken immers kunnen worden gereconstrueerd of bewaard. Denk bijvoorbeeld aan financiële dienstverlening, waar communicatie rond bepaalde beleggingsdiensten of transacties verplicht moet worden geregistreerd. Het telecommunicatiegeheim blijft dus ook daar het uitgangspunt, maar de wet voorziet expliciet uitzonderingen op dat verbod wanneer de opname noodzakelijk is om aan specifieke wettelijke verplichtingen te voldoen.

Daarnaast voorziet de wet ook uitzonderingen voor technische controle van netwerken en elektronische communicatiediensten. Ondernemingen mogen in bepaalde gevallen communicatie verwerken of registreren wanneer dat noodzakelijk is om de goede werking en beveiliging van hun systemen te controleren.

Een andere belangrijke uitzondering betreft opnames in het kader van rechtmatige commerciële transacties. De wet laat ondernemingen onder bepaalde voorwaarden toe om communicatie te registreren wanneer dat noodzakelijk is als bewijs van commerciële verrichtingen. Dat speelt bijvoorbeeld bij telefonische contractsluitingen of transacties waarbij achteraf moet kunnen worden aangetoond welke afspraken precies werden gemaakt.

In al deze gevallen is de opname dus geen louter operationele keuze meer, maar onderdeel van een expliciet wettelijk kader.

Kwaliteitscontrole en opleiding van medewerkers

De tweede categorie is meteen ook de meest voorkomende. Ondernemingen nemen gesprekken op voor kwaliteitscontrole, coaching en opleiding van medewerkers. Maar ook daar blijft hetzelfde juridische uitgangspunt gelden: telefoongesprekken opnemen is in principe verboden, tenzij een specifieke uitzondering van toepassing is.

Precies daarom speelt de uitzondering voor kwaliteitscontrole en opleiding zo’n centrale rol in de recente beslissing van de GBA. De wet laat onder bepaalde voorwaarden toe dat gesprekken binnen callcenteractiviteiten worden opgenomen voor zulke doeleinden. Veel ondernemingen lijken daar vandaag echter van uit te gaan alsof vrijwel elke telefonische klantendienst automatisch onder die uitzondering valt. En net daar trekt de GBA een duidelijke grens.

Toestemming lijkt eenvoudig, maar is het vaak niet

Een derde mogelijkheid is toestemming. Op het eerste gezicht lijkt dat de eenvoudigste oplossing. Als iemand akkoord gaat met de opname, waar zit dan nog het probleem?

In werkelijkheid blijkt toestemming juridisch veel moeilijker dan ondernemingen vaak denken. Zowel onder de regels rond elektronische communicatie als onder de GDPR moet toestemming vrij, specifiek en geïnformeerd gegeven worden. Dat betekent concreet dat iemand een echte keuze moet hebben en die toestemming ook moet kunnen weigeren zonder negatieve gevolgen.

En net daar wringt het vaak. Wanneer iemand een klantendienst belt omdat hij dringend hulp nodig heeft, een probleem wil oplossen of afhankelijk is van de betrokken dienstverlening, rijst de vraag hoe vrij die toestemming werkelijk nog is. Veel automatische boodschappen informeren de beller bovendien enkel dat een gesprek “kan worden opgenomen”, maar vragen eigenlijk geen echte toestemming. Informatie geven is echter niet hetzelfde als toestemming verkrijgen.

De problematiek wordt nog gevoeliger wanneer het over werknemers gaat. In haar beslissing benadrukt de GBA uitdrukkelijk dat toestemming binnen een arbeidsrelatie bijzonder problematisch is door de bestaande gezagsverhouding tussen werkgever en werknemer. Precies omdat werknemers zich moeilijk volledig vrij kunnen voelen om een verzoek van hun werkgever te weigeren, wordt toestemming in die context onder de GDPR traditioneel zeer terughoudend beoordeeld.

De GBA trekt duidelijke grenzen rond de callcenter-uitzondering

Niet elke klantendienst is automatisch een callcenter

De recente beslissing van de GBA is vooral interessant omdat zij scherp afbakent wanneer de uitzondering voor kwaliteitscontrole binnen callcenters kan worden gebruikt.

In de zaak voor de GBA ging het om de SWDE, de Société Wallonne des Eaux. Daar maakte de toezichthouder een belangrijk onderscheid tussen het eigenlijke Front Office en meer gespecialiseerde diensten. Het Front Office functioneerde volgens de GBA als een echte callcenteromgeving. Medewerkers behandelden grote volumes relatief korte en gestandaardiseerde oproepen via het algemene klantennummer. In die context aanvaardde de GBA dat kwaliteitscontrole en opleiding een legitieme doelstelling konden vormen.

Voor meer gespecialiseerde diensten lag dat anders. Zodra gesprekken inhoudelijk complexer worden, meer autonomie vereisen of gespecialiseerde dossiers behandelen, wordt het veel moeilijker om die uitzondering automatisch toe te passen.

Waarom de aard van het gesprek juridisch relevant wordt

Dat onderscheid is bijzonder belangrijk voor ondernemingen. Vandaag noemen veel organisaties praktisch elke telefonische klantendienst een “callcenter”, terwijl de GBA duidelijk maakt dat de uitzondering niet onbeperkt kan worden uitgebreid naar om het even welke dienst die toevallig ook telefoneert met klanten. Een gespecialiseerde juridische dienst, dossierbeheerder of backoffice automatisch onder dezelfde uitzondering plaatsen als een klassieke eerstelijnsklantendienst kan dus juridisch bijzonder risicovol zijn.

Pas wanneer de opname toegelaten is, begint de GDPR echt te spelen

Een opname is veel meer dan alleen een audiobestand

Zodra een onderneming juridisch een gesprek mag opnemen, begint de tweede laag van het verhaal. Dan komt de GDPR volledig in beeld.

Een geluidsopname bevat immers persoonsgegevens. De stem van een persoon is identificeerbaar. De inhoud van het gesprek bevat vaak klantinformatie, contractgegevens, persoonsgegevens en soms gevoelige context. Dat betekent dat de volledige GDPR van toepassing wordt.

AI en externe platformen vergroten de gevoeligheid

Veel ondernemingen onderschatten hoe breed die impact eigenlijk is. Een opname maken is slechts één element. Ook het bewaren, doorsturen, beluisteren, analyseren, gebruiken voor opleiding of laten verwerken door externe softwareleveranciers zijn afzonderlijke verwerkingen van persoonsgegevens.

Vooral dat laatste wordt vandaag vaak onderschat. Veel ondernemingen slaan opnames op in cloudomgevingen, trainingsplatformen of externe tools zonder echt stil te staan bij toegangscontrole en beveiliging.

Transparantie: de klassieke boodschap volstaat vaak niet meer

De GBA verwacht meer dan één standaardzin

Een van de meest opvallende onderdelen van de beslissing gaat over transparantie tegenover de beller. Vrijwel elke onderneming gebruikt vandaag dezelfde formule: “Dit gesprek kan worden opgenomen voor kwaliteits- en opleidingsdoeleinden.” Maar volgens de GBA volstaat die klassieke boodschap juridisch vaak niet meer.

Dat heeft alles te maken met de transparantieverplichtingen uit de GDPR. Die verplicht ondernemingen namelijk niet zomaar om “iets” te melden over de opname, maar schrijft zeer concreet voor welke informatie aan betrokkenen moet worden verstrekt. Denk onder meer aan de identiteit van de verwerkingsverantwoordelijke, de doeleinden van de verwerking, de gebruikte rechtsgrond, de bewaartermijn, de rechten van betrokkenen en de manier waarop die rechten kunnen worden uitgeoefend.

Uiteraard beseft ook de GBA dat het in de praktijk onmogelijk is om al die informatie mondeling voor te lezen vóór elk telefoongesprek. Precies daarom verwijst de beslissing naar het principe van gelaagde transparantie, zoals eerder ook uitgewerkt in de richtlijnen van de European Data Protection Board. Dat principe laat toe om eerst een beperkte eerste informatielaag te geven met de meest essentiële elementen, waarna de beller eenvoudig toegang moet krijgen tot meer uitgebreide informatie.

Maar precies daar wringt vandaag voor veel ondernemingen het schoentje.

De klassieke openingszin dat een gesprek “kan worden opgenomen voor kwaliteits- en opleidingsdoeleinden” bevat namelijk nauwelijks de informatie die de GDPR eigenlijk vereist. Vaak wordt zelfs niet vermeld welke onderneming precies verantwoordelijk is voor de verwerking, waar bijkomende informatie beschikbaar is of hoe de beller zijn rechten kan uitoefenen.

Transparantie moet ook praktisch toegankelijk zijn

En precies daardoor wordt ook duidelijk waarom de GBA vervolgens zoveel aandacht besteedt aan de praktische toegankelijkheid van bijkomende informatie. Zodra ondernemingen werken met een gelaagde aanpak, moet die tweede informatielaag namelijk ook effectief bereikbaar zijn voor de betrokken persoon.

Sommige ondernemingen lossen dat vandaag op door tijdens het telefoongesprek zeer beperkte informatie te geven en vervolgens eenvoudigweg te verwijzen naar een privacyverklaring op hun website. Maar precies daar stelt de GBA zich kritische vragen bij. Transparantie mag immers niet louter theoretisch bestaan. De informatie moet ook werkelijk toegankelijk zijn voor de betrokken persoon op het moment dat zijn persoonsgegevens worden verwerkt.

Dat lijkt misschien evident, maar in de praktijk wringt het vaak. Tijdens een telefoongesprek heeft een beller niet noodzakelijk de mogelijkheid om meteen online een privacyverklaring op te zoeken. Bovendien merkt de GBA op dat niet elke betrokkene beschikt over dezelfde digitale toegang of digitale vaardigheden. Een loutere verwijzing naar “meer informatie op onze website” volstaat dus niet automatisch.

De beslissing toont daarmee hoe streng de GBA transparantie vandaag interpreteert. Een privacyverklaring die diep verborgen staat achter verschillende submenu’s op een website, zal moeilijk verzoenbaar zijn met het idee dat informatie eenvoudig en daadwerkelijk toegankelijk moet zijn voor de betrokkene.

Opnames mogen niet zomaar voor andere doeleinden gebruikt worden

“Voor kwaliteit” betekent ook echt: voor kwaliteit

Een van de meest onderschatte aspecten van telefoonopnames is doelbinding. Dat principe is nochtans fundamenteel binnen de GDPR. Persoonsgegevens mogen slechts gebruikt worden voor het doel waarvoor ze verzameld werden.

Dat betekent concreet dat een onderneming niet zomaar alles mag doen met een opname eens die bestaat.

Dat punt kwam eerder ook al aan bod in een interview dat ik gaf voor het VRT-programma WinWin naar aanleiding van vragen van luisteraars over klantendiensten die gesprekken opnemen. Daarbij werd een bijzonder herkenbare vraag gesteld: wat gebeurt er wanneer een klant tijdens een opgenomen gesprek iets problematisch zegt? Kan een onderneming die opname later tegen die klant gebruiken?

Het antwoord is juridisch bijzonder belangrijk. Wanneer een gesprek wordt opgenomen voor kwaliteits- en opleidingsdoeleinden, mag diezelfde opname in principe niet plots worden hergebruikt als bewijsmiddel in een juridisch geschil.

Waarom ondernemingen daar voorzichtig mee moeten omgaan

Een opname voor opleiding is dus geen algemene juridische verzekering voor de onderneming. Nochtans denken veel ondernemingen vandaag te gemakkelijk dat een opname later misschien nog nuttig kan zijn voor andere doeleinden. Net daar stelt de GDPR duidelijke grenzen.

Hoe meer ondernemingen opnames intern beginnen hergebruiken voor andere doeleinden, hoe moeilijker het bovendien wordt om de oorspronkelijke rechtvaardiging juridisch overeind te houden. En precies dat risico zal in de toekomst alleen maar toenemen naarmate AI-tools steeds meer mogelijkheden bieden om opgenomen gesprekken verder te analyseren.

Conclusie: telefoonopnames zijn vandaag een volwaardig compliance-vraagstuk

De recente beslissing van de GBA toont hoe sterk de juridische verwachtingen rond telefoonopnames geëvolueerd zijn. Wat vroeger vaak beschouwd werd als een louter operationeel hulpmiddel van klantendiensten, is vandaag een volwaardig compliancevraagstuk geworden.

En dat zal alleen maar belangrijker worden. Steeds meer ondernemingen gebruiken immers AI-tools om gesprekken automatisch te analyseren, samen te vatten of medewerkers te evalueren. Daardoor evolueert een eenvoudige telefoonopname snel naar een veel complexere verwerking van persoonsgegevens.

Net daarom is het belangrijk om eerst juridisch scherp af te lijnen waarom gesprekken überhaupt worden opgenomen en binnen welke grenzen dat gebeurt. Bij consey(.legal) begeleiden we ondernemingen bij het juridisch en praktisch uitwerken van zulke processen. Niet alleen op papier, maar ook operationeel: van transparantie en callflows tot bewaartermijnen, governance en interne procedures.

Neemt uw organisatie telefoongesprekken op? Dan is dit het moment om te controleren of “voor kwaliteits- en opleidingsdoeleinden” juridisch ook echt overeind blijft.

Geschreven door Kris Seyen, Founder & Managing Partner consey(.legal)