Veilig notuleren met AI begint bij één vraag: waar belandt het gesprek dat je laat opnemen en samenvatten? Een AI-notuleertool luistert mee, maakt een transcript en schrijft de notulen. Handig, maar je vertrouwt er gevoelige informatie aan toe: namen, oordelen over collega's, klantgegevens en soms bedrijfsgeheimen. Dit artikel laat zien hoe je veilig notuleren met AI aanpakt, zodat je tijd bespaart zonder de AVG te overtreden of vertrouwelijke gesprekken op de verkeerde server te zetten.
Waarom veilig notuleren met AI extra aandacht vraagt
Een vergadering is zelden vrij van persoonsgegevens. Zodra een tool het gesprek opneemt en uitwerkt, verwerk je die gegevens op grote schaal: de stem van deelnemers, wie wat zei, en vaak ook oordelen over mensen of klanten. Onder de Algemene verordening gegevensbescherming (AVG) ben jij als organisatie verwerkingsverantwoordelijke voor die gegevens, ook als de AI-tool van een leverancier is.
De praktische risico's zitten op drie plekken. Ten eerste de opslag: veel populaire tools draaien op servers buiten de Europese Unie. Ten tweede de bewaartermijn: audio en transcripten blijven soms standaard onbeperkt bewaard. Ten derde toegang: wie binnen en buiten je organisatie kan bij die notulen en transcripten? Wie automatisch wil notuleren met AI doet er goed aan deze drie punten te regelen voordat de eerste vergadering wordt opgenomen.
Waar slaat je AI-notuleertool de gegevens op?
De belangrijkste vraag bij veilig notuleren is waar de opname en het transcript terechtkomen. Een deel van de bekende tools verwerkt en bewaart data standaard op servers in de Verenigde Staten. Voor onder meer Otter.ai en Fireflies geldt dat de gegevens naar Amerikaanse servers gaan, wat onder de AVG om een extra afweging vraagt: doorgifte buiten de EU valt onder hoofdstuk V van de verordening en het Schrems II-arrest stelt daar strenge eisen aan.
Er zijn ook aanbieders die bewust binnen de EU blijven. Notuly geeft aan met Nederlandse AI op servers in Amsterdam te werken, audio binnen een minuut na verwerking te wissen en standaard een verwerkersovereenkomst te bieden. TalkMark stelt alle data in de EU (Frankfurt) op te slaan met AES-256-versleuteling. Voor een vergelijking van tools op taalkwaliteit en dataopslag is ons overzicht van de beste AI-notuleren tools van 2026 een goed startpunt.
De les is niet dat Amerikaanse tools verboden zijn, maar dat je bewust moet kiezen. Werk je met gevoelige of vertrouwelijke informatie, dan is een aanbieder met EU-opslag, een korte bewaartermijn en een verwerkersovereenkomst de veiligste route.
Microsoft Copilot: let op de EU Data Boundary en flexroutering
Veel organisaties notuleren binnen Microsoft Teams met Copilot, omdat de data dan binnen de eigen Microsoft 365-omgeving blijft en onder de bestaande verwerkersovereenkomst met Microsoft valt. Microsoft rondde begin 2025 zijn EU Data Boundary af, waardoor klantdata van EU- en EFTA-klanten in principe binnen de Europese grenzen wordt opgeslagen en verwerkt. In de loop van 2025 en 2026 breidt Microsoft bovendien de mogelijkheid uit om Copilot-verwerking in het eigen land te laten plaatsvinden, met landen als Duitsland, Spanje en Zweden op de lijst voor 2026.
Toch is er een ontwikkeling die je moet kennen. Sinds 17 april 2026 zet Microsoft zogeheten flexroutering in voor Microsoft 365 Copilot. Daarbij mag de LLM-inferencing — het moment waarop het taalmodel je vraag omzet in een antwoord — tijdens piekmomenten uitwijken naar datacenters buiten de EU Data Boundary, bijvoorbeeld in de Verenigde Staten, Canada of Australië. Volgens Microsoft blijft data tijdens transport en in rust versleuteld en blijft data-at-rest in beginsel binnen de EU, op beperkte gepseudonimiseerde gegevens na.
Belangrijk: deze instelling staat voor een deel van de tenants standaard aan en werkt als opt-out. Een beheerder met de rol AI-beheerder kan flexroutering uitschakelen via het Microsoft 365-beheercentrum onder Copilot, bij de instelling voor flexibele inferencing tijdens piekbelasting. Wie strikte toezeggingen heeft gedaan over verwerking binnen de EU, controleert deze instelling het beste actief en legt de gemaakte keuze vast. Wil je Teams-notulen sowieso goed inrichten, lees dan hoe je automatisch notuleren in Teams veilig opzet.
AVG-checklist voor veilig notuleren met AI
Voordat je een vergadering laat opnemen en samenvatten, loop je deze punten langs:
- Verwerkersovereenkomst. Sluit een verwerkersovereenkomst (DPA) met de leverancier. Zonder afspraak over verantwoordelijkheden ontbreekt de juridische basis.
- Opslaglocatie. Controleer waar audio en transcripten worden opgeslagen. Kies bij gevoelige informatie voor opslag binnen de EU.
- Bewaartermijn. Stel in hoe lang opnames en transcripten bewaard blijven en verwijder audio die je niet meer nodig hebt. Bewaar niet langer dan nodig.
- Toegang en autorisatie. Beperk wie de notulen en transcripten kan inzien tot de mensen die ze echt nodig hebben.
- Transparantie en toestemming. Laat deelnemers vooraf weten dat er wordt opgenomen en genotuleerd, en waarvoor de notulen worden gebruikt.
- Dataminimalisatie. Notuleer geen gesprekken waarin bijzondere persoonsgegevens (zoals gezondheid) aan bod komen zonder dat daar een duidelijke grondslag voor is.
Deze stappen sluiten aan op de bredere vraag hoe je AI veilig gebruikt met bedrijfsgegevens: de logica is hetzelfde, alleen toegespitst op vergaderingen.
Mag je een vergadering zomaar opnemen en laten notuleren?
Een deelnemer mag een gesprek waaraan hij zelf deelneemt in beginsel opnemen, maar zodra je dat systematisch en met persoonsgegevens doet voor je organisatie, geldt de AVG onverkort. In een werkgever-werknemerrelatie is toestemming bovendien een wankele grondslag, omdat een medewerker zich moeilijk vrij kan voelen om te weigeren. In de praktijk leunen organisaties daarom meestal op een andere rechtvaardigingsgrond, zoals een gerechtvaardigd belang, en zorgen ze vooral voor transparantie: iedereen weet vooraf dat er wordt opgenomen en genotuleerd.
Het verstandigst is om notuleren met AI op te nemen in je interne beleid en je AVG-documentatie. Maak duidelijk welke tool je gebruikt, waar de data staat, hoe lang je bewaart en wie toegang heeft. Zo kun je tegenover medewerkers, klanten en de toezichthouder onderbouwen dat je zorgvuldig handelt — precies het soort governance dat ook centraal staat bij de EU AI Act voor het MKB.
Veelgestelde vragen over veilig notuleren met AI
Is AI notuleren AVG-proof?
AI notuleren kan AVG-proof zijn, maar dat is het niet automatisch. Het hangt af van de tool die je kiest: een verwerkersovereenkomst, opslag binnen de EU, een korte bewaartermijn en beperkte toegang zijn de voorwaarden om het veilig te doen.
Waar worden mijn opnames en transcripten opgeslagen?
Dat verschilt per aanbieder. Tools als Otter.ai en Fireflies werken standaard met Amerikaanse servers, terwijl aanbieders als Notuly (Amsterdam) en TalkMark (Frankfurt) data binnen de EU houden. Microsoft Copilot bewaart data in principe binnen de EU Data Boundary.
Is Microsoft Copilot veilig voor het notuleren van vergaderingen?
Copilot houdt data in beginsel binnen je eigen Microsoft 365-omgeving en de EU Data Boundary. Let wel op de flexroutering die sinds 17 april 2026 actief is: die kan verwerking tijdens piekmomenten buiten de EU laten plaatsvinden en staat soms standaard aan. Controleer en documenteer deze instelling.
Moet ik toestemming vragen voordat ik een vergadering laat notuleren?
Je moet deelnemers in elk geval vooraf transparant informeren dat er wordt opgenomen en genotuleerd. In een werkrelatie is losse toestemming vaak geen sterke grondslag; leg daarom je rechtvaardiging en werkwijze vast in je AVG-documentatie.
Hoe lang mag ik opnames en notulen bewaren?
Niet langer dan noodzakelijk voor het doel. Veel veilige tools wissen de audio kort na verwerking en bewaren alleen het transcript of de notulen. Stel een concrete bewaartermijn in en houd je daaraan.