Klantgesprekken zijn interessant trainingsmateriaal voor de AI-componenten van de leveranciers van software. Hoe groot is de kans dat ze daadwerkelijk deel uitmaken van dat trainingsmateriaal? En als dat zo is, worden afnemers van de software en consumenten hierover dan geïnformeerd? Ziptone ging op onderzoek uit.

 

In het kort:

• Privacystatements zeggen niets over gebruik van gespreksopnames voor de training van AI
• CCaaS-leveranciers zijn niet altijd even duidelijk over hoe hun AI-tools getraind worden
• ANWB is van plan de rol van AI expliciet op te nemen in de volgende versie van het privacy statement

 

Tekst en research: Katrien de Zoeten en Erik Bouwer

 

“Dit gesprek kan worden opgenomen voor trainings- en kwaliteitsdoeleinden.” Een bekend zinnetje. Maar worden deze gesprekken ook gebruikt om kunstmatige intelligentie van softwareleveranciers te trainen? “Dit gesprek kan worden gebruikt voor het trainen van onze kunstmatige intelligentie of die van onze leveranciers” kom je nog niet tegen.

Veel aanbieders van CCaaS-software bieden ook AI-functionaliteit aan. Met als basis de inhoud van bijvoorbeeld een interne kennisbank en voldoende trainingsmateriaal kunnen agents ‘on the fly’ ondersteund worden met dialoogsuggesties. Of de oplossingen zijn in staat om het gesprek inhoudelijk te beoordelen voor coachingsdoeleinden.

Klantgesprekken zijn trainingsmateriaal bij uitstek

Voor alle AI-oplossingen geldt dat ze getraind moeten worden. Voor toepassingen in klantcontact zijn gesprekken met klanten trainingsmateriaal bij uitstek. Soms worden oplossingen van leveranciers getraind met gesprekken die de afnemende organisaties met hun eigen klanten voeren. In de VS leidde dat tot juridische procedures tegen onder meer Legal Shield en Patagonia, omdat consumenten niet werden geïnformeerd over deze werkwijze. Een vergelijkbare kwestie speelt (eveneens in de VS) met Genesys, terwijl dat bedrijf in Europa zich juist expliciet positioneert als verwerker die alleen data verwerkt voor de overeengekomen dienstverlening. Genesys zegt in de eigen documentatie géén klantdata te gebruiken voor eigen doeleinden, tenzij expliciet overeengekomen met de klant.
Analisten verwachten dat dergelijke rechtszaken zullen toenemen naarmate het gebruik van AI in contactcenters groeit.

Wat staat er in privacy statements?

Ziptone ging op zoek naar antwoorden. In hoeverre geven de privacyverklaringen van bedrijven waarmee consumenten zaken doen, uitsluitsel over het gebruik van klantgesprekken voor de training van AI van leveranciers? En in hoeverre geeft de technische documentatie van die software uitsluitsel over het beschikbaar stellen van klantgesprekken voor de training van de AI-tools van deze softwareaanbieders?

Het vinden van eenduidige antwoorden op dat soort vragen bleek niet eenvoudig, maar is wel relevant. Klantgesprekken kunnen immers gevoelige onderwerpen of bijzondere persoonsgegevens bevatten. Bij een datalek of hack aan de kant van de CCaaS-leverancier kunnen gespreksgegevens van consumenten bovendien op straat belanden of verhandeld worden. En daarnaast is het de vraag of consumenten – als ze hiervan kennis zouden hebben – akkoord gaan met het gebruik van hun gesprek voor de training van AI-toepassingen van leveranciers, waarbij die toepassingen ook weer door andere bedrijven worden gebruikt.

Op onderzoek

De Ziptone-redactie heeft samen met Katrien de Zoeten (masterstudent rechten, VU) drie bekende CCaaS-providers die AI-functionaliteit aanbieden, onderzocht: Sprinklr, Content Guru en Talkdesk. We doorzochten hun technische en privacy-gerelateerde documentatie. Denk aan Terms of Service, privacy statements, verwerkersverklaringen of Data Processing Agreements (DPA), Security- en compliance-documenten, technische specificaties en dergelijke. Daarbij is ook gekeken naar wat een aantal van hun Nederlandse afnemers zeggen in hun privacy statements over het eventuele gebruik van klantgesprekken voor de training van AI. We hebben vervolgens de drie CCaaS-leveranciers en de betrokken afnemers gevraagd om een reactie op de bevindingen van Ziptone.

Sprinklr

CCaaS-aanbieder Sprinklr positioneert zich in documentatie als verwerker. Het DPA (Data Processing Addendum) van Sprinklr vermeldt niet expliciet dat gegevens van klantgesprekken worden gebruikt voor het trainen of verbeteren van AI-tools. Sprinklr zegt het principe van doelbeperking aan te houden en het verwerken van persoonsgegevens te doen volgens de ‘master services agreement’ en op instructie van de klant.

Kortom, bij Sprinklr is het dus aan de gebruikersorganisatie om afspraken te maken met de leverancier (of system integrator) over de inzet van klantgesprekken voor AI-training. Sprinklr verwijst in dit verband dan ook niet naar opt-out of opt-in keuzes. Tegelijkertijd benoemt Sprinklr in het eigen privacy statement dat persoonsgegevens worden verwerkt voor het leveren en verbeteren van de eigen dienstverlening; hier wordt ook training en monitoring bij vermeld. Sprinklr zelf reageerde niet op vragen van Ziptone.

Afnemers van Sprinklr

De Kamer van Koophandel (KVK) biedt chatbot Charlie als een van de contactkanalen, waarbij gebruik wordt gemaakt van AI. De chatbotfunctionaliteit die KVK op dit moment gebruikt is niet van Sprinklr, maar dit staat wel op de planning – Sprinklr wordt momenteel geïmplementeerd bij KVK.

KVK is in het privacy statement niet expliciet over het gebruik van gespreksinhoud voor het trainen van AI, maar wijst wel op het feit dat er persoonsgegevens worden gedeeld die nodig zijn voor een bepaalde opdracht van externe partijen die bijvoorbeeld IT-systemen, internettools en applicaties ontwerpen, onderhouden en verbeteren. KVK maakt in haar privacyverklaring geen expliciete melding van AI-gebruik in het klantcontact en vermeldt ook geen namen van verwerkers en opslaglocaties.

Reactie KVK

In een reactie aan Ziptone zegt KVK dat de organisatie het fenomeen herkent dat IT-leveranciers in hun voorwaarden proberen data van klanten te verkrijgen voor hun eigen doeleinden. “Dat is problematisch, temeer voor AI-tools die data gebruiken om hun eigen model te trainen. KVK hecht grote waarde aan de vertrouwelijkheid van gegevens en het verantwoord omgaan met (persoons)gegevens.” Juist daarom heeft KVK specifiek AI-beleid opgesteld. Onderdeel daarvan is een strenge selectie van leveranciers. Dit gebeurt onder meer via de eisen die in een aanbesteding worden gesteld aan leveranciers. Eén van die eisen omvat het niet mogen gebruiken van ‘klantgegevens’ van KVK voor eigen (analytische) doeleinden, “waaronder het trainen van de AI-functionaliteiten.”

Die eis, zo zegt KVK, is ook van toepassing op de dienstverlening die Sprinklr aan KVK biedt. “Dit is contractueel vastgelegd én door de leverancier van KVK expliciet bevestigd. KVK waarborgt dus – onder meer via contactuele voorwaarden – dat gegevens niet gebruikt mogen worden voor eigen doeleinden van de leverancier, waaronder modeltraining of het anderszins trainen van AI.”

Andere afnemers van Sprinklr: Hogeschool Utrecht en 113

De Hogeschool Utrecht (HU), een andere Sprinklr-gebruiker, is expliciet in het privacy statement: “Verwerkers mogen jouw persoonsgegevens niet voor hun eigen doeleinden verwerken.” HU reageerde niet op vragen van Ziptone.

Zelfmoordpreventielijn 113 maakt geen melding van AI-toepassingen in relatie tot klantcontact in het privacy statement. Maar 113 geeft wel – als een van de weinige organisaties – inzicht in welke partijen de data verwerken. De stichting noemt expliciet de leveranciers van hun telefoon- en chatsysteem: tot eind 2024 was dat QuandaGo, vanaf 2024 Pegamento (leverancier van Sprinklr). 113 heeft met deze partijen verwerkersovereenkomsten en houdt toezicht op naleving daarvan. Op technisch niveau worden telefoonnummers direct gepseudonimiseerd (niet zonder meer herleidbaar tot de persoon) voor de hulpverleners, zodat de gesprekken anoniem verwerkt kunnen worden. 113 heeft bevestigd aan Ziptone dat Sprinklr geen opnames of transcripten gebruikt van de gesprekken die 113 voert om daarmee de Sprinklr-LLM’s te trainen.

storm (Content Guru)

CCaaS-leverancier Content Guru (met als product het storm-platform) sluit in haar DPA uit dat zij klantdata voor eigen doeleinden verwerkt. Eventuele AI-functionaliteit wordt uitsluitend gevoed met data van de klant, ten behoeve van diezelfde klant. Er is geen opt-out model nodig, omdat er standaard geen eigen gebruik van data plaatsvindt, aldus het bedrijf in de eigen documentatie. De vraag is of de data van de klant dan ‘binnen de muren van het bedrijf van de klant’ blijven.

In een reactie op dit artikel stelt Content Guru dat het bedrijf zelf geen LLM’s ontwikkelt of traint, maar gebruik maakt van services die reeds getraind zijn, zoals van Speechmatics en Microsoft. Klantgegevens worden niet voor trainingsdoeleinden ingezet en hier zijn ook overeenkomsten voor opgesteld met suppliers, aldus Content Guru.

Afnemers van storm

Storm-gebruiker Kwikfit verwijst in het privacy statement rondom het verwerken van persoonsgegevens onder meer naar het “optimaal te kunnen helpen als je een vraag, probleem of klacht hebt over onze producten en diensten”, en naar “analyses voor procesverbeteringen, rapportages, marktonderzoek, ontwikkeling en verbetering van producten, diensten en applicaties.” Bij dat laatste is verder niets omschreven. Kwikfit reageerde niet op vragen van Ziptone.

Installatiebedrijf Feenstra wijst klanten eveneens op het opnemen van telefoongesprekken. “Feenstra maakt ook gebruik van externe bedrijven, onderaannemers en/of netwerkpartners (zogenaamde verwerkers) die op verzoek van Feenstra specifieke taken of opdrachten uitvoeren en met wie uw persoonsgegevens kunnen worden gedeeld.” Feenstra hanteert hierbij verwerkersovereenkomsten, die ook kunnen worden afgesloten met IT-bedrijven “om onder andere bedrijfsprocessen te optimaliseren”.

Reactie Feenstra

In een reactie op dit artikel benadrukt Feenstra dat het bedrijf geen AI gebruikt voor klantgesprekken. “Wij nemen enkel gesprekken van klanten op voor kwaliteit- en trainingsdoeleinden om medewerkers te coachen in het voeren van kwalitatief goede gesprekken. Op basis van de opgenomen gesprekken wordt coaching aangeboden aan onze collega’s van de klantenservice. Deze coaching wordt gegeven door de teamleiders. De gesprekken worden 30 dagen bewaard vanaf het moment van verzamelen na deze 30 dagen worden de gesprekken automatisch verwijderd.”

Talkdesk

CCaaS-platform Talkdesk hanteert een vergelijkbare strategie als de andere CCaaS-spelers. In de Master Subscription Agreement staat dat “geanonimiseerde, samengevoegde klantgegevens” mogen worden gebruikt voor kwaliteitsverbetering, inclusief AI-training. Er is geen opt-in mechanisme; instemming gebeurt impliciet via het contract tussen Talkdesk en de klantorganisatie.

Afnemers van Talkdesk

De ANWB wijst zijn klanten op de afspraak dat externe leveranciers (waaronder softwareleveranciers) die in het kader van een opdracht persoonsgegevens verwerken, deze alleen mogen gebruiken in het kader van de opdracht. Dat wordt vastgelegd in een verwerkersovereenkomst. Hoewel in het privacy statement geen melding wordt gemaakt van de inzet van AI, zegt het document wel dat contact met de klantenservice en de alarmcentrale geanalyseerd kunnen worden om de service te verbeteren. Externe partijen en opslaglocaties worden niet benoemd; het gebruik van AI wordt niet vermeld. De ANWB meldt wel dat wie een ‘chatapp’ gebruikt om met de ANWB te communiceren, toestemming geeft voor het eventueel verzenden en opslaan van persoonsgegevens via of in die app.

“Leveranciers van chatapps zijn zelf verwerkingsverantwoordelijk voor de door hen uitgevoerde verwerkingen,” aldus ANWB op de eigen website. “Meer informatie daarover kun je vinden in hun privacy statement.” Maar die leveranciers worden niet benoemd. Unigarant hanteert eigen privacyregelingen: “We nemen chat- en telefoongesprekken op en bewaren deze onder andere voor het verbeteren van de kwaliteit van onze dienstverlening, training en coaching van onze medewerkers, het aangaan en uitvoeren van verzekeringsovereenkomsten, het leveren van bewijs en het beoordelen van (de inhoud van) de communicatie (in geval van interpretatiegeschillen of onenigheid hierover), het voorkomen en bestrijden van fraude en het voldoen aan wettelijke verplichtingen.

Reactie ANWB: gebruik AI komt volgende versie privacy statement

ANWB vindt het belangrijk dat organisaties zorgvuldig omgaan met klantdata en transparant zijn over het gebruik van AI. “Bij ANWB staat de bescherming van de privacy en betrouwbaarheid richting onze leden centraal,” aldus een woordvoerder in reactie op vragen van Ziptone. “Externe leveranciers, waaronder softwareleveranciers als Talkdesk, mogen persoonsgegevens uitsluitend verwerken binnen het kader van de overeengekomen opdracht. Dit is vastgelegd in verwerkersovereenkomsten die voldoen aan de AVG. In het huidige privacy statement wordt al benoemd dat klantcontacten, zoals gesprekken met de klantenservice en alarmcentrale, kunnen worden geanalyseerd met als doel het verbeteren van onze dienstverlening. Het gebruik van AI wordt hierin nog niet expliciet genoemd, maar zal in een volgende update worden meegenomen.”

ANWB onderstreept dat de analyses uitsluitend intern plaatsvinden en niet worden gebruikt voor het trainen van generieke AI-modellen van leveranciers als Talkdesk. “Onze leverancier Talkdesk heeft aangegeven dat hun AI-modellen worden getraind op publieke tekstbronnen (zoals boeken, Wikipedia en forums). Er worden geen klantgesprekken of persoonsgegevens van ANWB-leden gebruikt voor deze training.”

Wallbox

Het privacybeleid van laadpaalleverancier en Talkdesk-afnemer Wallbox zou onderdeel moeten zijn van de algemene voorwaarden. Maar wie op de Nederlandse site van Wallbox in de algemene voorwaarden zoekt, stuit op een letterlijk onafgemaakt artikel 7 over privacy. Ook de chatbot van Wallbox kent het woord privacy policy niet. Wie echter een account aanmaakt bij Wallbox, krijgt toch een link naar de Engelstalige privacy policy aangeboden. Die bevatten verder nauwelijks informatie over gebruik van persoonsgegevens: die kunnen worden doorgegeven aan “partners, medewerkers of onderaannemers, om u een preventieve of gevraagde dienst na verkoop te kunnen leveren.”
Wallbox reageerde niet op vragen van Ziptone.

Conclusies

Eindgebruikers van AI-toepassingen – organisaties waar consumenten mee communiceren – vermelden op dit moment zelden iets over AI-training in hun privacyverklaring. Consumenten worden zelden meestal niet geinformeerd over hoe een onderneming omgaat met AI in klantcontact. Ook wordt zelden expliciet vermeld met welke technologieleveranciers er wordt samengewerkt en welke data voor welke doeleinden worden gebruikt. 113 is hierbij de positieve uitzondering. Vaak wordt volstaan met het verwijzen naar doelgebruik en gerechtvaardigd belang, maar wie wil weten wat daar onder valt, zal navraag moeten doen bij de privacy officer van het desbetreffende bedrijf. ANWB is op dit moment de enige organisatie die het privacy statement gaat aanpassen met het oog op de rol die AI bij klantcontact(software) kan spelen.

(Ziptone/Katrien de Zoeten, Erik Bouwer)

Correcties en aanvullingen:

In een eerdere versie van dit artikel was vermeld dat Bruna een gebruiker is van storm. Dat is niet meer het geval, de paragraaf over Bruna is in dit artikel geschrapt.

Customer Experience, Featured