LSM Agents

Compliance · Voice agents · DSGVO + AI Act

Voice agents συμβατά με GDPR για κλινικές, εστιατόρια, ξενοδοχεία — χτισμένα στο Βερολίνο.

Η φωνή είναι βιομετρικό δεδομένο κατά Art. 9 GDPR. Πρόσθεσε το Article 50 από Αύγουστο 2026 και την οδηγία DSK για medical AI του Ιουνίου 2025 και η γραμμή γίνεται συγκεκριμένη. Χτίζουμε voice agents που περνούν και τα δύο audits by default — EU-only data, χωρίς ηχογραφήσεις, AVV-ready, σενάρια Article 50 disclosure ενσωματωμένα.

TL;DR

  • ·Φωνή = βιομετρικό δεδομένο (Art. 9 GDPR). Επεξεργασία ειδικής κατηγορίας απαιτεί συγκεκριμένη νομική βάση πέρα από consent.
  • ·Για ιατρεία, το DSK Positionspapier της 16 Ιουνίου 2025 ορίζει ρητούς όρους: EU hosting, χωρίς ηχογράφηση, μόνο structured intake, AVV με τον φορέα.
  • ·Από 2 Αυγούστου 2026, κάθε voice agent πρέπει να δηλώνεται ως AI κατά EU AI Act Article 50 — όχι μόνο στην έναρξη συνεδρίας, αλλά πριν την πρώτη AI απάντηση.
  • ·Παράδοση: Discovery sprint (€4.900) → MVP build (€18.000, μία γλώσσα, πλήρως συμβατό) → multi-language enterprise package έως €75.000.

Ποιος χρειάζεται συμβατό voice agent

Τρία προφίλ αγοραστών όπου οι απαιτήσεις compliance δεν διαπραγματεύονται. Πρώτο: ιατρεία (Arztpraxis, Klinik, οδοντιατρεία) — η οδηγία DSK είναι δεσμευτική για κάθε επεξεργαστή δεδομένων ασθενών. Δεύτερο: φιλοξενία (εστιατόρια, ξενοδοχεία) — voice intake καταγράφει booking data, αλλεργίες, προτιμήσεις, όλα δυνητικά ευαίσθητες κατηγορίες. Τρίτο: νομικές και χρηματοοικονομικές υπηρεσίες — εμπιστευτικότητα είναι θεσμοθετημένη (§43a BRAO, §57 StBerG) και ηχογραφημένες κλήσεις την παραβιάζουν. Generic voice agents όπως Doctolib, Clinia ή off-the-shelf Twilio bots συνήθως αποτυγχάνουν τουλάχιστον σε μία από τις παραπάνω συνθήκες· custom-built EU-only voice agent τις περνά όλες.

Τι απαιτεί τεχνικά ένας συμβατός voice agent

Οκτώ τεχνικές απαιτήσεις. Βλέπουμε τους περισσότερους off-the-shelf voice agents να αποτυγχάνουν σε τουλάχιστον τρεις. Καθεμία είναι deal-breaker για ρυθμιζόμενο αγοραστή.

  • Audio recordings αποθηκεύονται — ακόμη και σύντομα, ακόμη και "για QA". Φωνή = βιομετρικό, recording = special-category processing, AVV μόνο δεν το καλύπτει.
  • Speech-to-text endpoint εκτός EU (Deepgram US, OpenAI Whisper US) — third-country transfer χωρίς SCC + supplementary measures
  • Text-to-speech endpoint εκτός EU (default ElevenLabs είναι multi-region· πρέπει ρητά να pinάρετε EU)
  • Καμία AI disclosure ("Hi, I'm Maria") — παραβίαση Article 50 από Αύγουστο 2026
  • AI disclosure μόνο στην έναρξη συνεδρίας, όχι πριν την πρώτη AI απάντηση
  • Κανένας human-handoff path — Art. 14 του AI Act για high-risk uses τον απαιτεί· για general use είναι best practice
  • Καμία DPIA / data-protection impact assessment ειδικά για voice processing
  • Καμία AVV με ιατρείο / ξενοδοχείο / εστιατόριο — strict-liability κατά Art. 28

Πώς εφαρμόζεται η επιβολή

Τρεις φορείς ρίσκου. Πρώτος: BfDI / LfDI έρευνα — πρόστιμα έως €20M ή 4% τζίρου (GDPR) συν έως €15M ή 3% τζίρου (AI Act). Σωρευτικά. Δεύτερος: παράπονα ασθενών στο ιατρικό πλαίσιο. Datenschutz-Aufsichtsbehörden σε NRW και Bayern ξεκίνησαν έλεγχο AI σε υγεία το 2025· το DSK Positionspapier τους δίνει σαφές πρότυπο. Τρίτος: η ευθύνη του φορέα — αν το voice agent σας διαρρεύσει patient data, ο φορέας είναι data controller και θα σας κυνηγήσει για την παραβίαση. Τα συμβόλαιά μας περιλαμβάνουν LSM-side indemnity για compliance defects που shippάρουμε· δεν shippάρουμε χωρίς αυτή τη βεβαιότητα.

Πώς τρέχουμε ένα voice-agent project

  1. 01

    Discovery sprint (2 εβδομάδες, €4.900): use-case definition, regulatory class, σχεδίαση conversation flow, integration map. Output: signed scope + DPIA template.

  2. 02

    Architecture: EU hosting (Twilio EU + Deepgram EU + ElevenLabs EU + OpenAI/Anthropic μέσω ευρωπαϊκών endpoints), no-recording pipeline, structured-only intake με field-level redaction.

  3. 03

    Build (4–6 εβδομάδες για MVP): conversation logic, σενάρια Article 50 disclosure, audit logging, AVV templates έτοιμα για υπογραφή πελάτη, human-handoff path.

  4. 04

    Compliance verification: third-party DSGVO + AI Act review. Output: signed-off readiness pack.

  5. 05

    Pilot deployment: 1–2 εβδομάδες shadow run δίπλα σε υπάρχουσα reception. KPIs: capture rate, escalation rate, complaint count.

  6. 06

    Go-live + retainer: full deployment με Operator-tier monitoring (€2.999/μήνα) που καλύπτει compliance updates, quarterly reviews και conversation-flow tuning.

Πηγές

Voice agents — συχνές ερωτήσεις

Μπορώ να χρησιμοποιήσω Doctolib ή Cognigy ή fonio.ai αντί;+

Μερικές φορές — για non-medical, non-sensitive use cases. Για ιατρεία ειδικά, κανένας off-the-shelf vendor δεν ικανοποιεί όλους τους όρους DSK out of the box (no-recording, EU-only, structured-only, signed AVV). Ίσως σε 12 μήνες. Αν το χρειάζεστε τώρα, custom είναι ο δρόμος.

Γιατί η φωνή είναι βιομετρικό; Είναι απλώς τηλεφώνημα.+

Art. 9(1) GDPR + Recital 51 + EDPB Guidelines 4/2018: voiceprints είναι "biometric data" αν χρησιμοποιούνται ή μπορούν να χρησιμοποιηθούν για μοναδική αναγνώριση φυσικού προσώπου. Κάθε voice signal που ηχογραφείται ή αναλύεται για αναγνώριση ομιλητή ενεργοποιεί Art. 9. Ακόμη και transient processing για speech-to-text χωρίς ηχογράφηση συζητείται — προτιμούμε να το χειριζόμαστε ως Art. 9 με ρητή συναίνεση + medical necessity.

Πρέπει να ηχογραφώ κλήσεις για QA;+

Όχι. Structured intake το αντικαθιστά. Κάθε πεδίο που καταγράφει ο agent loggάρεται ως κείμενο (όνομα, τύπος ραντεβού, urgency, callback)· φωνή επεξεργάζεται in-flight και απορρίπτεται. QA review γίνεται πάνω στα structured logs, όχι στο audio.

Τι γίνεται σε επείγοντα — αν κάποιος καλεί το 112;+

Ο agent αναγνωρίζει emergency keywords και προσφέρει άμεσα μεταφορά σε άνθρωπο ή κλήση 112. Το testάρουμε ρητά κατά το build. Article 14 του AI Act απαιτεί human-oversight path· τον περιλαμβάνουμε by default για κάθε agent σε medical ή safety-related context.

Πόσο διαρκεί;+

2-week discovery, 4–6 weeks build για MVP, 1–2 weeks pilot. End-to-end ~9–11 εβδομάδες για single-language deployment. Multi-language προσθέτει 3–4 εβδομάδες ανά πρόσθετη γλώσσα.

Πόσο κοστίζει;+

Discovery sprint: €4.900 σταθερή. MVP (μία γλώσσα, πλήρης compliance): €18.000–€28.000 ανάλογα με scope. Multi-language enterprise: έως €75.000. Operator-tier retainer μετά €2.999/μήνα. Διαμορφώστε στον calculator.

Configure your scope →

← Back to compliance overview