Ga naar hoofdinhoud
WAIMAKERS
Over onsCarrièresContact
|
Plan een gesprek
Terug naar overzicht

HeyGen

HeyGen

PartialEU: Not AvailableOpt-out AvailableCustomUS Only

Statusbadges zijn voorwaardelijk: valideer het exacte abonnement, DPA, subprocessors, bewaartermijn, dataresidentie en feature-instellingen voordat u de tool gebruikt met persoonsgegevens of vertrouwelijke data.

Prijs / Contractroute

USD pricing varies by plan

Enterprise Functies

DPA/security documentation, enterprise controls, avatar and consent controls

Laatst bijgewerkt

June 23, 2026

HeyGen - GDPR & Gegevensprivacy Overzicht voor Europese Klanten

Versie: juni 2026 - opgesteld door WAIMAKERS B.V.

1 Doel

Dit overzicht legt uit hoe HeyGen (Free, Creator, Business en Enterprise-abonnementen) omgaat met gegevens in het kader van de GDPR, met een focus op Europese klanten. HeyGen is een AI-gestuurd videogeneratieplatform waarmee gebruikers synthetische media kunnen maken, waaronder AI-avatars en video's, ontwikkeld door HeyGen Technology Inc. (Delaware, VS).[1][2]

2 Vergelijking van HeyGen-Abonnementen (EU-focus)

Abonnement Training op Gebruikersgegevens DPA Beschikbaar EU-Gegevensvestiging Biometrische Retentie Compliance Prijs (USD)
Free ⚠️ Opt-out (Enterprise standaard uitgesloten) ❌ Nee ❌ VS-opslag (geen EU-optie) ≤3 jaar of op verzoek Basis $0/maand (3 video's/maand, tot 1 min.)
Creator ⚠️ Opt-out (Enterprise standaard uitgesloten) ✅ Ja (alle abonnementen) ❌ VS-opslag (geen EU-optie) ≤3 jaar of op verzoek SOC 2, GDPR $29/maand (onbeperkt korte video's)
Business ⚠️ Opt-out (Enterprise standaard uitgesloten) ✅ Ja (alle abonnementen) ❌ VS-opslag (geen EU-optie) ≤3 jaar of op verzoek SOC 2, GDPR $149/maand + $20/seat extra
Enterprise ⚠️ Opt-out (Enterprise standaard uitgesloten) ✅ Ja (standaard) ❌ VS-opslag (geen EU-optie) ≤3 jaar of op verzoek SOC 2, GDPR, EU AI Act-compliancepagina Aangepaste prijsstelling

Aandachtspunten voor Europa

  • AI-training is opt-out (Enterprise standaard uitgesloten): Voor Enterprise-gebruikers is data standaard uitgesloten van AI-training; voor alle andere abonnementen kan HeyGen gebruikersinvoer, video's en gezichtsgeometrie gebruiken om modellen te trainen en verbeteren, tenzij de gebruiker zich afmeldt via support.[1][2]
  • Infrastructuurlocatie: HeyGen stelt dat zijn diensten worden gehost op Amazon Web Services (AWS) in de Verenigde Staten en dat alle klantgegevens in de VS op AWS-infrastructuur worden opgeslagen; er is geen uitsluitend-EU-verwerkingsoptie. De exacte AWS-subregio('s) worden niet openbaar uitgesplitst.[1][2]
  • Data Processing Addendum: Nu beschikbaar voor alle betaalde abonnementen (inclusief Creator) met Standard Contractual Clauses voor internationale gegevensoverdrachten.[3]
  • Biometrische gegevensretentie: Biometrische informatie (gezichtsgeometrie voor avatarcreatie) wordt bewaard zolang de bijbehorende avatar actief is (EER/VK/Zwitserland); onder de Amerikaanse/Illinois-regel wordt deze vernietigd zodra het doel is bereikt of binnen 3 jaar na de laatste interactie, wat zich het eerst voordoet, en op verzoek verwijderd.[4]
  • EU-US Data Privacy Framework (DPF): HeyGen is gecertificeerd onder het EU-US DPF, waardoor een formeel overdrachtsmechanisme beschikbaar is voor EU-VS-gegevensstromen.
  • DPO bevestigd in Europa: HeyGen heeft een functionaris voor gegevensbescherming (DPO) in Europa bevestigd. HeyGen wijst in zijn openbare documentatie geen specifieke leidende toezichthoudende autoriteit aan.
  • EU AI Act-compliance: HeyGen heeft een EU AI Act-compliancepagina gepubliceerd. De deepfake-labelingsverplichtingen van Artikel 50 zijn van toepassing vanaf augustus 2026 - een significante regelgevende blootstelling gezien HeyGens kerngebruik.
  • ISO 27001: Status niet bevestigd vanuit de huidige trust center-documentatie; verifieer rechtstreeks bij HeyGen-sales.
  • Prijsstelling: Wereldwijde prijsstelling in USD. Creator-abonnement voor $29/maand; Business-abonnement voor $149/maand + $20/seat voor extra gebruikers; Enterprise-prijsstelling is aangepast en wordt rechtstreeks met sales onderhandeld.[5][6]

3 Is HeyGen GDPR-Conform?

Kort antwoord: ⚠️ Gedeeltelijke conformiteit. HeyGen kan GDPR-conform EU-zakelijk gebruik ondersteunen op Business en Enterprise-abonnementen met een ondertekende DPA. DPA is nu beschikbaar voor alle betaalde abonnementen inclusief Creator. HeyGen slaat echter alle gegevens op in de VS zonder EU-gegevensvestigingsoptie, wat een zorg kan zijn voor organisaties met strikte gegevenslokalisatievereisten.

Wat van toepassing is op alle abonnementen:

  • AI/ML-training is opt-out (Enterprise standaard uitgesloten) - Voor Enterprise-gebruikers is data standaard uitgesloten van AI-training; voor alle andere abonnementen kan HeyGen gebruikersinvoer, video's, avatars en gezichtsgeometrie gebruiken om modellen te trainen en verbeteren, tenzij de gebruiker zich afmeldt via support.[1][2]
  • Transparantie over biometrische gegevens - HeyGen biedt een gedetailleerde Biometric Information Privacy Notice met informatie over de verzameling, het gebruik en de retentie van gezichtsgeometriegegevens die worden gebruikt voor avatarcreatie.[4]
  • Inhoudsmoderatie - Robuust beleid voor inhoudsmoderatie voorkomt misbruik, inclusief toestemmingsvereisten voor het aanmaken van avatars van andere personen.[7]
  • Beveiligingscertificeringen - SOC 2 Type II gecertificeerd; versleuteling in transit en in rust. ISO 27001-status niet bevestigd vanuit de huidige trust center-documentatie.[8][9]
  • EU-US Data Privacy Framework - HeyGen is gecertificeerd onder het EU-US DPF, waarmee een formele rechtsgrondslag voor transatlantische gegevensoverdrachten beschikbaar is.
  • EU AI Act - HeyGen heeft een compliancepagina voor de EU AI Act gepubliceerd. De labelingsverplichtingen voor deepfakes (Artikel 50) zijn van toepassing vanaf augustus 2026 - een significante compliance-mijlpaal gezien HeyGens kerngebruik (avatargeneratie, stemkloning, videosynthese).

Wat abonnementsafhankelijk is:

  • Free-abonnement: Geen DPA, geen contractuele bescherming, uitsluitend voor persoonlijk gebruik.
  • Creator-abonnement: DPA nu beschikbaar voor alle betaalde abonnementen; individuele gebruikerslicentie. Geschikt voor solo-makers die basiscontractuele GDPR-dekking nodig hebben.[3]
  • Business-abonnement: $149/maand + $20/seat; DPA inbegrepen; multi-user werkruimte; geschikt voor teams die EU-persoonsgegevens verwerken.[3]
  • Enterprise-abonnement: Volledige DPA met Standard Contractual Clauses, beheercontroles, SSO en dedicated ondersteuning.[3][10]

Infrastructuurbeperkingen (alle abonnementen):

  • VS-opslag; specifieke subregio niet uitgesplitst - HeyGen documenteert dat alle gegevens op AWS in de VS worden gehost, maar maakt de exacte AWS-subregio (bijv. us-east-1) niet openbaar. Het ontbreken van een EU-opslagoptie is relevant voor GDPR Artikel 30-verwerkingsregisters.[2]
  • Geen expliciete EU-gegevensvestigingsoptie - In tegenstelling tot concurrenten (OpenAI, Anthropic, Microsoft) heeft HeyGen geen documentatie gepubliceerd die EU-exclusieve gegevensverwerking bevestigt voor Enterprise-klanten.
  • VS-gebaseerde opslag op AWS - HeyGen stelt dat alle gegevens op AWS in de VS worden gehost; er is geen bevestigde EU-regio of EU-gegevensvestiging.

Wat dit in de praktijk betekent:

  • Voor persoonlijke creatieve projecten: Free of Creator-abonnementen zijn acceptabel; DPA is nu ook beschikbaar voor Creator als contractuele dekking gewenst is.
  • Voor kleine bedrijven die EU-persoonsgegevens verwerken: Gebruik het Business-abonnement ($149/maand + $20/seat) met een ondertekende DPA en voer een Transfer Impact Assessment uit als VS-verwerking betrokken is.
  • Voor ondernemingen en gereguleerde sectoren: Gebruik het Enterprise-abonnement; vraag vóór implementatie schriftelijke bevestiging van gegevensverwerkingslocaties en beschikbare regionale controles op bij HeyGen-sales.
  • Voor organisaties met een strikt EU-only-beleid: HeyGen is mogelijk niet geschikt totdat de infrastructuurtransparantie verbetert; overweeg alternatieven met expliciete EU-gegevensvestiging (bijv. Adobe Firefly met EU-opslag, of self-hosted open-source oplossingen).
  • EU AI Act-planning: Organisaties die HeyGen gebruiken voor avatar-/deepfake-inhoud dienen te beginnen met voorbereiding op de labelingsverplichtingen van Artikel 50, die gelden vanaf augustus 2026.

Kopersinformatie: HeyGen biedt een DPA, SCCs/DPF en beveiligingscertificeringen, en maakt AWS/VS-hosting bekend, maar biedt geen EU-gegevensvestigingsoptie en traint op gegevens van niet-Enterprise-gebruikers tenzij u zich afmeldt. EU-klanten dienen tijdens het inkoopproces gedetailleerde documentatie over verwerkingslocaties op te vragen.

4 Details per Aanbieding

Free-Abonnement

  • Videogeneratie: 3 video's per maand, tot 1 minuut elk, 720p-export, standaard verwerkingssnelheid.[5]
  • Gegevensverzameling: Accountgegevens (e-mail, naam), videogeneratiegeschiedenis (prompts, instellingen, uitvoer), geüploade inhoud voor avatarcreatie.
  • Training: Gebruikersgegevens kunnen worden gebruikt om HeyGens modellen te trainen/verbeteren tenzij u zich afmeldt via support; alleen Enterprise-data is standaard uitgesloten.[1]
  • Retentie: Voor EER/VK/Zwitserland wordt biometrische data bewaard zolang de bijbehorende avatar actief is en binnen 60 dagen na verwijdering van de avatar of het account vernietigd; de maximumtermijn van 3 jaar is de Amerikaanse/Illinois-regel (BIPA). Op verzoek verwijderd. Overige gebruikersgegevens bewaard conform het Privacybeleid (geen specifieke automatische verwijderingstermijn gedocumenteerd).[4][2]
  • Prijsstelling: Gratis
  • Wanneer te gebruiken: Testen van HeyGen-mogelijkheden, persoonlijke creatieve projecten, niet-commercieel experimenteren.
  • Wanneer niet te gebruiken: Elk zakelijk gebruik, commerciële projecten, verwerking van EU-persoonsgegevens zonder contractuele waarborgen.

Creator-Abonnement ($29/maand)

  • Videogeneratie: Onbeperkt aantal video's tot 30 minuten elk, 1080p-export, snellere verwerking, toegang tot Avatar IV (nieuwste generatie).[5][6]
  • Functies: 1 aangepaste video-avatar, 500+ standaard avatars, 30+ talen, stemkloningmogelijkheden.
  • Belangrijke beperking: Individuele licentie; geen DPA, geen beheercontroles, geen contractuele GDPR-bescherming.
  • Training: Gebruikersgegevens kunnen worden gebruikt om modellen te trainen/verbeteren tenzij u zich afmeldt (zelfde beleid als Free); alleen Enterprise is standaard uitgesloten.[1]
  • Retentie: Zelfde als Free-abonnement.
  • Prijsstelling: $29/maand (maandelijks gefactureerd of $24/maand jaarlijks gefactureerd)
  • Wanneer te gebruiken: Solo-makers, freelancers, contentmakers die geen EU-persoonsgegevens op grote schaal verwerken.
  • Wanneer niet te gebruiken: Zakelijke workflows die een DPA vereisen, teamsamenwerking of verwerking van identificeerbare EU-persoonsgegevens.

Business-Abonnement ($149/maand + $20/seat extra)

  • Inbegrepen: Multi-user werkruimte, samenwerkingsfuncties, gedeelde merkactiva, gecentraliseerde facturering, uitgebreide ondersteuning.[10]
  • DPA: Data Processing Agreement beschikbaar (nu voor alle betaalde abonnementen) met Standard Contractual Clauses.[3]
  • Beheercontroles: Gebruikersbeheer, gebruiksanalyses, basisgovernancefuncties.
  • Prijsstelling: $149/maand basisprijsstelling plus $20/maand per extra seat.
  • Wanneer te gebruiken: Kleine tot middelgrote teams, bureaus, marketingafdelingen die contractuele gegevensbescherming vereisen. Vervangt het Team-abonnement dat per januari 2026 is beëindigd.
  • Wanneer niet te gebruiken: Wanneer uitsluitend EU-verwerking verplicht is (eerst verifiëren bij HeyGen-sales).

Enterprise-Abonnement (Aangepaste Prijsstelling)

  • Inbegrepen: Alles in Business, plus:
    • Volledige Data Processing Agreement met Standard Contractual Clauses
    • SOC 2 Type II-certificering (ISO 27001 niet bevestigd in HeyGens openbare documentatie - verifieer bij Enterprise-sales)
    • Single Sign-On (SSO)-integratie
    • Dedicated accountmanager en prioriteitsondersteuning
    • Geavanceerde beheercontroles en gebruiksrapportage
    • Ontwikkeling van aangepaste avatars en stemmen
    • Merksturing en governancefuncties
    • API-toegangsopties[9][10]
  • Compliance: SOC 2 Type II, GDPR-ondersteunend met DPA/SCCs, EU-US DPF gecertificeerd, CCPA-conform. ISO 27001-status niet bevestigd vanuit de huidige trust center - verifieer bij Enterprise-sales.[8][9]
  • Prijsstelling: Aangepaste prijsstelling; onderhandelen met Enterprise-sales op basis van gebruiksvolume en vereisten.
  • Wanneer te gebruiken: Ondernemingen die EU-persoonsgegevens verwerken, gereguleerde sectoren, organisaties die contractuele garanties en geavanceerde beveiligingscontroles vereisen.
  • Wanneer niet te gebruiken: Kleine teams zonder budget voor Enterprise-licentieverlening; organisaties met een strikt "EU-only"-gegevenslokalisatiebeleid (tenzij HeyGen uitsluitend EU-verwerking kan bevestigen).

5 Gegevensverwerkingsstroom

[Gebruiker maakt video (uploadt avatar-video, voert script in, selecteert stem)]
  ↓
[Inhoud geüpload naar HeyGen-infrastructuur]
  ├─ Opslaglocatie: AWS, Verenigde Staten (enkele regio; geen EU-optie)
  ├─ Biometrische verwerking: Gezichtsgeometrie geëxtraheerd voor avatarcreatie
  │   └─ Bewaard ≤3 jaar of totdat gebruiker verwijdering verzoekt
  └─ Inhoudsmoderatie: AI + menselijke beoordeling voor beleidsconformiteit
  ↓
[AI-videogeneratieverwerking]
  ├─ Verwerkingslocatie: Niet bekendgemaakt
  ├─ Modellen: Eigen HeyGen avatar-/stemmensynthese-modellen
  │   ├─ Enterprise: DPA van toepassing, data standaard uitgesloten van training
  │   └─ Free/Creator/Business: training tenzij opt-out; DPA beschikbaar op betaalde abonnementen
  └─ API's van derden: Stemkloningpartners (vertrouwde partners conform Privacybeleid)
  ↓
[Gegenereerde video teruggestuurd naar gebruiker]
  ├─ Gebruiker kan downloaden, delen of verwijderen
  └─ Generatiegeschiedenis opgeslagen in gebruikersaccount (geen automatische verwijdering gedocumenteerd)

*Opmerking: HeyGen gebruikt inhoud van niet-Enterprise-gebruikers voor AI-training tenzij de gebruiker zich afmeldt; Enterprise-data is standaard uitgesloten.*
*Gegevens worden opgeslagen in de VS; specifieke cloudregio's worden niet openbaar uitgesplitst.*

6 Aanbevelingen (GDPR-first)

  • Voor persoonlijk creatief werk zijn Free of Creator-abonnementen geschikt; geen GDPR-bezwaren voor niet-commercieel gebruik.
  • Voor freelancers en solo-makers die geen persoonsgegevens verwerken biedt het Creator-abonnement uitstekende waarde.
  • Voor kleine tot middelgrote bedrijven die EU-persoonsgegevens verwerken: gebruik het Business-abonnement met een ondertekende DPA; voer een Transfer Impact Assessment uit als HeyGen VS-verwerking bevestigt.
  • Voor ondernemingen en gereguleerde sectoren: gebruik het Enterprise-abonnement en:
    • Vraag schriftelijke bevestiging van gegevensverwerkingslocaties op bij HeyGen-sales
    • Voer een Data Protection Impact Assessment (DPIA) uit conform GDPR Artikel 35
    • Verifieer de beschikbaarheid van EU-gegevensvestiging of regionale controles
    • Documenteer subverwerkerrelaties
  • Gebruik Free of Creator-abonnementen niet voor zakelijke verwerking van EU-persoonsgegevens (geen DPA beschikbaar).
  • Overweeg alternatieven als uitsluitend EU-verwerking een harde vereiste is en HeyGen geen EU-gegevensvestiging kan bevestigen (bijv. Synthesia met EU-hosting, of self-hosted open-source avatar-oplossingen).

7 EU-Implementatiechecklist (Praktisch)

  1. Kies het juiste abonnement - Business of Enterprise bij verwerking van EU-persoonsgegevens; Creator omvat nu DPA voor solo-makers die contractuele dekking nodig hebben.
  2. Vraag DPA aan en onderteken - DPA met Standard Contractual Clauses is nu beschikbaar voor alle betaalde abonnementen; verkrijg deze van HeyGen.[3]
  3. Verifieer gegevensverwerkingslocaties - Neem contact op met HeyGen Enterprise-sales om te bevestigen:
    • Waar gegevens worden opgeslagen (AWS/Azure/GCP-regio's)
    • Waar videogeneratieverwerking plaatsvindt
    • Of uitsluitend EU-verwerking beschikbaar is
    • Lijst van subverwerkers en hun locaties
  4. Voer Transfer Impact Assessment uit - Als gegevens buiten de EU/EEA worden verwerkt, voer dan een TIA uit die de waarborgen documenteert conform GDPR Artikel 46.
  5. Voer DPIA uit indien nodig - Voor hoogrisicoverwerking (biometrische gegevens op grote schaal, gevoelige persoonsgegevens), voer een Data Protection Impact Assessment uit conform GDPR Artikel 35.
  6. Configureer beheercontroles - Stel voor Team/Enterprise SSO, gebruikerstoegangscontroles en gebruiksmonitoring in.
  7. Train gebruikers in acceptabel gebruik - Instrueer het team in HeyGen's Inhoudsmoderatibeleid, met name de toestemmingsvereisten voor avatarcreatie.[7]
  8. Stel procedures voor gegevensverwijdering in - Documenteer het proces voor gebruikers om verwijdering van biometrische gegevens en andere persoonsgegevens te verzoeken.[4]
  9. Documenteer leveranciersrelatie - Beheer records van DPA, verwerkingslocaties (zodra bevestigd), compliance-certificeringen en subverwerkerlijst voor GDPR Artikel 30-verwerkingsregisters.
  10. Beoordeel biometrische toestemming - Zorg dat gebruikers die video's uploaden voor avatars expliciete toestemming verlenen en begrijpen wat biometrische gegevensverzameling inhoudt conform HeyGen's Biometric Privacy Notice.[4]

8 Inkoopvragen (EU)

Gebruikt HeyGen onze video-inhoud om AI-modellen te trainen?

Dat hangt af van het abonnement. Voor Enterprise-gebruikers is data standaard uitgesloten van AI-training. Voor alle andere abonnementen (Free, Creator, Business) kan HeyGen gebruikersinvoer, geüploade video's, avatars en gezichtsgeometrie gebruiken om modellen te trainen en te verbeteren, tenzij u zich afmeldt via support.[1][2]

Wat is HeyGen's EU-gegevensvestigingsaanbod?

❌ Geen EU-gegevensvestiging. HeyGen stelt dat alle gegevens in de VS worden opgeslagen en biedt geen uitsluitend-EU-verwerkingsoptie; EU-VS-overdrachten steunen op het EU-US Data Privacy Framework en SCCs.[1][2]

Hebben wij een Data Processing Agreement (DPA) nodig?

Ja, als u EU-persoonsgegevens verwerkt met HeyGen (bijv. avatars van medewerkers aanmaken, video's met klantinformatie genereren). DPA's met Standard Contractual Clauses zijn nu beschikbaar voor alle betaalde abonnementen inclusief Creator.[3] Het Free-abonnement biedt geen DPA.

Welke compliance-certificeringen heeft HeyGen?

HeyGen beschikt over SOC 2 Type II-certificering en is gecertificeerd onder het EU-US Data Privacy Framework (DPF).[8][9] ISO 27001-status is niet bevestigd vanuit de huidige trust center-documentatie - verifieer bij HeyGen-sales. HeyGen publiceert GDPR-gerichte documentatie en DPA-beschikbaarheid voor betaalde abonnementen, maar klanten moeten toestemming, biometrische dataverwerking en overdrachtswaarborgen nog steeds voor hun eigen use case valideren. Lid van de Content Authenticity Initiative (C2PA) en Coalition for Content Provenance and Authenticity. HeyGen heeft een EU AI Act-compliancepagina gepubliceerd.[11]

Hoe lang bewaart HeyGen onze gegevens?

  • Biometrische gegevens (gezichtsgeometrie voor avatars): Voor EER/VK/Zwitserland bewaard zolang de bijbehorende avatar actief is; onder de Amerikaanse/Illinois-regel vernietigd zodra het doel is bereikt of binnen 3 jaar na de laatste interactie, wat zich het eerst voordoet, en op verzoek verwijderd.[4]
  • Overige gebruikersgegevens (video's, prompts, accountgegevens): Retentieperioden niet expliciet gespecificeerd in het Privacybeleid; gebruikers kunnen verwijdering verzoeken op grond van GDPR-rechten.[2]
  • Generatiegeschiedenis: Geen automatisch verwijderingsbeleid gedocumenteerd; gebruikers kunnen inhoud handmatig verwijderen.

Wat gebeurt er met biometrische gegevens bij het aanmaken van avatars?

Wanneer u een video uploadt om een aangepaste avatar te maken, extraheert HeyGen biometrische informatie (gezichtsgeometrie, gezichtskenmerken) om de avatar te genereren.[4] Deze gegevens worden:

  • Uitsluitend gebruikt voor avatarcreatie en videogeneratie
  • Kan worden gebruikt om HeyGens AI-modellen te trainen/verbeteren tenzij u zich afmeldt (Enterprise standaard uitgesloten)
  • Voor EER/VK/Zwitserland bewaard zolang de bijbehorende avatar actief is en binnen 60 dagen na verwijdering van de avatar of het account vernietigd; de maximumtermijn van 3 jaar is de Amerikaanse/Illinois-regel (BIPA). Op verzoek verwijderd
  • Vereisen expliciete toestemming (verleend bij het uploaden van de video)
  • Zijn onderworpen aan GDPR-verwijderingsrechten

Kunnen gebruikers verwijdering van hun gegevens verzoeken?

Ja. Op grond van GDPR Artikel 17 (Recht op Vergetelheid) kunnen EU-gebruikers verwijdering van hun persoonsgegevens verzoeken, inclusief biometrische informatie.[4][2] Neem contact op met HeyGen-ondersteuning om verwijderingsverzoeken in te dienen.

Deelt HeyGen gegevens met derden?

HeyGen maakt gebruik van "vertrouwde partners" voor bepaalde diensten (bijv. stemkloningtechnologie), maar deelt geen gebruikersgegevens voor AI-trainingsdoeleinden.[2] De DPA dient een subverwerkerlijst te bevatten; Enterprise-klanten dienen deze op te vragen tijdens het inkoopproces.[3]

9 Opmerkingen & Voorbehouden

  • Beperkt regiodetail: HeyGen maakt bekend dat gegevens op AWS in de Verenigde Staten worden gehost, maar maakt de exacte AWS-subregio niet openbaar en biedt geen regionale (EU) verwerkingsoptie. Dit beperkte detailniveau kan navraag vereisen voor gedetailleerde GDPR Artikel 30-verwerkingsregisters.
  • Geen bevestigde EU-gegevensvestiging: In tegenstelling tot concurrenten (OpenAI Enterprise met EU-gegevensvestiging, Microsoft Azure OpenAI met regioselectie) heeft HeyGen geen documentatie gepubliceerd die de beschikbaarheid van uitsluitend EU-verwerking bevestigt.
  • EU-US Data Privacy Framework gecertificeerd: HeyGens DPF-certificering biedt een formele rechtsgrondslag voor EU-VS-gegevensoverdrachten, wat de overdrachtssituatie verbetert ten opzichte van uitsluitend vertrouwen op SCCs.
  • DPA nu voor alle betaalde abonnementen: Significante verbetering - voorheen hadden alleen Team/Enterprise toegang tot DPA; het Creator-abonnement kan nu ook een DPA ondertekenen.
  • ISO 27001-status onduidelijk: Eerdere versies van dit document vermeldden ISO 27001 als bevestigd; de huidige trust center-documentatie bevestigt dit niet. Verifieer bij HeyGen-sales vóór gebruik in aanbestedingsbeslissingen.
  • EU AI Act - deepfake-labeling (augustus 2026): Artikel 50 van de EU AI Act vereist dat aanbieders en gebruikers van AI-systemen die synthetische media (deepfakes) kunnen genereren, de inhoud labelen als AI-gegenereerd. HeyGens kerngebruik (avatargeneratie, stemkloning, videosynthese) valt direct onder de reikwijdte. Organisaties dienen nu al te beginnen met compliance-planning.
  • Gevoeligheid van biometrische gegevens: Het aanmaken van aangepaste avatars omvat de verwerking van biometrische gegevens (gezichtsgeometrie), die als bijzondere categorie persoonsgegevens worden beschouwd onder GDPR Artikel 9. Organisaties moeten beschikken over een geldige rechtsgrondslag en adequate waarborgen implementeren.[4]
  • Stemkloning door derden: HeyGen werkt samen met derden voor stemkloningfuncties. De privacyimplicaties van deze samenwerkingen zijn niet volledig uitgewerkt in de openbare documentatie.[2]
  • Vereisten voor inhoudsmoderatie: HeyGen vereist toestemming van personen voordat avatars van hun uiterlijk worden gemaakt. Organisaties moeten interne processen opzetten om naleving te waarborgen.[7]
  • Geen automatische gegevensverwijdering: In tegenstelling tot sommige concurrenten met zero-retentie-modi biedt HeyGen geen automatische verwijdering van generatiegeschiedenis of tijdgebonden retentievensters (met uitzondering van de 3-jaarslimiet voor biometrische gegevens).[4]
  • Team-abonnement beëindigd (januari 2026): Het Team-abonnement is vervangen door het Business-abonnement voor $149/maand + $20/seat. Klanten met legacy Team-prijsstelling dienen hun contractstatus te bevestigen bij HeyGen-sales.[10][6]

10 Disclaimer

Dit overzicht is uitsluitend bedoeld als informatief hulpmiddel. Wij adviseren klanten nadrukkelijk om alle Data Processing Agreements (DPA's) en privacydocumentatie grondig te beoordelen alvorens HeyGen in productieomgevingen in te zetten - met name bij de verwerking van biometrische gegevens, het aanmaken van avatars van identificeerbare personen of het verwerken van vertrouwelijke informatie. WAIMAKERS past dit principe zelf ook toe; alle tools die wij gebruiken zijn grondig beoordeeld en opgenomen in onze eigen privacy- en beveiligingsdocumentatie. Klanten dienen altijd de officiële documentatie, voorwaarden en DPA's van elke AI-aanbieder die zij gebruiken zorgvuldig te evalueren. WAIMAKERS kan niet juridisch aansprakelijk worden gesteld voor fouten, vergissingen, onjuistheden, of voor de nauwkeurigheid, actualiteit of volledigheid van de informatie in dit document; de uiteindelijke verantwoordelijkheid voor GDPR-naleving berust bij de klant.

Opgesteld en uitgegeven door WAIMAKERS B.V. - juni 2026.

Referenties

  • https://www.heygen.com/gdpr - HeyGen GDPR-Complianceverklaring
  • https://www.heygen.com/privacy-policy - HeyGen Privacybeleid
  • https://www.heygen.com/data-processing-addendum - HeyGen Data Processing Addendum
  • https://www.heygen.com/biometric-privacy-notice - HeyGen Biometric Information Privacy Notice
  • https://www.heygen.com/moderation-policy - HeyGen Inhoudsmoderatibeleid
  • https://help.heygen.com/en/articles/9183134-heygen-privacy-and-security-standards - HeyGen Privacy- en Beveiligingsstandaarden
  • https://security.heygen.com/ - HeyGen Beveiligingsportaal (subverwerkerlijst)

Hulp nodig bij AI?

Plan een gesprek
WAIMAKERS

Learn. Lead. Make.

AI Transformation Boutique · Amsterdam

Maak werk inspirerend, maak bedrijven onstuitbaar.

Wie we helpen

Bekijk alle rollen & sectorenCEO's & BestuursledenPE & InvesteringsmanagersCFO's & Financieel LeidersInnovatiedirecteurenCTO's & IT-leidersCommercieel Directeuren

Wat we doen

Bekijk alle servicesOnze aanpakLearnMaatwerktrainingenAI Champions ProgrammaAgentic Way of WorkingE-learningLeadMake

Bedrijf

Over onsKennisbankContactCarrièresPodcast ↗

© 2026 WAIMAKERS. Alle rechten voorbehouden.

PrivacybeleidCookiebeleid