AI in werving en selectie: risico's, bias en wat de EU AI Act nu al van u vraagt
AI-recruitmentsystemen beloven objectiviteit maar versterken in de praktijk historische bias, en vallen als hoog-risico onder Bijlage III. De deployer draagt een zwaar compliance-regime onder Art. 26, inclusief menselijk toezicht, monitoring en een FRIA, dat niet aan de leverancier kan worden gedelegeerd.
De belofte is voor elke overbelaste HR-afdeling onweerstaanbaar. In plaats van handmatig honderden cv's door te nemen, leest, analyseert en rangschikt een algoritmealgoritmeDe leerprocedure (bijvoorbeeld gradient descent, boominductie); ze op trainingsdata uitvoeren levert een model op. Controls hechten zich aan modellen en systemen, niet aan algoritmen in abstracte zin. Zie machine learning, trainingsdata.Open full entry → de kandidaten in enkele seconden. De best passende talenten komen bovendrijven; de rest ontvangt automatisch een afwijzing. Het is efficiënt, schaalbaar, en het voelt objectief.
Maar die objectiviteit is een gevaarlijke illusie. Het geautomatiseerd screenen van kandidaten is een van de meest juridisch beladen toepassingen van kunstmatige intelligentie binnen het bedrijfsleven. Terwijl HR-managers de efficiëntiewinst vieren, begeven zij hun organisatie stilzwijgend in de zwaarste risicocategorie van de EU AI Act, met verplichtingen die vergaand zijn en die niet aan de softwareleverancier kunnen worden gedelegeerd.
De illusie van de objectieve machine
Een algoritme heeft geen intrinsiek begrip van 'talent' of 'geschiktheid'. Het herkent patronen in historische data, in dit geval de aannamebeslissingen die uw organisatie in het verleden heeft genomen. Het model leert niet wie de beste kandidaat is, maar wie het meest lijkt op de mensen die eerder succesvol zijn aangenomen.
Als uw IT-afdeling historisch gezien voornamelijk uit mannen bestaat, of als bepaalde achtergronden onbewust consequent werden afgewezen, codificeert het algoritme deze patronen en herhaalt ze op industriële schaal.
Dit is geen theorie. Amazon ontdekte in 2018 dat hun intern ontwikkeld AI-recruitmentsysteem systematisch vrouwen benadeelde bij technische functies, omdat het model was getraind op tien jaar aanwezigheidsdata uit een mannelijk gedomineerde sector. Het systeem deed precies wat het was getraind om te doen. Dat was precies het probleem. Amazon stopte het project.
Wat begon als een instrument om menselijke vooroordelen te elimineren, functioneert in de praktijk regelmatig als versterker van historische ongelijkheid.
Bijlage III: werving en selectie is expliciet hoog-risico
De Europese wetgever erkent de maatschappelijke impact van algoritmische besluitvorming op de arbeidsmarkt. Bijlage IIIBijlage IIIDe lijst van de EU AI Act met hoog-risico-toepassingsgebieden: biometrie, kritieke infrastructuur, onderwijs, werk, essentiële diensten, rechtshandhaving, migratie, justitie. Zie conformiteitsbeoordeling, conformiteitsverklaring.Open full entry → van de EU AI Act classificeert AI-systemen die worden ingezet voor werving, selectie, het filteren van sollicitaties of het evalueren van kandidaten expliciet als hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry →.
Dit is geen grijs gebied. Zodra uw organisatie een AI-tool inzet die cv's scoort, kandidaten rangschikt of sollicitatiebeslissingen ondersteunt, treedt een zwaar compliance-regime in werking. De kernverplichtingen voor deployers onder Artikel 26:
- Aantoonbaar menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry →, u wijst per systeem een getrainde, bevoegde persoon aan die de AI-uitkomst kan overrulen; diens interventies worden gelogd (Art. 26.2)
- Inputdata-bewaking, u bent verantwoordelijk voor de kwaliteit van de data waarmee het systeem werkt (Art. 26.4)
- Doorlopende monitoringdoorlopende monitoringHet voortdurend observeren van de prestatie, drift, eerlijkheid en het gebruik van een uitgerold systeem tegen drempels met benoemde eigenaren, de control die past bij de snelheid en schaal van AI. Zie control, model drift.Open full entry →, u bewaakt actief of het systeem presteert zoals beoogd, ook na ingebruikname (Art. 26.5)
- Logretentie, beslissingen en interventies zijn aantoonbaar vastgelegd voor de volledige gebruiksperiode (Art. 26.6)
- Fundamental Rights Impact Assessment (FRIAFRIAFundamental Rights Impact Assessment, vereist van publieke organen en bepaalde private gebruiksverantwoordelijken voordat ze sommige hoog-risico-AI-systemen onder de EU AI Act gebruiken. Zie grondrechten-impactassessment, gebruiksverantwoordelijke.Open full entry →), een vooraf uitgevoerde, gedocumenteerde beoordeling van de impact op grondrechten (Art. 27)
Wanneer geldt de FRIA, en voor wie?
Na het AI Omnibus-akkoord van mei 2026 is de FRIA-verplichting (Art. 27) verplicht voor publieke instanties en voor private deployers in kritieke sectoren. Voor HR-toepassingen in het bedrijfsleven is de FRIA bij wet vereist wanneer het systeem beslissingen neemt die een aanzienlijke impact hebben op individuen, zoals selectie voor een functie. In de praktijk is dit voor nagenoeg elke serieuze AI-screeningstool het geval.
De FRIA is geen korte vragenlijst, maar een gestructureerd onderzoek naar zeven grondrechtendimensies: gelijkheid, non-discriminatie, privacy, menselijke waardigheid, vrijheid van beroepskeuze, recht op eerlijk proces en bescherming van persoonsgegevens. U beoordeelt per dimensie de potentiële impact, de bijbehorende risico's en de beheersmaatregelen.
De FRIA moet zijn afgerond vóór ingebruikname en periodiek worden herzien. Een FRIA die na een incident wordt opgesteld, telt niet als compliance.
De mythe van de gecertificeerde leverancier
De meest gehoorde verdediging van HR-directeuren: "Wij gebruiken een tool van een grote, gerenommeerde softwareleverancier. Zij zijn gecertificeerd, dus wij zijn compliant."
Dit is een fundamentele misvatting. Bij het inkopen van een AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → voor werving en selectie bent u de deployer in de zin van de AI Act. Uw leverancier kan garanderen dat de software correct is gebouwd, de CE-markeringCE-markeringDe markering die op producten (waaronder hoog-risico-AI-systemen) wordt aangebracht en aangeeft dat ze voldoen aan de toepasselijke EU-eisen. Zie conformiteitsbeoordeling, conformiteitsverklaring.Open full entry → of conformiteitsverklaringconformiteitsverklaringDe ondertekende verklaring van de aanbieder dat een hoog-risico-AI-systeem aan de eisen van de AI Act voldoet, opgesteld voordat het systeem op de markt wordt gebracht. Zie aanbieder, conformiteitsbeoordeling.Open full entry → dekt hun deel van de verantwoordelijkheid. Maar u bent verantwoordelijk voor hoe en op wie u dat systeem inzet.
Geen enkele leverancier kan uw FRIA uitvoeren. Geen enkele leverancier kan uw menselijk-toezichtsprotocol inrichten. Geen enkele leverancier is verantwoordelijk voor de kwaliteit van de inputdata die uw HR-afdeling aanlevert. Deze verplichtingen zijn structureel van de deployer.
Transparantie naar de sollicitant (Art. 50)
Artikel 50 van de AI Act verplicht deployers om personen die worden beoordeeld door een AI-systeem hierover te informeren. Deze informatieplicht geldt op het moment van de beoordeling, niet in kleine letters in de privacyverklaring, maar actief en begrijpelijk.
In de context van werving betekent dit dat sollicitanten moeten weten dat hun cv door een algoritme wordt beoordeeld, welke informatie daarvoor wordt gebruikt en hoe de betrokkene bezwaar kan maken. Wie dit achterwege laat, overtreedt zowel de AI Act als mogelijk ook AVG-rechten op geautomatiseerde besluitvorminggeautomatiseerde besluitvormingBeslissingen die uitsluitend op geautomatiseerde verwerking berusten en rechtsgevolgen of vergelijkbaar aanzienlijke gevolgen hebben, door AVG-artikel 22 beperkt tot drie uitzonderingsgronden, met waarborgen voor menselijke tussenkomst. Zie profilering, menselijk toezicht.Open full entry → (Art. 22 AVG).
AI literacy als wettelijke verplichting (Art. 4)
Artikel 4 van de AI Act is al van kracht sinds 2 februari 2025. Het verplicht organisaties om medewerkers die met AI-systemen werken een passend niveau van AI-kennis bij te brengen, afgestemd op het specifieke systeem en hun rol daarin.
Voor een HR-medewerker die dagelijks de output van een screeningsalgoritme gebruikt, betekent dit: begrijpen hoe het systeem tot een rangschikking komt, welke factoren het zwaarst wegen, hoe bias kan ontstaan en wanneer het professioneel oordeel zwaarder moet tellen dan de algoritmische uitkomst. Aantoonbaar, met trainingsregistratiestrainingsregistratiesBewijs van wie welke versie van welke trainingsinhoud heeft afgerond, wanneer, met welk resultaat, het artefact dat training laat functioneren als een compliance-control. Zie AI-geletterdheid, bewijs.Open full entry → die u bij een audit kunt overleggen. Generieke "AI-bewustwordingstraining" volstaat niet.
Vijf stappen naar werkbare governance
Stap 1, Inventariseer volledig. Begin met een eerlijk overzicht van alle AI-functionaliteit die uw wervingsproces raakt. Niet alleen de zichtbare screeningstool, maar ook de AI-features in uw Applicant Tracking System, de "slimme" zoekfunctie op uw carrièresite, planningsassistenten en videoanalyse bij digitale gesprekken. Shadow AI, AI die buiten het gezichtsveld van IT en compliance opereert, is in HR-omgevingen bijzonder wijdverspreid.
Stap 2, Voer de FRIA uit vóór ingebruikname. Behandel de FRIA niet als een formaliteit maar als een inhoudelijk onderzoek. Betrek naast HR ook uw privacy officer, juridische adviseur en, waar van toepassing, de ondernemingsraad. De OR heeft instemmingsrecht bij de invoering van systemen die medewerkers of sollicitanten beoordelen.
Stap 3, Borg menselijk toezicht als proces, niet als principeprincipeEen van de zeven waarden van verantwoorde AI waaraan een bestuurd systeem zou moeten voldoen (eerlijkheid, veiligheid en betrouwbaarheid, privacy, beveiliging en robuustheid, transparantie en uitlegbaarheid, verantwoording, menselijk toezicht). Een principe is abstract: het benoemt een uitkomst, geen knop die je kunt omzetten. Het wordt bestuurbaar door de schade te benoemen die het zou schenden, het risico van die schade in te schatten, en controls tegen dat risico te plaatsen. Wanneer GovCompass een principe zo borgt, noemt het dat een pijler. Zie pijler, schade, risico.Open full entry →. "Human-in-the-loophuman-in-the-loopEen toezichtsopstelling waarin een mens elk geval dat het systeem aanbeveelt goedkeurt of beslist, passend bij individuele beslissingen met grote gevolgen, en alleen betekenisvol met bevoegdheid, informatie en tijd. Zie menselijk toezicht, human-on-the-loop.Open full entry →" is geen filosofisch standpunt, het is een operationele vereiste met naam, bevoegdheid en bewijsbewijsHet concrete bewijs dat een control is ontworpen, geïmplementeerd en werkt: een testrapport, een audit trail, een impactassessment, een monitoringlog. Elke schakel in de governance-keten levert een artefact op, en samen zijn ze wat een organisatie overhandigt aan haar eigen bestuur, een toezichthouder, een klant of een betrokkene om te tonen, niet te zeggen, dat een systeem bestuurd is. De afwezigheid ervan is zelf het falen: een risicoregister zonder testresultaten, of een maatregel die wordt geclaimd zonder validatie, is een governance-gat, geen papierwerk-gat. De sluitende schakel van de governance-keten. Zie control, governance.Open full entry →. Wijs per systeem een toezichthouder aan, leg vast hoe diens interventies worden geregistreerd en zorg dat hij de AI-uitkomst daadwerkelijk kan en mag overrulen.
Stap 4, Informeer uw sollicitanten actief. Verwerk de informatieplicht in uw wervingscommunicatie: vermeld in de bevestigingsmail na een sollicitatie dat de eerste screening gedeeltelijk algoritmisch is, wat daarvoor wordt gebruikt en hoe de betrokkene bezwaar kan maken.
Stap 5, Monitor op uitkomstverdeling. Analyseer periodiek of de AI-uitkomsten systematisch afwijken langs demografische lijnen. Registreer de bevindingen en de maatregelen die u neemt. Dit is tegelijk de kern van uw monitoring-verplichting onder Art. 26.5 én uw sterkste verdediging bij een klacht over discriminatie.
Tijdlijn: wanneer moet u actie ondernemen?
| Datum | Verplichting | Status |
|---|---|---|
| 2 feb 2025 | Art. 4 AI Literacy van kracht | ✅ Nu verplicht |
| 2 aug 2026 | Art. 50 Transparantieverplichtingen (incl. informatieplicht naar betrokkenenbetrokkenenDe individuen of groepen die onderworpen zijn aan of geraakt worden door de uitkomsten of beslissingen van een AI-systeem, en wier rechten het governance-regime beoogt te beschermen. Zie schade, belanghebbendenanalyse.Open full entry →) | ⚠️ Over 2 maanden |
| 2 dec 2027 | Volledige hoog-risico verplichtingen (Art. 26, FRIA, logretentie) | 🔜 Voorbereiding nu |
De deadline van december 2027 voor volledige hoog-risico compliance klinkt ver weg, maar een FRIA-traject, het inrichten van menselijk-toezichtsprocessen en het borgen van AI Literacy vergen maanden van voorbereiding. Organisaties die in 2026 beginnen, lopen voor op de curve; wie wacht tot 2027 bouwt onder tijdsdruk.
De reële inzet
Organisaties die AI inzetten voor werving en selectie zonder de bijbehorende governancegovernanceHet stelsel waarmee een organisatie zichzelf bestuurt: corporate governance, risicobeheer, compliance, verantwoordingslijnen, risicobereidheid en het besturingsmodel. Het bestaat over alles wat de organisatie doet, voor en los van AI. AI governance is ditzelfde stelsel, uitgebreid voor AI. Zie AI governance, governance design, executie.Open full entry →, bouwen een compliance-schuld op die op twee fronten kan worden afgerekend: door de toezichthouder via boetes tot €15 miljoen of 3% van de wereldwijde jaaromzet, en door de rechter via discriminatieprocedures van afgewezen kandidaten die kunnen aantonen dat een algoritme hun kansen heeft bepaald.
Organisaties die de governance wél inrichten, bereiken iets dat moeilijker te kwantificeren maar minstens zo waardevol is: zij kunnen aantonen dat hun wervingsproces eerlijk is, niet omdat ze dat stellen, maar omdat ze het kunnen bewijzen.