AI in werving en selectie: risico's, bias en wat de EU AI Act nu al van u vraagt
De belofte is voor elke overbelaste HR-afdeling onweerstaanbaar. In plaats van handmatig honderden cv's door te nemen, leest, analyseert en rangschikt een algoritme de kandidaten in enkele seconden. De best passende talenten komen bovendrijven; de rest ontvangt automatisch een afwijzing. Het is efficiënt, schaalbaar — en het voelt objectief.
Maar die objectiviteit is een gevaarlijke illusie. Het geautomatiseerd screenen van kandidaten is een van de meest juridisch beladen toepassingen van kunstmatige intelligentie binnen het bedrijfsleven. Terwijl HR-managers de efficiëntiewinst vieren, begeven zij hun organisatie stilzwijgend in de zwaarste risicocategorie van de EU AI Act — met verplichtingen die vergaand zijn en die niet aan de softwareleverancier kunnen worden gedelegeerd.
De illusie van de objectieve machine
Een algoritme heeft geen intrinsiek begrip van 'talent' of 'geschiktheid'. Het herkent patronen in historische data — in dit geval de aannamebeslissingen die uw organisatie in het verleden heeft genomen. Het model leert niet wie de beste kandidaat is, maar wie het meest lijkt op de mensen die eerder succesvol zijn aangenomen.
Als uw IT-afdeling historisch gezien voornamelijk uit mannen bestaat, of als bepaalde achtergronden onbewust consequent werden afgewezen, codificeert het algoritme deze patronen en herhaalt ze op industriële schaal.
Dit is geen theorie. Amazon ontdekte in 2018 dat hun intern ontwikkeld AI-recruitmentsysteem systematisch vrouwen benadeelde bij technische functies — omdat het model was getraind op tien jaar aanwezigheidsdata uit een mannelijk gedomineerde sector. Het systeem deed precies wat het was getraind om te doen. Dat was precies het probleem. Amazon stopte het project.
Wat begon als een instrument om menselijke vooroordelen te elimineren, functioneert in de praktijk regelmatig als versterker van historische ongelijkheid.
Bijlage III: werving en selectie is expliciet hoog-risico
De Europese wetgever erkent de maatschappelijke impact van algoritmische besluitvorming op de arbeidsmarkt. Bijlage III van de EU AI Act classificeert AI-systemen die worden ingezet voor werving, selectie, het filteren van sollicitaties of het evalueren van kandidaten expliciet als hoog-risico.
Dit is geen grijs gebied. Zodra uw organisatie een AI-tool inzet die cv's scoort, kandidaten rangschikt of sollicitatiebeslissingen ondersteunt, treedt een zwaar compliance-regime in werking. De kernverplichtingen voor deployers onder Artikel 26:
- Aantoonbaar menselijk toezicht — u wijst per systeem een getrainde, bevoegde persoon aan die de AI-uitkomst kan overrulen; diens interventies worden gelogd (Art. 26.2)
- Inputdata-bewaking — u bent verantwoordelijk voor de kwaliteit van de data waarmee het systeem werkt (Art. 26.4)
- Doorlopende monitoring — u bewaakt actief of het systeem presteert zoals beoogd, ook na ingebruikname (Art. 26.5)
- Logretentie — beslissingen en interventies zijn aantoonbaar vastgelegd voor de volledige gebruiksperiode (Art. 26.6)
- Fundamental Rights Impact Assessment (FRIA) — een vooraf uitgevoerde, gedocumenteerde beoordeling van de impact op grondrechten (Art. 27)
Wanneer geldt de FRIA — en voor wie?
Na het AI Omnibus-akkoord van mei 2026 is de FRIA-verplichting (Art. 27) verplicht voor publieke instanties en voor private deployers in kritieke sectoren. Voor HR-toepassingen in het bedrijfsleven is de FRIA bij wet vereist wanneer het systeem beslissingen neemt die een aanzienlijke impact hebben op individuen — zoals selectie voor een functie. In de praktijk is dit voor nagenoeg elke serieuze AI-screeningstool het geval.
De FRIA is geen korte vragenlijst, maar een gestructureerd onderzoek naar zeven grondrechtendimensies: gelijkheid, non-discriminatie, privacy, menselijke waardigheid, vrijheid van beroepskeuze, recht op eerlijk proces en bescherming van persoonsgegevens. U beoordeelt per dimensie de potentiële impact, de bijbehorende risico's en de beheersmaatregelen.
De FRIA moet zijn afgerond vóór ingebruikname en periodiek worden herzien. Een FRIA die na een incident wordt opgesteld, telt niet als compliance.
De mythe van de gecertificeerde leverancier
De meest gehoorde verdediging van HR-directeuren: "Wij gebruiken een tool van een grote, gerenommeerde softwareleverancier. Zij zijn gecertificeerd, dus wij zijn compliant."
Dit is een fundamentele misvatting. Bij het inkopen van een AI-systeem voor werving en selectie bent u de deployer in de zin van de AI Act. Uw leverancier kan garanderen dat de software correct is gebouwd — de CE-markering of conformiteitsverklaring dekt hun deel van de verantwoordelijkheid. Maar u bent verantwoordelijk voor hoe en op wie u dat systeem inzet.
Geen enkele leverancier kan uw FRIA uitvoeren. Geen enkele leverancier kan uw menselijk-toezichtsprotocol inrichten. Geen enkele leverancier is verantwoordelijk voor de kwaliteit van de inputdata die uw HR-afdeling aanlevert. Deze verplichtingen zijn structureel van de deployer.
Transparantie naar de sollicitant (Art. 50)
Artikel 50 van de AI Act verplicht deployers om personen die worden beoordeeld door een AI-systeem hierover te informeren. Deze informatieplicht geldt op het moment van de beoordeling — niet in kleine letters in de privacyverklaring, maar actief en begrijpelijk.
In de context van werving betekent dit dat sollicitanten moeten weten dat hun cv door een algoritme wordt beoordeeld, welke informatie daarvoor wordt gebruikt en hoe de betrokkene bezwaar kan maken. Wie dit achterwege laat, overtreedt zowel de AI Act als mogelijk ook AVG-rechten op geautomatiseerde besluitvorming (Art. 22 AVG).
AI Literacy als wettelijke verplichting (Art. 4)
Artikel 4 van de AI Act is al van kracht sinds 2 februari 2025. Het verplicht organisaties om medewerkers die met AI-systemen werken een passend niveau van AI-kennis bij te brengen — afgestemd op het specifieke systeem en hun rol daarin.
Voor een HR-medewerker die dagelijks de output van een screeningsalgoritme gebruikt, betekent dit: begrijpen hoe het systeem tot een rangschikking komt, welke factoren het zwaarst wegen, hoe bias kan ontstaan en wanneer het professioneel oordeel zwaarder moet tellen dan de algoritmische uitkomst. Aantoonbaar — met trainingsregistraties die u bij een audit kunt overleggen. Generieke "AI-bewustwordingstraining" volstaat niet.
Vijf stappen naar werkbare governance
Stap 1 — Inventariseer volledig. Begin met een eerlijk overzicht van alle AI-functionaliteit die uw wervingsproces raakt. Niet alleen de zichtbare screeningstool, maar ook de AI-features in uw Applicant Tracking System, de "slimme" zoekfunctie op uw carrièresite, planningsassistenten en videoanalyse bij digitale gesprekken. Shadow AI — AI die buiten het gezichtsveld van IT en compliance opereert — is in HR-omgevingen bijzonder wijdverspreid.
Stap 2 — Voer de FRIA uit vóór ingebruikname. Behandel de FRIA niet als een formaliteit maar als een inhoudelijk onderzoek. Betrek naast HR ook uw privacy officer, juridische adviseur en — waar van toepassing — de ondernemingsraad. De OR heeft instemmingsrecht bij de invoering van systemen die medewerkers of sollicitanten beoordelen.
Stap 3 — Borg menselijk toezicht als proces, niet als principe. "Human-in-the-loop" is geen filosofisch standpunt — het is een operationele vereiste met naam, bevoegdheid en bewijs. Wijs per systeem een toezichthouder aan, leg vast hoe diens interventies worden geregistreerd en zorg dat hij de AI-uitkomst daadwerkelijk kan en mag overrulen.
Stap 4 — Informeer uw sollicitanten actief. Verwerk de informatieplicht in uw wervingscommunicatie: vermeld in de bevestigingsmail na een sollicitatie dat de eerste screening gedeeltelijk algoritmisch is, wat daarvoor wordt gebruikt en hoe de betrokkene bezwaar kan maken.
Stap 5 — Monitor op uitkomstverdeling. Analyseer periodiek of de AI-uitkomsten systematisch afwijken langs demografische lijnen. Registreer de bevindingen en de maatregelen die u neemt. Dit is tegelijk de kern van uw monitoring-verplichting onder Art. 26.5 én uw sterkste verdediging bij een klacht over discriminatie.
Tijdlijn: wanneer moet u actie ondernemen?
| Datum | Verplichting | Status |
|---|---|---|
| 2 feb 2025 | Art. 4 AI Literacy van kracht | ✅ Nu verplicht |
| 2 aug 2026 | Art. 50 Transparantieverplichtingen (incl. informatieplicht naar betrokkenen) | ⚠️ Over 2 maanden |
| 2 dec 2027 | Volledige hoog-risico verplichtingen (Art. 26, FRIA, logretentie) | 🔜 Voorbereiding nu |
De deadline van december 2027 voor volledige hoog-risico compliance klinkt ver weg, maar een FRIA-traject, het inrichten van menselijk-toezichtsprocessen en het borgen van AI Literacy vergen maanden van voorbereiding. Organisaties die in 2026 beginnen, lopen voor op de curve; wie wacht tot 2027 bouwt onder tijdsdruk.
De reële inzet
Organisaties die AI inzetten voor werving en selectie zonder de bijbehorende governance, bouwen een compliance-schuld op die op twee fronten kan worden afgerekend: door de toezichthouder via boetes tot €15 miljoen of 3% van de wereldwijde jaaromzet, en door de rechter via discriminatieprocedures van afgewezen kandidaten die kunnen aantonen dat een algoritme hun kansen heeft bepaald.
Organisaties die de governance wél inrichten, bereiken iets dat moeilijker te kwantificeren maar minstens zo waardevol is: zij kunnen aantonen dat hun wervingsproces eerlijk is — niet omdat ze dat stellen, maar omdat ze het kunnen bewijzen.