GovCompass
Kennisbank
AnalysisFairnessHuman oversightTransparency & explainability

AI in werving en selectie: risico's, bias en wat de EU AI Act nu al van u vraagt

Door Michel Venniker·

De belofte is voor elke overbelaste HR-afdeling onweerstaanbaar. In plaats van handmatig honderden cv's door te nemen, leest, analyseert en rangschikt een algoritme de kandidaten in enkele seconden. De best passende talenten komen bovendrijven; de rest ontvangt automatisch een afwijzing. Het is efficiënt, schaalbaar, en het voelt objectief.

Maar die objectiviteit is een gevaarlijke illusie. Het geautomatiseerd screenen van kandidaten is een van de meest juridisch beladen toepassingen van kunstmatige intelligentie binnen het bedrijfsleven. Terwijl HR-managers de efficiëntiewinst vieren, begeven zij hun organisatie stilzwijgend in de zwaarste risicocategorie van de EU AI Act, met verplichtingen die vergaand zijn en die niet aan de softwareleverancier kunnen worden gedelegeerd.

De illusie van de objectieve machine

Een algoritme heeft geen intrinsiek begrip van 'talent' of 'geschiktheid'. Het herkent patronen in historische data, in dit geval de aannamebeslissingen die uw organisatie in het verleden heeft genomen. Het model leert niet wie de beste kandidaat is, maar wie het meest lijkt op de mensen die eerder succesvol zijn aangenomen.

Als uw IT-afdeling historisch gezien voornamelijk uit mannen bestaat, of als bepaalde achtergronden onbewust consequent werden afgewezen, codificeert het algoritme deze patronen en herhaalt ze op industriële schaal.

Dit is geen theorie. Amazon ontdekte in 2018 dat hun intern ontwikkeld AI-recruitmentsysteem systematisch vrouwen benadeelde bij technische functies, omdat het model was getraind op tien jaar aanwezigheidsdata uit een mannelijk gedomineerde sector. Het systeem deed precies wat het was getraind om te doen. Dat was precies het probleem. Amazon stopte het project.

Wat begon als een instrument om menselijke vooroordelen te elimineren, functioneert in de praktijk regelmatig als versterker van historische ongelijkheid.

Bijlage III: werving en selectie is expliciet hoog-risico

De Europese wetgever erkent de maatschappelijke impact van algoritmische besluitvorming op de arbeidsmarkt. Bijlage III van de EU AI Act classificeert AI-systemen die worden ingezet voor werving, selectie, het filteren van sollicitaties of het evalueren van kandidaten expliciet als hoog-risico.

Dit is geen grijs gebied. Zodra uw organisatie een AI-tool inzet die cv's scoort, kandidaten rangschikt of sollicitatiebeslissingen ondersteunt, treedt een zwaar compliance-regime in werking. De kernverplichtingen voor deployers onder Artikel 26:

  • Aantoonbaar menselijk toezicht, u wijst per systeem een getrainde, bevoegde persoon aan die de AI-uitkomst kan overrulen; diens interventies worden gelogd (Art. 26.2)
  • Inputdata-bewaking, u bent verantwoordelijk voor de kwaliteit van de data waarmee het systeem werkt (Art. 26.4)
  • Doorlopende monitoring, u bewaakt actief of het systeem presteert zoals beoogd, ook na ingebruikname (Art. 26.5)
  • Logretentie, beslissingen en interventies zijn aantoonbaar vastgelegd voor de volledige gebruiksperiode (Art. 26.6)
  • Fundamental Rights Impact Assessmentimpact assessmentThe design-time discipline of describing a system, mapping stakeholders, identifying harms, rating probability × severity, choosing mitigations and documenting a signed decision — the skeleton under DPIAs, FRIAs and AIAs.Open full entry → (FRIAFRIAFundamental Rights Impact Assessment — required of public bodies and certain private deployers before using some high-risk AI systems under the EU AI Act.Open full entry →), een vooraf uitgevoerde, gedocumenteerde beoordeling van de impact op grondrechten (Art. 27)

Wanneer geldt de FRIA, en voor wie?

Na het AI Omnibus-akkoord van mei 2026 is de FRIA-verplichting (Art. 27) verplicht voor publieke instanties en voor private deployers in kritieke sectoren. Voor HR-toepassingen in het bedrijfsleven is de FRIA bij wet vereist wanneer het systeem beslissingen neemt die een aanzienlijke impact hebben op individuen, zoals selectie voor een functie. In de praktijk is dit voor nagenoeg elke serieuze AI-screeningstool het geval.

De FRIA is geen korte vragenlijst, maar een gestructureerd onderzoek naar zeven grondrechtendimensies: gelijkheid, non-discriminatie, privacy, menselijke waardigheid, vrijheid van beroepskeuze, recht op eerlijk proces en bescherming van persoonsgegevens. U beoordeelt per dimensie de potentiële impact, de bijbehorende risico's en de beheersmaatregelen.

De FRIA moet zijn afgerond vóór ingebruikname en periodiek worden herzien. Een FRIA die na een incident wordt opgesteld, telt niet als compliance.

De mythe van de gecertificeerde leverancier

De meest gehoorde verdediging van HR-directeuren: "Wij gebruiken een tool van een grote, gerenommeerde softwareleverancier. Zij zijn gecertificeerd, dus wij zijn compliant."

Dit is een fundamentele misvatting. Bij het inkopen van een AI-systeem voor werving en selectie bent u de deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry → in de zin van de AI Act. Uw leverancier kan garanderen dat de software correct is gebouwd, de CE-markering of conformiteitsverklaring dekt hun deel van de verantwoordelijkheid. Maar u bent verantwoordelijk voor hoe en op wie u dat systeem inzet.

Geen enkele leverancier kan uw FRIA uitvoeren. Geen enkele leverancier kan uw menselijk-toezichtsprotocol inrichten. Geen enkele leverancier is verantwoordelijk voor de kwaliteit van de inputdata die uw HR-afdeling aanlevert. Deze verplichtingen zijn structureel van de deployer.

Transparantie naar de sollicitant (Art. 50)

Artikel 50 van de AI Act verplicht deployers om personen die worden beoordeeld door een AI-systeem hierover te informeren. Deze informatieplicht geldt op het moment van de beoordeling, niet in kleine letters in de privacyverklaring, maar actief en begrijpelijk.

In de context van werving betekent dit dat sollicitanten moeten weten dat hun cv door een algoritme wordt beoordeeld, welke informatie daarvoor wordt gebruikt en hoe de betrokkene bezwaar kan maken. Wie dit achterwege laat, overtreedt zowel de AI Act als mogelijk ook AVG-rechten op geautomatiseerde besluitvorming (Art. 22 AVG).

AI literacy als wettelijke verplichting (Art. 4)

Artikel 4 van de AI Act is al van kracht sinds 2 februari 2025. Het verplicht organisaties om medewerkers die met AI-systemen werken een passend niveau van AI-kennis bij te brengen, afgestemd op het specifieke systeem en hun rol daarin.

Voor een HR-medewerker die dagelijks de output van een screeningsalgoritme gebruikt, betekent dit: begrijpen hoe het systeem tot een rangschikking komt, welke factoren het zwaarst wegen, hoe bias kan ontstaan en wanneer het professioneel oordeel zwaarder moet tellen dan de algoritmische uitkomst. Aantoonbaar, met trainingsregistraties die u bij een audit kunt overleggen. Generieke "AI-bewustwordingstraining" volstaat niet.

Vijf stappen naar werkbare governance

Stap 1, Inventariseer volledig. Begin met een eerlijk overzicht van alle AI-functionaliteit die uw wervingsproces raakt. Niet alleen de zichtbare screeningstool, maar ook de AI-features in uw Applicant Tracking System, de "slimme" zoekfunctie op uw carrièresite, planningsassistenten en videoanalyse bij digitale gesprekken. Shadow AI, AI die buiten het gezichtsveld van IT en compliance opereert, is in HR-omgevingen bijzonder wijdverspreid.

Stap 2, Voer de FRIA uit vóór ingebruikname. Behandel de FRIA niet als een formaliteit maar als een inhoudelijk onderzoek. Betrek naast HR ook uw privacy officer, juridische adviseur en, waar van toepassing, de ondernemingsraad. De OR heeft instemmingsrecht bij de invoering van systemen die medewerkers of sollicitanten beoordelen.

Stap 3, Borg menselijk toezicht als proces, niet als principe. "Human-in-the-loophuman-in-the-loopOversight configuration where a human approves or decides each case the system recommends — fitting high-stakes individual decisions, and meaningful only with authority, information and time.Open full entry →" is geen filosofisch standpunt, het is een operationele vereiste met naam, bevoegdheid en bewijs. Wijs per systeem een toezichthouder aan, leg vast hoe diens interventies worden geregistreerd en zorg dat hij de AI-uitkomst daadwerkelijk kan en mag overrulen.

Stap 4, Informeer uw sollicitanten actief. Verwerk de informatieplicht in uw wervingscommunicatie: vermeld in de bevestigingsmail na een sollicitatie dat de eerste screening gedeeltelijk algoritmisch is, wat daarvoor wordt gebruikt en hoe de betrokkene bezwaar kan maken.

Stap 5, Monitor op uitkomstverdeling. Analyseer periodiek of de AI-uitkomsten systematisch afwijken langs demografische lijnen. Registreer de bevindingen en de maatregelen die u neemt. Dit is tegelijk de kern van uw monitoring-verplichting onder Art. 26.5 én uw sterkste verdediging bij een klacht over discriminatie.

Tijdlijn: wanneer moet u actie ondernemen?

DatumVerplichtingStatus
2 feb 2025Art. 4 AI LiteracyAI literacySufficient understanding of AI's workings, capabilities and risks for one's role — an explicit expectation for provider and deployer staff under the EU AI Act.Open full entry → van kracht✅ Nu verplicht
2 aug 2026Art. 50 Transparantieverplichtingen (incl. informatieplicht naar betrokkenen)⚠️ Over 2 maanden
2 dec 2027Volledige hoog-risico verplichtingen (Art. 26, FRIA, logretentie)🔜 Voorbereiding nu

De deadline van december 2027 voor volledige hoog-risico compliance klinkt ver weg, maar een FRIA-traject, het inrichten van menselijk-toezichtsprocessen en het borgen van AI Literacy vergen maanden van voorbereiding. Organisaties die in 2026 beginnen, lopen voor op de curve; wie wacht tot 2027 bouwt onder tijdsdruk.

De reële inzet

Organisaties die AI inzetten voor werving en selectie zonder de bijbehorende governance, bouwen een compliance-schuld op die op twee fronten kan worden afgerekend: door de toezichthouder via boetes tot €15 miljoen of 3% van de wereldwijde jaaromzet, en door de rechter via discriminatieprocedures van afgewezen kandidaten die kunnen aantonen dat een algoritme hun kansen heeft bepaald.

Organisaties die de governance wél inrichten, bereiken iets dat moeilijker te kwantificeren maar minstens zo waardevol is: zij kunnen aantonen dat hun wervingsproces eerlijk is, niet omdat ze dat stellen, maar omdat ze het kunnen bewijzen.

WetsverwijzingenArt. 26

Meer over Fairness

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 5, verboden AI-praktijken

Reference

Art. 5 somt de acht verboden AI-praktijken op, waaronder subliminale manipulatie, exploitatie van kwetsbare groepen, social scoring en het ongericht scrapen van gezichtsopnamen. Deze verboden zijn absoluut, gelden voor elke organisatie ongeacht grootte, en zijn van kracht sinds 2 februari 2025.

FRIA uitvoeren: stap-voor-stap handleiding

Guide

Een Fundamental Rights Impact Assessment (FRIA) onder Art. 27 wordt stap voor stap uitgevoerd: beschrijf het systeem en het doel, identificeer de betrokken personen, beoordeel de impact op elke grondrechtendimensie, bepaal de mitigerende maatregelen, en documenteer het restrisico vóór de inzet.

Meer over Human oversight

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.2, menselijk toezicht: wijs competente mensen aan

Reference

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Art. 27, FRIA: Fundamental Rights Impact Assessment

Reference

Art. 27 verplicht bepaalde deployers, publieke instanties en private deployers in afgebakende sectoren zoals krediet en verzekeringen, om vóór de inzet van een hoog-risico AI-systeem een Fundamental Rights Impact Assessment (FRIA) uit te voeren, die de impact op grondrechten en de mitigerende maatregelen onderzoekt.

Art. 4, AI literacy: zorg dat je team AI begrijpt

Reference

Art. 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die AI-systemen bedienen of gebruiken, in verhouding tot het systeem en de rol. De verplichting geldt voor alle AI-inzet, niet alleen hoog-risico, en moet aantoonbaar zijn.

Meer over Transparency & explainability

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 26.7, transparantie: informeer betrokkenen en werknemers

Reference

Art. 26.7 verplicht deployers van hoog-risico AI om de personen die aan de beslissingen van het systeem zijn onderworpen te informeren dat een hoog-risico AI-systeem wordt gebruikt. Dit geldt ook zonder directe interactie, zoals bij CV-screening of kredietscoring.

Art. 26.8, registratie: verifieer dat je AI in de EU-database staat

Reference

Art. 26.8 verplicht deployers die overheidsinstanties zijn (of namens hen handelen) om vóór ingebruikname te verifiëren dat een hoog-risico AI-systeem in de EU-database is geregistreerd, en het niet te gebruiken als dat niet zo is.

Art. 49, EU-database: registratie van hoog-risico AI

Reference

Art. 49 verplicht providers van hoog-risico AI-systemen om het systeem in de EU-database te registreren vóór marktintroductie. De database dient zowel het markttoezicht als de publieke verantwoording, doordat burgers kunnen zien welke hoog-risico systemen in gebruik zijn.