HR-professionals verwerken de meest persoonlijke informatie die mensen ooit delen: hun loopbaangeschiedenis, hun motivaties, hun salarisverwachtingen, hun assessmentresultaten. En ze doen dat in een context van expliciete besluitvorming over wie mag doorstromen en wie niet. AI-tools hebben die besluitvorming ingrijpend veranderd. Cv-screening, matching, videogespreksanalyse, geautomatiseerde chatbots — ze worden breed ingezet. Maar wat weinig gebruikers beseffen: deze tools zijn door de Europese wetgever expliciet benoemd als hoog-risico artificiële intelligentie. Met alle gevolgen van dien.
Bijlage III punt 4 — geen grijs gebied
De AI Act (Verordening (EU) 2024/1689) is duidelijk. Bijlage III punt 4 noemt AI-systemen voor rekrutering en personeelsselectie letterlijk bij naam als hoog-risico. Dat is een bewuste beleidskeuze van de Europese wetgever: het gewicht van arbeidsbesluiten — wie mag werken, wie niet — vereist de hoogste beschermingsnormen.
Wat valt eronder? Cv-screeningstools, matchingalgoritmen, assessmentanalyse, AI-gestuurde videogespreksanalyse, chatbots die selectiebeslissingen meedelen — elk systeem dat kandidaten beoordeelt, vergelijkt of rangschikt, valt in deze categorie. De verplichtingen zijn navenant: technische documentatie, logging van beslissingen, transparantie tegenover kandidaten, menselijk toezicht met override-mogelijkheid en een conformiteitsbeoordeling.
Daarboven legt GDPR artikel 22 individuen het recht op om niet onderworpen te worden aan louter geautomatiseerde besluitvorming met significante gevolgen. Een afwijzing door een algoritme zonder menselijke tussenkomst of uitlegbare redenering is een schending van dat recht. Als die uitleg gevraagd wordt en u ze niet kunt geven, riskeert u handhaving door de Gegevensbeschermingsautoriteit.
En dan is er nog de antidiscriminatiewetgeving. In België verbiedt de Wet van 10 mei 2007 discriminatie op basis van geslacht, afkomst, leeftijd en andere beschermde kenmerken. In Nederland doet de Algemene wet gelijke behandeling (AWGB) hetzelfde. AI-modellen die getraind zijn op historische aanwervingsbeslissingen reproduceren structureel de vooroordelen die in die data zitten — juridisch even problematisch als bewuste discriminatie.
Een scenario dat zich al afspeelt
Een rekruteringsbureau stapt over op een modern cloud ATS met ingebouwde AI-screening, videogespreksanalyse en candidate matching. Het platform is bekend, de interface is strak, de leverancier garandeert GDPR-compliance. Wat gaat er mis?
Ten eerste: duizenden cv’s per jaar — namen, adressen, werkhistories, opleidingen — worden geüpload naar servers buiten de EU. Ten tweede: de videogespreksanalyse analyseert toon, mimiek en woordkeus. Dat is hoog-risico AI onder Bijlage III. De vereiste technische documentatie levert het platform niet standaard. Ten derde: het platform traint zijn matchingmodellen op geaggregeerde data van alle aangesloten bureaus — inclusief uw kandidatendatabase en beoordelingshistorie.
En dan vraagt een kandidaat om inzage in de redenering bij zijn of haar afwijzing. GDPR artikel 22. U hebt geen uitleg die u kunt geven. De GBA of AP onderzoekt een klacht. U — als deployer — bent verantwoordelijk voor de AI Act-conformiteit van het systeem. Niet de leverancier.
“Als jij een SaaS-tool gebruikt die cv’s screent of kandidaten rangschikt, ben jij als deployer verantwoordelijk voor de conformiteit van dat systeem. Niet de leverancier. Jij.”
Dit is geen hypothetisch risico. Het is de structuur van de wet. En het geldt voor elk bureau, elk intern HR-team, elke talent acquisition manager die vandaag een AI-screening tool inzet — ook als die tool als SaaS-dienst wordt afgenomen. De deployer draagt de verantwoordelijkheid. “De leverancier heeft het ons verzekerd” is geen juridische verdediging.
Het discriminatierisico is geen hypothese
AI-modellen zijn zo neutraal als de data waarop ze getraind zijn. Als een sector tien jaar lang overwegend mannen heeft aangeworven, leert een model dat getraind op die beslissingen dat mannen betere kandidaten zijn. Bepaalde woordkeuzes gecorreleerd met een bepaalde achtergrond worden meegewogen in de score. Dat is structurele bias in een algoritmisch jasje.
Federgon, de Belgische federatie van HR-dienstverleners, heeft sectorrichtlijnen voor rekrutering en databeheer. In Nederland publiceren ABU en NBBU gedragscodes voor omgang met kandidatendata. Unia — het Interfederaal Gelijkekansencentrum — heeft specifieke aandacht voor algoritmische discriminatie en behandelt klachten over discriminerende selectieprocedures. Het College voor de Rechten van de Mens in Nederland doet hetzelfde.
Een AI-tool die niet actief op discriminatierisico is geëvalueerd, is een aansprakelijkheidsrisico. Niet alleen tegenover de toezichthouder, maar ook tegenover de kandidaat die onterecht werd uitgesloten.
Lokale AI: de rekruteur beslist, de data blijft intern
Er is een uitweg die zowel praktisch als juridisch coherent is. Lokale AI — een taalmodel dat op uw eigen server of werkstation draait, zonder dat data een externe server bereikt — laat u AI inzetten voor de administratieve last van rekrutering, zonder de juridische risico’s van SaaS-AI-screening.
Wat dat concreet betekent: AI die inkomende cv’s leest, structureert en een gestandaardiseerde samenvatting opmaakt voor de recruiter. Niet om kandidaten automatisch uit te sluiten, maar om de eerste selectiefase te versnellen. De recruiter beslist. AI ondersteunt. Kandidatendata verlaat de bedrijfsomgeving niet.
Hetzelfde geldt voor gespreksverslagen. Selectiegesprekken bevatten directe quotes, emotionele indrukken en persoonlijke informatie die kandidaten in vertrouwen hebben gedeeld. Die data hoort niet in een cloud AI-platform. Lokale AI transcribeert en structureert — op uw infrastructuur, onder uw controle. En voor onboarding: gepersonaliseerde welkomstbrieven en introductiedocumenten gegenereerd op basis van contractinformatie die nooit uw eigen omgeving verlaat.
Het resultaat: volledige controle over documentatie en transparantie, de mogelijkheid om GDPR artikel 22-verzoeken te beantwoorden, en geen afhankelijkheid van de AI Act-conformiteit van een externe cloudprovider.
Drie concrete stappen
Stap 1: Breng uw huidige AI-tools in kaart. Welke tools in uw rekruteringsproces beoordelen, vergelijken of rangschikken kandidaten? Cv-screeningssoftware, matching-algoritmen, videogespreksanalyse — als het antwoord “ja” is, valt het onder Bijlage III van de AI Act. Controleer of u als deployer over de vereiste documentatie beschikt.
Stap 2: Controleer uw verwerkersovereenkomsten. Elk ATS, elke AI-screener, elk assessmentplatform dat kandidatendata verwerkt namens uw organisatie, vereist een verwerkersovereenkomst. Controleer of die overeenkomst bestaat, actueel is en de AI Act-verplichtingen adresseert. Een geldig privacybeleid is niet hetzelfde als AI Act-conformiteit.
Stap 3: Overweeg lokale AI voor kandidatendata. Voor cv-verwerking, gespreksverslaggeving en onboarding-documenten is lokale AI een directe oplossing: AI-ondersteuning voor uw recruiters zonder dat persoonsdata een externe server bereikt, en met volledige controle over transparantie en documentatie. De beslissing blijft menselijk. De compliance ook.
De AI Act is geen toekomstmuziek. Bijlage III punt 4 is van kracht. Als u vandaag AI inzet in uw rekruteringsproces — als deployer, niet als leverancier — is de verantwoordelijkheid de uwe. Dat is precies waarom de keuze voor lokale AI in HR geen technische voorkeur is, maar een juridische.