Ethiek & Beleid

Vier AP-alarmsignalen over AI in werving en je hebt nog drie maanden

· 7 min leestijd

In drie maanden gelden voor iedereen die AI inzet bij sollicitatiescreening bindende verplichtingen onder de EU AI Act. Eerder dit jaar telde de Autoriteit Persoonsgegevens de schade op: vier van negen indicatoren staan op rood, twee keer zoveel als zes maanden eerder. De conclusie van AP-voorzitter Aleid Wolfsen is bitter: "Vijf jaar na het toeslagenschandaal zijn de lessen helder, maar de follow-up mist." De meeste Nederlandse werkgevers die AI inzetten bij werving, zijn niet klaar voor wat er op 2 augustus van hen verwacht wordt.

Vier rode vlaggen in zes maanden: hoe erg is het?

De AP publiceert tweemaal per jaar de Rapportage AI en Algoritmes Nederland, een barometer met negen indicatoren die meten hoe Nederland ervoor staat op het gebied van AI-governance. De zesde editie, gepubliceerd op 5 maart 2026, is geen goed nieuws. Van de negen indicatoren staan er vier op rood. Zes maanden eerder waren dat er twee.

De vier rode indicatoren zijn:

  • Toezichtskaders en bevoegdheden. Toezichthouders hebben te weinig middelen en mandaat om AI-systemen effectief te controleren.
  • Geharmoniseerde en bruikbare standaarden. Er zijn onvoldoende praktisch toepasbare normen waarop bedrijven en overheid kunnen bouwen.
  • Registratie en transparantie van algoritmes. Organisaties laten onvoldoende zien welke AI-systemen ze inzetten en hoe die werken.
  • Zichtbaarheid van incidenten en lessen trekken. Fouten met AI worden te weinig gemeld en geleerde lessen worden niet gedeeld.

Het is niet alleen zorgwekkend dat er vier op rood staan. Zorgwekkender is wat de AP constateerde over de oorzaak. Organisaties proberen actief te ontsnappen aan compliance-verplichtingen, onder meer door AI-systemen bewust verkeerd te classificeren. Elke week zijn er nieuwe gevallen van opzettelijke misclassificatie. Dat is geen onwetendheid. Dat is een strategie.

De toeslagenaffaire als referentie: waarom de AP zo nadrukkelijk belt

Wolfsen koos zijn woorden niet toevallig. De toeslagenaffaire, waarbij tienduizenden gezinnen jarenlang onterecht als fraudeur werden gelabeld door een overheidsalgoritme, is voor de AP het centrale referentiepunt. Niet als historische anekdote, maar als blauwdruk voor wat er misgaat als algoritmes zonder transparantie, documentatie en menselijk toezicht opereren.

Even voor de beeldvorming: het algoritme achter de toeslagenaffaire zou vandaag onder de AI Act vallen als hoog-risico systeem. Hetzelfde geldt voor tal van AI-tools die nu in Nederlandse bedrijven worden ingezet, inclusief tools die cv's sorteren, kandidaten ranken of sollicitanten beoordelen tijdens een videogesprek.

De AP ziet dezelfde dynamiek opnieuw opkomen. Organisaties claimen dat hun systeem "geen echte AI" is. Leveranciers zeggen compliant te zijn zonder bewijsstukken te kunnen tonen. HR-teams weten niet welk model hun ATS onder de motorkap draait. Wolfsen trekt de vergelijking bewust. Wie denkt dat dit overdreven is, kent de toeslagenaffaire niet goed genoeg.

Welke AI in werving geldt als hoog-risico?

Annex III van de EU AI Act, de lijst met hoog-risico AI-toepassingen, bevat een expliciete categorie voor werving en selectie. Concreet gaat het om:

  • AI-systemen die cv's filteren, ranken of scoren op relevantie
  • Tools die kandidaatantwoorden analyseren tijdens een videogesprek, zoals NLP-scoring of tonaliteitsanalyse
  • Algoritmes die op basis van historische aanstellingsdata bepalen welke kandidaat het meest kansrijk is
  • Systemen die kandidaten een geschiktheidsscore geven voor gebruik in selectiebeslissingen

Wacht even: valt een eenvoudige FAQ-bot op je vacaturepagina er ook onder? Nee. Het draait om AI die een selectiebeslissing stuurt of voorbereidt. Een chatbot die uitleg geeft over de functie-eisen is dat niet. Een systeem dat bepaalt wie doorgaat naar de tweede ronde, is dat wel.

Overigens is er een categorie die al langer verboden is: AI-systemen die emoties herkennen bij sollicitanten. Dat verbod geldt per 2 februari 2025. Wie zo'n tool nu nog gebruikt, loopt al meer dan een jaar buiten de wet. De AP noemde dit expliciet in het rapport, als voorbeeld van hoe snel verboden toepassingen toch in gebruik blijven.

Wat moet je als werkgever aantonen op 2 augustus?

Als deployer (dat ben jij als werkgever die een hoog-risico AI-tool inzet, ook als die van een externe leverancier komt) gelden per 2 augustus concrete verplichtingen. Zes dingen die je aantoonbaar moet hebben geregeld:

  1. Risicoanalyse voor jouw gebruikscontext. Het is niet voldoende dat de leverancier zijn systeem heeft beoordeeld. Jij moet aantonen dat je het risico hebt beoordeeld voor de manier waarop jij het systeem inzet. Een ATS dat voor een financieel bedrijf is beoordeeld, geldt niet automatisch voor jouw IT-bedrijf of jouw zorginstelling.
  2. Technische documentatie van de leverancier. Heeft je ATS-leverancier een CE-markering of een conformiteitsbeoordeling door een aangemelde instantie? Zonder dat document is het systeem juridisch niet inzetbaar voor hoog-risico toepassingen, ongeacht wat de leverancier beweert.
  3. Getraind menselijk toezicht. Er moet een getraind mens in de keten zitten die AI-aanbevelingen kan overschrijven en weet hoe hij dat beoordeelt. "Mijn HR-manager kijkt er altijd naar" is geen toezicht. "Mijn HR-manager heeft training gevolgd over de beperkingen van dit systeem en legt zijn afwijkingsbesluiten vast" is dat wel.
  4. Systeemlogboeken gedurende minimaal zes maanden. Je moet achteraf kunnen reconstrueren welke AI-aanbevelingen zijn gedaan en hoe ze zijn gebruikt in beslissingen. Zonder logging valt een handhavingsbesluit van de AP niet te weerleggen.
  5. Transparantie naar sollicitanten. Kandidaten hebben het recht om te weten dat AI een rol speelt in hun beoordeling. Dit moet expliciet in je sollicitatieprocedure staan, niet verstopt in een privacyverklaring op pagina vier.
  6. Bias-documentatie. Werkt je systeem even goed voor kandidaten met niet-westerse namen? Voor vrouwen versus mannen? Dit moet je kunnen aantonen, bij voorkeur via een DPIA die je combineert met de AI Act-risicoanalyse.

Vier concrete stappen die je nu kunt zetten

Drie maanden klinkt ruim. Het is krap als je nu nog niet begonnen bent. Dit is wat je deze week kunt aanpakken:

  1. Maak een inventaris van alle AI in je wervingsproces. Van LinkedIn-matching tot je ATS-ranking, van de automatische e-mailreactie tot de videogesprek-analysetool. Schrijf per tool op wat het doet, of het een selectiebeslissing stuurt of voorbereidt, en of er een mens tussenkomt die de output controleert. Dat overzicht is stap nul voor alles wat daarna komt.
  2. Vraag je leverancier om conformiteitsdocumenten. "Wij zijn AI Act-compliant" is een marketingzin, geen bewijs. Vraag expliciet om de technische documentatie en vraag of ze al een conformiteitsbeoordeling hebben ondergaan. Een leverancier die dat niet heeft, brengt jou in de problemen, want jij bent mede verantwoordelijk als deployer.
  3. Voer een DPIA uit, gecombineerd met de AI Act-risicoanalyse. Een Data Protection Impact Assessment is onder de AVG al verplicht voor hoog-risicoverwerkingen. Dit is het moment om beide tegelijk te doen. Neem je bias-test mee: test of je systeem systematisch anders scoort op naam of geslacht. Een externe privacy-adviseur die dit combineert, scheelt je twee afzonderlijke klussen.
  4. Leg een human-review stap vast in je wervingsproces. Geen kandidaat mag op basis van AI-ranking worden afgewezen zonder dat een getraind mens de redenering heeft bekeken. Zorg dat dit proces op papier staat, niet als interne werkwijze maar als gedocumenteerde procedure met vastgelegde besluitmomenten.

Wat staat er op het spel als je niks doet?

Boetes onder de AI Act voor schending van hoog-risico verplichtingen lopen op tot 3 procent van de wereldwijde jaaromzet, met een maximum van 15 miljoen euro. Bij de zwaarste overtredingen, zoals het verboden gebruik van emotieherkenningssystemen, gaat het om 6 procent van de omzet of 30 miljoen euro.

Maar de juridische blootstelling gaat verder dan AP-handhaving. Een afgewezen sollicitant kan een beslissing aanvechten als hij vermoedt dat er bias in het systeem zat. Jij moet dan aantonen dat er menselijk toezicht was, dat de AI-aanbeveling is beoordeeld en dat je documentatie op orde is. Zonder die documenten verlies je dat argument. Elke sollicitant die je afwijst via een AI-systeem zonder gedocumenteerde menselijke review is een potentieel juridisch risico.

Wolfsen was duidelijk: "Wie een nieuw schandaal wil voorkomen, moet nu handelen." Dat is niet beeldspraak. Dat is een aankondiging.

Wat dit betekent voor Nederlandse werkgevers de komende maanden

De AP eiste bij de publicatie van het rapport ook snelle actie van het kabinet, maar de verantwoordelijkheid voor compliance ligt primair bij de werkgever. Kijk voor het complete beeld van welke toezichthouders straks welke bevoegdheden hebben over AI in jouw sector naar ons eerdere artikel over de tien Nederlandse toezichthouders die straks meekijken met jouw AI.

De zesde editie van het AP-rapport leest als een oproep, niet als een terugblik. Vier rode indicatoren na zes maanden. Een verdubbeling van het probleemniveau in een halfjaar tijd, terwijl de deadline van 2 augustus dichterbij komt. Voor een mkb-er die AI inzet bij het screenen van cv's betekent dat: de vraag is niet meer of je compliant wilt zijn. De vraag is of je dat op 1 augustus aangetoond hebt.

Wil je op de hoogte blijven van AI Act-deadlines en andere AI-verplichtingen voor Nederlandse bedrijven? Schrijf je in voor onze dagelijkse AI-nieuwsbrief en mis geen verplichte stap.

AI Act Autoriteit Persoonsgegevens AVG DPIA EU AI werving en selectie
Michael Groeneweg
Geschreven door Michael Groeneweg AI-consultant bij Digital Impact en oprichter van UnicornAI.nl

Michael is AI-consultant bij Digital Impact in Rotterdam en oprichter van UnicornAI.nl, waar hij AI-oplossingen en SaaS-integraties bouwt voor bedrijven. Al tien jaar ondernemer, en sinds een paar jaar weigert hij iets te doen waar geen AI in verweven zit, zakelijk noch privé, tot mild ongenoegen van zijn omgeving. Zijn reizen door de wereld zijn inmiddels een serie experimenten in wat AI wel en niet kan vanaf een terrasje in Lissabon of een treinstation in Tokio. Hij test obsessief nieuwe tools, bouwt oplossingen voor klanten, en vindt dat niemand de hype moet geloven, maar ook niemand meer kan doen alsof AI niet alles verandert. Houdt van goede koffie, lange vluchten en mensen die met AI bouwen in plaats van er alleen over praten.

Gemaakt door een mens, met AI als assistent bij research en redactie. Meer over onze werkwijze in de AI-disclosure en het redactiestatuut.

Misschien vind je dit ook leuk

Ethiek & Beleid

EU-icoon voor deepfakes komt eraan, dit moet je weten
Ethiek & Beleid

NEC zet dertigduizend op Claude, jij kunt het bouwplan kopiëren
Ethiek & Beleid

OpenAI bouwde een gratis filter dat klantnamen uit je prompts haalt