HR-AI

Is CV-screening met AI hoog risico onder de EU AI Act?

Martijn Baaijens··bijgewerkt ·8 min lezen

Wat de wet letterlijk zegt

Annex III, punt 4, onder a van de EU AI Act noemt AI-systemen die bedoeld zijn voor de werving of selectie van natuurlijke personen, in het bijzonder voor het plaatsen van gerichte vacatures, het analyseren en filteren van sollicitaties en het beoordelen van kandidaten. Dat is geen interpretatie die een adviseur erbij verzint. Het analyseren en filteren van sollicitaties staat er met zoveel woorden in.

Een AI-systeem dat CV's leest en kandidaten rangschikt, wegstreept of van een score voorziet, doet precies dat. Het uitgangspunt is dus: hoog risico, met alle aanbieders- en gebruikersverplichtingen die daarbij horen.

De uitzondering die bijna nooit opgaat

Artikel 6, lid 3 biedt een ontsnapping voor Annex III-systemen die geen significante invloed hebben op de uitkomst van de besluitvorming, bijvoorbeeld omdat ze een beperkte procedurele taak uitvoeren of een voorbereidende stap zetten. Leveranciers van recruitmentsoftware wijzen graag op deze uitzondering. Bij CV-screening strandt dat beroep vrijwel altijd op twee punten.

Het eerste punt is feitelijk. Een ranking of voorselectie bepaalt welke kandidaten een recruiter überhaupt te zien krijgt. Wie op plek veertig staat, bestaat praktisch niet. Dat is geen beperkte procedurele taak, dat is de kern van de besluitvorming. De redenering heb ik uitgebreider beschreven bij stemanalyse in werving, waar dezelfde logica speelt.

Het tweede punt is hard en wordt vaak gemist: de slotalinea van artikel 6, lid 3 bepaalt dat een Annex III-systeem altijd hoog risico blijft wanneer het profielen van natuurlijke personen opstelt. CV-screening is naar zijn aard profilering: het systeem leidt uit persoonsgegevens kenmerken af en voorspelt daarmee geschiktheid. Zelfs een screening die formeel „alleen voorbereidt" valt daarmee terug in de hoog-risicocategorie.

Wat er in de praktijk misgaat met CV-screening

De risico's zijn hier geen theorie. Uit onderzoeken en uit de praktijk komen steeds dezelfde patronen terug, en in de Nederlandse context zijn er een paar die extra aandacht verdienen:

  • Taal en naam. Modellen die getraind zijn op historische data waarderen vloeiende formuleringen en bekende namen. Kandidaten met een niet-Nederlandse naam of een tweede taal schrijven andere CV's, niet slechtere.
  • Gaten in het CV. Zorgverlof, mantelzorg en ziekte laten sporen na die een model als negatief signaal kan wegen. Dat raakt vrouwen en mensen met een chronische aandoening onevenredig.
  • Leeftijdssignalen. Afstudeerjaren, „25 jaar ervaring" en verouderde functietitels zijn voor een model prima leeftijdsindicatoren, en leeftijdsdiscriminatie is ook zonder AI al de meest gemelde discriminatiegrond op de arbeidsmarkt.

Een werkgever die hierop niet toetst, automatiseert zijn juridische risico. De Autoriteit Persoonsgegevens kijkt bovendien via de AVG al mee: sollicitanten volledig geautomatiseerd afwijzen raakt artikel 22, en dat artikel wacht niet op 2027.

Wat u als werkgever regelt

De classificatie is het startpunt, niet de conclusie. Wie een AI-screener gebruikt of overweegt, regelt ten minste dit:

  1. Neem het systeem op in uw AI-register, met leverancier, versie, beoogd doel en de classificatie inclusief redenering.
  2. Richt het menselijk toezicht echt in. Een recruiter die de ranking blind volgt is geen toezicht. Spreek af wat de recruiter controleert, wanneer hij afwijkt en waar hij dat vastlegt.
  3. Informeer kandidaten dat AI wordt ingezet bij de selectie en waarvoor.
  4. Regel de logs met uw leverancier: toegang, export en ten minste zes maanden bewaring. De vragen daarvoor staan in Welke vragen stelt u een AI-leverancier voordat u tekent?
  5. Toets periodiek op vooroordeel, met aandacht voor de drie patronen hierboven, en leg de uitkomsten en bijsturing vast.
  6. Borg de AI-geletterdheid van iedereen die met de screener werkt. Die plicht loopt al sinds februari 2025.

De vraag achter de vraag

„Is dit hoog risico?" is uiteindelijk de verkeerde eerste vraag. De betere vraag is: kunnen wij aantonen dat onze werving eerlijk verloopt, ook als een kandidaat, een ondernemingsraad of een toezichthouder ernaar vraagt. De EU AI Act maakt die vraag verplicht voor AI-systemen, maar het antwoord was altijd al de moeite waard.

In de Nulmeting classificeren wij uw wervingssystemen, toetsen we de leveranciersafspraken en krijgt u per systeem een prioriteitenlijst. Voor de bestuurskamer staat de bredere agenda in Wat moet ik als directie over de EU AI Act weten?

Bronnen

  1. Verordening (EU) 2024/1689, Annex III, punt 4, onder a (werving en selectie)
  2. Verordening (EU) 2024/1689, artikel 6, lid 3 (uitzondering en profileringsregel)
  3. Verordening (EU) 2024/1689, artikel 26 (verplichtingen voor gebruikers)
  4. Verordening (EU) 2016/679 (AVG), artikel 22 (geautomatiseerde individuele besluitvorming)

Vaak gestelde vragen

Onze ATS-leverancier noemt de CV-screening een hulpmiddel. Verandert dat de classificatie?
Nee. De wet kijkt naar wat het systeem doet, niet naar hoe de leverancier het noemt. Analyseren en filteren van sollicitaties staat letterlijk in Annex III, punt 4. De classificatie voor uw inzet ligt bovendien bij u als gebruiker, niet bij de leverancier.
Wij gebruiken AI alleen om CV's samen te vatten, niet om te beoordelen. Is dat ook hoog risico?
Zuiver samenvatten zonder oordeel of volgorde kan onder de uitzondering van artikel 6, lid 3 vallen als voorbereidende taak. De grens is dun: zodra de samenvatting selectief weglaat, scoort of sorteert, beïnvloedt het systeem de beslissing en vervalt de uitzondering. Documenteer de redenering als u zich hierop beroept.
Geldt dit al, nu de handhaving pas eind 2027 begint?
De brede handhaving van de hoog-risicoverplichtingen start op 2 december 2027. De AVG geldt echter nu al volledig, inclusief artikel 22 over geautomatiseerde besluitvorming, en de AI-geletterdheidsplicht loopt sinds februari 2025. Wie nu een AI-screener draait, heeft dus al verplichtingen.
Moeten wij sollicitanten vertellen dat AI meekijkt?
Ja. Als gebruiker van een hoog-risicosysteem informeert u betrokkenen dat het systeem op hen wordt toegepast (artikel 26). Daarnaast eist de AVG transparantie over geautomatiseerde verwerking. Een heldere zin in de vacature of de bevestigingsmail is het minimum.

Volgende stap

Een vraag over uw eigen situatie?

In een kennismaking van vijftien minuten lopen we kort uw situatie door. Geen verkoopgesprek, wel een eerste richting.