HR & Werving — Naleving van de EU AI Act

Verplichtingen uit de EU AI Act voor AI ingezet bij werving, personeelsmonitoring en prestatiebeoordelingen. Bijlage III categorie 4 omvat alle AI-systemen op het gebied van arbeid.

Waarom de EU AI Act Centraal Staat in HR-Technologie

Kunstmatige intelligentie is diep verankerd geraakt in arbeidsprocessen in de hele EU — van geautomatiseerde cv-verwerking in applicant tracking systems tot realtime prestatiedashboards en gedragsanalyse in contactcenters. De EU AI Act, van kracht sinds 1 augustus 2024 met verplichtingen voor hoog-risico AI-systemen die gelden vanaf 2 augustus 2026, behandelt AI op het gebied van arbeid als een terrein dat fundamentele rechten raakt en het hoogste niveau van regelgevend toezicht vereist.

Bijlage III, categorie 4 van de Verordening identificeert AI-systemen die worden gebruikt bij arbeidsrelaties, personeelsmanagement en toegang tot zelfstandig ondernemerschap als hoog-risico, in drie afzonderlijke subcategorieën: werving en selectie (cat 4(a)), beslissingen over promotie, taakverdeling en monitoring van contractuele verplichtingen (cat 4(b)), en realtime monitoring van de emotionele of gedragsstatus van werknemers (cat 4(c)). Deze classificatie is categorisch — er is geen materialiteitsdrempel, geen uitzondering voor kleinschalige inzet en geen onderscheid op basis van de vraag of het instrument propriëtair is of is verkregen van een externe leverancier.

De sector bevindt zich op het snijvlak van drie regelgevingskaders: de AI Act, de GDPR (in het bijzonder Art. 22 over geautomatiseerde besluitvorming) en nationaal arbeidsrecht — waaronder medezeggenschap over technologie op de werkvloer. Naleving vereist een gecoördineerde aanpak die juridische, HR-, IT- en ondernemingsraadsbetrokkenheid omvat.

Hoog-Risico Toepassingen — Alle Systemen uit Bijlage III Categorie 4

Werving en Selectie (Cat 4(a))

AI-systemen die worden gebruikt in het wervingsproces zijn zonder uitzondering hoog-risico. Dit omvat:

Tools voor het screenen van cv's die zijn geïntegreerd in ATS-platforms (Workday, SAP SuccessFactors, Greenhouse, Lever, SmartRecruiters). Rangschikkings-, shortlisting- en afwijzingslogica aangedreven door AI valt rechtstreeks onder cat 4(a).
Analysetools voor video-sollicitatiegesprekken die gezichtsuitdrukkingen, stemtoon, spraakpatronen of micro-expressies beoordelen om de geschiktheid of persoonlijkheidskenmerken van kandidaten af te leiden (bijv. tools van het type HireVue). Deze kunnen ook Art. 50(2) transparantieverplichtingen activeren als zij emotieherkenning bevatten.
Algoritmen voor gerichte vacatureadvertenties die bepalen aan welke personen vacatures worden getoond op basis van afgeleide kenmerken — waaronder leeftijd, geslacht of geografische indicatoren — zijn expliciet opgenomen in cat 4(a) en brengen een bijzonder risico op discriminerende targeting met zich mee.

Personeelsmanagement en Monitoring (Cat 4(b))

AI die wordt gebruikt voor het beheren van de arbeidsrelatie na aanstelling is evenzeer hoog-risico:

AI voor prestatiebeoordeling die scores, beoordelingen of rangschikkingen genereert die worden gebruikt voor beslissingen over promotie, bonus of ontslag.
Taakverdelingsalgoritmen in platformeconomieplatforms (Uber, Deliveroo, Amazon Flex) die werk toewijzen, loonpercentages vaststellen en deactivering bepalen. Deze zijn hoog-risico op grond van cat 4(b), ongeacht de arbeidsrechtelijke classificatie van de werknemer.
Productiviteitsmonitoringsoftware die toetsenbordactiviteit, applicatiegebruik, communicatiemetadata of locatiegegevens samenvoegt tot prestatiemetrieken. Wanneer de uitkomsten worden gebruikt bij contractuele beslissingen, is cat 4(b) van toepassing.

Realtime Emotionele en Gedragsmonitoring (Cat 4(c))

Bijlage III cat 4(c) richt zich specifiek op systemen die de emotionele of gedragsstatus van werknemers in realtime monitoren. Gangbare inzettingen die hieronder vallen:

Emotieanalyse in contactcenters die het sentiment van bellers en agents tijdens live gesprekken beoordeelt en prestatiemeldingen genereert.
Biometrische welzijnsplatforms die stress, vermoeidheid of betrokkenheid afleiden uit fysiologische of gedragssignalen.
Aandachts- en betrokkenheidsmonitoring tijdens thuiswerken via inferentie op basis van webcambeelden.

Deze systemen activeren bovendien Art. 50(2): elke deployer die emotieherkenning inzet bij werknemers, moet die werknemers ervan in kennis stellen dat zij aan het systeem zijn blootgesteld. Deze kennisgevingsverplichting geldt ongeacht of de bredere hoog-risico-nalevingstermijn al is bereikt.

Verplichtingen van Aanbieders versus Deployers — De Positie van de Werkgever

Op grond van de AI Act zijn de meeste werkgevers de deployer — zij verwerven hoog-risico AI-systemen van aanbieders (softwareleveranciers) en zetten deze in hun HR-processen in. Het onderscheid aanbieder/deployer is juridisch relevant omdat de verplichtingen verschillen.

Verplichtingen van Aanbieders (Verantwoordelijkheden van Leveranciers)

Aanbieders — HR-softwareleveranciers — moeten, vóór het op de EU-markt brengen van hoog-risicosystemen:

Een kwaliteitsbeheersysteem opzetten en onderhouden (Art. 9) dat risicobeheer, datakwaliteit, technische documentatie en monitoring na het in de handel brengen omvat.
Technische documentatie opstellen conform Bijlage IV waaruit het ontwerp, het beoogde doel, de prestatiecijfers, de trainingsgegevens en de bekende beperkingen van het systeem blijken.
Een conformiteitsbeoordeling uitvoeren krachtens Art. 43 en het systeem registreren in de EU-database (Art. 49).
De CE-markering aanbrengen en een EU-conformiteitsverklaring afgeven.
Deployers voorzien van gebruiksaanwijzingen (Art. 13) met informatie over beperkingen, beoogde gebruikersprofielen en toezichtvereisten.

Verplichtingen van Deployers (Verantwoordelijkheden van Werkgevers)

Werkgevers moeten:

Naleving door de aanbieder verifiëren vóór inzet: controleren op CE-markering, conformiteitsverklaring en toereikende gebruiksaanwijzingen.
Implementeren conform de instructies: deployers mogen het systeem niet gebruiken voor doeleinden buiten het opgegeven beoogde gebruik (Art. 25(1)).
Zinvol menselijk toezicht waarborgen (Art. 25(2)): medewerkers die zijn aangewezen om toezicht te houden op AI-uitkomsten, moeten beschikken over de bevoegdheid, technische bekwaamheid en tijd die nodig zijn om de systeemuitkomsten te begrijpen en deze zo nodig te overrulen. Een formele maar inhoudloze menselijke toetsing — een vinkje zonder echte beoordeling — voldoet niet aan deze verplichting.
Een grondrechtenbeoordeling (FRIA) uitvoeren (Art. 27): verplicht voor deployers in de publieke sector; sterk aanbevolen voor werkgevers in de private sector die cat 4-systemen inzetten, in het bijzonder wanneer de uitkomsten beschermde kenmerken raken.
Post-inzetrisico's monitoren: als een deployer risico's constateert die de aanbieder niet had voorzien, moet de deployer de aanbieder en, waar relevant, de markttoezichtautoriteit hiervan in kennis stellen.
Gebruik opschorten bij ernstige incidenten of wanneer het systeem in de praktijk non-conform blijkt te zijn.

Wisselwerking met GDPR Artikel 22 en Arbeidsrecht

GDPR Artikel 22 — Geautomatiseerde Besluitvorming

GDPR Art. 22 blijft volledig van kracht naast de AI Act en is rechtstreeks van toepassing op AI in HR. Het verbiedt beslissingen die uitsluitend zijn gebaseerd op geautomatiseerde verwerking wanneer die beslissingen rechtsgevolgen of vergelijkbaar significante gevolgen voor de betrokkene hebben. In de arbeidscontext vallen de volgende beslissingen ondubbelzinnig onder dit verbod: aanstelling en afwijzing, ontslag, promotie en degradatie, loonvaststelling en disciplinaire maatregelen.

Naleving vereist:

Zinvolle menselijke tussenkomst vóór elke ingrijpende beslissing — de beoordelende persoon moet toegang hebben tot de onderliggende gegevens en logica, niet slechts tot een samenvattende aanbeveling.
Recht op menselijke herziening van elke geautomatiseerde beslissing op verzoek, met echte mogelijkheid tot heroverweging.
Een rechtmatige grondslag voor verwerking op grond van Art. 6 en, wanneer bijzondere categorieën gegevens betrokken zijn (gezondheid, etniciteit, biometrische gegevens afgeleid uit gezichtsanalyse), op grond van Art. 9.

De AI Act en de GDPR zijn complementair, niet wederzijds uitsluitend. Art. 2(7) van de AI Act bevestigt dat deze van toepassing is onverminderd de GDPR. Werkgevers moeten gelijktijdig aan beide kaders voldoen.

Nationaal Arbeidsrecht — Ondernemingsraden en Medezeggenschap

In verschillende EU-lidstaten verleent het nationaal arbeidsrecht medezeggenschapsrechten over technologie op de werkvloer die los van de AI Act op AI-systemen van toepassing zijn:

Duitsland — Betriebsverfassungsgesetz §87(1) nr. 6: de ondernemingsraad heeft een bindend medezeggenschapsrecht bij de invoering van technische apparaten die zijn ontworpen om het gedrag of de prestaties van werknemers te monitoren. Inzet van AI-monitoring- of beoordelingstools zonder voorafgaande instemming van de ondernemingsraad kan worden aangevochten bij de arbeidsrechter (Arbeitsgericht) en bij rechterlijk bevel worden verboden.
Nederland — Wet op de ondernemingsraden (WOR) Art. 27: de ondernemingsraad heeft instemmingsrecht over personeelssystemen en monitoringregelingen.
Oostenrijk — Arbeitsverfassungsgesetz §96: bindende medezeggenschap over monitoringmaatregelen die de persoonlijke waardigheid raken.
Frankrijk — Code du Travail L. 2312-38: het Comité Social et Économique moet worden geïnformeerd en geraadpleegd vóór de inzet van geautomatiseerde tools die de arbeidsomstandigheden beïnvloeden.

Medezeggenschapsrechten vereisen doorgaans voorafgaande kennisgeving, documentatie van de werking van het systeem en in veel gevallen een formele instemming of een ondernemingsovereenkomst (Betriebsvereinbarung) vóór inzet. Deze verplichtingen worden geactiveerd vóór de nalevingstermijn van de AI Act en kunnen niet worden uitgesteld.

Richtlijn 2002/14/EG betreffende informatie en raadpleging van werknemers biedt ook een kader voor Europese ondernemingsraden van multinationale groepen die AI-tools over de lidstaten heen inzetten.

Handhaving — AVG-Toezichthouders, Gelijkheidsorganen en Arbeidsinspecties

De handhaving van AI Act-verplichtingen in de HR-sector zal meerdere bevoegde autoriteiten betreffen:

Gegevensbeschermingsautoriteiten (AVG-toezichthouders): in veel lidstaten zal de primaire aanwijzing als markttoezichtautoriteit bij of naast de gegevensbeschermingsautoriteit liggen. AVG-toezichthouders hebben concurrerende bevoegdheid op grond van GDPR Art. 22 voor schendingen van geautomatiseerde besluitvorming. De EDPB-richtsnoeren over AI en arbeid vormen de gezaghebbende interpretatie op EU-niveau.
Nationale gelijkheidsorganen: wanneer AI-systemen discriminerende uitkomsten produceren bij werving of promotie — bijvoorbeeld een onevenredige impact op vrouwen, etnische minderheden of oudere werknemers — hebben gelijkheidsorganen (bijv. ECRI, Défenseur des droits, Equinet-leden) onderzoeks- en handhavingsbevoegdheden op grond van de Gelijkebehandelingsrichtlijnen (2000/43/EG, 2000/78/EG, 2006/54/EG).
Arbeidsinspecties: in lidstaten met sterke arbeidsinspectieregimes kunnen inspecteurs AI-gerelateerde schendingen van arbeidsomstandigheden, monitoringbeperkingen en medezeggenschapsrechten onderzoeken. Frankrijk (DREETS), Duitsland (Gewerbeaufsicht) en Spanje (Inspección de Trabajo) zijn voorbeelden van actieve handhavingsinstanties.

Sancties op grond van de AI Act kunnen oplopen tot € 30 miljoen of 6% van de wereldwijde jaarlijkse omzet voor verboden praktijken, en € 15 miljoen of 3% van de omzet voor andere hoog-risico-overtredingen. GDPR-boetes op grond van Art. 83 komen daar cumulatief bij. Reputatieschade en procedures van werknemers op grond van nationaal arbeidsrecht vormen aanvullende blootstellingsrisico's.

Nalevingsroutekaart voor HR-Professionals

Een gestructureerd nalevingsprogramma voor werkgevers die AI inzetten in HR dient de volgende stappen in volgorde te doorlopen:

1. Inventarisatie van AI-systemen: breng alle AI-tools in kaart die worden gebruikt in de gehele levenscyclus van de arbeidsrelatie — werving, onboarding, prestatiebeheer, personeelsplanning en uitdiensttreding. Identificeer voor elk instrument de Bijlage III-categorie en bevestig de hoog-risicoclassificatie.

2. Due diligence bij aanbieders: eis vóór 2 augustus 2026 (of bij de volgende contractverlenging) van elke leverancier: CE-markering, EU-conformiteitsverklaring, samenvatting van de technische documentatie en gebruiksaanwijzingen. Leveranciers die dit niet kunnen verstrekken, moeten worden behandeld als non-compliant.

3. Raadpleging van de ondernemingsraad: initieer medezeggenschaps- of raadplegingsprocedures op grond van het toepasselijke nationaal recht voor alle AI-systemen die nog niet onder een formele overeenkomst vallen. Leg de uitkomsten vast in een ondernemingsovereenkomst of een gelijkwaardig instrument.

4. GDPR Art. 22-audit: breng alle HR-beslissingen met rechtsgevolgen of significante gevolgen in kaart en verifieer dat geen enkele beslissing uitsluitend op een geautomatiseerde uitkomst berust. Implementeer protocollen voor menselijk toezicht met gedocumenteerde bekwaamheid van de beoordelaar en registratie van interventies.

5. Grondrechtenbeoordeling: voer een FRIA uit op grond van Art. 27 voor alle inzettingen onder Bijlage III cat 4. Voor werkgevers in de publieke sector is dit verplicht; voor werkgevers in de private sector is het de verwachte standaard van zorgvuldigheid en een verweer bij handhavingsmaatregelen.

6. Transparantieverplichtingen: implementeer de kennisgevingsverplichting voor werknemers op grond van Art. 50(2) voor elk emotieherkenningssysteem. Zorg ervoor dat sollicitanten worden geïnformeerd over AI-ondersteunde screening op grond van de GDPR-transparantievereisten (Art. 13–14).

7. Capaciteit voor menselijk toezicht: verifieer dat medewerkers die zijn aangewezen om AI-uitkomsten in HR te beoordelen, daadwerkelijk de bevoegdheid hebben om aanbevelingen te overrulen, voldoende tijd hebben voor een zinvolle toetsing en beschikken over gedocumenteerde training die aansluit bij de complexiteit van het systeem.

8. Incidentresponsprocedures: stel procedures op voor het registreren, onderzoeken en melden van ernstige incidenten met AI-systemen in HR, in lijn met de verplichtingen van aanbieders op grond van Art. 73 die via contractuele regelingen worden doorgegeven aan deployers.

Naleving in deze sector is geen eenmalig project. De combinatie van AI Act-verplichtingen, evoluerende AVG-richtsnoeren over GDPR Art. 22 en actieve betrokkenheid van de ondernemingsraad vereist een doorlopende governancestructuur met duidelijk eigenaarschap binnen de HR-, juridische en gegevensbeschermingsfuncties.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Valt AI voor het screenen van cv's automatisch onder de hoog-risicocategorie van de EU AI Act?

Ja. **Bijlage III, categorie 4(a)** somt expliciet AI-systemen op die worden gebruikt voor werving en selectie — waaronder het screenen van cv's, het rangschikken van sollicitaties en gerichte vacatureadvertenties — als hoog-risico. Er bestaat geen de-minimisdrempel. Elk screeningsinstrument dat geïntegreerd is in een ATS en in de EU wordt ingezet, is onderworpen aan het volledige pakket aan hoog-risicoverplichtingen op grond van **Art. 9–15** en **Art. 25–27**, ongeacht de omvang van de aanbieder of de complexiteit van het model.

Moeten werkgevers ondernemingsraden raadplegen vóór de inzet van AI-tools voor werving of monitoring?

In Duitsland kent het **Betriebsverfassungsgesetz §87(1) nr. 6** ondernemingsraden bindende medezeggenschap toe over technische monitoringapparaten, waaronder AI-systemen die het gedrag of de prestaties van werknemers monitoren. Vergelijkbare raadplegingsrechten gelden in Nederland (OR), Oostenrijk (Betriebsrat) en Frankrijk (Comité Social et Économique). Het niet vooraf verkrijgen van instemming kan de inzet onrechtmatig maken op grond van nationaal arbeidsrecht, los van naleving van de AI Act.

Hoe verhoudt GDPR Artikel 22 zich tot de AI Act in HR-context?

**GDPR Art. 22** verbiedt beslissingen die uitsluitend zijn gebaseerd op geautomatiseerde verwerking en die rechtsgevolgen of vergelijkbaar significante gevolgen voor personen hebben. In HR-context vallen aanstellings-, ontslag- en promotiebeslissingen hier duidelijk onder. De AI Act vervangt Art. 22 niet — zij voegt er verplichtingen aan toe. Werkgevers moeten voorzien in **zinvolle menselijke toetsing** vóór elke ingrijpende beslissing, de documentatie van die toetsing bijhouden, en waarborgen dat de menselijke beoordelaar de bekwaamheid en bevoegdheid heeft om de AI-uitkomst te overrulen.

Mag emotieherkennings-AI worden gebruikt bij sollicitatiegesprekken?

Emotieherkennings-AI is niet verboden in wervingscontexten, maar **Art. 50(2)** van de AI Act legt een verplichte transparantieverplichting op: deployers moeten personen informeren wanneer zij aan een emotieherkenningssysteem worden blootgesteld. Bovendien zijn, omdat dergelijke systemen als hoog-risico-AI vallen onder Bijlage III cat 4(a), alle hoog-risicovereisten van toepassing — conformiteitsbeoordeling, technische documentatie, menselijk toezicht en een grondrechtenbeoordeling. De wetenschappelijke validiteit van emotieherkenning bij werving wordt op grote schaal betwist, wat aanvullende GDPR-proportionaliteitsproblemen met zich meebrengt.

Wat moet een werkgever doen bij gebruik van een AI-wervingstool van een derde partij (bijv. van Workday of SAP SuccessFactors)?

Werkgevers zijn **deployers** in de zin van de AI Act (**Art. 3(4)**) en dragen specifieke verplichtingen op grond van **Art. 25–27**. Zij moeten: verifiëren dat de aanbieder een conformiteitsverklaring, EU-technische documentatie en gebruiksaanwijzingen heeft verstrekt; het systeem conform die instructies implementeren; waarborgen dat aangewezen medewerkers voor menselijk toezicht de bevoegdheid, bekwaamheid en tijd hebben om in te grijpen; een **grondrechtenbeoordeling** uitvoeren (verplicht voor deployers in de publieke sector; aanbevolen voor de private sector); en het gebruik opschorten als er risico's optreden. Deployers mogen de beperkingen van de aanbieder niet omzeilen en het systeem niet gebruiken voor doeleinden buiten het beoogde toepassingsgebied.

Is de AI Act van toepassing op AI die wordt gebruikt voor taakverdeling in de platformeconomie?

Ja. **Bijlage III, categorie 4(b)** omvat AI die wordt gebruikt voor taakverdeling en het monitoren van contractuele verplichtingen van werknemers, wat direct betrekking heeft op algoritmische managementsystemen bij platforms in de platformeconomie, zoals bezorgdiensten, rijtaxidiensten en aanbieders van on-demandservices. Deze systemen zijn hoog-risico. Werknemers op deze platforms hebben recht op zinvol menselijk toezicht op beslissingen die hun toegang tot werk, loonpercentages en accountdeactivering raken.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.