AI-tools die cv's rangschikken, kandidaten evalueren of gerichte vacature-advertenties plaatsen worden onder de EU AI Act aangemerkt als hoog-risicosystemen. Voor HR-afdelingen betekent dat geen theoretische kwestie meer: de manier waarop werving en selectie wordt ingericht, moet aantoonbaar voldoen aan eisen rond risicoanalyse, transparantie, logging en menselijke controle. Verschillende recente bronnen — waaronder de Europese Commissie zelf en juridische analyses van onder meer Hunton Andrews Kurth en DLA Piper — schetsen samen een duidelijk beeld van wat er verandert.
Waarom wervings-AI als hoog-risico geldt
De Europese Commissie beschrijft op haar pagina over het regelgevend kader voor AI expliciet dat AI-systemen voor werkgelegenheid, personeelsbeheer en toegang tot zelfstandig ondernemerschap — zoals software die cv's sorteert — tot de categorie hoog-risico behoren. Volgens de analyse van Hunton Andrews Kurth vloeit dit voort uit Artikel 6(2) en Bijlage III van Verordening (EU) 2024/1689. Daaronder vallen systemen die bedoeld zijn voor werving of selectie (gerichte vacatures, het analyseren en filteren van sollicitaties, het beoordelen van kandidaten) én systemen die betrokken zijn bij beslissingen over arbeidsvoorwaarden, promotie, ontslag, taakverdeling of prestatiemonitoring.
De draagwijdte is dus breed. Het gaat niet alleen om volledig geautomatiseerde beslissystemen, maar om vrijwel de hele keten van AI-ondersteuning binnen recruitment en personeelsbeheer.
Materiële invloed weegt zwaarder dan automatisering
Een belangrijk aandachtspunt komt uit de concept-richtlijnen die de Europese Commissie publiceerde over de classificatie van hoog-risico AI onder Artikel 6. Volgens de bespreking door DLA Piper is de kernvraag of het AI-systeem de arbeidsbeslissing materieel beïnvloedt — en dat kan het geval zijn, ook wanneer een mens formeel de eindbeslissing neemt.
Voor HR-specialisten betekent dit dat een tool niet buiten de hoog-risicocategorie valt door simpelweg een mens aan het einde van het proces te plaatsen. Als de AI de rangschikking, shortlist of scoring bepaalt waarop een recruiter zich baseert, telt die invloed mee. DLA Piper wijst er ook op dat de stakeholderconsultatie over deze concept-richtlijnen liep tot 23 juli 2026, met definitieve richtlijnen die eind 2026 worden verwacht.
Verschoven deadlines: tijd om governance op te bouwen
De verplichtingen voor hoog-risicosystemen zouden volgens de oorspronkelijke planning grotendeels vanaf 2 augustus 2026 van toepassing worden, zoals beschreven door zowel Hunton Andrews Kurth als de CheckCompliance-gids voor HR. AIAdopt beschrijft echter dat de zogeheten Digital Omnibus op AI de toepassingsdatum voor hoog-risicoverplichtingen verschuift van 2 augustus 2026 naar 2 december 2027.
Die extra tijd is geen reden om af te wachten. Het is juist een venster om een robuuste governance-laag rond wervingstools op te bouwen voordat handhaving begint.
Concrete verplichtingen voor HR-afdelingen
De CheckCompliance-gids vertaalt de abstracte regels naar praktische stappen voor HR-afdelingen die hoog-risico AI inzetten. Onder verwijzing naar de deployer-verplichtingen uit Artikel 26 gaat het onder meer om:
- het gebruik van het systeem binnen het beoogde doel houden;
- werknemers en kandidaten informeren over de inzet van AI;
- het bewaren van logs van AI-uitkomsten;
- het waarborgen van betekenisvolle menselijke controle.
CheckCompliance noemt daarbij ook dat misbruik van hoog-risicosystemen kan leiden tot boetes tot 15 miljoen euro of 3% van de wereldwijde jaaromzet. De Europese Commissie benadrukt op haar kant de kernverplichtingen rond risicobeoordeling, documentatie, logging en menselijk toezicht.
Wat dit vraagt van veilig AI-gebruik in HR
Deze ontwikkelingen verschuiven de definitie van "veilig" AI-gebruik in HR. Veiligheid betekent niet alleen dat een tool goed presteert, maar dat een organisatie kan aantonen hoe AI-adviezen tot stand komen, dat een mens ze inhoudelijk heeft beoordeeld, en dat kandidaten en werknemers hierover zijn geïnformeerd. Dat vraagt om systematische risicoanalyses, verificatie en logging van AI-uitkomsten, en aantoonbare menselijke beoordeling voordat een AI-advies doorwerkt in een arbeidsbeslissing.
Wervingsdata is bovendien uitgesproken gevoelig: sollicitatiegegevens raken direct aan privacy en het risico op discriminatie. Het scheiden van persoonsgegevens en AI-analyse wordt daarmee een praktisch aandachtspunt, niet alleen een principe.
De rol van een privacy-gerichte verificatielaag
Voor HR-teams die AI verantwoord willen inzetten, kan een privacy-gerichte verificatieconsole zoals I am Vera ondersteuning bieden bij precies die controlestappen. Vera is geen chatbot en geen eigen taalmodel, maar een verificatielaag die de tussenstappen van AI-gebruik zichtbaar maakt.
De Semantic Privacy Shield is zo ontworpen dat documenten op EU-infrastructuur worden geanonimiseerd voordat inhoud aan de geselecteerde AI-modellen wordt aangeboden; mislukt de privacycontrole, dan wordt niets doorgestuurd. Via multi-model verificatie kunnen AI-antwoorden naast elkaar worden gelegd, wat meer zicht geeft op de basis van een advies. En met Vera Office kunnen gevoelige HR-documenten binnen dezelfde beveiligde omgeving worden bekeken en bewerkt.
Dat garandeert geen juistheid en neemt de beoordeling niet over: het professionele eindoordeel blijft bij de HR-specialist. Maar het maakt controle en documentatie beter mogelijk — precies wat de EU AI Act van deployers verwacht. Wie de verschoven deadlines gebruikt om verificatie, logging en menselijke controle structureel in te bouwen, staat sterker wanneer de hoog-risicoverplichtingen daadwerkelijk gaan gelden.