All Posts
Opinie
10
min read

Wat de EU AI Act betekent voor staffing & rekrutering

Published on
May 28, 2026
by
Diederik Syoen

In het kort

AI-screening van kandidaten is geen slimmere CV-filter of matching tool. Het is een systeem dat kan bepalen of iemand uitgenodigd wordt voor een volgend interview of niet. Onder EU-regels zit je in dezelfde categorie als kredietscores bij banken.

Rechtbanken leggen al boetes op aan bedrijven die HR-algoritmen verkeerd inzetten. Ben je een actief in de uitzendsector, heb je je eigen kantoor of verloop je HR, dan moet je de regels kennen.
Het is dan ook belangrijk dat je bij het gebruik van AI tools telkens kritisch nadenkt, wat de tool precies doet, welke beslissingen die al dan niet neemt en welke verantwoordelijkheid je zelf of de software leverancier dragen.

Wat de meeste teams denken dat ze hebben ingezet Hoe toezichthouders en rechters het zien
Een productiviteitstool die CV's sneller sorteert Een geautomatiseerde beslissing onder GDPR Artikel 22 als een recruiter vooral blind het AI-resultaat goedkeurt
"De leverancier regelt compliance" Gedeelde verantwoordelijkheid. Jij als afnemer blijft kandidaten informeren, toezicht houden en antwoorden geven
"We regelen de AI Act wel vóór augustus 2026" De GDPR geldt vandaag volledig. Verschillende restricties uit de AI Act (zoals emotieherkenning uit stem bij werving) gelden sinds 2 februari 2025
"Onze recruiter klikt goedkeuren, dus een mens besliste" Een klik is geen toezicht. Europese rechters hebben puur symbolische menselijke goedkeuring al afgewezen

Opmerking: "Blind goedkeuren" betekent: iets accorderen zonder de inhoud echt te bekijken. Zo ziet bulk-goedkeuring van AI-aanbevelingen er in de praktijk uit.

De volgende onderwerpen zijn de absolute basics.

  1. Elke kandidaat moet weten dat ze met AI te maken hebben. Op het moment dat het gebeurt, niet verstopt in een privacyverklaring die niemand leest.
  2. Een mens moet de uitkomst kunnen veranderen. Die persoon heeft tijd om na te kijken, mandaat om te overrulen en een vastlegging wanneer dat gebeurt. 200 mensen per uur screenen en overal "ja" op klikken telt niet.
  3. Geen emotie-uit-stem-functies. Dit is verboden in EU-contexten rond werving op de werkvloer sinds 2 februari 2025, ongeacht wat de demo liet zien.

Over augustus 2026: dat was de oorspronkelijke datum voor volledige hoog-risico-AI-verplichtingen op wervingstools (documentatie, logging, conformiteit). EU-medewetgevers kwamen in mei 2026 overeen om de meeste deadlines uit bijlage III te verschuiven naar 2 december 2027, in afwachting van formele aanname. Het risico begint eerder: kopers zetten AI Act-vragen al in aanbestedingen van 2026 en Franse toezichthouders maakten werving tot prioriteit in 2026.

Over "we hebben tot 2027": de Digital Omnibus koopt tijd uit over wanneer het papierwerk voor hoog risico hard wordt. De classificatie verandert niet: wervings-AI blijft hoog risico onder bijlage III. GDPR, regels rond de ondernemingsraad en het recht van kandidaten om geautomatiseerde beslissingen aan te vechten gelden hoe dan ook.

Een checklist voor elke AI-leverancier in je stack

Voor je volgende leveranciersmeeting: zes vragen voor elke aanbieder in je stack.

Vraag 🍏 Sterk antwoord 🍅 Weglopen
1. Ben je een hoog-risico-aanbieder onder bijlage III, punt 4? Wat is de status van je conformiteitsbeoordeling? "Ja, punt 4(a). Dit is onze stand en de timeline (december 2027 als de Omnibus wordt aangenomen, augustus 2026 tot dan)." Aarzeling, of "wij denken niet dat het op ons van toepassing is."
2. Laat in het product zien waar de kandidaat hoort dat ze met AI praten. Concreet moment, concrete woorden, live getoond. "Dat staat in onze algemene voorwaarden."
3. Wat doet jullie AI expliciet niet? Een duidelijke lijst met o.a. emotieherkenning, stembiometrie, auto-afwijzing, social scoring. "We kunnen alles wat je wilt."
4. Wat gebeurt er als een recruiter de AI overrult? Waar wordt dat gelogd? Een echt pad met gelogde redenen, 6+ maanden bewaard, bruikbaar bij audit. "Ze klikken gewoon nee."
5. Wat kan ik aan ondernemingsraad en DPO geven vóór we live gaan? DPIA-sjabloon, gebruiksinstructies, log-retentie, bias-audit, technische documentatie. "Dat werken we samen uit."
6. Kun je op verzoek een antwoord leveren voor het recht op uitleg van de kandidaat (art. 86)? "Ja. Dit is het format." "Wat is dat?"

Klaar voor de details

Hieronder de diepere laag: waar staffing-AI in de wet zit, wat al illegaal is, wat rechters al afdwingen, wat afnemers zelf moeten organiseren en hoe we Ringtime hebben gebouwd.

De valkuilen voor de meeste staffingteams

De duurste misvatting staat niet eens in de AI Act. Die zit in GDPR artikel 22. Het Hof van Justitie van de EU scherpte die aan in december 2023.

De meeste bureaus waar we mee praten gaan ervan uit dat geautomatiseerde besluitvorming zo werkt: "Zolang een mens aan het einde tekent, is het niet geautomatiseerd." De wet zegt iets anders. De rechters ook, sinds HvJ EU C‑634/21 (SCHUFA Holding, 7 december 2023). SCHUFA's kredietscore werd aangevochten omdat banken de uiteindelijke kredietbeslissing namen, niet SCHUFA. Het Hof oordeelde dat wanneer de mens de algoritmische score een "bepalende rol" geeft, het telt als een geautomatiseerde beslissing onder artikel 22, wie er ook op de knop drukt.

Vertaald naar staffing: een recruiter die 200 door AI aanbevolen kandidaten per dag "goedkeurt", zonder per dossier de redenering van de AI na te kijken, keurt blind goed. Dat is geen menselijk toezicht. Onder de SCHUFA-lezing van artikel 22 is het al een geautomatiseerde beslissing met significant effect voor de kandidaat. De meeste bureaus hebben geen sluitende rechtsgrond om dat op grote schaal te doen.

Twee praktische gevolgen:

  • Het risico is vandaag live, niet pas wanneer de Omnibus-deadline ingaat. De AI Act voegt verplichtingen toe. Ze vervangt niet wat al geldt.
  • "We hebben menselijk toezicht" faalt als de mens 200 kandidaten per uur nakijkt. Echt toezicht vraagt tijd per kandidaat, mandaat om te overrulen en een gelogde override.

Waar belandt staffing in de AI Act?

De AI Act heeft acht hoog-risico-categorieën in bijlage III. Deze drie tellen het meest voor staffing en recruiting.

Categorie bijlage III Relevant voor staffing-AI? Wat het concreet betekent
Punt 4(a): werving, selectie, evaluatie van kandidaten Ja. Kern. Voice/chat-screening, ranking, filtering. Volledige hoog-risico-verplichtingen zodra de bijlage-III-datum geldt (2 augustus 2026 op papier vandaag; 2 december 2027 in de Omnibus-deal van mei 2026).
Punt 4(b): taaktoewijzing, prestatiemonitoring, beëindigingsbeslissingen Ja, als je AI blijft werken met geplaatste medewerkers ABureaus die AI gebruiken om no-shows te voorspellen, shifts te plannen of underperformers te flaggen, komen hier terecht. Zelfde hoog-risico-regime, andere verplichtingen om door te denken.
Punt 1: biometrische identificatie of categorisering Aandachtspunt voor voice-producten Stem-identificatie (wie spreekt er) valt hier binnen. Stem-transcriptie (spraak naar tekst) niet. Check bij welke kant je leverancier zit.

Alleen screening zit in 4(a). Een module "candidate insights" of "workforce analytics" kan onder 4(a) of 4(b) vallen. Zodra de AI een geplaatste medewerker evalueert, pak je een tweede hoog-risico-categorie en stapelen de verplichtingen.

De restricties die al gelden (sinds 2 februari 2025)

Artikel 5 is de ondergrens: praktijken die in de EU simpelweg illegaal zijn, zonder overgangsperiode. Vier tellen voor staffing-AI.

Verbod Hoe dat eruitziet in staffing
Art. 5(1)(a): manipulatieve of misleidende technieken Scripts die kandidaten onder druk zetten een aanbod te accepteren, of verbergen wat er wordt verzameld.
Art. 5(1)(b): misbruik van kwetsbaarheden Economische druk (werkloosheid, migratiestatus) gebruiken om slechtere voorwaarden af te dwingen.
Art. 5(1)(c): social scoring Een "betrouwbaarheidsscore" over contexten heen, opgebouwd uit gedrag bij eerdere werkgevers.
Art. 5(1)(f): emotieherkenning uit biometrie op de werkvloer Afleiden hoe een kandidaat zich "voelde" uit toon, pitch of stress in de stem.

De boetes hiervoor zijn de zwaarste in de AI Act: tot €35M of 7% van de wereldwijde omzet. Deze verboden wachtten niet op augustus 2026. Ze zijn in de EU illegaal sinds 2 februari 2025. Doet een leverancier in je stack vandaag een van bovenstaande, dan is dat al afdwingbaar.

Dit wordt vandaag al afgedwongen

Mensen zeggen: "Niemand krijgt nog boetes, dus we hebben tijd." De zaken hieronder zeggen iets anders. Geen enkele wachtte op de hoog-risico-deadline van de AI Act. Ze draaiden om GDPR en arbeidsrecht die al golden.

  • HvJ EU, SCHUFA (7 december 2023, C‑634/21). Kredietscoring bij banken telde nog als geautomatiseerde besluitvorming wanneer mensen de score een bepalende rol gaven. Dezelfde logica geldt voor AI-gerankte kandidatenlijsten.
  • Gerechtshof Amsterdam, "Robo-Firing" (4 april 2023). Ontslagen van Uber-chauffeurs werden in naam door mensen bekrachtigd. Het hof vond puur symbolische menselijke validatie illegaal onder GDPR artikel 22. Vervolgboetes liepen op tot honderdduizenden euro's. Staffing-kopers moeten ervan uitgaan dat de menselijke klik je niet meer beschermt tenzij toezicht echt is, gedocumenteerd en de uitkomst kan veranderen.
  • Audiencia Nacional (Spanje), CGT v. Foundever (4 juli 2025). De werkgever ontkende algoritmen in HR te gebruiken. Het hof vernietigde de praktijk, sanctioneerde schending van vakbondsinformatierechten en beval openbaarmaking van algoritmeparameters aan werknemersvertegenwoordigers. In België en Nederland is overleg met de ondernemingsraad vóór inzet van wervings-AI de stap die bureaus het vaakst overslaan (aanbevelingen Instituut voor de gelijkheid van vrouwen en mannen). Ontkennen dat de tool bestaat terwijl die er wel is, is een eigen foutlijn.
  • CNIL (Frankrijk), 3 april 2026. De Franse toezichthouder maakte werving tot handhavingsprioriteit in 2026. Controles richten zich op geautomatiseerde besluitvorming, transparantie naar kandidaten en onbeperkte CV-bewaring bij grote bedrijven en recruitmentbureaus.
  • ICO (VK), 2024. De Britse toezichthouder auditeerde 30+ AI-wervingsaanbieders en werkgevers. Tools gevonden die geslacht en etniciteit afleidden uit kandidatennamen en filterden op beschermde kenmerken. Verschillende leveranciers moesten hun product aanpassen.
  • Mobley v. Workday (VS, lopend). Een federale rechtbank liet in 2024 een collectieve actie om discriminatie bij AI-werving doorgaan op de theory dat de AI-leverancier zelf aansprakelijk kan zijn als "agent" van de werkgever. In mei 2025 volgde class certification op leeftijdsdiscriminatie. Europese toezichthouders testen hetzelfde patroon: aansprakelijkheid van de leverancier voor screening-output.

Nederlandse en Belgische toezichthouders zetten in 2026 ook harder in op HR-AI. De Autoriteit Persoonsgegevens wijdde een volledig hoofdstuk in het AI- en algoritmerapport 2026 aan werving. Belgische richtlijnen over kandidaatgegevens bij aanwerving en de aanbevelingen van het Instituut voor de gelijkheid van vrouwen en mannen over AI bij werving wijzen dezelfde kant op: minder data dan je denkt, meer transparantie dan de meeste teams leveren.

De bureaus die in 2026 in de problemen komen, zijn niet alleen degenen die een deadline misten. Het zijn degenen wiens stack geen dag zou overleven met een auditor, een kandidaat, een vakbondsvertegenwoordiger of een DPO die voor de hand liggende vragen stelt.

De verantwoordelijkheid die gebruikers van de AI tools zelf dragen

De AI Act splitst verplichtingen tussen aanbieder (de leverancier) en afnemer (het bureau dat het gebruikt). Aanbieders dragen de zwaarste lijst: risicobeheer, technische documentatie, conformiteitsbeoordeling, registratie in de EU-database. Dat is ons werk.

De afnemerskant onder artikel 26 is korter. De punten die staffingbureaus missen zijn echt:

  • Concrete AI-melding aan elke kandidaat op het moment zelf. Algemene privacyverklaringen volstaan niet (AP, GBA).
  • Een DPIA vóór livegang. GDPR art. 35 vereiste dit al. De AI Act scherpt aan wat "hoog risico" betekent.
  • Werknemers en hun vertegenwoordigers informeren vóór inzet (art. 26(7)). In België, Nederland, Frankrijk en Duitsland betekent dat meestal formeel overleg via de ondernemingsraad onder nationaal arbeidsrecht. Overslaan is de meest voorkomende BE/NL-deployment-killer die we zien.
  • Minimaal zes maanden logbewaring voor automatisch gegenereerde logs.
  • Echt mandaat om menselijk te overrulen. Zie de valkuil van blind goedkeuren hierboven.
  • Antwoorden op het recht op uitleg (art. 86). Afgewezen kandidaten kunnen uitleg vragen over de rol van de AI en de belangrijkste factoren in hun beoordeling. De afnemer moet dat kunnen geven. De AI moet uitlegbaar genoeg zijn om door te geven.

Aanbieders dragen technische compliance. Afnemers dragen organisatorische compliance. Beide falen als de ander snijdt.

Wat we in Ringtime hebben ingebouwd

We hebben Ringtime rond vier grenzen ontworpen die we niet overschrijden, ook niet als een klant vraagt.

Harde grenzen respecteren. Geen stembiometrische identificatie. Geen emotie- of sentimentinferentie uit het audiosignaal: geen toon, geen cadans, geen stressmarkers. Audio wordt getranscribeerd en de buffer gewist. Alleen tekst bereikt het model. Ringtime zegt een recruiter nooit: "de kandidaat klonk nerveus." Ook niet op vraag.

Wervingsflows standaard als hoog risico behandelen. Alles wat screenet, filtert of een kandidaat evalueert, krijgt de hogere lat: afgebakende controls, volledige logging, rolgebaseerde toegang, bewaartermijnen en duidelijke grenzen aan wat de AI wel en niet mag vragen. We gaan ervan uit dat elk gesprek gevoelig is.

Transparantie operationeel maken. Elk Ringtime-gesprek opent met de AI die zich identificeert, in de taal van de kandidaat. In het product zien recruiters welke velden, scores en aanbevelingen het model produceerde en op welke input. Transparantie telt alleen als de mensen die het nodig hebben er iets mee kunnen: de kandidaat aan het begin van het gesprek, de recruiter bij review, de privacy officer bij audit.

Menselijk toezicht echt maken. Twee ontwerpkeuzes volgen uit de SCHUFA-logica hierboven. Ringtime levert nooit een binair ja/nee. Het levert een aanbeveling met transcript, scoring en redenering zodat de recruiter die kan betwisten. Overdracht naar een mens gebeurt alleen op expliciet verzoek van de kandidaat, nooit op AI-afgeleide fit. We weigeren de trigger te bouwen die een contactbeslissing van de recruiter omzet in een downstream geautomatiseerde beslissing.

FAQ

Is wervings-AI hoog risico onder de EU AI Act?Ja. Bijlage III, punt 4(a) noemt AI-systemen voor werving, selectie en evaluatie van kandidaten hoog risico. De smalle uitzondering voor louter procedurele taken in art. 6(3) geldt niet: kandidaten evalueren is profilering onder de GDPR.

Wanneer geldt de EU AI Act voor staffingbureaus?Verboden uit artikel 5 (inclusief het verbod op emotieherkenning op de werkvloer) gelden sinds 2 februari 2025. Volledige hoog-risico-verplichtingen voor aanbieder en afnemer stonden gepland op 2 augustus 2026; de Omnibus-deal van mei 2026 zou de meeste systemen uit bijlage III verschuiven naar 2 december 2027, onder voorbehoud van formele aanname. Plan op beide data tot de wet gepubliceerd is.

Verbiedt GDPR artikel 22 vandaag al geautomatiseerde afwijzing van kandidaten?In de praktijk wel, in de meeste EU-staffing-setups. Het SCHUFA-arrest van het HvJ EU (C‑634/21, december 2023) stelde dat algoritmische scoring telt als geautomatiseerde besluitvorming wanneer de mens een "bepalende rol" geeft, ook als iemand formeel tekent. Een recruiter die AI-aanbevelingen op grote schaal blind goedkeurt, haalt de lat voor betekenisvol menselijk onderzoek waarschijnlijk niet.

Ten slotte

Compliance hoort in het product voordat je het ziet. Net zoals de GDPR uiteindelijk in hoe we bouwen belandde, niet in hoe we verkopen. Contractonderhandelingen en een latere Omnibus-deadline zijn allebei te laat als het product op dag één fout zat.

De kopers die goed zitten, hebben het al ingebouwd. De leveranciers die goed zitten, hebben het in het product geschreven, niet alleen in het contract.

Wil je doorlopen hoe dit op jouw setup landt (voorbereiding ondernemingsraad, DPIA-sjabloon, checklist voor afnemers), dan doen we dat graag.

Wij zijn geen advocaten. Dit artikel is algemene informatie, geen juridisch advies. Voor jouw specifieke setup, contracten of deployment-beslissingen: spreek je juridisch team en DPO. Dat doen wij ook als we advies nodig hebben over onze eigen verplichtingen.

Wij zijn geen advocaten. Dit artikel is algemene informatie, geen juridisch advies. Voor jouw specifieke setup, contracten of deployment-beslissingen: spreek je juridisch team en DPO. Dat doen wij ook als we advies nodig hebben over onze eigen verplichtingen.

BLOG

Related posts

Bedrijf
10
 min read

AI-kandidaatscreening voor grootschalige eerstelijnsaanwerving

AI-kandidaatscreening, ontwikkeld voor uitzendbureaus die grote hoeveelheden arbeiders aannemen. Ontdek waarom voice- en WhatsApp-screening beter presteert dan chatbots en cv-parsers voor eerstelijnswerving.
Technologie
12
 min read

Hoe ik een AI-kloon van mezelf bouwde die je echt kan bellen

Een weekendproject dat de technologie ongemakkelijk reëel maakte
Technologie
8
 min read

Speech-to-text naamnauwkeurigheid - AI's grootste zwakte oplossen

Voice agents maken vaak fouten met namen en emails. Ringtime bouwt een slimme laag die context begrijpt en vervolgvragen stelt om leads niet te verliezen.

Wil je zien wat Ringtime voor jouw agency kan doen?

Boek een demo en we lopen alles met je door op basis van je eigen vacatures. Of praat nu meteen met onze AI-agent, 24/7 beschikbaar.

Vragen? Onze AI agent belt je binnen 30 seconden.

Book a demo

Hear the power of Ringtime and change the way you work.

Hello, Ringtime speaking.

Try it out yourself. Leave your phone number and a Ringtime assistant will call you.