Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

AI-sourcing: kandidaten vinden en scrapen zonder de regels te overtreden

Vastgesteld 2026-06-21 · ≈ 2 min lezen · Dirk Baaijen

AI-tools die kandidaten vinden door publieke profielen te scrapen, raken vooral de AVG: ook openbare gegevens vragen om een grondslag, transparantie en dataminimalisatie. Ongericht scrapen van gezichtsbeelden is verboden; rangschikt de tool, dan geldt ook het hoog-risicoregime.

Kort antwoord: Sourcing-tools die met AI kandidaten opsporen door publieke profielen (LinkedIn, GitHub, sociale media) te doorzoeken, raken vooral de AVG. Dat gegevens openbaar staan, betekent niet dat je ze vrij mag verzamelen en verwerken: je hebt een grondslag, transparantie en dataminimalisatie nodig. Het ongericht scrapen van gezichtsbeelden is bovendien verboden, en zodra de tool kandidaten scoort of rangschikt, komt het hoog-risicoregime erbij.

Openbaar is niet vrij

De grootste misvatting: "het staat openbaar, dus ik mag het gebruiken." De AVG geldt onverkort voor openbaar beschikbare persoonsgegevens. Dat betekent:

  • Een grondslag — meestal gerechtvaardigd belang, met een belangenafweging waarin het belang van de kandidaat meeweegt.
  • Transparantie — in beginsel moet je de betrokkene informeren dat je zijn gegevens verwerkt (met een beperkte uitzondering bij onevenredige inspanning).
  • Dataminimalisatie — verzamel alleen wat relevant is voor de functie, geen complete profielen "voor de zekerheid".

Het scraping-verbod

Artikel 5 van de AI Act verbiedt het ongericht scrapen van gezichtsbeelden van internet of camerabeelden om herkenningsdatabanken op te bouwen. Een sourcing-tool die profielfoto's verzamelt voor gezichtsherkenning, valt daar recht onder — de hoogste boetecategorie.

Zodra het rangschikt: hoog-risico

Veel sourcing-tools vinden niet alleen, maar rangschikken kandidaten op geschiktheid. Op dat moment voert de tool selectie uit en valt hij onder bijlage III — met menselijk toezicht en bias-monitoring, net als bij CV-screening. Een ranking op basis van gescrapete data combineert twee risico's: twijfelachtige grondslag én mogelijke discriminatie.

Platformvoorwaarden

Naast de wet gelden de gebruiksvoorwaarden van de platforms zelf, die geautomatiseerd scrapen vaak verbieden. Een overtreding daarvan is geen AI-Act-kwestie, maar wel een juridisch en reputatierisico.

Wat te doen

  • Bepaal de grondslag vóór je scrapet — en wees eerlijk over de belangenafweging.
  • Minimaliseer: verzamel functierelevante gegevens, geen volledige profielen.
  • Verwerk geen gezichtsbeelden voor herkenning.
  • Behandel ranking als hoog-risico met menselijk toezicht.
  • Respecteer de platformvoorwaarden.

Sourcing met AI maakt de vijver groter, maar verlegt de verantwoordelijkheid niet. Wie verzamelt, verwerkt — en de verwerker is aan zet.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Verordening (EU) 2016/679 (AVG): grondslag, transparantie en dataminimalisatie, ook bij verwerking van openbaar beschikbare persoonsgegevens.
  2. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act): art. 5 verbiedt ongericht scrapen van gezichtsbeelden; bijlage III als de tool kandidaten beoordeelt of rangschikt.

Deel op LinkedIn

Lees ook

U

AVG op de werkvloer: personeelsgegevens en AI

HR-AI draait op personeelsgegevens, en die staan onder de AVG. Toestemming is door de gezagsverhouding zelden een geldige grondslag; vaak val je terug op gerechtvaardigd belang of een wettelijke plicht. Bijzondere gegevens, transparantie, dataminimalisatie en een DPIA bepalen of het mag.

A

AI-sentimentanalyse van medewerkers: de dunne lijn naar het emotieverbod

AI die de stemming van medewerkers afleidt uit e-mail, chat, enquêtes of spraak schuurt tegen het emotieherkenningsverbod (art. 5 AI Act) en de AVG. Geaggregeerd en anoniem kan soms; individueel volgen vrijwel nooit.

U

Verwerkersovereenkomst (AVG art. 28): nodig bij een AI-leverancier?

Verwerkt een AI-leverancier persoonsgegevens namens jou, dan eist artikel 28 AVG een schriftelijke verwerkersovereenkomst met vaste minimuminhoud. Deze uitleg zet op een rij wat erin moet en waar je bij AI-diensten op let.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.