Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Uitleg

AVG op de werkvloer: personeelsgegevens en AI

Vastgesteld 2026-06-21 · ≈ 2 min lezen · Dirk Baaijen

HR-AI draait op personeelsgegevens, en die staan onder de AVG. Toestemming is door de gezagsverhouding zelden een geldige grondslag; vaak val je terug op gerechtvaardigd belang of een wettelijke plicht. Bijzondere gegevens, transparantie, dataminimalisatie en een DPIA bepalen of het mag.

Kort antwoord: Elk HR-AI-systeem verwerkt personeelsgegevens, en daarmee geldt de AVG onverkort — naast de AI Act. Het lastigste punt is de grondslag: toestemming is in een arbeidsrelatie zelden geldig, omdat een werknemer niet vrij kan weigeren. Je valt dan terug op gerechtvaardigd belang, de uitvoering van de arbeidsovereenkomst of een wettelijke plicht — elk met eigen grenzen.

Waarom toestemming meestal niet werkt

De AVG eist dat toestemming vrij wordt gegeven. Door de gezagsverhouding tussen werkgever en werknemer is daar bijna nooit sprake van: wie "nee" zegt tegen monitoring of een beoordelingstool voelt de druk. Toezichthouders wijzen toestemming in de arbeidscontext daarom doorgaans af. Gerechtvaardigd belang kan wél, maar vereist een belangenafweging waarin het belang van de werknemer zwaar weegt.

Bijzondere gegevens: extra streng

AI die gezichten, stemmen of gezondheid verwerkt, raakt bijzondere persoonsgegevens (art. 9 AVG) met een streng verbodregime. Dit overlapt met het verbod op emotieherkenning uit de AI Act: wat de AI Act verbiedt, is onder de AVG vaak sowieso al niet toegestaan.

De andere kernbeginselen

  • Dataminimalisatie: verzamel alleen wat nodig is; "omdat het kan" is geen doel.
  • Transparantie: informeer werknemers helder over welke AI hun gegevens verwerkt en waarom.
  • Geautomatiseerde besluiten: bij besluiten met aanzienlijke gevolgen geldt artikel 22, met recht op menselijke tussenkomst.
  • DPIA: bij grootschalige of ingrijpende verwerking is een gegevensbeschermings­effect­beoordeling verplicht — combineer die met het OR-traject.

Nationale ruimte (art. 88)

De AVG laat lidstaten en cao-partijen ruimte voor eigen regels in de arbeidscontext. In Nederland werkt dat door in de rol van de ondernemingsraad en in toezicht door de Autoriteit Persoonsgegevens. Reken dus niet alleen op de algemene AVG-tekst, maar ook op de nationale invulling.

Wat te doen

  • Bepaal per systeem de grondslag — en wees eerlijk: is toestemming hier echt vrij?
  • Doe een DPIA bij monitoring, profilering of grootschalige verwerking.
  • Minimaliseer en informeer — minder data, meer uitleg.
  • Stem af met de OR en, waar de AI Act dat eist, met de werknemersvertegenwoordiging.

AI Act-conformiteit en AVG-conformiteit zijn niet inwisselbaar. Een systeem kan keurig als hoog-risico zijn ingericht en tóch op een ontbrekende grondslag stranden. De gegevens zijn het fundament — begin daar.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Verordening (EU) 2016/679 (AVG): grondslagen (art. 6), bijzondere gegevens (art. 9), arbeidscontext (art. 88), DPIA (art. 35).
  2. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act): loopt parallel; conformiteit met de AI Act ontslaat niet van de AVG-plichten.

Deel op LinkedIn

Lees ook

A

AVG artikel 88 en werknemersgegevens: wat betekent het voor AI op het werk?

AVG artikel 88 laat lidstaten eigen regels stellen voor gegevensverwerking in de arbeidscontext. Nederland heeft geen specifieke art. 88-wet, dus geldt de algemene AVG plus de UAVG. Met de zwakke grondslag toestemming, doelbinding en de rol van cao's en OR.

U

AI-sourcing: kandidaten vinden en scrapen zonder de regels te overtreden

AI-tools die kandidaten vinden door publieke profielen te scrapen, raken vooral de AVG: ook openbare gegevens vragen om een grondslag, transparantie en dataminimalisatie. Ongericht scrapen van gezichtsbeelden is verboden; rangschikt de tool, dan geldt ook het hoog-risicoregime.

A

DPIA voor HR-AI: wanneer verplicht en hoe combineer je het met de FRIA?

Een DPIA (art. 35 AVG) is verplicht bij grootschalig, systematisch monitoren en bij hoog-risico-AI in HR. Dit artikel legt uit wat erin moet en hoe je de DPIA combineert met de FRIA (grondrechtentoets, art. 27 AI Act) tot één traject. Met praktisch stappenplan.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.