Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

HR-AI compliant maken: een stappenplan in zes fasen

Vastgesteld 2026-06-22 · ≈ 3 min lezen · Dirk Baaijen

Een praktisch stappenplan om HR-AI compliant te krijgen: inventariseer alle systemen, classificeer op risico, doe DPIA en FRIA, informeer werknemers en betrek de OR, regel menselijk toezicht, logging en bias-monitoring, en leg leveranciersafspraken vast.

Kort antwoord: HR-AI compliant maken is geen eenmalige juridische check maar een traject in zes fasen. Je inventariseert eerst álle HR-AI-systemen, classificeert ze op risico, voert een DPIA en — bij hoog-risico — een FRIA uit, informeert werknemers en betrekt de OR, richt menselijk toezicht, logging en bias-monitoring in, en legt ten slotte de afspraken met je leveranciers vast. Begin bij de inventarisatie: zonder overzicht kun je niets aantonen.

Fase 1 — Inventariseer alle HR-AI-systemen

Maak eerst een volledige lijst van elk systeem dat AI gebruikt rond personeel: cv-screening, sollicitatie-chatbots, assessments, planning- en roostertools, prestatiemonitoring, talent-marketplaces. Vergeet de "verborgen" AI niet — features die je leverancier stilletjes heeft toegevoegd, of generieke tools die HR informeel inzet. Leg per systeem vast: doel, leverancier, welke persoonsgegevens, en wie het bedient. Deze inventaris is de basis voor alles wat volgt en je belangrijkste bewijsstuk richting toezichthouder en OR. Zie ook AI op de werkvloer voor het overzicht van wat onder de werkgever valt.

Fase 2 — Classificeer op risico

Bepaal per systeem het regime. AI die wordt ingezet bij werving, selectie, beoordeling, promotie, ontslag of taaktoewijzing valt onder bijlage III en is hoog-risico. Monitoring die in beslissingen doorwerkt kan dat ook zijn; emotieherkenning op de werkvloer is sinds 2 februari 2025 verboden. Een eenvoudige chatbot zonder selecterende functie is dat doorgaans niet, maar kent wel een transparantieplicht. Het overzicht van hoogrisico-verplichtingen zet op een rij wat een hoog-risicoclassificatie precies meebrengt.

Fase 3 — DPIA en FRIA

Voor hoog-risico HR-AI met persoonsgegevens is een gegevensbeschermingseffectbeoordeling (DPIA, art. 35 AVG) vrijwel altijd verplicht. Daarbovenop vraagt de AI Act van werkgevers als publieke instelling — en in veel gevallen ook private werkgevers — een grondrechtentoets. De FRIA-grondrechtentoets (art. 27) beschrijft wie deze moet doen en wat erin hoort: de groepen die geraakt worden, de risico's op discriminatie en de mitigerende maatregelen. Doe beide vóór ingebruikname, niet achteraf.

Fase 4 — Informeer werknemers en betrek de OR

Artikel 26 lid 7 van de AI Act verplicht je om werknemers en hun vertegenwoordigers te informeren vóórdat een hoog-risico-AI-systeem in gebruik wordt genomen. Los daarvan kan de inzet van personeelsvolgsystemen onder het instemmingsrecht van de ondernemingsraad vallen. Loop deze twee sporen parallel: informeren is een AI Act-plicht, instemming een medezeggenschapsrecht. Vroeg betrekken voorkomt vertraging en bouwt draagvlak.

Fase 5 — Menselijk toezicht, logging en bias-monitoring

Hoog-risicosystemen moeten onder betekenisvol menselijk toezicht staan: een mens die de uitkomst kan beoordelen, negeren of terugdraaien — geen rubberstempel. Bewaar de automatisch gegenereerde logs zodat je achteraf kunt reconstrueren wat het systeem deed. Monitor structureel op bias: meet uitkomsten per relevante groep en stel bij waar verschillen niet te rechtvaardigen zijn. Leg de taken en bevoegdheden van de toezichthouder schriftelijk vast.

Fase 6 — Leveranciersafspraken

De meeste werkgevers bouwen HR-AI niet zelf maar kopen het in. Je blijft als gebruiksverantwoordelijke aansprakelijk voor correct gebruik, dus contractueel afdwingen dat de aanbieder zijn plichten nakomt is essentieel. Vraag de conformiteitsverklaring, de gebruiksinstructies en toegang tot logging en updates. Spreek af wie wat doet bij incidenten en wijzigingen — want een substantiële wijziging kan jou tot aanbieder maken.

Compliance is geen project met een einddatum maar een cyclus: inventariseren, beoordelen, bijsturen en opnieuw — elke keer als een systeem verandert of erbij komt.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act): bijlage III merkt werkgelegenheid en personeelsbeheer aan als hoog-risico; art. 26 en 27 over de gebruiksverantwoordelijke.
  2. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Algemene verordening gegevensbescherming (AVG), art. 35 (DPIA) en art. 22 (geautomatiseerde besluiten over personen).

Deel op LinkedIn

Lees ook

W

AI Act-stappenplan: van inventarisatie tot naleving

Een praktisch stappenplan om AI Act-conform te worden — van het inventariseren van je AI-systemen en het bepalen van je rol en risicoklasse tot governance, documentatie en doorlopend toezicht.

U

AI-agent governance: checklist voor verantwoorde invoering

Voer je AI-agents in, regel dan vooraf reikwijdte, bevoegdheden, toezicht, logging, security en verantwoordelijkheid. Deze checklist loopt de governancepunten langs die agents onderscheiden van gewone AI-tools.

U

Menselijk toezicht op AI-agents: hoe houd je grip op autonomie?

Hoe autonomer een AI-agent handelt, hoe belangrijker het toezicht. Menselijk toezicht (AI Act art. 14 bij hoog-risico) betekent voor agents: begrenzing van bevoegdheden, ingrijp- en stopmogelijkheden, en logging die acties achteraf verklaarbaar maakt.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.