Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Analyse

HR-AI inkopen: de leverancier-checklist voor ATS- en wervingssoftware

Vastgesteld 2026-06-22 · ≈ 3 min lezen · Dirk Baaijen

Koop je HR-AI of ATS-software in, dan erf je verplichtingen onder de AI Act. Deze checklist geeft de vragen die je vóór ondertekening aan de leverancier stelt — hoog-risico of niet, CE-markering, documentatie, bias-tests, logging — plus de contractuele waarborgen.

Kort antwoord: AI die mensen werft, selecteert of beoordeelt is onder de AI Act hoog-risico. Als inkoper word je in de regel deployer en erf je eigen verplichtingen — ook als de leverancier de software bouwde. Due diligence vóór de handtekening is daarom geen formaliteit: je moet aantonen dat het systeem conform is, en dat kan alleen als de leverancier de juiste documenten levert. Hieronder de vragen die je stelt en de waarborgen die in het contract horen.

Waarom dit hoog-risico is

Bijlage III van de AI Act merkt AI-systemen voor werving, selectie en personeelsbeslissingen expliciet aan als hoog-risico: CV-screening, ranking van kandidaten, het beoordelen van prestaties of het sturen van promoties. Daarmee gelden de zwaarste eisen na het verbod. Wat die eisen precies inhouden — risicobeheer, datakwaliteit, transparantie, menselijk toezicht — staat in Verplichtingen voor hoog-risico AI: het overzicht. Voor de HR-specifieke kant, zie AI bij werving en selectie.

De provider-versus-deployer-grens

De wet legt de bouwer (provider) en de gebruiker (deployer) verschillende plichten op. De provider zorgt voor conformiteitsbeoordeling, technische documentatie, CE-markering en registratie. De deployer — meestal jij als werkgever — moet het systeem gebruiken volgens de instructies, menselijk toezicht inrichten, logs bewaren en werknemers informeren. Let op de valkuil: pas je het systeem wezenlijk aan of zet je het onder je eigen naam in, dan kun je zelf provider worden, met alle bouwplichten van dien. Vraag de leverancier daarom expliciet hoe hij de rolverdeling ziet.

De inkoop-checklist: vragen aan de leverancier

Stel deze vragen schriftelijk en bewaar de antwoorden:

  • Is het systeem hoog-risico onder bijlage III? Zo nee, op welke grond niet?
  • Is er een conformiteitsbeoordeling uitgevoerd en is die af te geven?
  • Draagt het systeem een CE-markering en staat het geregistreerd in de EU-databank?
  • Kun je de technische documentatie inzien (art. 11) en de gebruiksinstructies (art. 13)?
  • Zijn er bias- en non-discriminatie-testresultaten beschikbaar, met de gebruikte datasets en uitkomsten per groep?
  • Hoe werkt de logging (art. 12) — welke gebeurtenissen worden vastgelegd en hoelang bewaard?
  • Hoe is menselijk toezicht ondersteund — kan een recruiter een beslissing begrijpen en overrulen?
  • Hoe is het systeem getest op nauwkeurigheid en robuustheid, en wat zijn de bekende grenzen?
  • Welke persoonsgegevens worden verwerkt, waar, en is er een verwerkersovereenkomst en DPIA-ondersteuning?

Krijg je op de eerste vragen geen helder antwoord, dan is dat zelf een rood vlag.

Contractuele waarborgen

Vertaal de antwoorden naar harde afspraken. Leg vast dat de leverancier conformiteit garandeert en de documentatie blijft leveren bij updates; dat hij je tijdig informeert bij ernstige incidenten en wijzigingen; dat hij meewerkt aan jouw verplichtingen (logs, transparantie, audits); en dat aansprakelijkheid en vrijwaring zijn geregeld als het systeem niet blijkt te voldoen. Neem een exit- en datateruggave-clausule op, zodat je niet vastzit aan een non-conform systeem.

Doorlopend toezicht na ingebruikname

Due diligence stopt niet bij de handtekening. Als deployer monitor je de werking, bewaar je de logs, evalueer je periodiek op bias en uitlegbaarheid, en hou je de menselijke controle daadwerkelijk levend — geen rubberstempel. Bij elke wezenlijke update herhaal je de toets. Dit past in het bredere kader van AI op de werkvloer, waar dezelfde governance-discipline geldt.

Goede HR-AI-inkoop is geen prijsvergelijking maar een conformiteitsdossier. Wie de juiste vragen vóór de handtekening stelt, koopt geen risico in dat hij daarna niet kan dragen.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act): bijlage III merkt werving-AI aan als hoog-risico; art. 16 en 26 verdelen de plichten over provider en deployer.
  2. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Verordening (EU) 2016/679 (AVG): grondslag, DPIA en geautomatiseerde besluitvorming (art. 22) gelden naast de AI Act.

Deel op LinkedIn

Lees ook

W

De AI Act voor de inkoper: leverancierseisen en contractclausules

Wie AI inkoopt, wordt onder de AI Act vaak gebruiksverantwoordelijke en draagt eigen verplichtingen. Een leverancier die zegt "AI Act-compliant" te zijn, is geen garantie. Dit overzicht legt uit wat je vooraf moet uitvragen en welke clausules in het contract horen.

U

CRA: wat eis je bij aanschaf van IoT-/connected hardware?

Eis CE-markering, een doorlopen conformiteitsbeoordeling, secure-by-default configuratie en beveiligingsupdates gedurende de ondersteuningsperiode. Leg dit en de meldplicht contractueel vast vóór de volledige toepassing op 11 december 2027.

W

AI-leveranciersvragenlijst: wat vraag je een AI-tool-leverancier?

Een kant-en-klare vragenlijst om vóór inkoop een AI-tool-leverancier te toetsen op rol (aanbieder/gebruiksverantwoordelijke), data en training, beveiliging, subverwerkers, AI Act-status en exit. Neem de vragen over in je inkoop- of leveranciersbeoordeling.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.