AI verovert HR – maar botst op privacy en wetgeving

Kunstmatige intelligentie is inmiddels niet meer weg te denken uit HR en recruitment. Van cv-screening tot sollicitatiegesprekken via chatbots: bedrijven omarmen AI massaal om efficiënter personeel te werven. Maar achter die technologische versnelling schuilt een groeiend spanningsveld. Want waar AI snelheid en schaal biedt, wringt het met privacyregels, toezicht en nieuwe Europese wetgeving.

“Er is tegenwoordig geen bedrijf meer dat niet ergens in het HR- of recruitmentproces AI inzet, of dat op zijn minst overweegt,” klinkt het in de podcast BNR at Work. Tegelijkertijd wordt HR door toezichthouders inmiddels gezien als een zogenoemd ‘hoog risico’-domein voor AI. Dat betekent strengere eisen, onder meer vanuit de Algemene Verordening Gegevensbescherming (AVG) en de aankomende Europese AI Act.

Onzichtbare overtredingen

Volgens recruitment-techblogger Marc Drees gaat het op grote schaal mis, vaak zonder dat organisaties het doorhebben. “Bedrijven gebruiken AI-toepassingen gebouwd op data die mogelijk onrechtmatig verzameld zijn. Door die tools te gebruiken, overtreden ze zelf ook regels – vaak uit onwetendheid.”

Een concreet voorbeeld is het inzetten van AI voor sollicitatiegesprekken. Kandidaten worden geïnterviewd door een chatbot of avatar, waarna een algoritme beoordeelt of ze geschikt zijn. Dat is op zichzelf niet verboden, maar de wet stelt duidelijke voorwaarden: er moet altijd sprake zijn van “wezenlijke menselijke tussenkomst”. Met andere woorden, een recruiter moet daadwerkelijk inhoudelijk meekijken en beslissen.

• Lees ook: Autoriteit Persoonsgegevens publiceert richtlijnen voor digitale assessments bij sollicitaties

In de praktijk gebeurt dat lang niet altijd. Zeker bij grootschalige werving is het simpelweg onmogelijk om duizenden AI-beoordelingen zorgvuldig handmatig te controleren. “Dan ontbreekt die menselijke check, en dat mag niet,” aldus Drees.

Privacybeleid vaak ondermaats

De risico’s beperken zich niet tot het gebruik van AI-tools. Ook de basis – het privacybeleid van organisaties – blijkt vaak onvoldoende op orde. Uit onderzoek onder honderden grote Nederlandse werkgevers blijkt dat slechts een klein deel volledig voldoet aan de AVG-richtlijnen. Veel bedrijven hebben wel een privacyverklaring, maar die schiet tekort op essentiële punten, zoals bewaartermijnen of de manier waarop kandidaten hun gegevens kunnen laten verwijderen.

Dat gebrek aan structuur wordt bevestigd door professionals in het veld. In een recente poll onder recruitmentexperts gaf niemand aan dat privacy en security rond AI “goed geregeld” zijn. Bijna de helft noemt de situatie ronduit onvoldoende.

Technologie sneller dan de wet

De kern van het probleem is dat technologische ontwikkelingen sneller gaan dan regelgeving kan bijbenen. AI-strateeg Quincy James ziet dat organisaties worstelen met die dynamiek. “Bedrijven weten dat ze iets met AI moeten, maar niet hoe ze dat verantwoord kunnen doen. Tegelijkertijd is de druk hoog: als je het niet centraal regelt, ontstaat er ‘shadow AI’ – medewerkers die zelf tools gaan gebruiken zonder toezicht.”

• Lees ook: Hoe gebruik je als HR- professional slim een AI-Chatbot?

Dat maakt het risico groter, omdat gevoelige gegevens – zoals sollicitatie-informatie – ongemerkt in externe systemen terechtkomen. Denk aan taalmodellen die data opslaan of zelfs gebruiken om verder te trainen.

Volgens James ligt de oplossing in het inrichten van gesloten, gecontroleerde AI-omgevingen. Daarin worden duidelijke grenzen gesteld: welke data mogen worden gebruikt, waar blijven die data opgeslagen en welke toepassingen zijn toegestaan. “Het draait niet alleen om hoe slim AI is, maar vooral om waar je het toegang toe geeft.”

Handhaving blijft achter

Toezicht houdt vooralsnog geen gelijke tred met de praktijk. De Autoriteit Persoonsgegevens heeft beperkte capaciteit en kan onmogelijk alle toepassingen controleren. Daardoor blijft handhaving grotendeels reactief.

Dat leidt tot een paradoxale situatie: bedrijven zijn formeel verantwoordelijk voor naleving, maar krijgen weinig concrete controle. “Voor veel organisaties is een privacyverklaring een stuk papier,” zegt Drees. “Voor werkzoekenden zou het bescherming moeten zijn, maar die bescherming is er in de praktijk vaak niet.”

Balanceren tussen innovatie en verantwoordelijkheid

Toch is er weinig animo om AI af te remmen. De voordelen zijn evident: snellere processen, lagere kosten en betere matching tussen kandidaten en functies. Het is dan ook geen kwestie van óf AI wordt ingezet, maar hoe.

Experts adviseren organisaties om te beginnen met een grondige inventarisatie: welke AI-tools worden gebruikt, welke data worden gedeeld en welke risico’s levert dat op?  Daarnaast is het essentieel om publieke AI-systemen – zoals open chatbots – te vermijden voor kandidatengegevens.

• Lees ook: De cijfers achter digitalisering en AI op de werkvloer

De uitdaging voor de komende jaren ligt in het vinden van een balans. AI kan HR fundamenteel verbeteren, maar alleen als vertrouwen en zorgvuldigheid centraal staan. Of, zoals een security-expert het treffend samenvat: bedrijven moeten AI niet primair inzetten om boetes te voorkomen, maar om hun medewerkers en kandidaten te beschermen.

De technologie dendert door. De vraag is of organisaties – en toezichthouders – snel genoeg kunnen bijbenen.

Beluister op Spotify deze aflevering van BNR at Work met Recruitment-techblogger Marc Drees en AI-strateeg Quincy James.