Terug naar het blog
AI Act recruitmentrecruitment complianceAI governancerecruitmentbureauAVG

AI Act voor recruitmentbureaus: checklist voor 2026

Een praktische AI Act-checklist voor recruitmentbureaus: inventariseer AI, leg menselijk toezicht vast en bespreek leveranciers en risico's met klanten.

Janis Kolomenskis

9 min leestijd
Delen
Recruiter controleert een AI-sourcingworkflow voor een recruitmentbureau

AI in recruitment begint zelden met een groot project. Vaak is het een knop voor cv-samenvattingen, een ranking in een ATS of een tool die profielen naast een vacature legt. Precies daarom is de vraag voor bureaus lastig: welke functies gebruiken we eigenlijk, en wanneer beïnvloeden ze een beslissing over een persoon?

Voor Nederlandse en Belgische bureaus is de AI Act geen abstracte techwet. Het raakt de software die je voor klanten inzet, de afspraken in je dienstverlening en de manier waarop recruiters een kandidaat aan een shortlist toevoegen. De Europese Commissie classificeert bepaalde AI-systemen voor werk en recruitment, zoals systemen die sollicitaties analyseren en filteren, als hoog-risicotoepassingen. Bekijk de actuele uitleg in de officiële AI Act-informatie van de Europese Commissie. Deze gids helpt bureaus hun werkwijze en leveranciersvragen te beoordelen; hij is geen juridisch advies of koopadvies.

AI Act-tijdlijn: wat geldt op 18 juli 2026?

De tijdlijn verdient precisie. Op 18 juli 2026 gelden de definities, verboden AI-praktijken en de verplichting rond AI-geletterdheid al sinds 2 februari 2025. Governancebepalingen en verplichtingen voor aanbieders van general-purpose AI-modellen gelden sinds 2 augustus 2025. De Europese Commissie vermeldt daarnaast dat bepaalde transparantieregels vanaf 2 augustus 2026 van toepassing worden. Dat zijn verschillende regimes; een recruitmentbureau moet ze niet op één hoop gooien.

De specifieke regels voor AI-systemen in hoog-risicogebieden uit Annex III, waaronder bepaalde toepassingen voor werk en recruitment, gelden volgens de huidige tijdlijn van de Europese Commissie vanaf 2 december 2027. In juli 2026 zijn die hoog-risicoverplichtingen voor employment-systemen dus nog niet van toepassing. Voorbereiden is verstandig, maar schrijf niet dat een bureau er nu al volledig aan moet voldoen. Andere regels, waaronder de AVG, arbeidsrecht en de al geldende delen van de AI Act, kunnen ondertussen wel relevant zijn.

MomentStatus op 18 juli 2026Betekenis voor een bureau
2 februari 2025Al van toepassingAI-geletterdheid, definities en verboden praktijken vragen nu al aandacht.
2 augustus 2025Al van toepassingGovernance en verplichtingen voor aanbieders van GPAI-modellen zijn gestart.
2 augustus 2026Nog aanstaand op publicatiedatumBepaalde transparantieregels gaan gelden; toets of een concrete toepassing eronder valt.
2 december 2027Latere toepassingsdatumRegels voor bepaalde hoog-risico-AI in employment en recruitment gaan volgens de huidige Commissieplanning gelden.

Aanbieder of gebruiksverantwoordelijke?

De AI Act gebruikt verschillende rollen. Een provider, in het Nederlands vaak aanbieder genoemd, ontwikkelt een AI-systeem of laat dat ontwikkelen en brengt het onder de eigen naam of het eigen merk op de markt of in gebruik. Een deployer, in de Nederlandse verordening aangeduid als gebruiksverantwoordelijke, gebruikt een AI-systeem onder zijn eigen verantwoordelijkheid. De definities staan in artikel 3 via de AI Act Service Desk van de Europese Commissie.

Een recruitmentbureau dat software van een externe leverancier inzet, zal in veel gevallen eerder gebruiksverantwoordelijke dan aanbieder zijn. Dat is geen automatische conclusie: eigen ontwikkeling, rebranding of ingrijpende wijzigingen kunnen de rolverdeling veranderen. Leg daarom per toepassing vast wie het systeem aanbiedt, wie het gebruikt, onder wiens naam het werkt en wie de gebruiksvoorwaarden bepaalt. Laat de juridische kwalificatie toetsen als die rol gevolgen heeft voor verplichtingen.

Het onderscheid bepaalt ook welke vragen logisch zijn. Van een aanbieder verwacht je informatie over bedoeld gebruik, beperkingen, documentatie en technische werking. Een gebruiksverantwoordelijke moet vooral kunnen aantonen hoe de organisatie het systeem inzet, medewerkers voorbereidt, uitkomsten controleert en kandidaten of klanten informeert waar dat nodig is. AI-geletterdheid geldt volgens de Europese Commissie nu al voor aanbieders en gebruiksverantwoordelijken.

Begin met de functie, niet met het marketinglabel

Een leverancier kan een product “AI-native”, “smart matching” of “assistent” noemen. Dat zegt nog niet wat het systeem doet. Voor governance telt het doel. Maakt de tool alleen een samenvatting die een recruiter leest? Of bepaalt een score welke profielen nooit op het bureau van de recruiter komen? Het verschil zit in de workflow, niet in de naam op de website.

Maak daarom per tool een korte use-casekaart. Noteer de input, de output, wie de output ziet en wat er daarna gebeurt. Een taalmodel dat een vacaturetekst herschrijft heeft een ander risicoprofiel dan software die kandidaten automatisch afwijst. Een sourcer die relevante profielen voorstelt is weer iets anders dan een systeem dat zonder menselijke controle een kandidaat selecteert.

VraagVoorbeeldantwoordWaarom dit telt
Welke input gaat erin?CV, openbare profielinformatie, vacaturebriefJe ziet welke persoonsgegevens en aannames de tool gebruikt.
Wat komt eruit?Zoekresultaat, samenvatting, score of adviesEen advies vraagt andere controles dan een automatische uitsluiting.
Wie beslist?Recruiter, klant, systeem of een combinatieDe eigenaar van het besluit moet zichtbaar zijn.
Wordt het gelogd?Prompt, bron, matchreden, review en correctieZonder spoor kun je een discussie achteraf moeilijk reconstrueren.

De AI Act-checklist voor een bureau

1. Maak een inventaris van alle AI-functies

Vraag niet alleen aan de innovatiemanager welke tools zijn gekocht. Loop met recruiters door hun dagelijkse werk: vacaturepublicatie, sourcing, cv-parsing, matching, e-mail, planning, interviews en rapportage. Kijk ook naar functies die standaard aanstaan. In een demo wordt “optioneel” vaak “onderdeel van de normale route” zodra het team tijd tekortkomt.

  • Naam van leverancier, product en concrete functie
  • Doelgroep: kandidaten, recruiters, klanten of werknemers
  • Ingevoerde gegevens, bron en bewaartermijn
  • Uitkomst: tekst, aanbeveling, ranking, classificatie of besluit
  • Menselijke controle vóór een kandidaat naar een volgende fase gaat
  • Eigenaar binnen het bureau en contactpersoon bij de leverancier

Laat de inventaris aansluiten op je kandidaatdata- en contactverrijkingsproces. Een extra contactveld is niet automatisch een probleem, maar je moet wel kunnen uitleggen waarom je het gebruikt, waar het vandaan komt en hoe lang het nodig is.

2. Scheid ondersteuning van selectie

Leg in de werkinstructie vast wat een recruiter met een AI-uitkomst mag doen. Een zoekresultaat is een startpunt. Een matchreden is een hypothese die je controleert. Een score is geen bewijs van geschiktheid. Die taal lijkt misschien streng, maar ze voorkomt dat een handige rangschikking langzaam een verborgen selectiecriterium wordt.

Gebruik voor elke shortlist een korte reviewregel: welke ervaring is zichtbaar, welk criterium blijft onbewezen en welke informatie moet de recruiter zelf navragen? Zo houd je de beoordeling bij de professional die de markt, klant en kandidaat kent. Yena kan zoekwerk, matchcontext en workflow ondersteunen; het neemt de menselijke beoordeling, motivatiecheck of uiteindelijke aanbeveling niet over.

3. Vraag leveranciers om bewijs

Een leverancier die zegt dat zijn product “compliant” is, geeft nog geen bruikbaar antwoord. Vraag naar het bedoelde gebruik, de gebruikte modellen, logging, gegevensverwerking, menselijke controle, incidentproces en verwijdering. Vraag ook wat de tool nadrukkelijk níet doet. Dat laatste voorkomt verkeerde verwachtingen bij recruiters en klanten.

LeveranciersvraagGoed antwoord bevat
Welke gegevens gebruikt de functie?Datacategorieën, bronnen, verwerkers en uitsluitingen.
Kan een recruiter de uitkomst controleren?Matchcontext, bronverwijzing, correctie en duidelijke reviewstap.
Wat wordt bewaard?Bewaartermijn, verwijdering, export en back-upbeleid.
Hoe reageren jullie op fouten?Incidentkanaal, verantwoordelijke, melding en herstelprocedure.
Welke contracten gelden?Verwerkersafspraken, subverwerkers en afspraken met de klant.

Maak het klantgesprek concreet

Een opdrachtgever wil meestal weten of je sneller een geschikte shortlist kunt leveren. Dat is een legitieme commerciële vraag, maar voeg er een tweede laag aan toe: hoe blijft de shortlist uitlegbaar? Spreek af welke rol de AI heeft, wie de criteria vaststelt, welke gegevens je mag gebruiken en hoe een kandidaat bezwaar of correctie kan vragen.

Een bruikbaar klantdocument past op één pagina. Bovenaan staat de zoekopdracht. Daarna volgen de gebruikte bronnen, de recruiterchecks, de manier waarop matchredenen worden vastgelegd en de momenten waarop de klant feedback geeft. Vermijd beloften als “de AI vindt de beste kandidaat”. Beloof liever een herhaalbaar zoekproces met controleerbare onderbouwing.

Praktisch vervolgstap

Gebruik een afgebakende pilot met één rol, één reviewer en een afgesproken shortlistformat. Yena helpt bij het vinden en ordenen van kandidaten; de recruiter blijft eigenaar van de beoordeling en outreach.

Bekijk Yena Sourcer

Een werkbare implementatieroute

  1. Week van de inventaris: verzamel tools en concrete AI-functies. Noteer waar recruiters afwijken van het officiële proces.
  2. Week van de risico’s: markeer functies die rangschikken, filteren of informatie over mensen afleiden. Leg ontbrekende vendorinformatie vast.
  3. Week van de pilot: kies één rol, maak criteria zichtbaar en laat twee recruiters dezelfde voorbeelden reviewen.
  4. Week van de borging: voeg de reviewstap toe aan je ATS/CRM, train het team en bespreek de methode met klanten.

De FAQ van de Europese Commissie beschrijft voor bepaalde hoog-risicosystemen onder meer menselijke controle, relevante en representatieve inputdata en informatie richting betrokken personen. Voor employment-systemen hoort die uitleg bij de regels die volgens de huidige tijdlijn vanaf 2 december 2027 gelden, niet bij een fictieve deadline in juli 2026. Een bureau kan zulke controles wel nu al als kwaliteitspraktijk invoeren. “Menselijk toezicht” is pas echt als iemand bevoegd is om een uitkomst te negeren, te corrigeren en te documenteren.

Maak van governance een verkoopbaar onderdeel

Klanten vragen niet altijd expliciet naar AI-governance. Ze vragen wel waarom een shortlist er zo uitziet, welke informatie de recruiter heeft gebruikt en of hun kandidaten zorgvuldig worden benaderd. Een bureau dat daar rustig antwoord op geeft, maakt van compliance geen rem maar een onderdeel van professioneel advies. Bespreek bij de intake welke criteria echt essentieel zijn, welke signalen slechts richting geven en welke gegevens niet gebruikt mogen worden.

Leg ook vast hoe je omgaat met verschillen tussen kandidaten. Als de ene kandidaat een uitgebreid online profiel heeft en de andere nauwelijks digitale sporen, mag dat verschil niet ongemerkt een kwaliteitsverschil worden. Laat een recruiter controleren of de zoekmethode ruimte laat voor alternatieve loopbanen, regionale terminologie en kandidaten die hun profiel minder vaak bijwerken. Dat is inhoudelijke sourcingkwaliteit en een nuttige controle op verborgen bias.

Bewaar voor de klant geen schijnzekerheid. Noteer liever dat een recruiter een matchreden heeft gecontroleerd, welke vraag nog openstaat en welke kandidaat niet is meegenomen. Een transparante beperking is geloofwaardiger dan een score met twee decimalen. Gebruik de sourcingomgeving om deze context bij het kandidaatrecord te bewaren en de prijsinformatie pas daarna te bespreken.

Neem in je interne training ook een voorbeeld op van een foutieve uitkomst. Laat de recruiter benoemen welk signaal misleidend was, welke bron ontbrak en welke menselijke controle het probleem ontdekte. Zo leert het team dat review geen ceremonie is. Het is een inhoudelijke stap waarin ervaring, context en twijfel ruimte krijgen. Noteer verbeteringen in de werkinstructie en bespreek ze opnieuw wanneer de tool, doelgroep of klantvraag verandert.

Maak tenslotte onderscheid tussen productinformatie en procesinformatie. Een leverancier kan uitleggen hoe een model werkt, maar je bureau moet uitleggen hoe een recruiter ermee werkt. Leg vast wie de uitkomst controleert, welke signalen worden genegeerd en hoe een klant een vraag kan stellen over een shortlist. Die vertaling naar het dagelijkse werk hoort bij je kwaliteitsbelofte.

Vijf vragen die recruiters zelf moeten kunnen beantwoorden

  • Kan ik uitleggen waarom dit profiel in beeld kwam?
  • Welke informatie heb ik zelf gecontroleerd?
  • Wat gebeurt er als de AI een relevante kandidaat mist?
  • Wie ziet de kandidaatdata en hoe lang blijft die beschikbaar?
  • Kan de klant de gebruikte criteria en beperkingen begrijpen?

Dat zijn geen extra formulieren om de vorm. Ze beschermen de kwaliteit van je advies. Een bureau verkoopt niet alleen toegang tot profielen, maar ook oordeel, context en discretie. AI kan dat werk ondersteunen, maar niet namens het bureau verantwoorden.

Wie deze werkwijze wil vertalen naar dagelijkse sourcing, kan de uitleg over dataverrijking naast de Yena-tarieven leggen. Zo blijft het gesprek over software gekoppeld aan proces, verantwoordelijkheden en budget.

Veelgestelde vragen

Is elke AI-functie in recruitment automatisch hoog risico?

Nee. De classificatie hangt af van het bedoelde gebruik en de concrete functie. Een tekstassistent is iets anders dan een systeem dat kandidaten beoordeelt of filtert. Laat de juridische kwalificatie toetsen wanneer de inzet gevolgen heeft voor personen.

Mag een recruitmentbureau AI gebruiken voor sourcing?

Dat kan, maar het bureau moet het doel, de gebruikte gegevens, de menselijke controle en de afspraken met de opdrachtgever kunnen uitleggen. Sourcing is geen vrijbrief om iedere gevonden persoon automatisch te benaderen.

Moet een recruiter iedere AI-match controleren?

Voor een shortlist wel: de recruiter moet relevante ervaring, context en ontbrekende informatie zelf beoordelen. Een matchsuggestie is geen bewijs van geschiktheid.

Welke vraag stel ik eerst aan een leverancier?

Vraag welke beslissingen de functie beïnvloedt en welke gegevens daarvoor worden gebruikt. Daarna kun je gericht doorvragen op logging, menselijke review, bewaartermijnen en contracten.

Is deze checklist juridisch advies?

Nee. Het is een operationeel startpunt voor gesprekken met je privacyadviseur, klant en leveranciers. De toepasselijke verplichtingen hangen af van de tool, rolverdeling en concrete verwerking.

Janis Kolomenskis

18 juli 2026

Delen
Yena

Van functiebriefing naar een onderbouwde shortlist.

Beschrijf wie je zoekt. Yena vindt passieve kandidaten, legt uit waarom ze passen, vult geverifieerde contactgegevens aan en houdt outreach in dezelfde recruitmentworkflow.