Achtergrond
image

Is het toegestaan om sollicitanten te screenen met AI?

woensdag 8 april 2026, 11:01 door Arnoud Engelfriet, 13 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: In ons bedrijf is er geen duidelijk beleid over het gebruik van AI. Initiatieven om de efficiëntie te vergroten worden echter wel aangemoedigd, en in het kader daarvan gebruikt een van mijn collega’s nu bij voorkeur AI om sollicitanten te screenen. Ik ben daar persoonlijk geen voorstander van omdat ik niet weet wat er van die informatie uit de sollicitaties dan bij de AI blijft hangen. Hij claimt dat dit een standaardprocedure is en dat sollicitanten weten dat ze dit tegenwoordig kunnen verwachten en dat we niet in een ‘gevoelige’ sector werken (retail). Hoe zit dit juridisch gezien?

Antwoord: Deze vraag is een schoolvoorbeeld van het al langer bestaande concept van 'shadow IT', persoonlijke initiatieven om IT-diensten of apps in te zetten voor het werk buiten de officiële kanalen om. Een leuke manier om nieuwe dingen te ontdekken (die best positief voor efficiëntie of omzet kunnen uitpakken) maar ook een manier om keihard tegen deuren aan te lopen.

In dit geval is dat de AI Act, omdat het met AI screenen of beoordelen van sollicitanten hoogrisico is onder die wet. Dat mensen dat zouden moeten weten of dat iedereen dat doet, is daarbij niet relevant. Je krijgt een berg complianceverplichtingen op je dak als organisatie, en je kunt beboet worden als je die niet naleeft. Waar is je bias evaluatie? Welk kwaliteitsbeheersysteem heb je ingericht om te borgen dat prestaties op niveau blijven? Welke vorm van uitleg geef je sollicitanten over de AI-beoordeling?

Uiteraard is er ook nog de AVG, die evenzo wat te zeggen heeft over persoonsgegevens van sollicitanten in third-party tools stoppen zonder op zijn minst een verwerkersovereenkomst met geheimhoudingsbeding. Daarnaast zegt de NVP Sollicitatiecode sinds 2025 dat je duidelijk moet zijn naar de sollicitant toe over AI-gebruik, en dat je tool voldoet aan de AI Act.

Het belangrijkste voor mij is echter dat je als organisatie de consequenties krijgt als een medewerker op die manier eigenzinnig opereert. Daar helpt dan geen "het is maar een individuele keuze" of "de impact op mensen valt mee". Ik snap de keuze voor zo'n initiatieven-beleid, maar dat moet wel verbonden worden aan begeleiding en controle.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (13)
Reageer met quote
08-04-2026, 11:14 door Anoniem
Uiteraard is er ook nog de AVG, die evenzo wat te zeggen heeft over persoonsgegevens van sollicitanten in third-party tools stoppen zonder op zijn minst een verwerkersovereenkomst met geheimhoudingsbeding.
Geld dit niet net zo hard voor alle (a)sociale media platforms waar (potentiële) werkgevers jouw gegevens instoppen om te zien of je daar een account hebt? Het is geen geheim dat die diensten draaien op het vergaren van (persoons)gegevens.
Reageer met quote
08-04-2026, 11:56 door Anoniem
Als die collega AI daarvoor nodig heeft en dat nog verdedigt ook, dan zegt dat ook wel wat over de eigen intelligentie.,..
Reageer met quote
08-04-2026, 15:10 door Anoniem
Door Anoniem:
Uiteraard is er ook nog de AVG, die evenzo wat te zeggen heeft over persoonsgegevens van sollicitanten in third-party tools stoppen zonder op zijn minst een verwerkersovereenkomst met geheimhoudingsbeding.
Geld dit niet net zo hard voor alle (a)sociale media platforms waar (potentiële) werkgevers jouw gegevens instoppen om te zien of je daar een account hebt? Het is geen geheim dat die diensten draaien op het vergaren van (persoons)gegevens.

Je ziet ook regelmatig: een achtergrondonderzoek op sociale media kan onderdeel zijn van de sollicitatieprocedure. Veel bedrijven beperken zich (soms schriftelijk in bovenstaande zin) tot LinkedIn, omdat dit relevante informatie kan bevatten dat aanvullend op het CV kan zijn.

Het gebruik van AI zou ik nooit wagen, ook niet als de data binnen je eigen tenant blijft. Je voldoet niet aan de wens voor dataminimalisatie van persoonsgegevens als je b.v. een CV upload om te laten analyseren. Daarbovenop komt nog dat als je geen abbo hebt je met die data gewoon het publieke model aan het trainen bent.

Ik ben benieuwd of die collega een tienerdochter heeft waarvan hij het niet erg zou vinden als haar gegevens op die manier teruggevonden kunnen worden op een AI platform als zij ergens voor een vergelijkbare job solliciteert.

/knor
Reageer met quote
08-04-2026, 15:30 door _R0N_
IMO is het vrij simpel, je kunt AI diensten alleen gebruiken wanneer je de invoer anonimiseert en daarmee vervalt de mogelijkheid van screening.
Reageer met quote
08-04-2026, 21:47 door Anoniem
Er is geen mens met een goed stel hersens dat bij zo'n compleet achterlijk bedrijf wil werken waar AI wordt ingezet voor screening.

Die bedrijven moeten aan dezelfde publieke schandpaal als waar ze de solicitaten mee willen beoordelen.
En dan het liefst de individuele medewerkertjes ook, tot en met de directie-malloten.
Reageer met quote
Gisteren, 08:41 door DanteVortex
De AVG wet is hier vrij duidelijk over.

Je CV bevat persoonlijke gegevens die in vertrouwen is afgegeven aan HR van een potentiële werkgever.
Deze gegevens mogen dus niet gebruikt worden in een publiekelijk AI zoals ChatGPT of Grok mits geanonimiseerd.

Een bedrijf kan een intern AI hebben en die gegevens mag je daar gebruiken. Maar voor screening heb je daar niks aan, want als de data geanonimiseerd gescreend wordt op het internet, is er geen resultaat.

Dus iemand zijn facebook / linkedIN pagina openen mag, dit is publieke data, maar een AI mag je daar niet voor gebruiken, omdat de clausule voor privacy van publieke AI heel erg onduidelijk is. Je data wordt hergebruikt, en je hebt er geen controle meer over. Dus je "recht tot vergetelheid" is daarmee niet meer in handen van het bedrijf dat je gegevens initieel had gekregen.

Daarnaast AI om te screenen? Ik heb echt geen AI nodig om een persoon op internet op te zoeken. Als ik geen resultaat krijg, krijgt het AI die ook niet.

AI screening is pure luiheid, en het mag dus ook eigenlijk niet. AI Compliance is niet simpel.
Reageer met quote
Gisteren, 11:48 door Anoniem
"Dus iemand zijn facebook / linkedIN pagina openen mag, dit is publieke data, maar een AI mag je daar niet voor gebruiken, omdat de clausule voor privacy van publieke AI heel erg onduidelijk is. Je data wordt hergebruikt, en je hebt er geen controle meer over. Dus je "recht tot vergetelheid" is daarmee niet meer in handen van het bedrijf dat je gegevens initieel had gekregen."

Ook iemands facebook/LinkedIn raadplegen tbv een screening mag alleen als je dit vermeld hebt in de vacature. Deze gegevens staan namelijk niet open tbv van een sollicitatieprocedure en mogen dus ook niet zomaar in die context gebruikt worden.
Reageer met quote
Gisteren, 19:01 door Anoniem
Door Anoniem: "Dus iemand zijn facebook / linkedIN pagina openen mag, dit is publieke data, maar een AI mag je daar niet voor gebruiken, omdat de clausule voor privacy van publieke AI heel erg onduidelijk is. Je data wordt hergebruikt, en je hebt er geen controle meer over. Dus je "recht tot vergetelheid" is daarmee niet meer in handen van het bedrijf dat je gegevens initieel had gekregen."

Ook iemands facebook/LinkedIn raadplegen tbv een screening mag alleen als je dit vermeld hebt in de vacature. Deze gegevens staan namelijk niet open tbv van een sollicitatieprocedure en mogen dus ook niet zomaar in die context gebruikt worden.

Het heet doelbinding in de AVG. Mijn gegevens op LinkedIn heb ik daar niet geplaatst om door een AI gescreend te worden.
Mag dus niet.
Reageer met quote
Gisteren, 22:15 door Anoniem
Door _R0N_: IMO is het vrij simpel, je kunt AI diensten alleen gebruiken wanneer je de invoer anonimiseert en daarmee vervalt de mogelijkheid van screening.
Ik denk dat je te makkelijk over anonimiseren denkt. De AVG beschermt ook persoonsgegevens die indirect te herleiden zijn tot een persoon, en het is al jaren duidelijk dat dat ook betekent dat als de gegevens, gekoppeld met gegevens die heel ergens anders beschikbaar zijn, tot een persoon te herleiden zijn dat meegewogen moet worden. Als je kijkt naar alle gegevenslekken en het koppelen van gegevens door partijen die daar de hand op weten te leggen is dat volkomen terecht, je ontkent de realiteit als je doet alsof dat niet gebeurt. Dat maakt anonimiseren een serieus stuk ingewikkelder dan alleen het verwijderen van makkelijk herkenbare identificerende gegevens als namen, telefoonnummers en dergelijke. Als je iemands CV hebt is er vermoedelijk maar één persoon op de wereld die precies dat CV heeft, dus je kan op je vingers natellen dat daar een persoon te herleiden moet zijn, vermoedelijk al als met een heel beperkt aantal andere gegevens. Vrij simpel is het dus niet.
Reageer met quote
Vandaag, 11:10 door AX0
Wat ik niet terug zie, ook niet in de reacties, is hoe dat gaat in de praktijk.

Prachtig, wij voldoen aan alle regeltjes, alle vinkjes staan op groen, de sollicitant is Afgewezen!
Op welke gronden de afwijzing? Die wordt door 99% van de recruiters, HR professionals, managers niet aan de sollicitant kenbaar gemaakt.

Waar het mis blijft gaan? Het idee hebben dat je met een aantal 'steekwoorden' in een search, de beste kandidaat naar boven haalt, zonder dat je een idee hebt van het speelveld, oznder een idee van de inhoudelijke gewenste taken kennis of expertise. Vervolgens roep je, "Wij gebruiken top of de bill tools.... maar kunnen het personeel maar niet vinden...". Hiermee zeggend,"IK kan de beste professional niet vinden...." Niet begrijpend dat dat helemaal waar is.

JIJ als HR professional, recruiter, manager, kan de ECHTE professional niet vinden. Niet willen inzien dat je processen niet deugen en zeker niet leiden tot het vinden van die professional. Denken dat de systemen en AI het werk voor jou doen zonder dat jij inhoudelijk jezelf wil verbeteren. En de echte professionals weten dat.

Dat merk je vanzelf als zij na een afwijzing je een formeel verzoek toesturen alle persoonlijke gegevens uit je systemen te halen, jazeker, ook die uit je email en..... back up systemen!
Reageer met quote
Vandaag, 13:07 door Anoniem
Bureaus die extern personeel inhuren screenen massaal met AI. Daarvan wordt je niet op de hoogte gesteld.
Reageer met quote
Vandaag, 15:21 door Anoniem
Door DanteVortex:Dus iemand zijn facebook / linkedIN pagina openen mag, dit is publieke data
Mijn bezwaar zit niet zo zeer in de informatie die ze op die (voor mij niet bestaande pagina) zouden vinden, maar dat ze mijn persoonsgegevens (bijvoorbeeld naam) invoeren in zo'n dienst om te kijken of ik er een pagina heb. Je kan mij niet wijsmaken dat zo'n dienst daar niet al ranzige dingen mee uithaalt om te kijken of ze het misschien kunnen linken aan andere data die ze "per ongeluk" gekregen hebben.
Reageer met quote
Vandaag, 16:22 door Anoniem
Het proces wat de meeste bedrijven gebruiken haalt de persoon naar boevn die het best kan solliciteren, niet de persoon die het beste is voor de vacature...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components