EU AI Act voor agentic recruitment: wat verandert er op 2 augustus 2026

Remo Vloet Remo Vloet
| (Bijgewerkt: 4 mei 2026) | 12 min.
In dit artikel

Dit artikel is geschreven door iemand die agentic recruitment-systemen bouwt, niet door een jurist. Voor concrete compliance-vragen rondom jouw specifieke situatie raadpleeg een gespecialiseerde IT-jurist. Alle wettelijke claims hieronder zijn herleidbaar naar de officiële teksten waar links op staan.

Waarom dit nu telt

Op 2 augustus 2026 wordt recruitment-AI volledig hoog-risico onder de EU AI Act. Vanaf die datum is een agentic systeem dat kandidaten screent, ranked of voorstelt aan hiring managers wettelijk gebonden aan een lijst eisen die nu nog grotendeels onzichtbaar is op vendor-pagina's. Voor recruitment-teams die vandaag een meerjarig contract tekenen, is dat een belangrijk gegeven.

Drie vragen waar elke recruitment-buyer in 2026 mee zit:

  1. Welke vendors zijn op 2 augustus klaar, en welke niet? De marketingclaim "EU AI Act compliant" zegt op zichzelf weinig. De vraag is welk audit-log-systeem, welke risk-management-documentatie, welke uitlegbaarheid-laag een vendor feitelijk gebouwd heeft.
  2. Wat moet jij als deployer (de organisatie die het systeem gebruikt) zelf documenteren? De Act legt verplichtingen op zowel vendors (providers) als gebruikers (deployers). Een aantal eisen kun je niet aan je vendor uitbesteden.
  3. Wat zijn de kandidaat-rechten die je in je flow moet inbouwen? Onder GDPR Article 22 heeft elke kandidaat recht op menselijke tussenkomst bij solely automated decisions. Hoe vertaalt zich dat naar je sollicitatiemails, je rejection-flows, je shortlist-proces?

Dit artikel beantwoordt die drie vragen. Het is geen "wat is de EU AI Act" introductie — daar zijn al goede stukken over geschreven, en je hoeft de Act ook niet woord-voor-woord te kennen om er compliant mee om te gaan. Wel ga ik je per onderwerp de exacte artikelnummers en deadlines geven, zodat je elke vendor-claim kunt verifiëren tegen de officiële tekst. En je krijgt een 8-punts checklist waarmee je elke recruitment-AI-vendor kunt beoordelen, ook als ze "we zijn compliant" als enig antwoord geven.

Waarom recruitment-AI in Annex III zit

De EU AI Act onderscheidt vier risico-categorieën: onaanvaardbaar, hoog, beperkt, en minimaal. Recruitment-systemen vallen in de tweede categorie — hoog-risico — en dat is geen interpretatie maar expliciete tekst. Bijlage III (Annex III) van de Act somt de gebieden op waar AI-systemen automatisch hoog-risico zijn, en sectie 4 gaat specifiek over werk en tewerkstelling.

De letterlijke tekst van Annex III sectie 4(a):

"AI-systemen die zijn bedoeld om te worden gebruikt voor de werving of selectie van natuurlijke personen, in het bijzonder voor het plaatsen van gerichte vacatures, het analyseren en filteren van sollicitaties, en het evalueren van kandidaten."

En 4(b):

"AI-systemen die zijn bedoeld om te worden gebruikt voor het nemen van beslissingen die invloed hebben op de voorwaarden van arbeidsverhoudingen, de promotie of beëindiging van arbeidsovereenkomsten, het toewijzen van taken op basis van individueel gedrag of persoonlijke kenmerken of eigenschappen, of het monitoren en evalueren van prestaties en gedrag van personen in dergelijke verhoudingen."

Wat deze tekst praktisch dekt: een vacature-targeting algoritme, een CV-screening-tool, een matching-systeem dat kandidaten ranked, een interview-evaluatie-AI, een agent die shortlists genereert, een tool die kandidaat-fit scoort. Ook een meeting-transcriptie-tool die feedback genereert voor evaluatie-doeleinden valt eronder als de output gebruikt wordt voor selectie-beslissingen.

De ratio van de wetgever: in werving-contexten kan een algoritmische beslissing iemands toegang tot werk fundamenteel beïnvloeden, en historische bias in trainingsdata kan systematisch bepaalde groepen uitsluiten. De Europese Commissie heeft gepubliceerd dat employment expliciet als prioriteit gold in de impact-assessment van de Act, samen met law enforcement en kritieke infrastructuur. Recruitment is dus geen grijze zone die per geval wordt beoordeeld — het is een vooraf vastgesteld hoog-risico-domein, en daarmee verplicht onderworpen aan de zes inhoudelijke eisen die in de volgende sectie worden behandeld.

De vijf concrete eisen die op 2 augustus actief worden

De EU AI Act bevat circa 113 artikelen, maar voor de praktijk van recruitment komen vijf eisen samen. Elke vendor die in 2026 nog Europese klanten wil bedienen moet deze vijf op orde hebben, en als deployer moet je ze kunnen tonen aan een toezichthouder. Hieronder per eis: wat de Act vraagt, wat het concreet betekent voor recruitment, en wat je als buyer moet kunnen zien.

1. Risk management documentatie (Article 9). De vendor moet een continu risk-management-systeem hebben dat redelijk voorzienbare risico's van het AI-systeem identificeert, evalueert en mitigeert — over de hele levenscyclus. Voor recruitment betekent dit: een gedocumenteerd register van wat er mis kan gaan (bias, foutieve scoring, datalek-impact), welke mitigaties zijn ingebouwd, en hoe het systeem in productie gemonitord wordt op nieuwe risico's. Een vendor die dit niet op verzoek kan tonen, heeft het niet.

2. Data en data governance (Article 10). Trainings-, validatie- en testdata moeten relevant zijn, voldoende representatief, foutvrij en compleet voor het beoogde doel. Statistische eigenschappen moeten gedocumenteerd zijn, en bias-detectie + mitigatie zijn verplicht — niet als afterthought maar als design-principe. Voor een matching-systeem: kun je laten zien hoe je trainingsdata is opgebouwd, welke groepen erin oververtegenwoordigd waren, en welke maatregelen zijn genomen tegen indirecte discriminatie via gecorreleerde features (postcode-etniciteit, opleidingsroute-sociaaleconomische klasse)?

3. Technical documentation en logging (Article 11 + Article 12). Twee samenhangende eisen. Article 11 vraagt om uitgebreide technische documentatie van het systeem: architectuur, capabilities, beperkingen, data-flows, prestatiekenmerken. Article 12 vraagt om automatische logging van events tijdens operatie — wie heeft het systeem gebruikt, welke input ging erin, welke output kwam eruit, welke beslissingen werden genomen. Voor een agentic recruitment-systeem: elke tool-aanroep, elke shortlist-generatie, elke score-update moet gelogd zijn met correlation ID en traceerbaar zijn naar de bron. Je moet aan een audit kunnen tonen waarom kandidaat X een week geleden een 78-score kreeg.

4. Human oversight (Article 14). Het systeem moet zo ontworpen zijn dat een mens het effectief kan overzien tijdens gebruik. "Effectief" is hier het sleutelwoord — een dropdown met "menselijke goedkeuring vereist" die nooit gebruikt wordt is geen oversight. Het betekent: de mens moet de capabilities en beperkingen van het systeem begrijpen, in staat zijn om output te interpreteren, mogelijkheid hebben tot tussenkomst, en in extreme gevallen het systeem kunnen uitschakelen. Voor recruitment: een recruiter die de matching-output ziet moet kunnen begrijpen waarom een kandidaat hoog scoort, kunnen overrulen, en het systeem voor specifieke vacatures kunnen pauzeren als hij twijfelt.

5. Accuracy, robustness en cybersecurity (Article 15). Het systeem moet een passend nauwkeurigheidsniveau halen, robuust zijn tegen fouten en onverwachte inputs, en weerbaar zijn tegen pogingen tot adversarial manipulation. Voor recruitment-AI: documenteer welke nauwkeurigheid je claimt onder welke condities (op welke kandidaat-pool, voor welke vacature-types), hoe je systeem omgaat met edge cases (kandidaten met onvolledige profielen, niet-Westerse opleidingsroutes), en hoe het beschermd is tegen prompt-injection of profiel-spoofing. Een vendor die "99% accurate" claimt zonder context, geeft je een marketingnummer in plaats van een verifieerbare claim.

Daarbovenop — eis nul, zogezegd — komen voor deployers de verplichtingen uit Article 26: het systeem gebruiken volgens instructies van de provider, monitoring uitvoeren, ernstige incidenten melden binnen 72 uur, en relevante gebeurtenissen registreren. En in bepaalde gevallen (Article 27) een Fundamental Rights Impact Assessment — vooral relevant voor publieke organisaties en grote werkgevers.

GDPR Article 22 — de kandidaat-rechten laag

De EU AI Act vervangt de GDPR niet. Beide regimes lopen naast elkaar, en voor recruitment-AI is er één GDPR-bepaling die de Act effectief versterkt: Article 22.

De letterlijke tekst:

"De betrokkene heeft het recht niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft."

Voor recruitment is "anderszins in aanmerkelijke mate treffen" duidelijk — een afwijzing op een sollicitatie raakt iemand aanmerkelijk. De praktische gevolgen:

Niveau 5 (autonomous hire/reject) is effectief uitgesloten. Een agent die zelfstandig kandidaten afwijst zonder menselijke tussenkomst, met die afwijzing als gevolg, voldoet niet aan Article 22 tenzij je een wettelijke uitzondering kunt aantonen (expliciete toestemming, contractuele noodzaak, of EU/lidstaat-recht). Geen van die uitzonderingen zijn realistisch voor standaard recruitment-flows.

Niveau 3-4 vereist documenteerbare menselijke beslissing. Een agent die kandidaten ranked, scoort, of shortlists genereert, kan Article 22 wel doorstaan — mits er aantoonbaar een menselijke beoordeling tussen de algoritmische output en de uiteindelijke beslissing zit. "Aantoonbaar" is het kernwoord: een recruiter die op een knopje "akkoord" klikt zonder de output te beoordelen, is in juridisch opzicht geen menselijke tussenkomst. De Europese richtlijn (Article 29 Working Party) maakt dit expliciet — de menselijke betrokkenheid moet meaningful zijn, niet ceremonieel.

Wat dit betekent voor je kandidaat-flow. Concreet: als je een AI-systeem inzet voor screening of matching, hoort het volgende standaard in je proces te zitten:

  • Een transparency-statement aan de kandidaat (in vacature-tekst of sollicitatie-flow) dat AI gebruikt wordt en waarvoor
  • Een procedure waarbij elke afwijzing — ook bij hoge volumes — door een mens beoordeeld wordt vóór verzending
  • Een review-mogelijkheid voor de kandidaat: het recht om te vragen om een menselijke heroverweging
  • Documentatie per beslissing: welke recruiter, welk moment, op welke gronden

In NL-context heeft de Autoriteit Persoonsgegevens hier eerder over gepubliceerd, en de combinatie EU AI Act + GDPR Article 22 betekent dat de bewijslast bij de werkgever ligt: jij moet kunnen aantonen dat je menselijke tussenkomst meaningful is, niet andersom.

De vier deadlines die je moet kennen

De EU AI Act treedt niet in één keer in werking. Er zijn vier momenten die voor recruitment-buyers relevant zijn:

2 februari 2025 — al actief. Verboden AI-praktijken en AI literacy verplichtingen gelden vanaf deze datum. Voor recruitment relevant: emotion-recognition-systemen op de werkplek zijn grotendeels verboden, en alle medewerkers die met AI-systemen werken moeten een passend kennisniveau hebben — hier hoort training over verantwoord AI-gebruik bij.

2 augustus 2025 — al actief. GPAI (general-purpose AI) verplichtingen, governance-structuur, en notificatie-vereisten gelden. Vooral relevant voor vendors die foundation models gebruiken (OpenAI, Anthropic, Mistral) — die providers hebben hun eigen verplichtingen, maar ook recruitment-vendors die er bovenop bouwen moeten kunnen aantonen welke foundation models ze inzetten en welke afspraken ze daarover hebben.

2 augustus 2026 — de hoofd-deadline. Het volledige Annex III hoog-risico-regime wordt actief. Alle vijf eisen uit de vorige sectie zijn vanaf deze datum afdwingbaar. Boetes bij overtreding: tot €35 miljoen of 7% van de globale jaaromzet (welke hoger is) voor verboden praktijken, en tot €15 miljoen of 3% voor andere overtredingen (Article 99). Dit is de datum waarop "compliance" geen marketingterm meer is maar een afdwingbare verplichting.

2 augustus 2027 — uitbreiding. Article 6(1) hoog-risico-systemen die onder bestaande EU productveiligheidswetgeving vallen, krijgen een jaar langer transitie. Voor recruitment minder direct relevant — die route geldt vooral voor AI ingebed in fysieke producten — maar relevant als je organisatie ook andere AI-systemen heeft.

Voor de planning: je hebt vandaag (mei 2026) drie maanden tot de hoofd-deadline. Een vendor die in juni 2026 nog "we zijn ermee bezig" zegt, levert geen 2 augustus.

Wat dit betekent voor jouw vendor-keuze: 8-punts compliance-checklist

Hieronder de concrete checklist. Loop hem door bij elke vendor — voor je tekent, niet erna. Een vendor die meerdere punten vaag beantwoordt, geeft je een compliance-gat dat na 2 augustus jouw probleem wordt, niet meer dat van hen.

#Vraag aan vendorWat een goed antwoord is
1Kunnen jullie een risk-management-dossier overhandigen voor het systeem dat we gaan gebruiken?Ja, op verzoek beschikbaar, met identificatie + mitigatie van bias-, accuracy-, en data-risico's. Wordt periodiek bijgewerkt.
2Kunnen jullie een audit log tonen van een echte beslissing — welke tools de agent aanriep, welke input erin ging, welke redenering eruit kwam?Ja, per agent-actie gelogd met correlation ID, timestamp, input/output, en redenering. Op verzoek per kandidaat opvraagbaar.
3Hoe is een matching- of scoring-beslissing per criterium uit te leggen, met klikbare bron?Per beslissing een breakdown: welke criteria, welke gewichten, welke scores, klikbaar terug naar het CV-veld of transcript-zin waarop het is gebaseerd.
4Hoe garanderen jullie dat protected attributes (geboortedatum, geslacht, etniciteit) geen rol spelen in matching?Embedding_weight=0 of equivalent technisch mechanisme dat die attributes uitsluit uit de embeddings die de matching aandrijven, plus monitoring op indirecte bias via gecorreleerde features.
5Welke acties van de agent vragen om expliciete menselijke bevestiging vóór ze worden uitgevoerd?Dure/onomkeerbare acties (e-mail aan kandidaat, agendablok bij hiring manager, profielwijziging) standaard achter een confirmation gate. Niet als toggle die per ongeluk uit kan.
6Welke trainings-data hebben jullie gebruikt, en hoe is governance daarop ingericht?Documentatie van data-bronnen, statistische eigenschappen, bias-evaluatie, en het proces voor data-correcties. Klanten krijgen ook een dataset van hun eigen historische data niet vermengd met andere klanten.
7Wat is jullie incident-reporting-proces, en wat zou jullie melden onder Article 73 als ernstig incident?72-uurs notificatie-proces gedefinieerd, voorbeelden van wat als ernstig incident telt (systematische bias, datalek, foutieve afwijzingen op grote schaal).
8Welke conformiteitsbeoordeling hebben jullie afgerond — interne assessment of CE marking?Concreet antwoord: welke route, wanneer afgerond, welk document toont het aan. Voor recruitment-AI is interne assessment via [Article 43](https://artificialintelligenceact.eu/article/43/) gangbaar.

Een vendor die op alle 8 punten een specifiek, gedocumenteerd antwoord geeft, is voorbereid op 2 augustus. Een vendor die op 3 of meer punten "we zijn ermee bezig" zegt, is dat niet. Een vendor die de vragen probeert om te draaien naar "vertrouw ons gewoon" — die past sowieso niet bij een hoog-risico AI-context.

Drie scenario's: waar gaat het mis

Om de checklist concreter te maken: drie reële scenario's die in 2026 problemen geven.

Scenario A: vendor zonder bruikbare audit log. Je vendor logt wel iets, maar het is niet per agent-actie traceerbaar — meer een algemeen activity-log. Een kandidaat dient een GDPR-verzoek in om te begrijpen waarom zijn sollicitatie niet doorging, en je kunt de specifieke beslissing niet reconstrueren omdat de logs niet de redenering bevatten. Article 12 van de EU AI Act + Article 22 GDPR samen: tweevoudige overtreding. De vendor zegt "we hebben het ergens vastgelegd"; de toezichthouder vraagt om de specifieke beslissing van die kandidaat. Actie: vraag bij vendor-evaluatie om een live audit-log demo van een echte beslissing, niet om een generieke screenshot.

Scenario B: vendor verkoopt "autonomous shortlisting" zonder Article 22-documentatie. De marketing-pagina belooft dat het systeem "automatisch shortlists genereert" en "rejection-mails verstuurt". Onder de motorkap is er geen meaningful menselijke tussenkomst — een recruiter ziet het lijstje misschien, maar er is geen documentatie dat hij elke afwijzing daadwerkelijk heeft beoordeeld. Eerste klacht van een afgewezen kandidaat onder GDPR Article 22 wordt een onderzoek. Actie: vraag de vendor om de specifieke flow te tekenen waarop een afwijzing wordt verzonden — welke stappen, welke menselijke beslissing, welke documentatie. Als die flow geen aantoonbare menselijke beoordeling bevat, is het systeem niet inzetbaar voor afwijzingen.

Scenario C: vendor zonder embedding-laag bias-controle. Het matching-systeem haalt protected attributes weg uit de output, maar gebruikt ze impliciet via gecorreleerde features — postcode die feitelijk samenvalt met etniciteit, opleidingsroute die samenvalt met sociaaleconomische achtergrond. Article 10 van de Act vraagt expliciet om bias-mitigatie op data-niveau, niet alleen op output-niveau. Een klacht over indirecte discriminatie bij het College voor de Rechten van de Mens, of een audit van de Autoriteit Persoonsgegevens, vindt dit relatief snel. Actie: vraag specifiek hoe protected attributes uit de embeddings worden uitgesloten, en hoe het systeem op indirecte bias wordt gemonitord. "Wij gebruiken geen geslacht in onze matching" is geen antwoord op die vraag.

Het patroon in alle drie: het is niet de afwezigheid van AI-veiligheid die het probleem geeft, het is de afwezigheid van aantoonbare AI-veiligheid. De Act draait op documentatie en herleidbaarheid. Een vendor die het goed doet maar dat niet kan tonen, helpt jou na 2 augustus niet.

Hoe Simply dit invult

Het volgende is hoe Simply de bovenstaande 8 punten in praktijk implementeert — niet als pitch, maar als referentie van wat compliant er onder de motorkap uitziet. Andere vendors kunnen dezelfde of betere oplossingen hebben; gebruik de checklist op iedereen.

Punt 1-2 (risk management + audit log): Simply logt elke agent-actie met correlation ID door de hele stack — van de transcriptie van een gesprek, via de extractie van datapunten, tot de matching-beslissing en de uiteindelijke CRM-update. Per actie zijn input, output en redenering opvraagbaar. Risk-management documentatie is gekoppeld aan onze enterprise security en ISO-27001 certificering.

Punt 3-4 (uitlegbaarheid + bias-bescherming): De transparantie-laag maakt elke conclusie klikbaar terug naar de bron — een score van 78 voor een kandidaat is uitsplitsbaar in skills 91% (Java, Spring, AWS — alle drie expliciet in profiel), ervaring 78%, locatie 100%, met klikbare verwijzing naar de exacte CV-velden of transcript-zinnen waarop het gebaseerd is. Protected attributes hebben embedding_weight=0 in de matching-cascade — ze beïnvloeden de scoring niet, ook niet indirect via de embeddings. De 4-staps matching cascade is bewust deterministisch in de kern, met een LLM die hooguit 10% mag bijsturen — dat maakt de uitleg reproduceerbaar.

Punt 5 (confirmation gates): Acties die geld, tijd of reputatie kosten — een e-mail naar een kandidaat, een agendablok bij een hiring manager, een wijziging in een CRM-veld — vragen om expliciete bevestiging. Dat is de standaard, geen toggle.

Punt 6-7 (data governance + incident reporting): Klant-data wordt strikt gescheiden gehouden, training is per-tenant en niet vermengd. Het 72-uurs incident-reporting proces is gedocumenteerd en gekoppeld aan onze interne security-procedures.

Punt 8 (conformiteitsbeoordeling): Simply doorloopt de interne assessment-route onder Article 43 voor recruitment-AI, met documentatie die per klant op verzoek deelbaar is.

Voor de bredere compliance-context: zie enterprise security en ISO-27001 en de transparantie-laag van Simply. En voor de Simply-specifieke uitwerking van hoe deze stack in een dagelijkse recruitment-workflow werkt: Simply Ask & Matching deep-dive.

Het punt is niet dat Simply de enige is die dit goed kan. Het punt is dat deze 8 punten haalbaar zijn — en dat een vendor die ze niet kan tonen, niet "te streng beoordeeld" wordt maar gewoon achterloopt op een wettelijke deadline die over drie maanden actief is.

Remo Vloet
Remo Vloet

Co-Founder Simply

Remo Vloet is co-founder van Simply, het AI-platform dat recruitment teams helpt met agentic AI, geautomatiseerde gespreksverwerking, CV-parsing en intelligente kandidaat-matching. Met een achtergrond in het bouwen van complexe software draagt hij bij aan de technische visie achter Simply's AI-recruitmenttechnologie.

LinkedIn