AI-systemen die worden gebruikt voor rekruteringsscreening, kandidaatscoring, prestatiebeoordeling van medewerkers, taakverdeling of beslissingen over promotie en beëindiging worden geclassificeerd als hoog-risico op grond van Bijlage III, punt 4 van Verordening (EU) 2024/1689. Die classificatie leidt tot verplichte gegevensbeheervereisten op grond van artikel 10, waaronder een onderzoek van trainingsgegevenssets op bias die grondrechten kan schaden of tot discriminatie kan leiden. In deze gids wordt uitgelegd wat een biasaudit moet omvatten en wie waarvoor verantwoordelijk is.
Waarom biasaudit verplicht is voor HR-AI
Bijlage III, punt 4 van de EU AI Act noemt de volgende hoog-risico-AI-systemen in de arbeidscontext:
- AI die wordt gebruikt voor rekrutering of selectie van natuurlijke personen, in het bijzonder voor het adverteren van vacatures, het screenen of filteren van sollicitaties, en het evalueren van kandidaten tijdens interviews of tests.
- AI die wordt gebruikt voor beslissingen die van invloed zijn op arbeidsvoorwaarden, promotie of beëindiging van arbeidscontractuele relaties.
- AI die wordt gebruikt voor het toewijzen van taken op basis van individueel gedrag of persoonlijke kenmerken of eigenschappen.
- AI die wordt gebruikt voor het monitoren en evalueren van prestaties en gedrag van personen in arbeidsrelaties.
Voor aanbieders van deze systemen vereist artikel 10 dat trainings-, validatie- en testgegevenssets worden onderzocht "met het oog op mogelijke biases die de gezondheid, veiligheid of grondrechten kunnen aantasten of kunnen leiden tot discriminatie die verboden is op grond van het Unierecht, met name wanneer gegevensuitvoer de invoer voor toekomstige operaties beïnvloedt" (artikel 10(2)(f)). Dit is een verplichting om bias op te sporen, te meten en te documenteren, niet slechts om te verklaren dat het systeem eerlijk is.
Voor gebruiksverantwoordelijken vereist artikel 26(4) dat wanneer een gebruiksverantwoordelijke controle heeft over invoergegevens, hij ervoor moet zorgen dat die gegevens relevant en voldoende representatief zijn voor het beoogde doel. Dit breidt de kwaliteitsverplichting inzake bias uit naar de eigen gegevenspijplijn van de gebruiksverantwoordelijke.
Toepassingsdatum
Hoog-risicoverplichtingen, waaronder artikel 10 en artikel 26, zijn van toepassing vanaf 2 augustus 2026. De voorlopige politieke overeenkomst van het Digital Omnibus (7 mei 2026 — nog niet aangenomen of gepubliceerd in het Publicatieblad) stelt voor de zelfstandige Bijlage III-hoog-risicoverplichtingen voor reeds op de markt gebrachte systemen uit te stellen tot 2 december 2027. Tot de formele aanneming blijft 2 augustus 2026 de bindende datum.
Het vierstappenproces voor biasaudit
- Definieer beschermde kenmerken. Identificeer de kenmerken die worden beschermd op grond van het toepasselijke antidiscriminatierecht — op EU-niveau omvatten deze geslacht, rassiale of etnische afkomst, godsdienst of overtuiging, handicap, leeftijd en seksuele geaardheid (Richtlijnen 2000/43/EG en 2000/78/EG). Voeg nationaliteit en vergelijkbare kenmerken toe die worden beschermd op grond van nationaal recht. De audit moet de onderzochte kenmerken benoemen; een generieke "eerlijkheidsbeoordeling" zonder gespecificeerde kenmerken voldoet niet aan artikel 10.
- Meet disparate impact. Kies maatstaven die passen bij uw gebruik: statistische pariteit (gelijke uitkomstpercentages voor alle groepen), gelijke kansen (gelijke percentages echte positieven voor gekwalificeerde kandidaten) of de disparate impact-ratio. De vier-vijfde-regel van de US EEOC (een selectiepercentage onder 80 % van de groep met het hoogste percentage geeft aanleiding tot nader onderzoek) wordt veel gebruikt als benchmark en wordt aangehaald in EU-toezichtsguidance. Documenteer de gekozen maatstaf, de gebruikte drempelwaarde en de daadwerkelijk gemeten ratio's per beschermde groep. Documenteer de methode, niet alleen het resultaat.
- Voer audit uit per modelversie en gegevenssetmomentopname. Biaseigenschappen zijn niet stabiel over hergetrainde versies. Elke audit moet zijn gekoppeld aan een specifieke modelversie-ID, de gegevenssetmomentopname die is gebruikt voor training of testen, en de beoogde operationele context. Dit creëert een artefact dat kan worden vergeleken over versies heen en op verzoek aan een toezichthouder kan worden gepresenteerd.
- Mitigeer en documenteer resterende risico's. Wanneer bias wordt gevonden, pas dan mitigatie toe: het herbalanceren van gegevenssets, het verwijderen van proxy's voor beschermde kenmerken, het aanpassen van beslissingsdrempels of het beperken van de kenmerkenset (feature ablation). Resterend risico dat niet volledig kan worden gemitigeerd, moet expliciet worden vermeld in de technische documentatie van Bijlage IV en in de gebruiksaanwijzing voor gebruiksverantwoordelijken.
Verantwoordelijkheden van aanbieder versus gebruiksverantwoordelijke
- Aanbieder (artikel 10, artikel 43, Bijlage IV): Voert biasonderzoek uit van trainings- en testgegevenssets; neemt biasstatistieken (nauwkeurigheid, robuustheid, discriminatiemaatstaven per Bijlage IV, punt 2(g)) op in technische documentatie; documenteert bekende beperkingen in de gebruiksaanwijzing; ondergaat conformiteitsbeoordeling voordat het systeem op de markt wordt gebracht.
- Gebruiksverantwoordelijke (artikelen 26(4), 26(6), 26(7)): Verifieert de relevantie en representativiteit van invoergegevens voor zover de gebruiksverantwoordelijke daarover controle heeft (art. 26(4)); bewaart automatisch gegenereerde logboeken door het systeem gedurende ten minste 6 maanden (art. 26(6)); informeert werknemers en werknemersvertegenwoordigers vóór de inzet van het systeem op de werkplek (art. 26(7)); wijst een bevoegde menselijke toezichthouder aan met autoriteit om de AI-uitvoer te negeren (art. 26(2)).
Wanneer de audit te herhalen
- Na elke wezenlijke wijziging in het model (hertraining op materieel andere gegevens, nieuwe architectuur, wijziging van het beoogde doel).
- Bij uitbreiding naar een nieuwe geografische markt of nieuwe beroepscategorie, omdat de verdeling van beschermde kenmerken in de sollicitantenpool kan verschillen.
- Wanneer postmarktmonitoringgegevens (art. 72) of ernstige-incidentrapporten (art. 73) onverwachte disparate-impact-patronen in de productie signaleren.
- Minimaal jaarlijks voor hoog-risicosystemen die doorlopend worden gebruikt.
Interactie met de AVG
Een biasaudit die aantoont dat het systeem proxy's gebruikt voor bijzondere categorieën persoonsgegevens (bijv. kenmerken die sterk correleren met gezondheidsstatus, godsdienst of rassiale afkomst) kan een verplichting tot het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) op grond van AVG artikel 35 triggeren, die afzonderlijk vereist is wanneer geautomatiseerde verwerking juridische of vergelijkbaar significante gevolgen heeft. Gebruiksverantwoordelijken die een HR-AI-systeem gebruiken binnen de reikwijdte van geautomatiseerde besluitvorming op grond van AVG artikel 22 moeten ook in staat zijn zinvolle informatie te verstrekken over de betrokken logica en menselijke toetsing aan te bieden.
Bewijscontrolelijst voor gebruiksverantwoordelijken
- Door leverancier verstrekte technische documentatie van Bijlage IV of samenvatting, inclusief biasstatistieken.
- Registratie van de invoergegevenskwaliteitscontrole van de gebruiksverantwoordelijke op grond van art. 26(4): welke gegevens, relevantietoetsing, resultaat.
- Registratie van werknemersnotificatie: datum, methode, ontvangergroep (art. 26(7)).
- Bevestiging van logboekbewaring: systeem, bewaarperiode, toegangscontroles (art. 26(6)).
- Aanwijzing van menselijk toezicht: benoemde verantwoordelijke persoon, bekwaamheidsbewijs, negatieprocedure (art. 26(2)).
- Postmarktmonitoringplan: hoe biasdrift in de productie wordt gedetecteerd (art. 72).
Sancties
Niet-naleving van hoog-risico-gebruiksverantwoordelijkenverplichtingen wordt gesanctioneerd op grond van artikel 99(4) met administratieve boetes van maximaal EUR 15 000 000 of 3 % van de totale wereldwijde jaarlijkse omzet, afhankelijk van welk bedrag hoger is. Voor kmo's en start-ups past artikel 99(6) het laagste van de twee bedragen toe.
Gerelateerde EU-gidsen
- EU AI Act voor rekruteringsAI
- Gegevensbeheer — artikel 10
- Controlelijst voor gebruiksverantwoordelijken — artikel 26
- AI-gebaseerde medewerkerevaluatie op grond van de EU AI Act
- Menselijk toezicht — artikel 14
Bronnen
- Regulation (EU) 2024/1689, Articles 10, 26, 43, 72, 73, 99, Annex III(4), Annex IV — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
- Council Directive 2000/43/EC (racial equality) and Directive 2000/78/EC (employment equality) — EUR-Lex: eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32000L0043
- Regulation (EU) 2016/679 (GDPR), Articles 22, 35 — EUR-Lex: eur-lex.europa.eu/eli/reg/2016/679/oj
Opmerking: De biasauditvereisten van de AI Act zijn vastgesteld op het niveau van beginselen; de specifieke statistische methoden en drempelwaarden zijn niet voorgeschreven in de Verordening. Het toepassen ervan vereist deskundige oordeelsvorming. PowerQuant levert software en documentatie voor gebruik in uw interne complianceproces — geen juridisch advies.