Verordening (EU) 2024/1689 (EU AI-verordening) en Verordening (EU) 2016/679 (AVG) zijn gelijktijdig en onafhankelijk van toepassing. Naleving van de ene is niet voldoende voor naleving van de andere. Voor HR-gebruiksverantwoordelijken die AI-systemen inzetten voor werving, prestatiebeoordeling of personeelsmonitoring, overlappen de twee kaders op manieren die gecoördineerde complianceplanning vereisen. Deze gids brengt de belangrijkste raakvlakken in kaart.
De twee kaders zijn gelijktijdig van toepassing
De preambule van de EU AI-verordening (overweging 9) verduidelijkt dat de verordening geen afbreuk doet aan het Unierecht inzake de bescherming van persoonsgegevens, in het bijzonder de AVG en de Richtlijn Gegevensbescherming Opsporing en Vervolging. AVG-toezichthouders behouden volledige bevoegdheid over de verwerking van persoonsgegevens. Markttoezichtautoriteiten voor de AI-verordening houden toezicht op productveiligheid en nalevingsverplichtingen uit hoofde van de AI-verordening. Beide mogen hetzelfde incident onderzoeken.
Voor HR-AI-gebruiksverantwoordelijken betekent dit dat één AI-wervingssysteem tegelijkertijd kan vereisen: een rechtsgrond uit hoofde van AVG artikel 6, een DPIA uit hoofde van AVG artikel 35, een waarborg uit art. 22, een instructiedocument voor gebruik (art. 13) onder de AI-verordening, een kennisgeving aan werknemers (art. 26(7)) en een logboekbewaarbeleid (art. 26(6)). Deze verplichtingen zijn niet uitwisselbaar.
AVG artikel 22 en EU AI-verordening artikel 26 — geautomatiseerde besluitvorming
AVG artikel 22 geeft betrokkenen het recht om niet onderworpen te zijn aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit, inclusief profilering, dat rechtsgevolgen voor hen heeft of hen anderszins in aanmerkelijke mate treft. De definitie van "uitsluitend geautomatiseerd" is eng: een medewerker die een AI-aanbeveling slechts bevestigt zonder die werkelijk te beoordelen, voldoet niet aan de waarborg van artikel 22.
EU AI-verordening artikel 26(2) vereist afzonderlijk dat gebruiksverantwoordelijken van hoog-risico AI-systemen menselijk toezicht toewijzen aan personen met de nodige competentie, opleiding en bevoegdheid om de uitvoer van het systeem te negeren. Een persoon die werkelijk in staat is de AI-aanbeveling te bevragen en te negeren, voldoet doorgaans ook aan de norm "zinvolle menselijke beoordeling" van AVG artikel 22.
- AVG art. 22(2)(b) staat uitsluitend geautomatiseerde beslissingen toe als de betrokkene uitdrukkelijke toestemming heeft gegeven — maar hierop is in een arbeidscontext moeilijk te vertrouwen wanneer toestemming zelden vrijelijk wordt gegeven.
- AVG art. 22(2)(a) staat dergelijke beslissingen toe voor zover ze noodzakelijk zijn voor het sluiten of de uitvoering van een overeenkomst — wat een hoge drempel stelt; argumenten van gemak of efficiëntie zijn onvoldoende.
- Ongeacht de grond van art. 22, moet de betrokkene zinvolle informatie ontvangen over de gehanteerde logica, het belang en de verwachte gevolgen, alsmede het recht op menselijke tussenkomst en het recht om het besluit te betwisten (art. 22(3)).
AVG artikel 35 DPIA en grondrechtenbeoordeling van de EU AI-verordening
Een gegevensbeschermingseffectbeoordeling (DPIA) uit hoofde van AVG artikel 35 is verplicht wanneer de verwerking waarschijnlijk een hoog risico inhoudt voor natuurlijke personen, ook wanneer systematische en uitgebreide evaluatie van persoonlijke aspecten via geautomatiseerde verwerking wordt gebruikt om beslissingen te nemen die rechtsgevolgen of vergelijkbare significante gevolgen hebben. HR-AI-systemen die vallen onder Bijlage III van de EU AI-verordening voldoen doorgaans aan deze drempel.
Het conformiteitsbeoordelings- en post-marktbewakingskader van de EU AI-verordening (artikelen 43 en 72) overlapt functioneel met een DPIA maar vervangt die niet. De meest efficiënte aanpak is één geïntegreerde beoordeling die zowel de risikovragen van de AI-verordening (technisch, beoogd doel, voorzienbaar misbruik) als de gegevensbeschermingsvragen van de AVG (rechtsgrond, dataminimalisatie, bewaartermijn, rechten) behandelt. De uitkomst moet twee afzonderlijke records opleveren (DPIA voor de AVG; risicobeoordelingsdossiers voor de AI-verordening), afgeleid van dezelfde beoordelingsexercitie.
AVG artikel 9 bijzondere categorieën persoonsgegevens en EU AI-verordening artikel 10
AVG artikel 9 verbiedt de verwerking van bijzondere categorieën persoonsgegevens — gezondheid, biometrische gegevens gebruikt voor unieke identificatie, ras of etnische afkomst, godsdienst, vakbondslidmaatschap, politieke opvattingen, genetische gegevens, seksueel gedrag of seksuele geaardheid — behalve onder specifieke voorwaarden. Artikel 9(2)(b) staat verwerking toe wanneer dit noodzakelijk is voor verplichtingen en rechten op het gebied van arbeidsrecht, met passende waarborgen.
EU AI-verordening artikel 10(5) staat het gebruik van bijzondere categorieën persoonsgegevens toe voor het uitsluitende doel van het opsporen en corrigeren van vooringenomenheid in hoog-risico AI-systemen, op voorwaarde dat passende waarborgen voor de grondrechten en fundamentele vrijheden van natuurlijke personen zijn getroffen. Dit is een smalle onderzoeksuitzondering en heft AVG artikel 9 niet op — de gebruiksverantwoordelijke moet ook afzonderlijk voldoen aan een AVG-grond art. 9(2). De toestemming van artikel 10(5) strekt zich ook niet uit tot het gebruik van beschermde kenmerken als modelinvoer.
Dataminimalisatie: AVG artikel 5 vs. EU AI-verordening artikel 10
AVG artikel 5(1)(c) vereist dat persoonsgegevens toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden (dataminimalisatie). EU AI-verordening artikel 10(3) vereist dat trainingsgegevens relevant en representatief zijn en, voor zover mogelijk, vrij van fouten en volledig. Beide beginselen wijzen in dezelfde richting: gebruiksverantwoordelijken mogen AI-systemen niet voorzien van persoonsgegevens die niet nodig zijn voor het opgegeven doel.
Een praktische implicatie: als het systeem van een leverancier ruwe cv's verwerkt inclusief vrije-tekstvelden die beschermd-kenmerk-informatie kunnen bevatten (naam die etnische afkomst aangeeft, adres dat sociaaleconomische achtergrond aangeeft), heeft de gebruiksverantwoordelijke zowel een verplichting inzake vooringenomenheidrisico onder de AI-verordening (art. 10(2)(f)) als een AVG-blootstelling aan dataminimalisatie en bijzondere categorieën te beheren.
Transparantie: EU AI-verordening artikel 50 en AVG artikelen 13–14
AVG artikelen 13 en 14 vereisen van verwerkingsverantwoordelijken dat zij betrokkenen bij het verzamelen van gegevens informeren over geautomatiseerde besluitvorming en profilering. EU AI-verordening artikel 50 vereist dat gebruiksverantwoordelijken vanaf 2 augustus 2026 AI-interactie bekendmaken aan gebruikers.
In de praktijk moet een HR-gebruiksverantwoordelijke die een werving-chatbot inzet, beide openbaarmakingsverplichtingen combineren in één gebruikersgerichte kennisgeving. De AVG-kennisgeving moet het bestaan van profilering omvatten en de AI-verordening-bekendmaking moet het feit omvatten dat de gebruiker met een AI-systeem in interactie is. Deze kunnen in één communicatie worden samengevoegd als alle vereiste elementen van elk kader aanwezig zijn.
Vergelijking bewaartermijn- en logverplichtingen
- AVG opslagbeperking (art. 5(1)(e)): Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel. Voor HR-AI betekent dit doorgaans dat sollicitantgegevens die niet zijn gebruikt voor een aanwervingsbeslissing binnen korte termijn worden verwijderd (vaak 6 maanden op grond van nationaal arbeidsrecht).
- Logbewaarplicht EU AI-verordening (art. 26(6)): Door het AI-systeem automatisch gegenereerde logs moeten gedurende minimaal 6 maanden worden bewaard. Deze logs kunnen persoonsgegevens bevatten (invoer en uitvoer van het AI-systeem voor individuele sollicitanten of medewerkers).
- Afstemming: De gebruiksverantwoordelijke moet de AI-logs 6 maanden bewaren, ook als de algemene HR-bewaartermijn korter is. De logs moeten worden beveiligd, duidelijk worden geclassificeerd als compliancedossiers en worden gedocumenteerd in het Verwerkingsregister (ROPA) uit hoofde van AVG artikel 30.
Wie houdt toezicht op wat
- AVG-naleving wordt gecontroleerd door nationale gegevensbeschermingsautoriteiten (DPA's). Bij grensoverschrijdende verwerking is het leidende-toezichthouder-mechanisme uit hoofde van AVG Hoofdstuk VII van toepassing.
- EU AI-verordening-naleving wordt gecontroleerd door nationale markttoezichtautoriteiten (MSA's) aangewezen op grond van artikel 70. In sommige lidstaten is de DPA aangewezen als MSA of co-autoriteit voor HR-AI-systemen. Dit kan leiden tot gezamenlijke onderzoeken.
- Het AI-Bureau (een Commissie-orgaan) heeft toezicht op GPAI-modellen en coördineert grensoverschrijdende handhaving van de AI-verordening.
Bewijs-overzicht gecombineerde naleving
- ROPA-vermelding van het AI-systeem als verwerkingsactiviteit (AVG art. 30).
- DPIA (AVG art. 35) voor HR-AI-systemen die rechtsgevolgen of significante gevolgen produceren.
- Art. 22-waarborg: AVG-rechtsgrond, menselijke-beoordelingsprocedure en respons op rechten van betrokkenen.
- AI-inventarisatievermelding: classificatie, Bijlage III-status, leverancier, beoogd doel (EU AI-verordening art. 26 + art. 4).
- Kennisgevingsdossier werknemers (art. 26(7)).
- Logbewaarprotocol art. 26(6) gedocumenteerd in ROPA.
- Art. 4 AI-geletterdheidsbeleid omvattende gegevensbeschermingsaspecten van AI-gebruik.
- Artikel 50 bekendmakingstekst voor chatbot of AI-gegenereerde uitvoer, verwijzend naar AVG art. 13/14-kennisgeving.
Gerelateerde EU-handleidingen
- AI-vertekening-audit voor HR-systemen
- AI-gebaseerde werknemersprestatiebeoordeling onder de EU AI-verordening
- Artikel 50 transparantie — handleiding voor gebruiksverantwoordelijken
- Logboekverplichtingen — artikel 12
- NIS2 voor HR-systemen
Bronnen
- Verordening (EU) 2024/1689 (EU AI-verordening), artikelen 10, 26, 50, 70, 72, Bijlage III — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
- Verordening (EU) 2016/679 (AVG), artikelen 5, 6, 9, 13, 14, 22, 30, 35 — EUR-Lex: eur-lex.europa.eu/eli/reg/2016/679/oj
- Europees Comité voor gegevensbescherming — Richtlijnen geautomatiseerde besluitvorming: edpb.europa.eu
Opmerking: AVG-verplichtingen worden gehandhaafd door nationale DPA's en kunnen in interpretatie verschillen per lidstaat. Deze gids weerspiegelt de tekst op EU-niveau; nationaal arbeidsrecht kan aanvullende vereisten opleggen. PowerQuant levert software en documentatie voor gebruik in uw interne complianceproces — geen juridisch advies.