Het verhaal van TalentFlow
Hoe een recruitment startup ontdekte dat hun "slimme tool" onder strenge AI-wetgeving viel — en wat ze daaraan deden
Fictief scenario — gebaseerd op realistische situaties
De Aanleiding
Hoe het begon
TalentFlow gebruikte SmartRecruit Pro al twee jaar voor CV-screening. De tool had duizenden sollicitanten verwerkt. Niemand had nagedacht over de AI Act — tot nu.
Met de AI Act deadline in zicht stonden er belangrijke vragen open. Wat als ze niet compliant waren? Wat betekende dat voor hun klanten? En belangrijker: wat betekende het voor de sollicitanten wier carrières door hun algoritme werden beïnvloed?
De e-mail van de juridische afdeling was kort maar alarmerend: "We moeten praten over jullie AI-tool."
De Vragen
Wat moesten ze uitzoeken?
Is SmartRecruit Pro eigenlijk wel een AI-systeem volgens de wet?
Dit was de eerste vraag die het team zichzelf stelde. SmartRecruit Pro was immers "gewoon" software — tenminste, zo hadden ze het altijd gezien. Maar de AI Act hanteert een brede definitie. Het team dook in de wettekst en ontdekte dat elk machine-gebaseerd systeem dat output genereert die invloed heeft op beslissingen — en dat doet op een manier die verder gaat dan simpele als-dan regels — onder de definitie kan vallen.
💡 Het inzicht
SmartRecruit Pro analyseerde CV's met natural language processing, rankte kandidaten op basis van patroonherkenning in historische data, en gaf aanbevelingen die HR-medewerkers vaak zonder veel aanpassing overnamen. Het was geen simpele zoekfunctie. Het was AI.
🌍 Waarom dit ertoe doet
Veel organisaties onderschatten wat er onder de AI Act definitie valt. Een systeem hoeft geen "kunstmatige intelligentie" in de naam te hebben om eronder te vallen. De vraag is: neemt het systeem beslissingen of beïnvloedt het beslissingen op een manier die niet volledig voorspelbaar of verklaarbaar is door simpele regels?
Welk risiconiveau hebben we?
De AI Act werkt met een piramide van risico's. Sommige AI-toepassingen zijn verboden, andere zijn hoog-risico en moeten aan strenge eisen voldoen, weer andere hebben beperkte verplichtingen. TalentFlow moest uitzoeken waar zij vielen. Ze begonnen met het bestuderen van Annex III van de AI Act — de lijst met hoog-risico toepassingen.
💡 Het inzicht
Daar stond het, zwart op wit: AI-systemen die worden gebruikt voor "werving of selectie van natuurlijke personen, met name voor het plaatsen van gerichte vacatures, het analyseren en filteren van sollicitaties, en het beoordelen van kandidaten" zijn hoog-risico. Geen ruimte voor interpretatie.
🌍 Waarom dit ertoe doet
De wetgever heeft bewust gekozen om recruitment-AI als hoog-risico te classificeren. De redenering? Beslissingen over werkgelegenheid hebben verstrekkende gevolgen voor mensen hun leven. Een algoritme dat bepaalt wie wel of niet wordt uitgenodigd voor een gesprek, beïnvloedt carrières, inkomen, en toekomstperspectief. Die impact rechtvaardigt strenge eisen.
Wie is verantwoordelijk — wij of de leverancier?
TalentFlow had SmartRecruit Pro niet zelf ontwikkeld. Ze hadden het ingekocht bij RecruitTech Solutions, een Amerikaans bedrijf. De eerste reactie van het team was: "Dan is dit toch hun probleem?" Maar de AI Act werkt anders. De wet onderscheidt rollen in de AI-waardeketen, en elke rol heeft eigen verplichtingen.
💡 Het inzicht
TalentFlow was geen "provider" (ontwikkelaar), maar een "deployer" (gebruiker). Als deployer van een hoog-risico AI-systeem hadden ze hun eigen set verplichtingen. Ze moesten zorgen voor correct gebruik, menselijk toezicht inrichten, en een fundamental rights impact assessment uitvoeren. De provider had andere verplichtingen — zoals CE-markering en technische documentatie — maar dat ontsloeg TalentFlow niet van hun eigen verantwoordelijkheden.
🌍 Waarom dit ertoe doet
Dit is een veelvoorkomende misvatting. Organisaties denken dat ze "safe" zijn omdat ze AI inkopen in plaats van zelf ontwikkelen. Maar de AI Act is bewust zo ontworpen dat beide kanten van de keten verantwoordelijk zijn. Als deployer kun je je niet verschuilen achter de provider — en vice versa. Samenwerking is essentieel.
Wat moeten we NU doen?
Met de wetenschap dat ze een hoog-risico systeem gebruikten waar ze als deployer verantwoordelijk voor waren, was de volgende vraag: wat nu? Het team maakte een overzicht van de deployer-verplichtingen in de AI Act. Het was een flinke lijst, maar niet onoverkomelijk.
💡 Het inzicht
De kernverplichtingen voor deployers van hoog-risico AI bleken: zorgen dat het systeem correct wordt gebruikt volgens de instructies van de provider, menselijk toezicht organiseren zodat beslissingen nooit volledig geautomatiseerd worden genomen, getroffen personen (sollicitanten) informeren over AI-gebruik, en een fundamental rights impact assessment uitvoeren om risico's in kaart te brengen.
🌍 Waarom dit ertoe doet
Het goede nieuws voor veel organisaties is dat deployer-verplichtingen weliswaar serieus zijn, maar minder omvangrijk dan provider-verplichtingen. Je hoeft niet het hele systeem opnieuw te documenteren — dat is de taak van de provider. Maar je moet wel aantonen dat je bewust en verantwoord met het systeem omgaat.
De Reis
Stap voor stap naar compliance
De wake-up call
Het begon met een vraag van een klant. Een HR-directeur wilde weten of hun recruitment-AI voldeed aan de nieuwe Europese wetgeving. Lisa, CEO van TalentFlow, besefte dat ze het antwoord niet wist. Die avond lag ze wakker. Wat als hun hele businessmodel ineens niet meer mocht?
De inventarisatie
Het team ging om de tafel. Wat deed SmartRecruit Pro precies? Ze maakten een complete mapping: data in, verwerking, data uit. Ze spraken met ontwikkelaars, HR-consultants, en eindgebruikers. Het resultaat was ontnuchterend: het systeem deed veel meer dan ze dachten. En het had veel meer impact dan ze beseften.
De classificatie
Na bestudering van de AI Act werd het duidelijk: recruitment-AI valt onder Annex III. Hoog risico. De wet beschouwt AI die invloed heeft op werkgelegenheid als potentieel ingrijpend — en terecht. Het team realiseerde zich dat dit geen formaliteit was. De wet erkende wat zij zelf wellicht hadden onderschat: dat hun tool levens beïnvloedde.
De rolbepaling
TalentFlow kocht SmartRecruit Pro in van RecruitTech Solutions, een Amerikaans bedrijf. Dat maakte hen "deployer" — de partij die het systeem in de praktijk gebruikt. Met eigen verantwoordelijkheden. Het team moest de deployer-verplichtingen uit de AI Act doorwerken. Sommige waren al gedekt. Andere waren volledig nieuw.
Het gesprek met de leverancier
Een cruciaal telefoontje naar RecruitTech. Had hun systeem de juiste CE-markering? Was er technische documentatie? Het antwoord was: "We zijn ermee bezig." Niet ideaal. TalentFlow besloot schriftelijk vast te leggen welke informatie ze nodig hadden en wanneer. Ze wilden niet afhankelijk zijn van vage toezeggingen.
De fundamentele rechten impact assessment
Als deployer moest TalentFlow een FRIA uitvoeren. Welke rechten van sollicitanten konden in het geding komen? Ze brachten de risico's in kaart. Het recht op non-discriminatie: kon het algoritme bepaalde groepen systematisch benadelen? Het recht op privacy: werden er meer gegevens verwerkt dan nodig? Het recht op een eerlijk proces: hadden afgewezen kandidaten een manier om bezwaar te maken?
De Obstakels
Wat ging er mis?
✗ Uitdaging
De Amerikaanse leverancier reageerde traag op vragen over conformiteit
✓ Oplossing
Schriftelijk vastleggen van verwachtingen en een duidelijke deadline stellen. Escaleren naar management-niveau wanneer nodig.
✗ Uitdaging
Sommige HR-medewerkers zagen de extra controlepunten als bureaucratie
✓ Oplossing
Uitleggen dat het hen beschermt: wanneer een beslissing wordt aangevochten, kunnen ze aantonen dat ze zorgvuldig hebben gehandeld.
✗ Uitdaging
Er waren geen historische logs van waarom de AI bepaalde beslissingen nam
✓ Oplossing
Met de leverancier nieuwe logging implementeren. Voor bestaande beslissingen documenteren wat wel bekend was.
We dachten dat de AI Act een last zou zijn. Het werd een kans om onszelf de vraag te stellen: behandelen we kandidaten echt eerlijk? Het antwoord was niet altijd ja. Nu is het dat wel.
De Lessen
Wat kunnen we hiervan leren?
Begin met begrijpen, niet met paniek
De AI Act klinkt overweldigend, maar begint met simpele vragen: welke AI gebruiken we, en welke impact heeft die op mensen? Vanuit dat begrip volgen de volgende stappen logisch.
Ken je rol in de keten
Als deployer heb je andere verplichtingen dan de provider. Maar negeren is geen optie — je bent verantwoordelijk voor hoe je AI gebruikt, ongeacht wie het heeft gebouwd.
Menselijk toezicht is geen formaliteit
De wet vraagt niet om een handtekening onder AI-beslissingen. Het vraagt om échte menselijke afweging. Dat betekent mensen die begrijpen wat ze beoordelen en de bevoegdheid hebben om de AI te overrulen.
Transparantie bouwt vertrouwen
Kandidaten waarderen het om te weten hoe beslissingen worden genomen. Openheid over AI-gebruik kan een pluspunt zijn — het laat zien dat je zorgvuldig te werk gaat.
Herken je dit verhaal?
Ontdek stap voor stap welke onderdelen van de AI Act op jouw situatie van toepassing zijn.
Ga verder met leren
Ontdek gerelateerde content