AI-verordening en personeelsbeleid: Wat CHRO’s moeten weten

De EU AI-verordening is geen toekomstmuziek meer, maar is al van kracht. Wie de AI-verordening wil begrijpen en correct wil toepassen binnen HR, moet rekening houden met directe impact op workforce-operaties. Als u werknemers in de EU in dienst heeft, is deze van toepassing op uw workforce-operaties, ongeacht waar uw bedrijf gevestigd is.

Voor de meeste Chief Human Resources Officers vindt het gesprek rond compliance vandaag voornamelijk plaats binnen legal en IT. Binnen HR zitten de hoogste risicocategorieën van de AI Act: AI gebruik in recruitment, prestatie-evaluatie, taakverdeling en toezicht op werknemers. Dit maakt het noodzakelijk om expliciet AI-regels voor personeel te definiëren.

Het risico op een governancekloof is aanzienlijk. De meeste organisaties hebben AI-gedreven tools geleidelijk opgebouwd, leverancier per leverancier, contractverlenging per contractverlenging, zonder in kaart te brengen welke systemen daadwerkelijk invloed hebben op personeelsbeslissingen en of ze voldoen aan de vereisten van de AI-verordening. Bovendien hebben de meeste organisaties AI-gedreven tools opgebouwd zonder expliciet kader. Hierdoor ontstaat een noodzaak om een duidelijk AI-beleid op te zetten. Dat heeft gezorgd voor een fragmentatie van het landschap, de verantwoordelijkheid voor compliance verschuift echter niet naar uw softwareleverancier. Als een tool impact heeft op uw medewerkers, ligt de verantwoordelijkheid bij uw organisatie.

Zelfs wanneer AI nog in pilotfase zit, kan compliance niet wachten. HR moet daarom ook actief werken aan AI-beleid voor werkgevers dat verder gaat dan losse tools of initiatieven. In deze gids bekijken we wat CHRO’s die globale workforces beheren moeten begrijpen over de EU AI Act, en welke acties nu nodig zijn.

Waarom uw Europese headcount uw complianceverplichtingen bepaalt

De EU AI-verordening vertrekt vanaf een risico-gebaseerd classificatiesysteem. Bovenaan dat raamwerk bevindt zich een categorie AI-toepassingen die als “hoog risico” worden bestempeld. Voor deze systemen gelden de strengste vereisten op vlak van governance, documentatie en toezicht, zowel vóór als tijdens de inzet.vertrekt vanaf een risico-gebaseerd classificatiesysteem. Bovenaan dat raamwerk bevindt zich een categorie AI-toepassingen die als “hoog risico” worden bestempeld. Voor deze systemen gelden de strengste vereisten op vlak van governance, documentatie en toezicht, zowel vóór als tijdens de inzet.

Binnen die hoog-risicocategorie is HR een van de meest vertegenwoordigde domeinen. De AI Act heeft het specifiek over AI die wordt gebruikt voor rekrutering en kandidaatselectie, evaluatie van werknemers, taakverdeling en monitoring op de werkvloer. Voor internationale ondernemingen dekt dat een aanzienlijk deel van de volledige HR tech stack.

Het extraterritoriale karakter van de verordening wordt daarbij vaak onderschat. De regelgeving is namelijk niet afhankelijk van waar uw bedrijf gevestigd is, maar van waar uw werknemers zich bevinden. Heeft u dus medewerkers of contractoren binnen de EU, dan is de AI-verordening van toepassing op de manier waarop AI-systemen met hen interageren. De basis is de interactie, dit is dus ook van toepassing wanneer die HR-systemen volledig buiten Europa zijn aangekocht, geconfigureerd of beheerd worden. Dat betekent dat organisaties hun bestaande workflows moeten herzien en systematisch HR-processen AI toetsen om te bepalen waar AI-beslissingen beïnvloedt.

Hoewel AI-wetgeving zich op nationaal niveau verder zal blijven ontwikkelen samen met de technologie, gaat het hier niet om een toekomstige compliance-oefening. De verplichtingen voor hoog-risico AI worden nu al gefaseerd ingevoerd. Het is dus belangrijk om nu al AI-wetgeving te vertalen naar HR. Organisaties die wachten op de volledige implementatie om de blootstelling van medewerkers aan AI te analyseren, lopen vandaag al achter. In deze context is het essentieel om de AI-impact op werk beoordelen niet ad hoc, maar structureel te organiseren.

De meest voorkomende misinterpretatie daarbij is dat de implementatie van de AI Act volledig onder de verantwoordelijkheid van legal of IT security valt. Die functies spelen zeker een belangrijke rol, maar de verplichtingen rond transparantie naar werknemers, menselijke controle en verantwoordelijke besluitvorming zorgen ervoor dat HR de eigenaar moet zijn van het governance-model. Geen enkele andere functie beschikt over zowel het mandaat als de context om deze verantwoordelijkheid volledig op te nemen.

Wat de “hoog-risico” classificatie concreet vraagt van HR

Hoog risico wil niet zeggen dat iets verboden is. Wat het wel wil zeggen is dat hoog-risico toepassingen streng gereguleerd en gedocumenteerd moeten worden en onderworpen dienen te worden aan een strikte governance. Voor CHRO’s is het belangrijker om te begrijpen waar dat dat op neerkomt in de praktijk dan het juridische kader te kennen in abstracte termen. De uitdaging daarbij ligt erin om de AI regels voor personeel correct te vertalen naar operationele processen.

Bij HR komen in dat kader 3 functies rechtstreeks te liggen

1. Werknemers moeten geïnformeerd worden wanneer AI gebruikt wordt bij beslissingen die hen beïnvloeden. Dat gaat over beslissingen rond wervingen, evaluaties, promotie-overwegingen en risico-inschattingen rond ontslag. Die meldingsplicht mag overigens geen voetnoot zijn in het handboek van HR, maar moet een bewust en goed gedocumenteerd onderdeel zijn van de inrichting van HR-processen.
2. Werknemers hebben het recht om geautomatiseerde beslissingen aan te vechten. Dat betekent dat organisaties een proces moeten hebben voor het ontvangen, beoordelen en beantwoorden van dergelijke bezwaren. De meeste ondernemingen hebben dit vandaag nog niet, omdat het nooit nodig was. Het opzetten hiervan vereist dat HR definieert hoe menselijke review van een AI-gestuurde beslissing eruitziet, wie verantwoordelijk is en hoe dit wordt vastgelegd.
3. Organisaties moeten aantoonbare “meaningful human oversight” kunnen bewijzen over alle high-risk AI-toepassingen. Het sleutelwoord is aantonen. Beleidsdocumenten waarin staat dat menselijke controle bestaat, zijn niet voldoende.
4. Toezichthouders verwachten bewijs dat die controle consistent gebeurt, ingebouwd is in workflows en auditbaar is.

Onderstaande tabel toont hoe deze domeinen in de praktijk verschuiven voor HR-teams.

Samengevat verplicht deze regelgeving HR om iets te doen wat veel organisaties nog niet hebben ingericht: een volledig overzicht bouwen van waar en hoe AI invloed heeft op personeelsbeslissingen, en daar een structureel governance-kader rond opzetten. Dit vereist niet alleen beleid, maar ook een operationeel kader om HR AI controles inrichten effectief te implementeren. Daarnaast moet elke organisatie zorgen voor het actief personeelsdata AI beschermen, zeker wanneer beslissingen beïnvloed worden door algoritmes. Dat begint met een exacte inventarisatie van de people tech stack en hoe die effectief wordt gebruikt.

Het probleem van leveranciersverantwoordelijkheid

De meeste HR-afdelingen binnen grote organisaties hebben geen expliciete AI-strategie opgebouwd. In de meeste gevallen hebben ze al een people tech stack ontwikkeld, waar AI geleidelijk aan is ingesijpeld. Een ATS heeft bijvoorbeeld zijn matching-algoritme geüpgraded, een performanceplatform heeft predictive analytics toegevoegd en een workforce planning tool begint aanbevelingen te doen op basis van gedragsdata. Elke beslissing lijkt op zichzelf logisch en beperkt qua impact, maar samen creëren ze een AI-footprint waar veel CHRO’s niet langer het overzicht op hebben. Het is belangrijk om de AI-impact op het werk holistisch te kunnen beoordelen.

De EU AI-verordening creëert hierdoor een concreet en urgent probleem voor organisaties met complexe vendor-ecosystemen. De vragen die beantwoord moeten worden zijn op zich eenvoudig, maar het verzamelen van de antwoorden vereist werk dat in veel organisaties nog niet is uitgevoerd.

Om greep te krijgen op het totaalbeeld kan u beginnen met uw team onderstaande vragen te laten beantwoorden over elke tool binnen uw people tech stack. Het kernidee is om AI binnen HR-processen te toetsen.

Over interne systemen:

• Welke tools binnen onze HR- en peopletech stack gebruiken AI en hoe wordt AI hier precies gebruikt?
• Welke van die AI-toepassingen beïnvloeden rechtstreeks beslissingen die impact hebben op werknemers?
• Beschikken we over documentatie van menselijke controle bij AI-gestuurde beslissingen, en hoe ver reikt die historiek?
• Als een toezichthouder een AI-gestuurde aanwervings- of prestatiebeslissing van zes maanden geleden zou opvragen, kunnen we die aantonen?

Over leveranciers:

• Kan elke leverancier bevestigen of hun oplossing onder de hoog-risicocategorie van de EU AI Act valt?
• Kunnen ze documentatie aanleveren over hun eigen compliance-status?
• Gebruiken ze externe subverwerkers of AI-modellen van derde partijen, en vallen die ook binnen de scope van compliance?
• Welke data van onze werknemers wordt gebruikt om AI-modellen te trainen of te verbeteren?

Over de extended workforce:

• Interageren onze AI-tools met contractoren, tijdelijke krachten of andere niet-permanente medewerkers op een manier die hen binnen de scope van de regelgeving brengt?
• Zijn onze processen rond contingent workforce management, inclusief vendor management systemen en managed service providers, meegenomen in onze compliance-analyse zodat die allesomvattend is.
• Voor veel organisaties zullen deze vragen hiaten blootleggen. Niet omdat er geen toezicht is, maar omdat de infrastructuur om beslissingen te documenteren en te bewijzen nog niet bestaat.
• Die infrastructuur moet worden opgebouwd, en precies daar begint de holistische inventarisatie hierboven.

Een actielijst voor de CHRO

De kernverplichtingen voor hoog-risico AI-systemen gelden vanaf augustus 2026, maar sommige zijn vandaag al in werking. Dat is bovendien een kortere voorbereidingstermijn dan het lijkt wanneer u rekening houdt met de tijd die nodig is om uw tools te inventariseren, leveranciers te contacteren en betrekken, effectief governance-processen op te zetten en uw teams op te leiden.

Het gaat dus om een aanzienlijke inspanning in tijd en middelen. Daarom is nu starten essentieel, niet alleen om compliant te zijn, maar ook om uw teams te beschermen tegen regulatory risico’s. Hieronder vindt u hoe u kunt beginnen:

Bouw uw AI-inventaris

Vooraleer er een governance-framework kan worden opgezet, hebt u een volledig en correct overzicht nodig van waar AI uw HR-processen beïnvloedt. Dat betekent dat u verder moet kijken dan de tools die HR zelf heeft aangekocht. Elk systeem dat een impact heeft op workforce-beslissingen, zoals sourcing, screening, assessments, performance management, planning of compensatie, moet worden opgenomen in de inventaris. Daarbij moet ook worden bepaald of de outputs betrekking hebben op EU-kandidaten, werknemers of contingent workers.

Voor elke tool in scope moet minsten vastgesteld worden:

• Wat de tool doet en welke AI-functionaliteiten worden gebruikt
• Welke groepen werknemers worden beïnvloed, inclusief contractoren en interimkrachten
• Welke beslissingen de tool direct of indirect beïnvloedt
• Of die beslissingen vandaag al gedocumenteerde menselijke controle bevatten
• Of de tool onder de hoog-risico classificatie van de AI Act valt

Een belangrijk aandachtspunt dat onmiddellijke actie vereist, los van de bredere planning, is dat bepaalde AI-praktijken op de werkvloer verboden zijn sinds februari 2025. Systemen voor emotieherkenning zijn bijvoorbeeld niet langer toegestaan. Het gaat dan om systemen die proberen de emotionele toestand van kandidaten of werknemers te analyseren tijdens interviews of evaluaties. Ook AI die personen beoordeelt op basis van sociaal gedrag of voorspelde persoonlijke kenmerken is verboden. Als dergelijke functionaliteiten in uw stack aanwezig zijn, moeten ze onmiddellijk worden aangepakt.

De inventaris is ook het moment waarop afstemming met de GDPR cruciaal wordt. De AI Act komt bovenop de GDPR, niet als vervanging. Wanneer uw AI-systeem beslissingen neemt of sterk beïnvloedt met juridische of vergelijkbare impact op individuen, legt GDPR Artikel 22 bijkomende beperkingen op rond betekenisvolle menselijke tussenkomst. Uw datagovernance moet beide kaders tegelijk ondersteunen.

Leveranciersrelaties onder druk zetten

Organisaties mogen niet blind vertrouwen op vendor claims. Leveranciers moeten aantonen dat ze voldoen aan de regelgeving en actief AI-transparantie eisen volgen. De meeste vendors zullen namelijk stellen dat ze compliant zijn, maar zo’n verklaring is onvoldoende. De echte uitdaging ligt er bijgevolg in om dit onafhankelijk te verifiëren en de signalen te herkennen wanneer dat niet zo is.

Begin daarbij met documentatie op te vragen in plaats van gesprekken te voeren. Een leverancier die effectief compliant is, kan dit aantonen met schriftelijke bewijsstukken, zoals:

• Technische documentatie over de training en validatie van hun AI-modellen
• Bias testing resultaten
• Auditsporen die configureerbaar en exporteerbaar zijn

Let in het bijzonder op volgende rode vlaggen:

• De leverancier bevestigt compliance, maar kan niet aangeven met welke bepalingen of kan de ondersteunende documentatie niet aanleveren
• Compliance-informatie zit verstopt in algemene voorwaarden in plaats van actief gedeeld te worden
• Er worden third party AI-modellen of subprocessors gebruikt, maar het is onduidelijk of die onder de AI Act geëvalueerd zijn
• “Human oversight” wordt als feature gepresenteerd in plaats van als configureerbare workflow
• Compliance wordt als een feature beschreven terwijl audit- en documentatiecapaciteiten nog op de roadmap staan

Bij de evaluatie van tools is het cruciaal om prioriteit te geven aan leveranciers die AI-transparantie volgen en dus kunnen aantonen hoe hun modellen zijn getraind en getest, bias testing processen en resultaten transparant delen, human-in-the-loop workflows configureerbaar maken en logging, audit trails en explainability standaard ondersteunen. Dit wordt onder de AI Act de nieuwe baseline voor hoog-risico AI binnen HR.

Zie hoe Deel compliance prioriteit geeft.

Wij bouwen proactieve compliance in alles wat we doen en zijn klaar om grondig getest te worden. Neem een kijkje in ons Trust Center en onze enterprise-grade beveiliging.

Bouw een governance-infrastructuur vóór ze verplicht wordt

De AI Act vereist dat hoog-risico AI-systemen zo ontworpen en gebruikt worden dat effectieve menselijke controle mogelijk is. De personen die deze controle uitvoeren moeten voldoende opgeleid en gekwalificeerd zijn. Daarnaast is er een voortdurende trainingsplicht om compliance te blijven waarborgen. Supervisors moeten bovendien effectief kunnen ingrijpen en beslissingen van het systeem kunnen aanpassen.

Concreet betekent dit dat u vóór augustus 2026 vier dingen operationeel moet maken:

1. Werknemersdisclosure-processen.

Artikel 26(7) van de AI Act verplicht werkgevers al om werknemersvertegenwoordigers te informeren vóór de inzet van hoog-risico AI-systemen. Daarom moet u definiëren hoe uw organisatie AI-gebruik communiceert, wat precies gedeeld wordt en wie verantwoordelijk is voor die communicatie.

2. Human oversight protocollen.

Definieer wat “meaningful human review” concreet betekent binnen uw organisatie. Wie voert de controle uit? Welke beslissingsmacht hebben zij? Hoe wordt die review gedocumenteerd? Een beleidsdocument is niet voldoende; het moet een werkbaar proces zijn.

3. Audit trails en record retention.

AI-systemen moeten logs bijhouden die minstens zes maanden worden bewaard, of langer indien andere EU- of nationale regelgeving dat vereist. Als uw huidige tools die logging niet ondersteunen, moet dit samen met leveranciers worden opgelost.

4. AI-geletterdheid binnen HR.

Volledige compliance voor hoog-risico AI wordt verplicht vanaf augustus 2026. Dat betekent onder meer Data Protection Impact Assessments, technische documentatie en aantoonbare menselijke controle. De teams die hiermee werken moeten dus al lang vóór de deadline begrijpen wat de tools doen, wat de beperkingen zijn en welke wettelijke verplichtingen gelden. Medewerkers moeten AI-Training krijgen en de organisatie moet bepalen hoe AI-beleid wordt gecommuniceerd.

Globale werkvloeren hebben een globale standaard nodig

Voor CHRO’s die workforce management beheren over meerdere regio’s, dwingt de EU AI Act tot een bewuste strategische keuze: ofwel de Europese standaarden wereldwijd toepassen, ofwel werken met een tweeledig compliance-model waarbij EU-werknemers onder strengere AI-regels vallen dan werknemers in andere regio’s.

Tweeledige governance-modellen zijn precies het soort fragmentatie dat enterprise HR-teams al jaren proberen weg te werken. Verschillende disclosure-processen per regio, uiteenlopende toezichtprotocollen per type werknemer en variërende documentatiestandaarden afhankelijk van de contractlocatie. Die complexiteit is moeilijk te auditen, moeilijk vol te houden en nog moeilijker te verdedigen wanneer beslissingen worden uitgedaagd. Een uniforme aanpak van AI beleid voor werkgevers zal governance eenvoudiger en schaalbaarder maken.

De meest verdedigbare aanpak is om de vereisten van de EU AI Act te behandelen als een globale baseline voor AI governance over de volledige workforce. Organisaties die die keuze nu maken en systematisch implementeren, zullen aanzienlijk beter gepositioneerd zijn wanneer andere jurisdicties hun eigen AI governance frameworks uitrollen. De EU AI Act is de eerste uitgebreide AI-regelgeving van deze schaal, maar zeker niet de laatste.

Waarom de CHRO de AI Act-agenda moet trekken

De Europese AI Verordening is een signaal dat AI op de werkvloer voorbij de experimentele fase is. Regelgevers hebben daarbij een duidelijke grens getrokken. Werknemers zijn zich steeds meer bewust dat algoritmes hun carrière beïnvloeden, en bestuursorganen stellen vragen over AI-governance waarop HR niet altijd even voorbereid is.

Wat de uitbouw van een compliance-framework snel duidelijk maakt, is dat gefragmenteerde workforce-infrastructuur een governance risico creëert. Organisaties die hun HR-tech stack hebben opgebouwd via losse vendors, regio per regio, zullen merken dat consistente AI oversight binnen die omgeving aanzienlijk complexer is dan nodig. Dit leidt tot audit trails die niet op elkaar aansluiten, toezichtprotocollen die verschillen per tool en documentatiestandaarden die variëren per land. Het compliance-proces legt die fragmentatie bloot, en die fragmentatie maakt compliance op zijn beurt moeilijker.

Organisaties die het best gepositioneerd zijn om aan de vereisten van de Act te voldoen, zijn degenen die al consolidatie hebben doorgevoerd. Een single global layer of visibility over workforce operations, eigendom van infrastructuur in plaats van een verzameling third parties, en interne compliance-expertise in plaats van een keten van sub-vendors vormen de basis voor schaalbare en beheersbare governance.

Regelgeving zoals de EU AI Act past in een bredere trend van meer en meer accountability voor hoe technologie invloed heeft op werk en mensenlevens. Bedrijven die reageren door hun workforce-infrastructuur te consolideren en HR verantwoordelijkheid te laten nemen voor een AI-governance, bouwen een fundament dat compliance beheersbaar maakt in plaats van chaotisch en dat is cruciaal voor toekomstige AI-regelgeving.

Deel werkt met bedrijven in meer dan 150 landen om workforce operations te beheren door eigen lokale entiteiten en in-house compliance-expertise. Als je de blootstelling van jouw organisatie onder de EU AI Act in kaart brengt, kan dat helpen om te begrijpen hoe dit eruitziet over een globale workforce.

Neem contact op met het team en verken de voordelen van een geconsolideerd systeem.