Een lezer vroeg me:
In ons bedrijf is er geen duidelijk beleid over het gebruik van AI. Initiatieven om de efficiëntie te vergroten worden echter wel aangemoedigd, en in het kader daarvan gebruikt een van mijn collega’s nu bij voorkeur AI om sollicitanten te screenen. Ik ben daar persoonlijk geen voorstander van omdat ik niet weet wat er van die informatie uit de sollicitaties dan bij de AI blijft hangen. Hij claimt dat dit een standaardprocedure is en dat sollicitanten weten dat ze dit tegenwoordig kunnen verwachten en dat we niet in een ‘gevoelige’ sector werken (retail). Hoe zit dit juridisch gezien?Deze vraag is een schoolvoorbeeld van het al langer bestaande concept van ‘shadow IT’, persoonlijke initiatieven om IT-diensten of apps in te zetten voor het werk buiten de officiële kanalen om. Een leuke manier om nieuwe dingen te ontdekken (die best positief voor efficiëntie of omzet kunnen uitpakken) maar ook een manier om keihard tegen deuren aan te lopen.
In dit geval is dat de AI Act, omdat het met AI screenen of beoordelen van sollicitanten hoogrisico is onder die wet. Dat mensen dat zouden moeten weten of dat iedereen dat doet, is daarbij niet relevant. Je krijgt een berg complianceverplichtingen op je dak als organisatie, en je kunt beboet worden als je die niet naleeft. Waar is je bias evaluatie? Welk kwaliteitsbeheersysteem heb je ingericht om te borgen dat prestaties op niveau blijven? Welke vorm van uitleg geef je sollicitanten over de AI-beoordeling?
Uiteraard is er ook nog de AVG, die evenzo wat te zeggen heeft over persoonsgegevens van sollicitanten in third-party tools stoppen zonder op zijn minst een verwerkersovereenkomst met geheimhoudingsbeding. Daarnaast zegt de NVP Sollicitatiecode sinds 2025 dat je duidelijk moet zijn naar de sollicitant toe over AI-gebruik, en dat je tool voldoet aan de AI Act.
Het belangrijkste voor mij is echter dat je als organisatie de consequenties krijgt als een medewerker op die manier eigenzinnig opereert. Daar helpt dan geen “het is maar een individuele keuze” of “de impact op mensen valt mee”. Ik snap de keuze voor zo’n initiatieven-beleid, maar dat moet wel verbonden worden aan begeleiding en controle.
Arnoud
Voor de vraag of het mag (wel, dat is duidelijk niet het geval, dus eerder de vraag: om welke redenen mag het niet?)
Wat is ‘sollicitanten screenen’?
Kijken of ze niet liegen op hun CV? Een score geven hoe goed ze passen bij de cultuur van het bedrijf? Een score geven hoe goed ze passen bij de vacaturetekst? Evalueren welke sterktes en zwaktes ze hebben? Checken op social media of ze geen dingen weggelaten hebben uit hun CV (drugsgebruikend party-animal, of zwanger (hopelijk niet beide tegelijkertijd))?
Ik weet me uit eerder blogs te herinneren dat dat sowieso niet mag, en het lijkt me sterk dat die AI dat NIET (gedeeltelijk) doet.
Altijd een goeie vraag. Meestal komt het neer op “mijn onderbuikgevoel bevestigd krijgen door wat selectief te spitten”. Een cv biedt maar bar weinig échte informatie om zaken als bedrijfscultuur of soft skills te kunnen duiden.
Ik weet niet of privézaken zoals je feestgedrag op een cv horen, en ik twijfel serieus of een werkgever daar wat mee zou moeten. Van werknemers mag je niet testen of ze drugs gebruiken, waarom zou je dat bij sollicitanten wel doen? Het voelt zo’n vals gevoel van veiligheid: iemand kan veranderd zijn, iemand kan de foto’s weggehaald hebben vlak voor de sollicitatie.
Iemand afwijzen omdat je op Facebook leest dat ze zwanger is, is een hele dure grap.
Een CV is inderdaad nauwelijks geschikt voor meer dan een grove eerste selectie. Uiteindelijk moet je toch echt met kandidaten gaan praten, en zelfs dan kan je je daar nog op iemand verkijken. Een gesprek is ook maar een vrij korte opname van dat moment. Ik heb al meerdere keren gehad dat kandidaten met een uitstekend passend CV en een heel goed gesprek de proeftijd niet haalden omdat ze domweg een bepaald niveau niet haalden, ondanks de jarenlange ervaring die op het CV stond.
Iemand afwijzen omdat ze zwanger is, of omdat je je zorgen maakt over iemands privegedrag kan natuurlijk niet. Tenminste, niet officieel, maar in de praktijk is dat natuurlijk super eenvoudig, nauwelijks een ongemak. Je wijst iemand gewoon af wegens een andere reden, er zijn er altijd een paar te bedenken. Een andere kandidaat was een betere match, na het gesprek dachten we dat de andere kandidaat beter in de organisatie zou passen, de kandidaat was overgekwalificeerd, vaardigheid X of Y ontbrak op het CV, en noem het maar op.
De policy die ik wil voorstellen (en ik ook door bedrijven gebruikt heb zien worden) is: We verwerken geen persoonsgegevens, behalve in goed gedefinieerde en intern gereviewde processen. Dat betekent dat zelfgebouwde tools zich over materiële zaken kunnen uitspreken, maar niet over mensen. Dit lijkt me veilig en AVG-compliant.
Dat is inderdaad bij mijn werkgever ook het geval; zelfs de interne AI gereedschappen mogen niet gebruikt worden om persoonsgegevens mee te verwerken, niet van klanten, niet van medewerkers of wie dan ook, en het gebruik van externe AI voor zakelijke toepassingen is ook helemaal verboden. Voor mij als software ontwikkelaar is de verleiding niet zo groot om persoonsgegevens te verwerken (dat doet de software waar ik aan werk wel op productie; testen doen we met gefingeerde persona’s), maar ik kan me voorstellen dat andere afdeling misschien wel eens in die verleiding kan komen.
Klinkt als juristentaal. Denk je werkelijk dat Henk van Sales hier rekening mee houdt als hij een document laat samenvatten door AI?
Dit wordt je bij je onboarding gemeld en dan is er nog een verplichte jaarlijkse herhalingstraining. Als Henk eigenwijs wil zijn dan mag hij, maar riskeert ontslag.
Er is geen algeheel verbod op AI, als Henk de body van een offerte-aanvraag door een AI wil halen (NAW aanvrager niet kopiëren) is daar geen bezwaar tegen. Of vraag een AI het aanbod van de concurrent te analyseren, etc.
Er is een heel simpele oplossing zeker als het gaat om tekst redigeren in plaats van schrijven: Draai lokaal in de organisatie een LLM en de data komt nooit buiten de organisatie en in een trainingset.
Blijft dat je vanuit de AVG een grondslag moet hebben voor geautomatiseerde verwerking van persoonsgegevens. Ook voor verwerking in een lokaal taalmodel. De privacy-afweging bij gerechtvaardigd belang valt natuurlijk wel sneller positief uit.
(Persoonlijk denk ik dat je met een “controleer deze tekst op leesbaarheid B niveau” gerechtvaardigd belang kunt opvoeren, bij lokale verwerking of via een contract geborgde privacy.)
Tja, persoonlijk zie ik bij een lokale LLM het verschil niet tussen de tekst open hebben en de in Word ingebouwde spelling en grammatica controle gebruiken of de LLM.
Als die LLM een geautomatiseerde verwerking is, dan is die in Word ingebouwde check dat ook en is er werkelijk niets wat we doen geen geautomatiseerde verwerking meer, tenzij we het gebruik van Word beperken tot alleen handmatig intypen en corrigeren.
Dat kan gewoon niet de bedoeling zijn en als dat wel het effect is, dan is dat een fout in de wetgeving/richtlijn.
Het is een geautomatiseerde verwerking, maar dat betekent niet dat ‘ie dus verboden is of zo.
Ik was meer getriggerd dat MathFox zegt dat je controle op leesbaarheid als gerechtvaardigd belang op kunt voeren.
Ik zou zeggen dat het feit waarom je de brief aan een persoon stuurt een gerechtvaardigd belang is en dat je dan elke electronische verwerking die je zelf doet om die brief op te stellen hebt onderbouwd. Alleen als je het naar een derde stuurt zal je daarvoor een belang moeten aantonen. Welke tool ik gebruik om een brief te schrijven zou ik niet moeten hoeven onderbouwen als ik het belang/recht heb om die brief te schrijven. Ik hoef ook niet te onderbouwen als ik LibreOffice in plaats van MS Office gebruik om die brief te schrijven.
We draaien een beetje door als het om AI gaat, als het geen model is dat beslissingen neemt is het gewoon een schrijf tool als elke andere.
Je hebt een reden om een persoon een brief te sturen en dat levert je vrijwel altijd een verwerkingsgrond op.
Je hebt rekening met de privacy te houden. Een persoonlijke brief opstellen en publiekelijk toegankelijk in “de cloud” opslaan is niet (zomaar) toegestaan. Wanneer je AI taalcontroleur je volledige brief zonder privacygaranties naar een derde partij stuurt heb je ook iets uit te leggen.Dus ja, maak je niet teveel zorgen over het gebruik van een computer voor je dagelijkse werkzaamheden. Let wel op of je met alle “moderne” cloud features binnen de kaders van de AVG blijft.