Wat zijn de AVG-verplichtingen bij het inzetten van AI werving tools?

AI-wervingstools verwerken persoonsgegevens van kandidaten, en dat brengt concrete AVG-verplichtingen met zich mee. Als werkgever ben jij de verwerkingsverantwoordelijke: jij bepaalt het doel, jij draagt de verantwoordelijkheid. De verplichtingen gelden ongeacht of je een eigen recruitmentteam hebt of werkt met een extern platform. Dit artikel beantwoordt de meest gestelde vragen over AVG en AI-recruitment, zodat je precies weet waar je aan toe bent.

Belangrijkste inzichten uit dit artikel:

• AI-wervingstools verwerken een breed scala aan persoonsgegevens en vereisen een geldige AVG-grondslag, zoals een gerechtvaardigd belang of toestemming, voordat je kandidaten mag benaderen.
• Geautomatiseerde besluitvorming bij werving is aan strikte regels gebonden: kandidaten hebben het recht op menselijke tussenkomst en een begrijpelijke uitleg van het proces.
• Transparantie en een sluitende verwerkersovereenkomst zijn geen formaliteiten, maar de kern van AVG-conforme AI-recruitment.

Welke persoonsgegevens verwerken AI-wervingstools precies?

AI-wervingstools verwerken doorgaans naam, contactgegevens, werkervaring, opleiding en online profielinformatie van kandidaten. Afhankelijk van de tool komen daar gedragsdata bij: wie heeft gereageerd, via welk kanaal, hoe snel en met welke inhoud. Dat maakt de dataverzameling breder dan bij een traditionele sollicitatieprocedure.

Concreet gaat het om de volgende categorieën:

• Identificerende gegevens: naam, e-mailadres, telefoonnummer, LinkedIn-profiel
• Professionele gegevens: functietitel, werkgever, vaardigheden, opleiding
• Gedragsdata: openratio van berichten, responsen, klikgedrag in outreach
• Communicatiedata: de inhoud van berichten via LinkedIn, e-mail of WhatsApp
• Rankingdata: scores of prioriteringen die het systeem op basis van profielfit toekent

Bijzondere categorieën persoonsgegevens, zoals gezondheidsgegevens of politieke overtuigingen, mogen AI-wervingstools in principe niet verwerken. Toch is het verstandig om je leverancier expliciet te vragen welke data het systeem ophaalt en opslaat. Niet elke tool maakt dit standaard inzichtelijk.

Platforms die werken vanuit EU-infrastructuur bieden hier een voordeel. Alle verwerking blijft binnen de Europese Economische Ruimte, wat doorgifte naar derde landen en de bijbehorende aanvullende waarborgen voorkomt.

Welke AVG-grondslagen zijn van toepassing op AI-recruitment?

Voor de verwerking van kandidaatgegevens via AI-recruitment zijn drie AVG-grondslagen relevant: gerechtvaardigd belang, toestemming en de uitvoering van een overeenkomst. Welke grondslag van toepassing is, hangt af van de fase in het wervingsproces en de manier waarop kandidaten benaderd worden.

Gerechtvaardigd belang bij actief sourcen

Bij het proactief benaderen van passieve kandidaten, mensen die niet zelf gesolliciteerd hebben, wordt doorgaans gerechtvaardigd belang als grondslag gebruikt. Dat is toegestaan, maar vereist een afweging: het belang van de werkgever bij het vervullen van een vacature moet zwaarder wegen dan het privacybelang van de kandidaat. Die afweging moet je kunnen onderbouwen en documenteren. Relevantie speelt daarin een sleutelrol: benader je iemand voor een functie die aansluit bij zijn of haar profiel, dan is de verwerking eerder proportioneel.

Toestemming bij hergebruik van gegevens

Wil je een kandidaat bewaren voor een toekomstige vacature of hem of haar opnemen in een talentpool, dan is toestemming de juiste grondslag. Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Een vooraf aangevinkt vakje volstaat niet. Kandidaten moeten ook eenvoudig toestemming kunnen intrekken, en dat intrekken moet daadwerkelijk leiden tot verwijdering van de gegevens.

Uitvoering van een overeenkomst bij actieve sollicitanten

Zodra iemand reageert op een vacature en een actieve sollicitatieprocedure ingaat, geldt de uitvoering van een (precontractuele) overeenkomst als grondslag. De verwerking is dan noodzakelijk om de sollicitatie te beoordelen. Deze grondslag is het meest rechtlijnig, maar geldt uitsluitend voor de gegevens die daadwerkelijk nodig zijn voor de procedure.

Wat zijn de regels voor geautomatiseerde besluitvorming bij werving?

Artikel 22 van de AVG verbiedt besluiten die uitsluitend op geautomatiseerde verwerking zijn gebaseerd als die besluiten aanzienlijke gevolgen hebben voor een persoon. Bij werving geldt dit zodra een algoritme zelfstandig bepaalt of iemand wordt afgewezen of doorgestuurd, zonder menselijke tussenkomst.

In de praktijk betekent dit dat een AI-wervingstool kandidaten mag rangschikken, prioriteren en voorstellen, maar dat een mens de uiteindelijke beslissing neemt. Dat is niet alleen een juridische eis, het is ook de juiste manier van werken. Het systeem levert de analyse. De recruiter of hiring manager maakt de keuze.

Kandidaten hebben op grond van de AVG drie rechten bij geautomatiseerde besluitvorming:

1. Het recht op menselijke tussenkomst: een kandidaat kan vragen om de beslissing door een mens te laten heroverwegen.
2. Het recht op uitleg: de kandidaat heeft recht op een begrijpelijke toelichting op de logica achter de geautomatiseerde verwerking.
3. Het recht op bezwaar: de kandidaat kan bezwaar maken tegen de verwerking van zijn of haar gegevens voor profileringsdoeleinden.

Een goed ingericht AI-wervingssysteem maakt de selectielogica transparant voor de gebruiker. Niet als black box, maar als systeem waarbij elke stap zichtbaar is en de mens de beslissende stem houdt.

Hoe lang mogen kandidaatgegevens worden bewaard na een wervingsprocedure?

De AVG schrijft geen vaste bewaartermijn voor kandidaatgegevens voor, maar stelt wel dat gegevens niet langer bewaard mogen worden dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Voor afgewezen kandidaten geldt in Nederland doorgaans een termijn van vier weken na het einde van de sollicitatieprocedure, tenzij de kandidaat toestemming geeft voor langere bewaring.

In de praktijk hanteren veel organisaties de volgende termijnen:

• Afgewezen kandidaten zonder toestemming: vier weken na afronding van de procedure
• Afgewezen kandidaten met toestemming voor talentpool: maximaal één jaar, mits de kandidaat hierover geïnformeerd is
• Aangenomen kandidaten: gegevens gaan over naar het personeelsdossier, met bijbehorende wettelijke bewaartermijnen

Gebruik je een AI-wervingstool die kandidaatgegevens opslaat in een eigen database, dan is het van belang dat het systeem automatisch signaleert wanneer gegevens verwijderd moeten worden. Het handmatig bijhouden van bewaartermijnen over meerdere vacatures en systemen is in de praktijk onhoudbaar.

Wat moet een verwerkersovereenkomst met een AI-wervingstool bevatten?

Een verwerkersovereenkomst (VOK) is verplicht wanneer je een externe partij inschakelt die persoonsgegevens verwerkt namens jouw organisatie. Een AI-wervingstool is altijd een verwerker. De overeenkomst moet minimaal de volgende elementen bevatten, zoals voorgeschreven in artikel 28 van de AVG.

• Onderwerp en duur van de verwerking: welke gegevens worden verwerkt, voor welk doel en hoe lang
• Aard en doel van de verwerking: concreet omschreven, niet open geformuleerd
• Categorieën van persoonsgegevens en betrokkenen: kandidaten, eventueel ook contactpersonen bij opdrachtgevers
• Verplichtingen en rechten van de verwerkingsverantwoordelijke: jij als werkgever bepaalt de instructies
• Beveiligingsmaatregelen: technische en organisatorische maatregelen die de verwerker treft
• Subverwerkers: welke derde partijen de tool inschakelt en onder welke voorwaarden
• Rechten van betrokkenen: hoe de verwerker jou ondersteunt bij inzageverzoeken, correctieverzoeken en verwijderingsverzoeken
• Locatie van verwerking: worden gegevens buiten de EU verwerkt, en zo ja, op welke juridische basis

Let bij het beoordelen van een verwerkersovereenkomst specifiek op de subverwerkers. Veel AI-platforms maken gebruik van Amerikaanse clouddiensten of taalmodellen. Dat kan betekenen dat gegevens buiten de EU worden verwerkt, met alle aanvullende vereisten van dien. Platforms die volledig binnen de EU opereren en AVG-compliant zijn gebouwd, nemen dit risico weg.

Hoe informeer je kandidaten transparant over het gebruik van AI bij werving?

Kandidaten moeten geïnformeerd worden over het gebruik van AI in het wervingsproces voordat hun gegevens worden verwerkt. Die informatieplicht volgt uit de artikelen 13 en 14 van de AVG en geldt zowel voor kandidaten die zelf solliciteren als voor kandidaten die proactief benaderd worden via sourcing.

Transparantie bij AI-recruitment betekent concreet het volgende communiceren:

• Welke persoonsgegevens worden verwerkt en op welke grondslag
• Of er sprake is van geautomatiseerde besluitvorming of profilering
• Hoe lang gegevens worden bewaard
• Bij wie de kandidaat terecht kan met vragen of een verzoek tot inzage of verwijdering
• Of gegevens worden gedeeld met derde partijen

In de praktijk verloopt deze informatie via een privacyverklaring die je meestuurt in het eerste contactmoment. Bij proactieve outreach, een bericht via LinkedIn of e-mail, is het gebruikelijk om een korte verwijzing naar de privacyverklaring op te nemen. Kandidaten hoeven de volledige tekst niet te lezen voordat ze reageren, maar de informatie moet wel eenvoudig toegankelijk zijn.

Transparantie gaat verder dan een juridische verplichting. Kandidaten die begrijpen hoe het proces werkt, reageren vaker en meer betrokken. Een systeem dat laat zien waarom iemand benaderd wordt en hoe beslissingen tot stand komen, bouwt vertrouwen op. Dat is precies de aanpak die Talentix hanteert: elke stap in het proces is zichtbaar, voor zowel de recruiter als de kandidaat.

AVG-compliance bij AI-recruitment is goed te organiseren als je weet waar de verplichtingen zitten. Een heldere grondslag, een sluitende verwerkersovereenkomst, transparante communicatie en bewuste bewaartermijnen vormen samen een solide basis. Wil je weten hoe Talentix dit in de praktijk inricht? Bekijk hoe Blueprint de wervingscyclus structureert met volledige controle voor jouw team.

Laatst bijgewerkt: januari 2026 | Geschreven door het Talentix-team, gebaseerd op de headhunterexpertise van Search X