Embed AI

HR-AI vendor due diligence: wat moet een ATS of screeningtool bewijzen?

Zahed AshkaraAI Compliance & Governance Advisor
8 minutenHR & recruitment3 mei 2026
HR-AI vendor due diligence: wat moet een ATS of screeningtool bewijzen?

Waarom HR-tech due diligence is veranderd

Een ATS, matchingtool of screeningmodule werd jarenlang beoordeeld alsof het gewone software was. Past het in de workflow? Is de user interface prettig? Kan het koppelen met het HRIS? Wat kost het per recruiter?

Voor AI in recruitment is dat te smal. Zodra software kandidaten rangschikt, sollicitaties filtert, profielen matcht of gedrag van werknemers beoordeelt, raakt het direct aan toegang tot werk. In de AI Act staat dit domein expliciet in Bijlage III punt 4: recruitment en selectie aan de ene kant, personeelsbeheer en arbeidsrelaties aan de andere kant[1].

Dat betekent niet dat elke tool automatisch verboden of onbruikbaar is. Het betekent wel dat een algemene vendorbelofte niet genoeg is. Een HR-team, recruitmentbureau of HR-tech vendor moet kunnen uitleggen wat het systeem doet, welke risico's zijn beoordeeld, welke data zijn gebruikt, hoe bias wordt gemonitord en hoe mensen de uitkomst controleren.

De kernvraag in vendor due diligence verandert dus van "werkt deze tool?" naar: "kunnen wij deze tool aantoonbaar verantwoord gebruiken?"

De vijf bewijsgebieden die u minimaal wilt zien

Een goede HR-AI due diligence kijkt niet alleen naar security en prijs. Voor recruitment- en workforce AI hoort u minimaal vijf bewijsgebieden op te vragen.

1. Scope en classificatie

De vendor moet kunnen uitleggen voor welk doel het AI-systeem is bedoeld. Gaat het om targeted job ads, cv-filtering, kandidaatmatching, interviewanalyse, taaktoewijzing, performance monitoring of retentierisico?

Daarna hoort een classificatienotitie te volgen. Valt het systeem onder Bijlage III punt 4(a), punt 4(b), een andere high-risk categorie, of is er een onderbouwde reden waarom het buiten high-risk valt? Als de vendor zegt dat het systeem alleen "ondersteunend" is, vraag dan naar de onderbouwing. De draft guidelines van de Commissie maken duidelijk dat classificatie per systeem en context moet worden bekeken[2].

Praktisch bewijs:

  • korte systeemomschrijving;
  • intended purpose;
  • relevante Bijlage III route;
  • reden waarom de tool wel of niet high-risk is;
  • beschrijving van de menselijke beslissing die na de AI-output volgt.

2. Data en bias

Een model dat kandidaten rangschikt, leert altijd iets over mensen. De due diligence moet daarom niet alleen vragen naar modelprestaties, maar ook naar datakwaliteit en proxy-risico's.

Vraag naar trainingsdata, validatiesets, representativiteit, outlier-behandeling, uitgesloten variabelen en periodieke biaschecks. Belangrijker nog: vraag naar de uitkomsten. Een mooie fairness policy zegt weinig als de vendor geen meetbare monitoring kan tonen.

Praktisch bewijs:

  • data lineage;
  • representativiteitsanalyse;
  • bias-test per relevante groep of proxy;
  • mitigatieplan bij ongelijke uitkomsten;
  • monitoringfrequentie na livegang.

3. Transparantie naar kandidaten en medewerkers

Kandidaten moeten niet pas achteraf ontdekken dat AI een rol speelde in het proces. Transparantie gaat verder dan een zin in de privacyverklaring. De kandidaat moet op een begrijpelijke plek zien welke AI-ondersteuning wordt gebruikt, waarvoor, welke gegevens meespelen en wie de eindbeslissing neemt.

Voor werknemers geldt hetzelfde bij workforce management AI. Als een systeem roosters, taken, performance-signalen of promotieadvies beinvloedt, moet de organisatie kunnen uitleggen wat er gebeurt en hoe iemand bezwaar of correctie kan vragen.

Praktisch bewijs:

  • kandidaatnotitie;
  • medewerkerinformatie;
  • privacytekst;
  • proces voor vragen, correcties en bezwaar;
  • logging van menselijke review.

4. Human oversight

"Human in the loop" is geen bewijs. Het is een label. U wilt weten wat de mens concreet ziet, welke afwijkingen hij kan herkennen, wanneer hij moet ingrijpen en hoe een override wordt vastgelegd.

Een recruiter die alleen een groene score en een rode score ziet, heeft geen zinvolle controle. Een hiring manager die niet weet welke factoren zwaar wegen, kan de AI-output niet goed beoordelen. Human oversight moet dus worden vertaald naar schermen, instructies, escalaties en training.

Praktisch bewijs:

  • oversight-playbook;
  • uitleg van modeloutput;
  • override-procedure;
  • escalatiematrix;
  • voorbeelden van gelogde correcties.

5. AI-geletterdheid en gebruiksinstructies

Artikel 4 van de AI Act vraagt dat providers en deployers zorgen voor een voldoende niveau van AI-geletterdheid voor mensen die met AI-systemen werken[3]. Voor HR-AI is dat geen generieke prompttraining. Recruiters, hiring managers, HR business partners en compliance moeten ieder andere dingen begrijpen.

Een vendor moet daarom niet alleen een handleiding leveren. Hij moet laten zien welke kennis de gebruiker nodig heeft om het systeem verantwoord te gebruiken. De organisatie die de tool inzet moet dit vertalen naar rolgerichte training en bewijs.

Praktisch bewijs:

  • rolmatrix;
  • gebruikersinstructies;
  • trainingsrecords;
  • scenario-assessments;
  • refresher-proces wanneer het model of de workflow wijzigt.

Tien vragen voor uw volgende vendorcall

Gebruik deze vragen voordat u een ATS, matchingmodule of AI-screeningtool tekent:

  1. Welke onderdelen van uw product gebruiken AI of geautomatiseerde scoring?
  2. Valt de tool onder Bijlage III punt 4(a), punt 4(b), of buiten high-risk? Waarom?
  3. Welke data zijn gebruikt voor training, validatie en monitoring?
  4. Welke variabelen zijn uitgesloten omdat ze bias of proxy-discriminatie kunnen veroorzaken?
  5. Welke fairnessmetingen voert u periodiek uit?
  6. Welke informatie krijgt een kandidaat of medewerker te zien?
  7. Wat ziet de recruiter precies wanneer hij een AI-score beoordeelt?
  8. Hoe wordt een menselijke override gelogd?
  9. Welke training heeft een gebruiker nodig voordat hij de tool gebruikt?
  10. Welke documenten kunt u binnen vijf werkdagen aanleveren voor legal, privacy, procurement en OR?

Het antwoord hoeft niet perfect te zijn. Het moet wel concreet zijn. Een vendor die alleen verwijst naar "AI Act compliant by design" of "onze data zijn eerlijk" is nog niet klaar voor enterprise HR.

Wat werkgevers vaak missen

De grootste fout is denken dat vendor due diligence volledig bij procurement hoort. Bij HR-AI moet due diligence multidisciplinair zijn.

HR weet hoe de workflow werkt. Legal en privacy zien arbeidsrecht, AVG en informatieplichten. Compliance bewaakt het bewijsdossier. IT en security beoordelen integraties en logging. De OR of worker representation kijkt naar impact op werknemers. Geen van deze functies ziet het volledige risico alleen.

Daarom werkt een kort evidence pack beter dan een lange vragenlijst. Begin met de workflow, wijs per AI-touchpoint het risico aan en vraag per touchpoint om bewijs. Zo voorkomt u dat iedereen langs elkaar heen praat.

Van due diligence naar evidence pack

Een goed HR-AI evidence pack hoeft in de eerste fase niet perfect te zijn. Het moet wel laten zien dat u weet:

  • welk AI-systeem u gebruikt;
  • welke HR-beslissing het beinvloedt;
  • welke Bijlage III route relevant is;
  • welke bias- en datarisico's zijn beoordeeld;
  • welke menselijke controle aanwezig is;
  • welke informatie naar kandidaten of medewerkers gaat;
  • welke training en records bestaan.

Dat is precies de laag waar Embed AI op stuurt in de HR-AI Risk & Evidence Sprint. Voor HR-tech vendors ligt de focus op klantklare due diligence. Voor werkgevers en recruitmentbureaus ligt de focus op verantwoord gebruik en aantoonbare beheersing.

Wilt u eerst scherp krijgen waar uw grootste gap zit? Start dan met de AI Act Gap Intake of bekijk de route voor HR-tech vendors.

Slot

HR-AI gaat niet verdwijnen. De tools worden beter, sneller en normaler in de dagelijkse recruitmentpraktijk. Juist daarom wordt due diligence belangrijker.

De organisaties die nu een bewijsritme opbouwen, hoeven straks niet paniekerig te reconstrueren waarom een systeem ooit is ingekocht. Ze hebben dan al de classificatie, de data-vragen, de oversight, de transparantie en de training vastgelegd. Dat is geen juridisch theater. Het is professioneel HR-risicomanagement.

Bronnen

[2]European Commission(2026)Draft Commission guidelines on the classification of high-risk AI systems. Shaping Europe's digital future.
[3]European Commission(2025)AI Act Article 4 AI literacy questions and answers. Shaping Europe's digital future.
Zahed Ashkara

Zahed Ashkara

AI Compliance & Governance Advisor

Nieuwsbrief

Blijf op de hoogte van de EU AI Act

Ontvang praktische updates over AI-governance, compliance en de EU AI Act. Geen ruis, alleen wat u kunt gebruiken.

Door u aan te melden gaat u akkoord met onze privacyverklaring.

Terug naar Blog