GDPR & EU AI Act-proof AI-recruitmenttools

| 15-06-2026 (Bijgewerkt: 18 juni 2026) | 11 min.

In dit artikel

Compliance is nu een inkoopcriterium, geen formaliteit
Drie lagen waar je tool doorheen moet
Hoe de tools scoren op compliance-signalen
Simply
In2Dialog
Metaview
Carv
Fireflies
Otter
De 10 vragen die je elke vendor stelt
Hoe Simply deze eisen invult

Dit is geen juridisch advies. Het is een praktische inkoop-oriëntatie op basis van publieke informatie per 29 mei 2026, geschreven door mensen die recruitment-AI bouwen, niet door juristen. Voor je eigen situatie raadpleeg een gespecialiseerde IT-jurist. Alle wettelijke claims hieronder zijn herleidbaar naar de officiële teksten waar links op staan.

Compliance is nu een inkoopcriterium, geen formaliteit

Tot voor kort kon je een recruitment-tool kopen op features en prijs, en compliance "later regelen". Dat venster is dicht. Op 2 augustus 2026 wordt recruitment-AI volledig hoog-risico onder de EU AI Act. Drie maanden vanaf nu. Vanaf die datum gelden er harde eisen aan elk systeem dat kandidaten screent, scoort of voorstelt, en als afnemer ben je medeaansprakelijk voor het inzetten van een tool die ze niet invult.

Dit is het punt dat veel buyers nog onderschatten: de wet legt verplichtingen op aan twee partijen. De vendor (provider) bouwt het systeem compliant. Maar jij, de organisatie die het gebruikt (deployer), draagt je eigen set verplichtingen die je niet kunt uitbesteden. Een afgewezen kandidaat die een klacht indient, een audit van de Autoriteit Persoonsgegevens, of een tip van een concurrent: in al die gevallen kijkt de toezichthouder ook naar jou.

Deze gids gaat niet over "wat is de GDPR" of "wat is de EU AI Act" als concept. Dat staat in onze deepdive over de EU AI Act voor agentic recruitment, die de Annex III-classificatie en de artikelnummers uitlegt. Hier hebben we het over de inkoopkant. Wat moet je zien, hoe verifieer je het, en hoe verhouden de tools waar je waarschijnlijk tussen kiest zich op gedocumenteerde compliance-signalen? Plus een lijst van tien vragen die je elke leverancier vooraf stuurt, niet pas in de demo.

Eén kanttekening vooraf over de tijdlijn. Op 7 mei 2026 is er een politiek akkoord bereikt over een "Digital AI Omnibus" die de hoog-risico-deadline mogelijk doorschuift naar december 2027. Dat akkoord is nog niet formeel aangenomen. Tot er een definitieve tekst ligt, plan je voor 2 augustus 2026. Een uitstel dat er nog niet officieel is, is geen basis voor een inkoopbeslissing.

Drie lagen waar je tool doorheen moet

Compliance voor recruitment-AI is geen enkele checklist maar drie regimes die naast elkaar lopen. Een tool die op één laag goed scoort en op een andere niet, is alsnog een risico.

Laag 1: EU AI Act hoog-risico (vanaf 2 augustus 2026)

Recruitment- en selectiesystemen staan expliciet in Annex III, punt 4(a) en 4(b) van de EU AI Act. Dat is geen interpretatie, het is letterlijke tekst: AI die wordt gebruikt voor werving, voor het filteren van sollicitaties, voor het evalueren van kandidaten, of voor beslissingen over arbeidsverhoudingen valt automatisch in de hoogste risicocategorie behalve de verboden praktijken.

Wat dat oplevert aan concrete verplichtingen, samengevat:

Eis	Artikel	Wat het in recruitment betekent
Risk management	Art. 9	Doorlopend register van wat er mis kan gaan (bias, foutieve scoring, datalek) plus mitigaties
Data governance	Art. 10	Trainingsdata representatief en gedocumenteerd; bias-detectie als ontwerpprincipe, niet als afterthought
Technische documentatie	Art. 11	Architectuur, capabilities, beperkingen, data-flows op papier
Logging	Art. 12	Automatische logs per gebeurtenis: wie, welke input, welke output, welke beslissing
Human oversight	Art. 14	Een mens kan de output begrijpen, overrulen, en het systeem stoppen
Accuracy & robustness	Art. 15	Gedocumenteerde nauwkeurigheid onder gedefinieerde condities, weerbaar tegen manipulatie

Die verplichtingen liggen primair bij de vendor. Maar jij als deployer hebt je eigen set onder Article 26: het systeem gebruiken volgens de instructies van de provider, je logs ten minste zes maanden bewaren, je medewerkers informeren, en ernstige incidenten binnen 72 uur melden. In bepaalde gevallen, vooral bij publieke organisaties en grote werkgevers, komt daar een Fundamental Rights Impact Assessment (Article 27) bovenop. Boetes lopen via Article 99 op tot 15 miljoen euro of 3% van de wereldwijde jaaromzet voor de meeste overtredingen.

Laag 2: GDPR Article 22 (al jaren actief)

De EU AI Act vervangt de GDPR niet. Article 22 geeft elke kandidaat het recht om niet onderworpen te worden aan een besluit dat uitsluitend op geautomatiseerde verwerking berust en hem in aanmerkelijke mate treft. Een afwijzing op een sollicitatie valt daar zonder twijfel onder.

De nuance die hier telt: Article 22 kent uitzonderingen (Art. 22 lid 2), namelijk contractuele noodzaak, expliciete toestemming, of een wettelijke grondslag in EU- of lidstaatrecht. Die uitzonderingen zijn er, maar in een standaard volume-afwijzingsflow zijn ze zelden van toepassing. Een volledig automatische afwijzing zonder menselijke tussenkomst vereist dus een rechtsgrondslag die in de meeste recruitment-processen niet voorhanden is. Het is niet zo dat het altijd verboden is, maar de lat ligt hoog en de bewijslast ligt bij jou.

En als er een mens in de loop zit, moet die betrokkenheid "meaningful" zijn. De richtlijn van de Article 29 Working Party (WP251) maakt expliciet dat een recruiter die routinematig op "akkoord" klikt zonder de output te beoordelen, juridisch geen menselijke tussenkomst vormt. De groen/oranje-validatielaag die sommige tools bieden is precies bedoeld om dit aantoonbaar te maken: de mens moet actief beoordelen, niet ceremonieel afvinken.

Laag 3: ISO 27001 (de beveiligingsbasis)

ISO 27001:2022 is een internationale norm voor informatiebeveiliging. Een gecertificeerde organisatie heeft een Information Security Management System (ISMS) met 93 controls, jaarlijks extern geaudit. Voor recruitment-data, waar veel persoonsgegevens doorheen gaan, is dat een belangrijk signaal.

Let op de valkuil: ISO 27001 is niet hetzelfde als GDPR-compliance en niet hetzelfde als EU AI Act-compliance. Het dekt het grootste deel van de technische en organisatorische beveiligingsmaatregelen die de GDPR onder Article 32 eist, maar het zegt niets over kandidaat-rechten, automatische besluitvorming, of bias in matching. Een vendor die alleen "ISO 27001 gecertificeerd" als compliance-antwoord geeft, beantwoordt maar één van de drie lagen. Vraag door op de andere twee.

Hoe de tools scoren op compliance-signalen

Hieronder een vergelijking op basis van wat de leveranciers per 29 mei 2026 publiek documenteren. Belangrijk om te lezen zoals het bedoeld is: "niet vermeld op publieke pagina's" betekent niet "voldoet niet". Het betekent dat de claim niet publiek verifieerbaar is en dat jij als deployer de verificatieplicht draagt. Voor een hoog-risico-context is dat een reden om door te vragen, niet om automatisch af te schrijven.

Tool	GDPR / AVG	ISO 27001	EU-hosting	Overig
Simply	✓ AVG	✓ gecertificeerd	✓ (NL-HQ)	EU AI Act-claim voor AI Matching; SOC 2 niet vermeld
In2Dialog	✓ verwerkersovereenkomst	niet vermeld	NL-HQ, locatie niet expliciet	SOC niet vermeld
Metaview	✓ + DPA	niet vermeld	AWS UK (adequacy, geen EER)	SOC 2 Type II ✓
Carv	✓ GDPR-readiness	niet vermeld	niet vermeld	Trust Center op aanvraag; NYC Local Law 144
Fireflies	✓ (Enterprise-tier)	niet vermeld	US-default, EU = betaalde add-on	SOC 2 Type II ✓
Otter	geen publieke docs (standaard tiers)	niet vermeld	niet vermeld	hoogste verificatie-inspanning voor EU-buyer

Een korte toelichting per tool, zodat je weet waar je op moet doorvragen.

Simply

Simply documenteert AVG-conformiteit en een ISO 27001-certificering, hosting binnen de EU (Nederlands hoofdkantoor), en claimt EU AI Act-compliance voor de AI Matching-functionaliteit. SOC 2 wordt niet vermeld. Verifieer de exacte scope van de EU AI Act-claim op de security-pagina en vraag, net als bij elke vendor, om het ISO-certificaat en de DPA.

In2Dialog

In2Dialog werkt met een verwerkersovereenkomst en is een Nederlands bedrijf. De exacte hostinglocatie wordt niet expliciet gedocumenteerd, en ISO 27001 of SOC 2 worden niet op publieke pagina's genoemd. Voor een NL-buyer is de processor agreement een goed beginpunt; vraag de hostinglocatie en eventuele certificeringen na.

Metaview

Metaview documenteert GDPR plus een Data Processing Agreement en een SOC 2 Type II-rapport. ISO 27001 wordt niet vermeld. Hosting draait op AWS in het Verenigd Koninkrijk. Let op: het VK heeft een adequacy decision van de Europese Commissie, dus doorgifte is toegestaan, maar het VK is geen EER-land. Vraag specifiek na hoe de DPA die UK-doorgifte dekt en welke Standard Contractual Clauses of adequacy-grondslag wordt gehanteerd.

Carv

Carv heeft een Trust Center (compliance.carv.com, achter een request-access muur) plus gedocumenteerde GDPR-readiness en compliance met NYC Local Law 144 (de bias-audit-wet voor geautomatiseerde hiring-tools in New York). ISO 27001, SOC 2 en EU-hosting worden niet vermeld op de publieke pagina's. Vraag toegang tot het Trust Center aan en check daar de EU-hosting en certificeringen.

Fireflies

Fireflies heeft een SOC 2 Type II-rapport. GDPR-conformiteit zit op de Enterprise-tier. Belangrijk voor EU-buyers: de standaard-hosting is in de VS, en EU-dataopslag is een betaalde add-on die alleen op Enterprise beschikbaar is, niet de default. Er is geen recruitment-specifieke EU AI Act-claim. Als je Fireflies overweegt voor een EU-recruitment-context, is de Enterprise-tier met EU-storage feitelijk de ondergrens, niet een optie.

Otter

Otter publiceert op de standaard-tiers geen GDPR- of EU-hostingdocumentatie. Voor een EU-recruitment-buyer is dat de hoogste verificatie-inspanning van dit rijtje: je zult zelf moeten uitvragen wat er wel geregeld is en op welke tier. Een algemene meeting-notetaker is niet ontworpen rond de Annex III-eisen, en dat merk je aan de documentatie.

Het patroon: de recruitment-specifieke tools (Simply, In2Dialog, Metaview, Carv) zitten dichter bij de Annex III-realiteit dan de algemene notetakers (Fireflies, Otter), simpelweg omdat hun productcategorie er direct onder valt. Maar geen van allen ontslaat je van je eigen deployer-verplichtingen.

De 10 vragen die je elke vendor stelt

Stuur deze tien vragen vooraf per mail, niet pas in de demo. Een vendor die er een week over doet om specifiek te antwoorden, geeft je informatie over hoe een implementatietraject straks gaat lopen. Een vendor die de vragen probeert om te draaien naar "vertrouw ons gewoon", past sowieso niet bij een hoog-risico AI-context.

Hoog-risico en conformiteit. Erkent u dat uw tool onder Annex III hoog-risico valt, en welke conformiteitsbeoordeling heeft u afgerond? Voor recruitment-AI is de interne assessment via Article 43 gangbaar. Vraag welk document dit aantoont.
Risk management-dossier (Art. 9). Kunt u een risk-management-dossier overhandigen voor het systeem dat wij gaan gebruiken, met identificatie en mitigatie van bias-, accuracy- en datarisico's?
Logging per kandidaat (Art. 12). Kunt u een audit-log tonen van één echte beslissing: welke input erin ging, welke output eruit kwam, welke redenering, met timestamp en correlation ID, opvraagbaar per kandidaat?
Uitlegbaarheid (Art. 14). Hoe is een matching- of scoringbeslissing per criterium uit te leggen, idealiter klikbaar terug naar het CV-veld of de transcript-zin waarop het is gebaseerd?
Bevestigingsmomenten (Art. 14 / GDPR 22). Welke acties vragen om expliciete menselijke bevestiging vóór uitvoering? Onomkeerbare acties zoals een afwijzingsmail horen achter een confirmation gate te zitten, niet achter een toggle die per ongeluk uit kan.
Hosting en DPA. Waar staat de data fysiek, en kunt u een getekende verwerkersovereenkomst (DPA) leveren? Bij doorgifte buiten de EER: op welke grondslag (adequacy, SCC's)?
ISO 27001-certificaat. Bent u ISO 27001:2022 gecertificeerd, en kunt u het actuele certificaat plus de scope-verklaring delen? (Let op: het certificaat dekt beveiliging, niet de kandidaat-rechten uit de GDPR.)
Protected attributes (Art. 10). Hoe garandeert u dat beschermde kenmerken (geboortedatum, geslacht, etniciteit) geen rol spelen in matching, ook niet indirect via gecorreleerde features zoals postcode?
Incident-proces (Art. 26). Wat is uw incident-reporting-proces, en hoe ondersteunt u ons in de 72-uurs meldplicht als deployer?
Training en retentie. Gebruikt u onze kandidaat-data om uw modellen te trainen? Zo nee, hoe is dat technisch geborgd, en wat is het retentiebeleid bij opzegging?

Een vendor die op alle tien een specifiek, gedocumenteerd antwoord geeft, is voorbereid op 2 augustus. Een vendor die op drie of meer punten "we zijn ermee bezig" zegt, is dat niet.

Hoe Simply deze eisen invult

Het volgende is hoe Simply de drie lagen in praktijk invult, niet als pitch maar als referentie van wat compliant er onder de motorkap uitziet. Andere vendors kunnen dezelfde of betere oplossingen hebben. Gebruik de tien vragen op iedereen, inclusief ons.

Logging en herleidbaarheid (Article 12). De transparantie-laag maakt elke conclusie klikbaar terug naar de bron. Een samenvatting-zin koppelt terug naar de exacte transcript-passage en het bijbehorende audiofragment; een matching-score is uitsplitsbaar per criterium met verwijzing naar het CV-veld waarop het rust. Dat is precies de herleidbaarheid die Article 12 vraagt, en tegelijk het bewijsmateriaal dat je nodig hebt als een kandidaat onder GDPR Article 22 vraagt waarom een beslissing zo uitviel.

Menselijke beoordeling (Article 14, GDPR 22). De slimme data-entry werkt met een groen/oranje-validatiesysteem: wat de AI met hoge zekerheid herkent staat groen, wat twijfelachtig is staat oranje en vraagt om een actieve menselijke check. Dat maakt menselijke betrokkenheid aantoonbaar in plaats van ceremonieel. Acties die geld, tijd of reputatie kosten, zoals een mail naar een kandidaat, vragen om expliciete bevestiging vóór verzending.

Bias-bescherming (Article 10). Beschermde kenmerken spelen geen rol in de matching, ook niet indirect via de embeddings. De recruitment intelligence-laag is gebouwd om te analyseren op basis van wat er feitelijk gezegd en getoond is, niet op proxy-variabelen.

Beveiliging en data-governance. Simply is ISO 27001 gecertificeerd en AVG-conform, host binnen de EU, en gebruikt klant-data niet om modellen te trainen. Klant-data wordt strikt gescheiden gehouden per tenant.

Eén ding dat we expliciet maken: Simply is geen ATS. Het is een recruitment intelligence-laag, een co-pilot die naast je bestaande ATS draait en daarmee integreert. Dat is relevant voor de rolverdeling onder de Act. Voor de AI-functionaliteit is Simply de provider, niet je ATS. De afspraken over data-doorgifte tussen beide systemen blijven je eigen verantwoordelijkheid, en daar denken we in een implementatietraject in mee.

---

De compliance-druk valt niet voor elk bureau hetzelfde uit. Voor uitzendbureaus, waar afwijzingen op grote schaal worden verstuurd, is de Article 22-flow de scherpste bottleneck: bij honderden afwijzingen per week moet de menselijke beoordeling waterdicht en aantoonbaar zijn. Voor werving en selectie-bureaus, waar elke kandidaat een commerciële relatie vertegenwoordigt, weegt de uitlegbaarheid-laag zwaarder, omdat een vandaag afgewezen kandidaat de opdrachtgever van morgen kan zijn.

Voor het bredere juridische kader: lees de EU AI Act voor agentic recruitment. Voor de praktische tool-keuze per type werk hebben we ook stukken over AI-tools die op je bestaande ATS draaien, wat een moderne ATS moet kunnen in 2026, AI-notetakers voor recruitment vergeleken en conversation intelligence voor recruitment.

Wil je toetsen of jouw huidige stack op 2 augustus 2026 compliant is? Vraag een demo aan, niet als verkoop-pitch maar als gestructureerde compliance-walkthrough waarin we de tien vragen op jouw specifieke setup toepassen.

15-06-2026

Remo Vloet

Co-Founder Simply

Remo Vloet is co-founder van Simply, het AI-platform dat recruitment teams helpt met agentic AI, geautomatiseerde gespreksverwerking, CV-parsing en intelligente kandidaat-matching. Met een achtergrond in het bouwen van complexe software draagt hij bij aan de technische visie achter Simply's AI-recruitmenttechnologie.

Veelgestelde vragen

Wanneer is de EU AI Act van toepassing op mijn recruitment-tool?

Vanaf **2 augustus 2026** gelden de hoog-risico-verplichtingen uit [Annex III](https://artificialintelligenceact.eu/annex/3/) volledig voor recruitment- en selectie-AI. Verboden praktijken en AI-literacy zijn al actief sinds 2 februari 2025. De [EU AI Act-deepdive](/nl/posts/eu-ai-act-agentic-recruitment) legt de fasering en de artikelnummers uit. Er ligt sinds 7 mei 2026 een politiek akkoord over mogelijk uitstel naar december 2027, maar dat is nog niet formeel aangenomen, dus plan voor augustus 2026.

Ben ik als afnemer (deployer) zelf aansprakelijk, of alleen de vendor?

Beide, in verschillende rollen. De vendor (provider) draagt de verplichtingen rond risk management, data governance, technische documentatie en accuracy. Maar jij als deployer hebt onder [Article 26](https://artificialintelligenceact.eu/article/26/) je eigen plichten: het systeem gebruiken volgens instructies, je logs minstens zes maanden bewaren, medewerkers informeren, en ernstige incidenten binnen 72 uur melden. Die kun je niet aan je vendor uitbesteden.

Is een ISO 27001-certificaat genoeg voor GDPR-compliance?

Nee. [ISO 27001:2022](https://www.iso.org/standard/27001) dekt informatiebeveiliging, en daarmee het grootste deel van wat de GDPR onder [Article 32](https://gdpr-info.eu/art-32-gdpr/) aan technische maatregelen eist. Maar het zegt niets over kandidaat-rechten, geautomatiseerde besluitvorming (Article 22), of bias in matching. ISO 27001 is een sterk signaal voor beveiliging, geen vervanging voor GDPR- of EU AI Act-compliance. Vraag alle drie de lagen apart uit.

Een vendor zegt "wij zijn compliant" maar levert geen documentatie. Wat nu?

Een claim zonder documentatie is in een hoog-risico-context geen claim. De Act draait op herleidbaarheid: risk-management-dossiers, audit-logs, conformiteitsbeoordelingen. Vraag concreet om de stukken uit de tien vragen hierboven. Belangrijk: de afwezigheid van een publieke claim betekent niet automatisch dat een tool niet voldoet, maar het verschuift wél de verificatieplicht naar jou als deployer. Geen documentatie betekent dat jij het gat draagt na 2 augustus.

Geldt dit ook voor niet-EU vendors die Europese klanten bedienen?

Ja. De EU AI Act heeft extraterritoriale werking onder [Article 2](https://artificialintelligenceact.eu/article/2/): als de output van een AI-systeem in de EU wordt gebruikt, vallen provider en deployer onder de Act, ongeacht waar het bedrijf is gevestigd. Een Amerikaanse vendor met Nederlandse klanten moet aan dezelfde eisen voldoen. Let in de praktijk vooral op de hostinglocatie en op of GDPR-conformiteit standaard is of een betaalde add-on op een hogere tier.

Mag een AI-tool een kandidaat volledig automatisch afwijzen?

Dat vereist een rechtsgrondslag die in standaard recruitment-flows zelden van toepassing is. [GDPR Article 22](https://gdpr-info.eu/art-22-gdpr/) geeft een kandidaat het recht om niet onderworpen te worden aan een uitsluitend geautomatiseerd besluit dat hem in aanmerkelijke mate treft, en een afwijzing valt daaronder. Er zijn uitzonderingen (contract, expliciete toestemming, wettelijke grondslag), maar die gelden zelden voor volume-afwijzingen. Praktisch betekent dit dat elke afwijzing een aantoonbare menselijke beoordeling hoort te bevatten, niet een recruiter die routinematig op "akkoord" klikt. De [WP251-richtlijn](https://ec.europa.eu/newsroom/article29/items/612053/en) noemt dat laatste expliciet geen meaningful menselijke tussenkomst.

Blijf op de hoogte

Ontvang onze nieuwste artikelen over AI in recruitment, direct in je inbox.

We respecteren je privacy. Uitschrijven kan altijd.

Klaar om te beginnen?

Neem vandaag de eerste stap naar slimmere recruitment.

Vraag demo aan