Een vraag die vaak wordt gesteld door organisaties die werken met AI-gedreven recruitment tools: worden mijn kandidaatgegevens gebruikt om kunstmatige intelligentie te trainen of modellen te verbeteren? Het is een terechte zorg. In tijden waarin privacy en gegevensbescherming centraal staan, en de EU AI-verordening en AVG strenge eisen stellen aan het gebruik van persoonsgegevens, is transparantie cruciaal. Voor CHROs, HR-directeuren en andere besluitvormers is het essentieel om te weten hoe leveranciers zoals Selection Lab omgaan met kandidaatdata, of deze data voor andere doeleinden wordt gebruikt, en welke waarborgen er zijn.
Wat betekent het om kandidaatdata te gebruiken voor AI-training?
Het gebruik van kandidaatdata voor AI-training betekent dat je gegevens van sollicitanten inzet om een model patronen te laten leren, zodat het betere voorspellingen, analyses of gegenereerde output kan leveren. Dat kan gaan om het trainen van een matchingmodel (wie past bij welke functie), een scoringsmodel (kans op succes), of een generatief model dat kandidaatprofielen opstelt. In essentie wordt historische data gebruikt als leerbasis om toekomstige beslissingen of adviezen te verbeteren.
Voor training kunnen verschillende soorten data worden gebruikt, zoals professionele gegevens (werkervaring, opleiding, skills), assessmentresultaten (cognitieve scores, persoonlijkheidsprofielen), interactiedata (chatgesprekken, interviewtranscripten) en uitkomstdata (aangenomen ja/nee, performance na indiensttreding). Ook afgeleide data zoals gestructureerde competentieprofielen of embeddings kan worden ingezet, mits zorgvuldig beheerd.
Welke data kan hiervoor worden gebruikt?
Identificeerbare persoonsgegevens (naam, e-mail, cv in ruwe vorm, video-opnames) brengen verhoogde privacy- en compliance-risico’s met zich mee. Bijzondere persoonsgegevens (zoals gezondheid of etniciteit) mogen in principe niet worden gebruikt voor training, tenzij een zeer specifieke wettelijke uitzondering van toepassing is. Zelfs gepseudonimiseerde data blijft onder de AVG vallen.
Belangrijk is het onderscheid tussen data gebruiken voor directe verwerking in een sollicitatieproces en data hergebruiken voor modelverbetering. Dat laatste vereist een duidelijke grondslag, dataminimalisatie en passende beveiligingsmaatregelen. Zonder expliciete governance kan training op kandidaatdata leiden tot juridische risico’s, bias-versterking en reputatieschade.
Waarom wordt kandidaatdata gebruikt om AI-modellen te verbeteren?
Kandidaatdata wordt gebruikt om AI-modellen te verbeteren omdat het modellen helpt beter te functioneren binnen de recruitmentcontext. Belangrijkste redenen:
- Betere matching: modellen leren welke skills en profielen passen bij specifieke functies.
- Hogere voorspellingskwaliteit: data over eerdere hires helpt betere inschattingen maken over succes en fit.
- Verbetering van kandidaatervaring: chatbots en workflows worden accurater en relevanter.
- Automatisering van repetitieve taken: zoals CV-parsing, samenvattingen en profielgeneratie.
- Leren van realistische praktijkdata: recruitmentdata bevat domeinspecifieke patronen die algemene modellen niet kennen.
- Optimalisatie van assessments: verbanden tussen testresultaten en prestaties kunnen beter worden begrepen.
- Consistentere besluitvorming: modellen kunnen helpen om minder willekeurige verschillen tussen recruiters te hebben (mits goed gecontroleerd).
- Productverbetering en concurrentievoordeel: betere modellen leveren betere inzichten en effectievere hiringprocessen.
Wat zegt de AVG over het gebruik van kandidaatdata?
Binnen Europa geldt de Algemene Verordening Gegevensbescherming (AVG). Het gebruik van kandidaatdata voor AI-training valt onder verwerking van persoonsgegevens en moet voldoen aan strikte voorwaarden.
Rechtsgrondslag: Organisaties moeten een geldige rechtsgrond hebben, bijvoorbeeld:
- Toestemming (vrij, specifiek, geïnformeerd en ondubbelzinnig)
- Gerechtvaardigd belang (met zorgvuldige belangenafweging)
Toestemming moet daadwerkelijk vrij gegeven kunnen worden. In een sollicitatiecontext kan dat complex zijn vanwege machtsverhoudingen.
Doelbinding: Data mag alleen worden gebruikt voor duidelijk omschreven doeleinden. Als data oorspronkelijk is verzameld voor selectie, moet expliciet worden beoordeeld of hergebruik voor modelverbetering daarmee verenigbaar is.
Dataminimalisatie en bewaartermijnen: Alleen noodzakelijke gegevens mogen worden gebruikt. Ook moeten bewaartermijnen helder en proportioneel zijn.
Transparantie: Kandidaten moeten weten:
- Welke data wordt verzameld
- Voor welk doel
- Of data wordt gebruikt voor modelverbetering
- Hoe lang data wordt bewaard
- Welke rechten zij hebben (inzage, correctie, verwijdering)
Transparantie is cruciaal voor vertrouwen in data-gedreven assessments.
Hoe Selection Lab omgaat met kandidaatdata en privacy?
Dataopslag in de EU
Alle persoonsgegevens en applicatiedata worden opgeslagen op EU-servers. We werken met infrastructuur en diensten in Europa, waaronder AWS (Frankfurt en Dublin), SendinBlue (België/Ierland) en Heroku (Dublin). Data wordt niet buiten de EER doorgegeven zonder expliciete toestemming van de klant. Voor continuïteit zijn failover-mechanismen ingericht zodat dienstverlening ook bij incidenten beschikbaar blijft.
Duidelijke rollen en strikte afspraken met verwerkers
In onze verwerking hanteren we heldere verantwoordelijkheden. Selection Lab treedt op als verwerkingsverantwoordelijke voor kandidaat- en medewerkerassessments, terwijl klanten controller blijven voor hun eigen HR-processen. We werken met subverwerkers (zoals AWS, Typeform en SendinBlue) uitsluitend onder getekende verwerkersovereenkomsten, zodat plichten rond beveiliging, vertrouwelijkheid en dataverwerking contractueel zijn vastgelegd.
Toegang en beveiliging
We beperken toegang tot data tot wat strikt noodzakelijk is en beveiligen bevoorrechte toegang extra zwaar. Dit doen we onder andere via role-based access control (RBAC) en multi-factor authenticatie (MFA). Voor identity management gebruiken we Auth0 en Azure AD, met kwartaalreviews van toegangsrechten en directe intrekking bij rolwijziging of vertrek. Daarnaast nemen we technische maatregelen zoals versleuteling, pseudonimisering/anonymisering waar passend, en centrale logging/monitoring via SIEM. We voeren regelmatig penetratietests en vulnerability scans uit om risico’s tijdig te identificeren en te mitigeren.
Privacy by design en controle voor kandidaten
Privacy is ingebouwd in onze processen. Kandidaten geven expliciete, ondubbelzinnige toestemming per doel, en die toestemming kan altijd worden ingetrokken. Bij intrekking wordt verwijdering binnen 24 uur verwerkt. We volgen de GDPR-principes (Art. 5–32), waaronder dataminimalisatie, transparantie en het faciliteren van betrokkenenrechten. Voor toezicht en borging is een Data Protection Officer (DPO) aangesteld: Joeri Everaers.
Retentie en delen van resultaten
We hanteren korte bewaartermijnen en zorgen dat delen van resultaten altijd een bewuste keuze is van de kandidaat:
- Uitnodigingsdata (naam, e-mail) wordt elke 6 maanden verwijderd.
- Assessmentdata wordt één maand na gebruik gepseudonimiseerd.
- Kandidaten zien eerst hun eigen rapport en delen dit uitsluitend met expliciete toestemming.
AI, eerlijkheid en controleerbaarheid
Wanneer AI wordt ingezet, doen we dat met duidelijke grenzen en toetsbare methoden. We gebruiken geen kenmerken zoals geslacht, leeftijd, etniciteit of religie in scoring. Onze modellen zijn transparant en verklaarbaar (decision-tree), en we voeren onafhankelijke biaschecks uit. Binnen de kaders van de EU AI Act classificeren we dit als hoog-risico AI, met bijbehorende waarborgen om betrouwbaarheid, non-discriminatie en auditability te ondersteunen.
