Wanneer mag AI een beslissing nemen? De juridische grenzen

De computer zegt nee — en nu?

Stel je voor: je solliciteert naar een baan waar je perfect voor lijkt. Maar je krijgt een afwijzing, niet van een mens, maar van een algoritme dat je CV heeft gescand. Of je vraagt een lening aan en een AI-model rekent in milliseconden uit dat je risicoprofiel te hoog is. Geen persoonlijk gesprek, geen uitleg, gewoon een digitaal 'nee'.

Dit soort situaties komen steeds vaker voor. Tegelijk staat de wet niet stil. Zowel de AVG als de nieuwe EU AI Act trekken heldere lijnen: niet elke beslissing mag zomaar aan een algoritme worden overgelaten. Voor professionals die AI inzetten in hun organisatie of processen is het essentieel om te weten waar die grenzen liggen. Want een verkeerde keuze kan juridische, financiële én reputatieschade opleveren.

Wat zegt de AVG? Artikel 22 als basis

De AVG kent sinds 2018 artikel 22, en dat artikel is specifieker dan veel mensen denken. Het gaat niet over 'AI' in algemene zin, maar over geautomatiseerde besluitvorming — situaties waarin een besluit over een persoon volledig zonder menselijke tussenkomst tot stand komt.

Het artikel stelt: een betrokkene heeft het recht niet te worden onderworpen aan een besluit dat uitsluitend gebaseerd is op geautomatiseerde verwerking én dat rechtsgevolgen voor hem of haar heeft, of hem of haar op vergelijkbare wijze aanzienlijk treft.

Dat klinkt abstract, dus laten we het vertalen:

• Uitsluitend geautomatiseerd: er komt geen mens aan te pas in het besluitvormingsproces zelf. Een accountmanager die blind een AI-aanbeveling overneemt zonder eigen afweging telt daarbij overigens ook als geautomatiseerd.

• Rechtsgevolgen: denk aan contracten die niet worden toegekend, subsidies die worden geweigerd, boetes die worden opgelegd.

• Aanzienlijk treft: het moet impact hebben. Een gepersonaliseerde advertentie valt hier waarschijnlijk niet onder, een afwijzing voor een zorgverzekering wel.

In principe is dit soort besluitvorming verboden, tenzij aan één van drie uitzonderingen wordt voldaan:

1. Het is noodzakelijk voor het sluiten of uitvoeren van een contract (bijvoorbeeld kredietbeoordeling bij een lening).

2. Het is toegestaan door Europees of nationaal recht, mét passende waarborgen.

3. De betrokkene heeft expliciete toestemming gegeven.

En zelfs dan moet je als organisatie kunnen aantonen dat je waarborgen hebt getroffen: het recht om menselijke tussenkomst te vragen, om je standpunt kenbaar te maken, en om de beslissing aan te vechten.

De EU AI Act voegt een extra laag toe

De AVG regelt privacy en gegevensbescherming. De EU AI Act — die vanaf 2025 gefaseerd ingaat — kijkt breder: naar de risico's die AI-systemen opleveren voor grondrechten, veiligheid en maatschappelijke belangen.

De verordening verdeelt AI-systemen in risicocategorieën. Voor ons onderwerp zijn vooral de hoog-risico AI-systemen relevant. Dit zijn systemen die gebruikt worden in gevoelige domeinen, zoals:

• Werving en selectie: CV-scanning, sollicitatiegesprek-analyse, prestatiebeoordeling.

• Toegang tot essentiële diensten: kredietwaardigheid, verzekeringen, uitkeringen.

• Rechtshandhaving: risico-assessments voor recidive, grenscontroles.

• Onderwijs: toelatingsalgoritmes, examenbeoordelingen.

• Kritieke infrastructuur: besluitvorming over energie, water, transport.

Voor hoog-risico systemen gelden strenge eisen:

• Risicobeheer: een doorlopende analyse van mogelijke schade.

• Data-kwaliteit: trainingsdata moet representatief, accuraat en compleet zijn.

• Transparantie: gebruikers moeten weten dat ze met een AI-systeem te maken hebben.

• Menselijk toezicht: er moet altijd een mens kunnen ingrijpen ('human oversight').

• Nauwkeurigheid en robuustheid: het systeem moet betrouwbaar presteren, ook onder onverwachte omstandigheden.

• Logging: alle beslissingen moeten traceerbaar zijn.

Belangrijk: de AI Act geldt niet alleen voor wie het systeem ontwikkelt, maar ook voor gebruikers (deployers). Als jij als HR-manager een derde-partij AI-tool inzet voor sollicitatiescreening, ben jij medeverantwoordelijk voor naleving.

Waar gaat het mis in de praktijk?

Theorie is één ding, praktijk een ander. Op basis van rechtszaken, onderzoeken en incidenten zien we een paar terugkerende problemen:

1. Schijnbare menselijke betrokkenheid

Een organisatie laat een AI-model een kandidatenlijst genereren, en een recruiter klikt alles goed zonder de onderliggende logica te controleren. Formeel is er menselijke tussenkomst, materieel is die betekenisloos. Dat kan juridisch als 'uitsluitend geautomatiseerd' worden aangemerkt.

2. Gebrek aan uitlegbaarheid

Artikel 22 AVG en de AI Act vereisen dat je uitlegt hoe een besluit tot stand is gekomen. Maar veel geavanceerde modellen — deep learning, ensemble-methodes — zijn 'black boxes'. Zeggen dat "het algoritme het zo heeft berekend" is juridisch onvoldoende. Je moet kunnen aangeven welke factoren zwaar wogen, en waarom.

3. Biased trainingsdata

Als je algoritme is getraind op historische data waarin discriminatie zit (bijvoorbeeld omdat in het verleden bepaalde groepen systematisch zijn afgewezen), reproduceert het systeem die bias. De AI Act verplicht tot representatieve datasets. Zonder die check loop je juridisch en ethisch risico.

4. Onderschatting van 'aanzienlijke impact'

Organisaties denken soms dat alleen wettelijke of financiële beslissingen tellen. Maar de Autoriteit Persoonsgegevens interpreteert 'aanzienlijk treft' breed: ook besluiten over werkroosters, gezondheidsadviezen of studierichtingen kunnen eronder vallen als ze iemands leven substantieel beïnvloeden.

Praktische checklist: mag jouw AI dit besluit nemen?

Als je overweegt AI in te zetten voor besluitvorming, doorloop dan deze vragen:

Stap 1: Is er sprake van een besluit over een persoon? Als het gaat om interne analyses, marktonderzoek of productaanbevelingen zonder directe impact op individuen: waarschijnlijk geen issue.

Stap 2: Heeft het besluit rechtsgevolgen of treft het de persoon aanzienlijk? Denk aan: contractweigering, ontslag, boete, toegang tot voorzieningen, reputatieschade. Zo ja: rode vlag.

Stap 3: Is het uitsluitend geautomatiseerd? Is er een mens die de output beoordeelt én de vrijheid en competentie heeft om ervan af te wijken? Zo nee: artikel 22 is van toepassing.

Stap 4: Valt het onder één van de uitzonderingen? Noodzakelijk voor contract, toegestaan bij wet, of expliciete toestemming? Check ook of je voldoet aan de waarborgen (uitlegbaarheid, bezwaarmogelijkheid, menselijk ingrijpen).

Stap 5: Is het systeem hoog-risico volgens de AI Act? Valt het onder werving, kredietverlening, rechtshandhaving, onderwijs of andere gevoelige categorieën? Dan gelden de aanvullende eisen uit de AI Act.

Stap 6: Kun je de beslissing uitleggen? Niet alleen in technische termen, maar zo dat een leek begrijpt welke factoren meewogen en waarom. Als dat niet kan: terug naar de tekentafel.

Hoe maak je het wél compliant?

Concrete maatregelen die je kunt nemen:

• Bouw een 'human-in-the-loop' in: zorg dat een mens met domeinexpertise de output beoordeelt en kan afwijken. Leg vast hoe die afweging plaatsvindt.

• Documenteer de logica: houd bij welke features het model gebruikt, hoe ze gewogen worden, en welke drempelwaarden gelden. Gebruik waar mogelijk interpretable AI of explainable AI-technieken.

• Test op bias: laat onafhankelijk toetsen of het systeem systematisch discrimineert op grond van geslacht, etniciteit, leeftijd of andere beschermde kenmerken.

• Informeer de betrokkene: communiceer vooraf dat AI wordt gebruikt, waarvoor, en welke rechten iemand heeft (zoals bezwaar of uitleg vragen).

• Richt een bezwaarprocedure in: zorg dat iemand die het niet eens is met een besluit gemakkelijk kan aangeven waarom, en dat een mens de klacht behandelt.

• Evalueer periodiek: modellen 'driften' — ze verliezen nauwkeurigheid of ontwikkelen nieuwe biases naarmate de wereld verandert. Plan periodieke audits.

Waar eindigt AI, waar begint menselijke verantwoordelijkheid?

De kern van zowel de AVG als de AI Act is deze: beslissingen met ingrijpende gevolgen mogen niet volledig worden uitbesteed aan machines. Niet omdat AI per definitie fout is, maar omdat algoritmes geen context begrijpen, geen afwegingen kunnen maken zoals mensen dat doen, en geen morele verantwoordelijkheid dragen.

Dat betekent niet dat je AI niet mag gebruiken. Maar het betekent wel dat je bewust moet blijven over waar je de grens trekt. AI kan ondersteunen, adviseren, filteren — maar het slotwoord bij gevoelige beslissingen moet bij een mens liggen die de uitkomst begrijpt én kan verantwoorden.

Wat kun je morgen doen?

Vier concrete stappen:

1. Inventariseer je use cases: maak een lijst van alle processen waar AI een rol speelt in besluitvorming. Markeer welke daarvan onder hoog-risico vallen.

2. Check je contracten: als je externe AI-tools gebruikt, wie is dan verantwoordelijk voor compliance? Staat dat helder in de overeenkomst?

3. Test je uitlegbaarheid: pak een willekeurige AI-beslissing en probeer deze in gewone taal uit te leggen aan een collega zonder technische achtergrond. Lukt dat niet? Dan heb je een probleem.

4. Plan een audit: laat een privacy- of compliance-officer je AI-processen doorlichten op AVG en AI Act-eisen. Liever nu een intern rapport dan later een boete van de toezichthouder.

De juridische ruimte voor AI-besluitvorming is smaller dan veel organisaties denken. Maar binnen die ruimte kun je wél verantwoord en effectief werken — als je de spelregels kent en naleeft.