Nmbrs sponsort BNR at Work: de wekelijkse podcast over werk en carrière, eigenzinnige werkgevers, employer branding en HR. In deze aflevering: bij veel bedrijven stroomt ongemerkt veel privacygevoelige HR-data van medewerkers en sollicitanten naar AI-tools en andere software. Waarom is dat een “groot probleem”, en wat doe je ertegen? Lees hier de hoogtepunten of luister de aflevering via de player verderop.
Wordt in jouw organisatie weleens LinkedIn gebruikt om een vacature te vullen? Of een AI-tool die cv’s scant? Een chatbot die een mailtje opstelt?
AI- en andere tech-tools slurpen ongemerkt veel privacygevoelige HR-data op. Daarmee is de privacy van je medewerkers en sollicitanten in het geding en voldoet jouw organisatie mogelijk niet meer aan de AVG en de Europese AI-verordening.
Privacy “zeker niet op orde”
BNR at Work peilde hoe werkenden denken over het privacy- en security-beleid van organisaties die AI gebruiken voor HR- en recruitmentzaken. Bijna de helft (46%) vindt het “zeker niet in orde”. De andere helft beoordeelt het als “redelijk”, maar ziet “enige risico’s”. Helemaal niemand vindt dat privacy en security “goed geregeld” is.
Dat is een groot probleem, zegt recruitmenttech-blogger Marc Drees. “Bedrijven zien hun privacybepaling als een stukje tekst dat nu eenmaal verplicht is. Maar het gaat om de bescherming van je medewerkers en sollicitanten!”
De privacyrisico’s van AI-gebruik
Quincy James, AI-strateeg bij AI Opener, kent de privacyrisico’s bij AI-gebruik goed. Hij helpt bedrijven met het inrichten van hun AI-omgeving. Veel organisaties geven AI-tools toegang tot allerlei systemen, zo legt hij uit. Dan kunnen die tools namelijk “praten” met systemen en relevante informatie verzamelen. “Maar waar stroomt welke data precies naartoe, en wat gebeurt daar vervolgens mee? Wat als niet jouw servers, maar de servers van je AI-leverancier onvoldoende beveiligd zijn? Gebruiken AI-leveranciers jullie data om hun modellen mee te trainen?”
Veel van deze vragen worden doorgaans niet gesteld of blijven onbeantwoord.
LinkedIn “een echte datastofzuiger”
Een goed voorbeeld van een onbekende, onzichtbare datastroom, is die naar LinkedIns recruitment-tool. Marc Drees: “Dat is een echte datastofzuiger. Als je via LinkedIn een vacature hebt uitstaan waar een kandidaat op solliciteert, dan laadt LinkedIn de gegevens van álle kandidaten uit jouw Applicant Tracking Software (ATS) in. Ook data over sollicitaties van jaren geleden die niet via LinkedIn liepen.”
“Deze dataset bevat uiterst gevoelige informatie over sollicitanten.” Denk aan naam- en adresgegevens en opmerkingen die recruiters over kandidaten hebben gemaakt.
“Hoge risico’s” bij gebruik HR- en recruitment-tools
In HR en recruitment worden veel technologische hulpmiddelen ingezet. Misschien gebruikt jouw organisatie wel een AI-tool om een eerste schifting in sollicitanten te maken. Of een om de prestaties van je medewerkers mee te monitoren en analyseren.
Dergelijke tools kunnen grote gevolgen hebben. Ze bepalen misschien deels of iemand wordt aangenomen of promotie krijgt. In de Europese AI-verordening (EU AI Act) krijgen veel HR- en werving-en-selectie-tools daarom de stempel “hoog risico”. Voor het gebruik van die tools gelden strikte verplichtingen.
De Nmbrs AI Assistant is jouw rechterhand bij alle HR- en salariszaken.
Laat onze assistent je helpen mutaties te verwerken of controleren en analyses te maken, en krijg deskundig en direct antwoord op al je vragen over salaris en loonheffingen.
De AI Assistant werkt met jouw data, maar alleen op jouw voorwaarden. Al jouw gegevens blijven binnen Europa en worden versleuteld volgens de laatste beveiligingsstandaarden. Zo houden we jouw data veilig en voldoen we aan alle Europese privacywetten.
Quincy James’ organisatie helpt bedrijven daaraan te voldoen. “Dat begint met een inventarisatie welke AI-tools allemaal worden gebruikt binnen een organisatie. We onderzoeken élke use case, brengen alle risico’s in kaart en toetsen het gebruik aan de AI Act.” (Saillant detail: dat doet Quincy met behulp van AI.)
“Daarna leggen we vangrails aan. Die zorgen ervoor dat al het AI-gebruik in een organisatie verantwoord en conform alle wet- en regelgeving is. Soms leidt dat ertoe dat een bedrijf beaalde tools niet meer kan gebruiken omdat er te veel privacygevoelige informatie naar andere systemen zou stromen. Het kan ook zijn dat AI-gebruik an sich geen probleem is, maar dat een andere tool de meer verantwoorde keuze is.”
Eén belangrijke stelregel waar elke organisatie zich aan zou moeten houden: “Gebruik nooit publieke AI-tools als je met data over werkenden of sollicitanten werkt.”
“Doe het om je medewerkers te beschermen”
Marc en Quincy zijn het erover eens dat wet- en regelgeving altijd achter loopt op technologische ontwikkelingen. En dat door een gebrek aan capaciteit onvoldoende wordt gehandhaafd.
Het is dus volgens BNR at Work-co-host Arjan Elbers aan bedrijven zelf om AI te gebruiken op een zorgvuldige en verantwoorde manier. “Niet om boetes te voorkomen, maar om je medewerkers en sollicitanten te beschermen.”
Bij Nmbrs geloven we dat werk beter en leuker kan, met meer aandacht voor mensen en minder gedoe eromheen. Daarom zijn we trotse sponsor van BNR at Work en delen we graag inspirerende verhalen.
