De risico’s van HR-tools met kunstmatige intelligentie voor dataprotectie en privacy

Organisaties maken steeds meer gebruik van datagestuurde tools voor de werving en selectie van personeel. Maar de inzet van Artificial Intelligence en algoritmes in de systemen brengt ook risico’s mee voor dataprotectie en AVG-compliance. Lokke Moerel, hoogleraar aan Tilburg University en senior of counsel bij Morrison & Foerster, vertelt over de actuele ontwikkelingen in wet- en regelgeving en de need to knows voor privacyprofessionals.

HR-tooling voor automatisering

De krapte op de arbeidsmarkt en de toenemende digitalisering betekenen dat steeds meer organisaties hightech HR-tooling inzetten voor de werving en selectie van nieuwe medewerkers. Denk aan job boards om geschikte kandidaten te vinden en online platforms om sollicitanten via video te spreken. In veel gevallen is de tooling gebaseerd op Artificial Intelligence (AI). De systemen gebruiken algoritmen om bijvoorbeeld voorspellingen te doen over de mogelijke match tussen de vacature en de kandidaat.

“Er is momenteel een wildgroei aan tools met AI voor recruitment, en de HR-afdelingen die de systemen inkopen en implementeren doen niet altijd due diligence onderzoek naar de werking ervan”, zegt Lokke Moerel, hoogleraar technologie & recht aan Tilburg University en onderdeel van het wereldwijde privacy & data security team van Morrison & Foerster, een internationaal advocatenkantoor dat is gespecialiseerd in technologie. Moerel is ook lid van onder andere de Cyber Security Raad en de Raad van Toezicht van SIDN.

 

Privacy risico’s beoordelen

Moerel, die een keynote verzorgt tijdens het Actualiteitencongres Dataprotectie & Privacy , benadrukt dat privacy professionals een belangrijke bijdrage leveren aan een verantwoorde toepassing van de nieuwe HR-tooling. “De tools die nu op de markt zijn, zijn vaak een black box en daardoor kan er niet worden voldaan aan het uitlegbaarheidsvereiste van de Algemene verordening gegevens-bescherming (AVG). Hier is echt een rol weggelegd voor privacy professionals om de risico’s van toepassing van algoritmes te beoordelen. Zo kunnen de datasets waarmee algoritmes trainen bias vertonen, dat wil zeggen bevooroordeeld zijn. Dat kan tot discriminerende uitkomsten leiden. Onderzoek heeft laten zien dat als er geen actieve maatregelen worden getroffen om bias in recruitment tools te verminderen, deze by default tot discriminatie leiden.”

“Een werving- en selectieproces draait niet om één besluit: de uiteindelijke selectie van de kandidaat is de uitkomst van een hele serie stappen en beslissingen. Met de huidige tools spelen algoritmes en AI in het hele proces op allerlei manieren een rol – en elk onderdeel brengt specifieke risico’s mee”, vertelt Moerel. “Er is tooling om bijvoorbeeld zoveel mogelijk diverse kandidaten te vinden, gerichte vacature-advertenties te sturen, sollicitanten te screenen via video-interviews, en een short-list van kandidaten te selecteren. De gemene deler is dat als een persoon eenmaal in één fase is uitgesloten, deze automatisch ook niet doorstroomt naar het volgende stadium”. Met een advertentie kunnen bijvoorbeeld stelselmatig bepaalde groepen mensen buiten beeld blijven, die daardoor nooit tot het sollicitatieproces doordringen.

 

Een systematische review van het gehele proces

“Algoritmes nemen zelden een actieve beslissing om een kandidaat een aanbod te doen, maar ze automatiseren wel de uitsluitingen en afwijzingen”, waarschuwt Moerel. “In een HR-afdeling wordt wel eens gedacht dat er geen sprake is van automatische besluitvorming als bijvoorbeeld een recruiter de automatisch gegenereerde shortlist bekijkt en op basis daarvan de selectie maakt. Maar ook in zo’n geval is er sprake van automatische besluitvorming, omdat het algoritme bij het genereren van de shortlist automatisch kandidaten heeft uitgesloten. Als hier bias optreedt dan is er geen sprake van een behoorlijke verwerking.”

Moerel adviseert om het gehele werving- en selectieproces systematisch te reviewen om te voorkomen dat er bias insluipt. “Soms is er in een specifiek stadium alles aan gedaan om bias te elimineren uit de data waarmee het algoritme wordt getraind. Maar algoritmes worden meestal voortdurend geactualiseerd, via een feedback mechanisme, waardoor er alsnog bias kan worden geïntroduceerd (de zogenoemde feedback loop). Denk aan een recruiter die uit een shortlist steeds vooral witte, mannelijke kandidaten selecteert. Daardoor gaat het algoritme uiteindelijk ook vaker witte, mannelijke kandidaten aandragen. Om te komen tot goede resultaten is dus een review nodig van alle onderdelen van het proces, inclusief de menselijke interventies.”

 

Voorbeelden van bias

Moerel bespreekt in haar keynote verschillende voorbeelden van hoe bias in HR-tooling kan ontstaan. “Werkgevers gebruiken vaak job boards en andere online platforms om zo de meest relevante werkzoekenden te bereiken. Deze advertentieplatforms maken gebruik van algoritmes die vaak oppervlakkige voorspellingen doen. Ze voorspellen niet wie geschikt is voor de betreffende baan, maar bij wie de kans het hoogst is dat ze op de betreffende advertentie te klikken (zodat het platform meer inkomsten genereert). Onderzoek laat zien dat hierdoor advertenties voor bijvoorbeeld taxichauffeurs vooral terecht komen bij mannen en advertenties voor kassamedewerkers bij vrouwen. De algoritmes versterken daardoor stereotypen, waardoor bepaalde groepen worden uitgesloten.” Ook hier is de feedback loop vaak een valkuil, als het algoritme dynamisch wordt geactualiseerd op basis van de voorkeuren van de recruiter en de interacties tussen de recruiter en de kandidaat die op de advertenties reageert.

Ook tijdens het sollicitatieproces kan er onbedoeld een bias optreden. “Bij tools om online sollicitatiegesprekken te voeren, analyseert AI de data uit de video om voorspellingen te doen over de persoonlijkheid van de sollicitant door analyses van gezichtsuitdrukkingen en woord- en taalgebruik. Maar gezichtsuitdrukkingen en vocabulaires kunnen cultureel verschillen. Als een tool niet met gegevens van een diversiteit aan culturele groepen is getraind dan bestaat het risico dat de gezichtsuitdrukkingen van minderheidsgroepen minder goed worden herkend.”

Wat zijn de positieve voorbeelden van HR-tooling? “Eigenlijk zijn alle tools die een organisatie inzicht geven in mogelijke – tot dan toe verborgen – bias in het recruitmentproces nuttig”, zegt Moerel. “Met behulp van algoritmen kan je ook actief op zoek gaan naar een shortlist van diverse kandidaten en die naast de gewone shortlist leggen. Er zijn daarnaast tools die een vacaturetekst screenen op inclusief taalgebruik. Met dergelijke systemen worden HR-professionals actief ondersteund om uit een diverser aanbod te selecteren – en onbewuste sociale uitsluiting te voorkomen.”

 

Focus van toezicht voor dataprotectie en privacy

Het Actualiteitencongres Dataprotectie & Privacy van Outvie is speciaal ontwikkeld voor professionals die op zoek zijn naar actuele kennis over juridische, praktische en ethische uitdagingen rond dataprotectie, privacy en AVG-compliance. Het onderwerp AI-gestuurde HR-tools raakt een aantal belangrijke thema’s die worden belicht tijdens het congres, in het bijzonder responsible tech.

Moerel signaleert een groeiende awareness over de risico’s van HR-tooling die gebruik maakt van AI. “We zien klachten, rechtszaken en een vloed aan nieuwe Ethische AI Codes en wetsvoorstellen om technieken en toepassingen beter te reguleren. De staat New York heeft inmiddels zelfs een wetsvoorstel aanhangig dat specifiek AI recruiting tools gaat reguleren. Ook over het nieuwe voorstel van de Europese Commissie voor een AI Verordening is veel te doen.” Het thema algoritmen en AI is al één van de drie focusgebieden van de Autoriteit Persoonsgegevens, en de toezichthouder schetst in een toelichting op het wettelijke kader de basisbeginselen voor AVG-compliance.

 

Voorbereiden op de Europese AI Verordening

Het Europese voorstel voor een AI Verordening maakt een onderscheid tussen AI-systemen en -toepassingen met een minimaal of laag risico (zoals spamfilters), een hoog risico (zoals chatbots en deep fakes) en een onaanvaardbaar risico. Hoe hoger het risico is, hoe strikter de regels zijn. “AI-systemen die door werkgevers worden ingezet voor beoordeling en selectie, vallen onder de categorie hoog risico. Aanbieders hiervan moeten aan een zwaar regime van vereisten voor risicomanagement voldoen, waaronder monitoring, detectie en correctie van bias. Ook voor gebruikers gelden dan regels. Zij dienen het AI-systeem te monitoren op een juiste werking en – als de gebruiker controle heeft over data input – borgen dat de gegevensverwerking relevant is voor het beoogde gebruik”. Tegelijkertijd benadrukt het voorstel dat bestaande wettelijke verplichtingen, zoals de AVG, onverminderd van toepassing zijn.

De AI Verordening wordt de komende jaren door de lidstaten en het Europese Parlement beoordeeld. De wetgeving zal grote impact hebben, verwacht Moerel. “Ik denk dat nagenoeg alle HR-tools die momenteel op de markt zijn niet voldoen aan de standaarden van de concept-verordening. Organisaties doen er dus goed aan om zich voor te bereiden op de toekomstige regels. Daarbij is de actieve betrokkenheid van data protection officers en andere privacy-experts zeker nodig.”

Meer te weten komen over de impact van AI op dataprotectie? Volg dan het Actualiteitencongres Dataprotectie & Privacy in Amsterdam.