AI op de werkvloer: tijd om jouw integriteitsbeleid een update te geven

Geschreven door BijzonderStrafrecht.nl

Het Huis voor Klokkenluiders publiceerde recent de brochure Een integere digitale werkomgeving. De boodschap: organisaties die generatieve en agentic AI inzetten, moeten hun integriteitsbeleid daarop aanpassen. Wat in de brochure nog voorzichtig wordt geformuleerd als "morele afweging", is voor juridische teams iets anders. Het is een uitbreiding van de compliance-agenda, waarin de AI-verordening, de AVG en de aansprakelijkheidsvraag samenkomen.

De brochure richt zich op werkgevers in brede zin. Maar wie hem leest als jurist, ziet vooral een catalogus van risico's die niet langer alleen bij de CIO of de privacy officer thuishoren. Ze raken de kern van waar legal departments en compliance-teams voor staan.

Wat de brochure zegt, en waar het schuurt

Het Huis noemt vijf hoofdlijnen: duidelijke kaders, risicoanalyse, menselijke toetsing, een open meldcultuur met AI-geletterdheid, en periodieke evaluatie. Geen onverwachte adviezen. De voorbeelden maken het concreter. Een werkgever die met een AI-recruteringstool systematisch vrouwelijke sollicitanten uitsloot. Een productiviteitsmonitor die wc-bezoeken registreerde als wangedrag. Een functioneringsverslag, opgesteld door AI, dat iemand met ziekteverzuim kwalificeerde als "niet functionerend".

Stuk voor stuk juridisch relevant. Arbeidsrecht, discriminatieverbod, AVG. In elke casus zit een potentieel dossier en een potentiële schadeclaim.

De AI-verordening zit er al aan te komen

De brochure verwijst naar de Europese AI-verordening en dat is geen detail. Organisaties die AI inzetten werken vanaf nu onder een kader dat concrete verplichtingen oplegt. AI-systemen voor werving en selectie vallen onder de categorie hoog-risico. Er gelden transparantie-eisen, documentatieverplichtingen en de plicht om te zorgen voor AI-geletterdheid bij medewerkers die met AI werken. Overtredingen worden afgedwongen met boetes die kunnen oplopen tot een percentage van de wereldwijde jaaromzet.

Voor teams betekent dat drie dingen. AI-beleid kan niet langer los worden gezien van het regelgevingskader. "We gebruiken gewoon ChatGPT" is geen beleid. En de risicoanalyses die de brochure aanbeveelt, zoals het Toetsingskader Algoritmes van de Algemene Rekenkamer en de DPIA, zijn niet vrijblijvend. Ze sluiten aan bij verplichtingen die er al zijn of eraan komen.

De aansprakelijkheidsvraag

Het lastigste onderdeel van de brochure is het korte stukje over agentic AI. Wie is aansprakelijk als een autonoom systeem een fout maakt? De brochure geeft geen antwoord, omdat dat antwoord er juridisch nog niet volledig is. Precies daar zit het probleem.

Agentic AI coördineert processen zelf. Wanneer zo'n systeem een ongelukkige beslissing neemt, denk aan een onterechte afwijzing, een foutieve rapportage, of een geautomatiseerde melding die niet had moeten gaan, dan ligt de aansprakelijkheid ergens tussen ontwikkelaar, aanbieder en gebruiker. Juridische teams die nu geen afspraken maken over verantwoordelijkheid en toezicht, lopen straks achter de feiten aan. Contracten met AI-leveranciers, interne protocollen en governance-structuren moeten hier een antwoord op geven, liefst voordat het eerste incident zich voordoet.

Menselijke toetsing als norm

De brochure benoemt menselijke toetsing als ethisch principe. Juridisch is het meer dan dat. Onder artikel 22 AVG heb je bij geautomatiseerde besluitvorming met rechtsgevolgen recht op menselijke tussenkomst. Onder de AI-verordening gelden voor hoog-risico-systemen vergelijkbare eisen. De "mens in de lus" is geen morele keuze, maar een juridische ondergrens.

Dat heeft gevolgen voor de inrichting van werkprocessen. HR-beslissingen die volledig op AI-output steunen, klant-afwijzingen die automatisch tot stand komen, risicoscores zonder contextuele controle: in al die gevallen moet aantoonbaar zijn dat een mens de eindafweging maakt. Aantoonbaar, dus gedocumenteerd. Geen achteraf-reconstructie.

Wat juridische teams nu moeten doen

De brochure sluit af met praktische stappen. Voor juridische teams vertalen die zich concreter. Maak inzichtelijk welke AI-toepassingen in de organisatie draaien, inclusief de tools die medewerkers op eigen initiatief gebruiken. Toets het bestaande integriteitsbeleid aan de AI-verordening, de AVG en de relevante arbeidsrechtelijke kaders. Documenteer waar menselijke toetsing plaatsvindt en hoe. Leg in contracten met AI-leveranciers vast wie waarvoor verantwoordelijk is.

En doe dat niet alleen. De brochure benoemt terecht dat een integere digitale werkomgeving samenwerking vraagt tussen directie, HR, IT en de integriteitsfunctionaris. Voor juridische teams is dat niet nieuw. Maar de snelheid waarmee het terrein verschuift, is dat wel. Wie het kader nu inricht, staat straks sterker als het Toeslagenaffaire-scenario zich in het klein aandient in jouw organisatie.

BijzonderStrafrecht.nl https://www.bijzonderstrafrecht.nl
Vorige

Toezicht op AI in de Rechtspraak: een eerste stap met scherpe randen
Volgende

Wie schrijven uitbesteedt, besteedt nadenken uit