AI-wervingscompliance · Bias & toegankelijkheid over meerdere rechtsgebieden
Per april 2026 bevindt de CHRO of General Counsel die AEDT's draait in New York, Colorado, Illinois, Texas, Californië of de EU zich in een reguleringsvenster waarvoor de meeste van hun leveranciers niet zijn gebouwd. Illinois HB 3773 ging op 1 januari van kracht. Texas TRAIGA ging op 1 januari van kracht. De FEHA ADS-amendementen van Californië gingen afgelopen oktober van kracht. Colorado SB 24-205 treedt op 30 juni in werking. De EU AI Act behandelt werving als hoogrisico vanaf 2 augustus. De NY State Comptroller publiceerde zojuist een audit van december 2025 waarin 17 LL144-overtredingen werden vastgesteld waar DCWP er één had gevonden, en DCWP stemde ermee in over te gaan op proactieve handhaving. Mobley v. Workday bevindt zich in de discovery-fase. Kistler v. Eightfold stelt de vraag of AI-wervingsplatforms FCRA consumer reporting agencies zijn. Deze pagina bestaat omdat geen enkele leverancier op uw shortlist al dat eerlijk voor u kan beantwoorden.
17 vs. 1
LL144-overtredingen gevonden door auditors van de staat NY versus DCWP in dezelfde steekproef van 32 bedrijven
NY State Comptroller, 2 dec. 2025
4,6%
Van 391 NYC-werkgevers had een bias-audit gepubliceerd — de bevinding "Null Compliance"
Cornell / Data & Society / Consumer Reports, FAccT 2024
64M
Sollicitantgegevens blootgesteld toen een McHire / Paradox-beheerdersaccount het wachtwoord "123456" gebruikte
Carroll & Curry-onthulling, 30 juni 2025
Drie van deze gebeurtenissen zijn al van kracht. Twee worden vóór het einde van de zomer urgent. Twee zijn in actieve procesvoering. Geen van hen wacht op uw jaarlijkse compliancecyclus.
Werkgevers moeten de invoer, uitvoer, bias-testresultaten en selectiecriteria van het ADS ten minste vier jaar bewaren. Aansprakelijkheid ontstaat bij discriminerende werkgelegenheidspraktijken veroorzaakt door een ADS, opzettelijk of niet. Geldt voor elke werkgever die in Californië werft, ongeacht de locatie van het hoofdkantoor.
Verbiedt het gebruik van AI met een discriminerend effect op werving, aanname, promotie, disciplinering of ontslag. Verbiedt expliciet postcodes als proxy's voor beschermde klassen. Kennisgeving vereist telkens wanneer AI wordt gebruikt om enige werkgelegenheidsbeslissing te "beïnvloeden of faciliteren". Gehandhaafd door het Illinois Department of Human Rights, dat eind 2025 concept-kennisgevingsregels publiceerde.
Verbiedt opzettelijke discriminatie via AI. Texas verwierp disparate impact expliciet als zelfstandige theorie, wat afwijkt van de LL144- en Colorado-kaders. Uitsluitend gehandhaafd door de Texas Attorney General. Overtreders krijgen een kennisgeving en een herstelperiode van 60 dagen; de boetes variëren van $12.000 voor herstelbare overtredingen tot $200.000 voor niet-herstelbare.
Auditors van de staat vonden 17 potentiële LL144-overtredingen in dezelfde steekproef van 32 bedrijven waar DCWP er één vond. 75% van de 311 AEDT-klachtenoproepen werd verkeerd doorgestuurd. DCWP gaf toe dat het de technische expertise miste om AEDT's te beoordelen en stemde ermee in proactieve handhaving in te voeren. Boetestructuur ongewijzigd: tot $1.500 per dag per overtreding. "Null Compliance" — uw tool zelf buiten het toepassingsgebied classificeren — is in New York City niet langer een verdedigbare houding.
Rechter Rita F. Lin wees Workday's verzoek tot afwijzing af, met het oordeel dat een AI-wervingsleverancier rechtstreeks aansprakelijk kan zijn als "agent" van werkgevers wanneer zijn tool deelneemt aan de besluitvorming door kandidaten aan te bevelen of te filteren. Voorlopige collectieve certificering verleend op 16 mei 2025; het opt-invenster voor sollicitanten van boven de 40 sloot op 7 maart 2026. De rechtbank gelastte Workday vervolgens om een uitputtende lijst te overleggen van werkgevers die HiredScore Spotlight en Fetch hadden ingeschakeld, en verwierp Workday's poging om de na de overname verworven producten van de collectiviteit uit te sluiten.
Eerste toetsing van de vraag of AI-wervingsplatforms FCRA "consumer reporting agencies" zijn. Eisers beweren dat Eightfold gegevens scrapete van LinkedIn, GitHub, Stack Overflow en openbare databases, kandidaatdossiers samenstelde uit "meer dan 1,5 miljard wereldwijde datapunten" en een "slaagkans"-score van 0–5 produceerde zonder certificering, kennisgeving, openbaarmaking, autorisatie of geschilprocedure voor de kandidaat. Als de rechtbank oordeelt dat Eightfold een CRA is, is elk vergelijkbaar platform elke gescoorde kandidaat een adverse-action-kennisgeving en een geschilprocedure verschuldigd. De wettelijke schadevergoeding onder de FCRA bedraagt $100–$1.000 per consument per overtreding.
Gouverneur Polis ondertekende de uitstelwet op 28 augustus 2025, waarmee de ingangsdatum van 1 februari naar 30 juni 2026 werd verschoven. Deployers moeten een risicomanagementprogramma invoeren, initiële en jaarlijkse impactbeoordelingen uitvoeren, consumentenkennisgevingen vóór en na de beslissing afgeven en openbaarmakingen op de website publiceren. De Colorado Attorney General heeft de exclusieve handhavingsbevoegdheid. Het weerlegbare vermoeden als verweer vereist gedocumenteerde redelijke zorg.
Werving, screening, het richten van vacatures, het filteren van sollicitaties en de evaluatie van kandidaten vallen allemaal onder hoogrisico Annex III. Vóór 2 augustus 2026 moeten aanbieders conformiteitsbeoordelingen voltooien, technische documentatie publiceren (Art. 11 / Annex IV), een datagovernanceprogramma implementeren (Art. 10), menselijk toezicht waarborgen (Art. 14), zich registreren in de EU-database en de CE-markering aanbrengen. De boetes lopen op tot €35M of 7% van de wereldwijde jaaromzet voor overtredingen van verboden praktijken, €15M of 3% voor hoogrisicoverplichtingen. Het Digital Omnibus-voorstel van eind 2025 kan Annex III naar december 2027 verschuiven, maar dat uitstel is niet vastgesteld en voorzichtige compliance behandelt 2 augustus als bindend.
De onderstaande tabel is geen koopgids. Het is een kaart van waar elk platform staat ten opzichte van het huidige juridische regime, en wat dat betekent voor een CHRO die in 2026 een contract moet verlengen of vervangen. Wij zijn leveranciersneutraal en hebben geen commerciële relatie met enig hier vermeld bedrijf.
| Leverancier / Product | Huidige regelgevingshouding | De eerlijke kloof die de CHRO bezit |
|---|---|---|
| Workday + HiredScore (Spotlight, Fetch) | Publiceerde een Secretariat-analyse door derden; levert LL144-auditconfiguraties; voert actief verweer in Mobley | Rechter Lin verwierp Workday's poging om HiredScore uit de class uit te sluiten. Als een klant Spotlight tijdens de class-periode heeft ingezet, staat de naam van die klant op de door de rechtbank gelaste lijst. |
| Eightfold AI (Match) | Publiceert bias-auditdocumentatie; zakelijke klanten zijn onder meer Microsoft, Morgan Stanley | Genoemd als gedaagde in Kistler. Als de FCRA-theorie standhoudt, kan elke klant die Match-scoring gebruikte met terugwerkende kracht adverse-action-kennisgevingen aan kandidaten verschuldigd zijn. |
| HireVue | Liet de gezichtscoderingsanalyse in januari 2021 vallen; schakelde over op gestructureerde tekst- en video-assessments | Genoemd in de ACLU-klacht van maart 2025 (D.K. v. Intuit/HireVue) op grond van ADA, Title VII en de Colorado Anti-Discrimination Act. HireVue's CEO ontkent dat AI-assessment werd gebruikt; de ASR-pipeline zelf is nog steeds onderhevig aan het ongelijke WER-probleem dat in toegankelijkheidsonderzoek is gedocumenteerd. |
| Paradox (Olivia) | Geen specifieke compliance-differentiatie; reactief patchen | Stelde in juni 2025 64M records bloot omdat een beheerderstestaccount uit 2019 123456 als wachtwoord gebruikte. De grondoorzaak was configuratie, niet ML. Uw DPO en CISO moeten bij elk verlengingsgesprek aanwezig zijn. |
| Pymetrics / Harver | Op games gebaseerd assessment met een openbare bias-audithistorie | Nog steeds onderhevig aan de ADA-theorie in de FTC-klacht van de ACLU over Aon/Cangrade: persoonlijkheidskenmerkinstrumenten die klinische diagnostische criteria weerspiegelen, functioneren als handicapscreenings. |
| iCIMS, Greenhouse, Lever, SmartRecruiters, Ashby | ATS-laag — sommige exporteren LL144-bias-rapporten; over het algemeen geen genoemde gedaagden | De ATS is een datawarehouse, op zichzelf geen AEDT. De compliancevraag ligt bij welke scoring- of rankingplugin uw recruiters ook hebben aangezet, die de ATS-leverancier niet voor u auditeert. |
| FairNow, Holistic AI, Credo AI, Warden AI, Fairly AI | Governanceplatforms en audittooling; sommige LL144-gespecialiseerd | Een platform vertelt u hoe uw statistieken eruitzien. Het vervangt geen due diligence van leveranciers, het auditeert toegankelijkheid niet los van adverse impact, en het verzoent geen tegenstrijdige regimes. Het nuttigst als dashboard nadat de strategie is bepaald. |
| DCI Consulting, ORCAA, Secretariat | Wettelijk erkende onafhankelijke LL144-auditors; ongeveer $50K–$200K per systeem per jaar | Gouden standaard voor de jaarlijkse momentopname die LL144 vereist. Niet continu, niet jurisdictie-overschrijdend, en niet ontworpen om uw AEDT-architectuur te herschrijven. |
| Deloitte, KPMG, EY, PwC AI-praktijken | Adviestakken met arbeidsrechtelijke relaties en auditgeloofwaardigheid | Opdrachten beginnen doorgaans bij $500K en lopen op tot $2M+. Sterk in governance-deliverables, zwak in het leveren van werkende code. Goed antwoord voor een Fortune 50 met een onbeperkt budget, verkeerd antwoord voor een midmarket-CHRO met een kwartaal om compliant te worden. |
Het eerlijke antwoord is dat Deloitte, KPMG, EY en PwC de juiste keuze zijn als u een board-klaar governancerapport nodig hebt en het getal op de factuur u niet uitmaakt. Hun methodologie is degelijk, hun merk beschermt u politiek en hun regelgevingsrelaties zijn reëel. Ze zijn de verkeerde keuze wanneer het onderliggende probleem een neuraal netwerk is dat scores van 0–5 produceert op 2M kandidaten per kwartaal, uw deadline twaalf weken weg is, en u iemand nodig hebt die met uw ML-team gaat zitten en feature-engineering-pipelines gaat herschrijven. Grote firma's besteden dat werk uit; kleine gespecialiseerde firma's doen het rechtstreeks. Wij rekenen een fractie van wat een Big 4-auditopdracht kost omdat we geen kantoortoren financieren, en we leveren werkende code in plaats van een deck van 200 slides. Als u het deck nodig hebt, huur dan de Big 4 in. Als u de code nodig hebt, lees verder.
Een bias-audit die voldoet aan NYC LL144 voldoet niet aan Colorado. Een audit die voldoet aan Colorado voldoet niet aan de EU AI Act. Sommige vereisten zijn technisch onverenigbaar. Dit is geen ontwerpfout die de markt zal corrigeren — het is de juridische omgeving waarin u zich koopt.
LL144 vereist intersectionele impactratio's berekend over ras × geslacht voor elke selectiefase. De "redelijke zorg"-norm van Colorado in SB 24-205 schrijft geen methodologie voor, en de Illinois Human Rights Act richt zich op discriminerend effect zonder een statistische toets voor te schrijven. Het uitvoeren van één universele audit levert uitkomsten op die te grof zijn voor LL144 en te gedetailleerd om erkend te worden als de Colorado-specifieke impactbeoordeling. Elk rechtsgebied krijgt een anders gevormde deliverable of elk faalt op zijn eigen voorwaarden.
Illinois HB 3773 verbiedt expliciet het gebruik van postcodes als proxy's voor beschermde klassen. EU AI Act Artikel 10(3) vereist dat trainingsdata "relevant, representatief en voor zover mogelijk vrij van fouten en volledig" zijn — wat doorgaans betekent dat geografische kenmerken moeten worden opgenomen om regionale dekkingslacunes te vermijden. Verwijder postcodes en u faalt voor de EU-representativiteitsaudit; behoud ze en u overtreedt Illinois. Het praktische antwoord is een expliciet woonplaatskenmerk met een grovere geografische granulariteit voor EU-trainingsdata en een volledig geografisch masker voor Illinois-inferentie — wat twee deploymentconfiguraties van hetzelfde model vereist, niet één.
Onder LL144 bepaalt de werkgever zelf of een tool een aannamebeslissing "substantieel ondersteunt". Onder Mobley is de leverancier rechtstreeks aansprakelijk wanneer zijn tool kandidaten aanbeveelt of filtert, onafhankelijk van wat de werkgever beweert. Een zelfclassificatiememo uit 2024 die zegt "onze Workday Spotlight-deployment is geen AEDT" is nu bewijsstuk A van de eisers. De enige verdedigbare houding is om elke scoring-, ranking-, filter- of routeringstool als binnen het toepassingsgebied te beschouwen en dienovereenkomstig te documenteren.
Texas TRAIGA is de eerste staatswet die disparate impact expliciet verwerpt als zelfstandige basis voor AI-wervingsaansprakelijkheid. Dit betekent niet dat werkgevers in Texas veilig zijn — federale Title VII- en Texas Commission on Human Rights Act-vorderingen zijn nog steeds van toepassing — maar het betekent dat de TRAIGA-compliance-deliverable intentiegericht is in plaats van statistiekgericht. Een federale Title VII adverse-impact-analyse, een LL144 four-fifths-rapport en een TRAIGA-intentiebeoordeling zijn drie afzonderlijke opdrachten met drie afzonderlijke bewijsstandaarden.
Kistler v. Eightfold is geen adverse-impact-zaak. Het FCRA-kader stelt de vraag of het platform functioneert als een consumer reporting agency, ongeacht of de scores eerlijk zijn. Een volkomen onbevooroordeeld platform kan nog steeds elke gescoorde kandidaat een pre-adverse-action-kennisgeving, een kopie van het "rapport" en een geschilprocedure verschuldigd zijn. Bias-audits produceren geen van die artefacten. Een koper die alleen optimaliseert voor LL144- en Colorado-compliance kan nog steeds gedaagde in een class action zijn omdat de FCRA-vraag nooit werd gesteld.
LL144 vereist geen handicapimpacttesting. Colorado vereist het onder de algemene "redelijke zorg"-norm, maar schrijft geen methodologie voor. De ACLU-klacht namens een Inheemse dove werknemer (D.K. v. Intuit / HireVue) betoogt dat ASR-gedreven video-interviews mensen wier spraakpatronen ondervertegenwoordigd waren in de trainingsdata op ongelijke wijze benadelen. Het onderliggende technische probleem is meetbaar: gepubliceerd onderzoek toont aan dat Whispers meertalige gemiddelde WER ongeveer drie keer zijn Engelse WER is, en het winnende team van de 2025 Interspeech Speech Accessibility Project Challenge behaalde een WER van 8,11% op aangetaste spraak — nog steeds veelvouden van standaardbenchmarks. Bias-audits die alleen ras en geslacht volgen, brengen dit niet aan het licht, en een bedrijf dat slaagt voor LL144 kan nog steeds een ADA-klacht krijgen.
Het Paradox / McHire-datalek stelde 64M kandidaatrecords bloot omdat een beheerderstestaccount uit 2019 nog steeds actief was met 123456 als zowel gebruikersnaam als wachtwoord, zonder MFA, en met een IDOR in een interne API. Niets hiervan had iets met ML te maken. Het ligt nu allemaal bij de CHRO omdat kandidaatgegevens die via een wervingstool zijn blootgesteld nog steeds wervingsgegevens zijn, onderhevig aan AVG-meldplicht bij datalekken, het private recht van actie van de CCPA en verlies van rechtsgrondslag voor verdere verwerking. Due diligence van leveranciers van AI-wervingstools moet credentialhygiëne, API-autorisatiegrenzen en standaardwachtwoordaudits omvatten — wat niet is wat een standaard SOC 2-brief u vertelt.
Dit zijn consultancyopdrachten, geen producten. Elke opdracht is op maat. Wat ons nuttig maakt, is dat we code schrijven en uw leveranciersvergaderingen uitzitten. Wij zijn leveranciersneutraal: we verkopen geen HR-tech door, en we zullen u vertellen wanneer uw Workday- of Eightfold-deployment as-is verdedigbaar is.
We inventariseren elke tool die een aannamebeslissing raakt — ATS-plugins, scoringengines, planningsbots, video-interviewers, referentiecontrole-API's, achtergrondcontrole-integraties, de native AI van LinkedIn Recruiter, alles wat kandidaten naar voren brengt of verbergt. Voor elke tool classificeren we deze tegen de LL144-definitie "substantieel ondersteunt", het Colorado-onderscheid tussen deployer/developer, de Illinois-toets "beïnvloeden of faciliteren", de Texas-intentie-alleen-toets en de EU Annex III hoogrisicoclassificatie. De output is een AEDT-register dat standhoudt in een toezichthoudersonderzoek en een leverancierslijst die juridisch vertelt welke contracten wijziging behoeven.
Deliverable: AEDT-register, blootstellingsmatrix per rechtsgebied, lijst met te wijzigen leverancierscontracten, prioriteitswachtrij voor remediëring.
We voeren de volledige four-fifths-analyse uit op het intersectionele niveau dat LL144 vereist, berekenen de Colorado "redelijke zorg"-impactbeoordeling in het formaat waar de conceptregels van de CO AG naartoe neigen, genereren de Illinois-kennisgevingsartefacten en produceren de datagovernancedocumentatie volgens EU AI Act Artikel 10. Waar regimes botsen schrijven we een memo die precies aangeeft waar en waarom, en doen we de juridisch-strategische aanbeveling (voor welk regime u optimaliseert, op welk u blootstelling accepteert, wat de omvang van de blootstelling werkelijk is). Wij zijn geen onafhankelijke auditor onder LL144 — die rol is voor DCI, ORCAA of Secretariat — maar we brengen uw systeem in de staat waarin de onafhankelijke audit niets vindt dat het waard is om op te schrijven.
Deliverable: LL144-intersectioneel rapport, Colorado-impactbeoordeling, Illinois-kennisgevingssjabloon, EU Art. 10/11-documentatiepakket, conflictmemo.
We behandelen dit als een aparte discipline omdat geen enkel bias-auditkader het dekt. We benchmarken uw video-interview-ASR-pipeline tegen het Speech Accessibility Project-corpus en gepubliceerde WER-verschillen voor dove, slechthorende en sprekers met een accent. We evalueren persoonlijkheidsinstrumenten tegen de Aon-theorie van de ACLU: als de vragen klinische diagnostische criteria weerspiegelen, functioneren ze als een handicapscreening onder de ADA. We ontwerpen het human-in-the-loop-escalatiepad voor kandidaten die een aanpassingsbehoefte kenbaar maken, inclusief een CART-provider-SLA die kandidaten niet 72 uur laat wachten. Dit is waar een ACLU-klacht of een DOJ ADA-onderzoek begint, dus we documenteren het tot de bewijsstandaard die die procedures vereisen.
Deliverable: ASR WER-verschilrapport, ADA-beoordeling van persoonlijkheidsinstrumenten, specificatie van aanpassingsworkflow, CART-provider-SLA-sjabloon.
We beoordelen of uw AI-wervingsleveranciers voldoen aan het feitenpatroon dat de eisers in Kistler nastreven: het scrapen van data van derden, het opbouwen van kandidaatprofielen, het produceren van numerieke scores en het gebruiken van die scores om te filteren. Waar het patroon van toepassing is, bouwen we de FCRA adverse-action-kennisgevingspipeline, de op de kandidaat gerichte geschilworkflow, het dataherkomstlog dat laat zien welke informatie in een score werd gebruikt, en de tijdlijn voor geschiloplossing die uw GC in de rechtbank kan verdedigen. Als de rechtbank in Kistler oordeelt dat Eightfold een CRA is, bent u op dag één klaar. Als dat niet zo is, hebt u een kandidaatervaring waar uw DEI-team u toch dankbaar voor zal zijn.
Deliverable: FCRA-toepasselijkheidsmemo, adverse-action-kennisgevingssjablonen, specificatie van kandidaatgeschilportaal, architectuur voor dataherkomstlogging.
Na McHire is een SOC 2-brief niet genoeg. We voeren een AI-bewuste beveiligingsbeoordeling uit op elke HR-techleverancier in uw stack: standaardcredentials, MFA-handhaving op beheerdersaccounts, API-autorisatiegrenzen (specifiek IDOR-klassebugs zoals die welke 64M records blootstelde), bewaring van chattranscripten van kandidaten, prompt-injection-versteviging op conversationele interfaces, en dataresidentie voor AVG-rechtsgrondslaganalyse. De deliverable is een leveranciersrisicomemo die de CISO mede kan ondertekenen en een contractuele bijlage die uw inkoopteam aan elke verlenging kan toevoegen.
Deliverable: leveranciersrisicomemo, IDOR / autorisatiegrens-testresultaten, contractuele beveiligingsbijlage, DPIA-update voor AVG.
Wanneer de audit een tool onthult die niet compliant kan worden gemaakt zonder het model te veranderen, hebben we twee opties. Optie één: vervang deze door een glass-box-architectuur die wij bouwen — een knowledge-graph skill matcher of een symbolische regelengine met afgedwongen beperkingen waarbij elke beslissing herleidbaar is naar een auditeerbare node in plaats van een floating-point-gewicht. Optie twee: leg een compliance-overlay bovenop de bestaande leverancier, die scores onderschept, rechtsgebiedspecifieke aanpassingen toepast en een onafhankelijk audittraject genereert dat de discovery overleeft. We beginnen niet vanaf nul tenzij het alternatief werkelijk slechter is; meestal lost een smalle overlay het probleem op.
Deliverable: memo met remediëringsopties, prototype- of overlaycode, integratiespecificatie voor de bestaande ATS.
We verkopen geen retainers. Elke fase hieronder is een eigen statement of work met een eigen deliverable. Klanten stoppen na fase 1 en voelen zich daar goed bij; anderen gaan door tot architecturale remediëring. Geen enkele fase is afhankelijk van het zich committeren aan de volgende.
We lopen één volledige wervingscyclus mee, inventariseren elke AEDT, brengen uw operationele rechtsgebieden in kaart en produceren een blootstellingsmemo die aangeeft welke regimes van toepassing zijn en waar u momenteel niet compliant bent. Werksessies met HR, Juridisch, Inkoop en IT-beveiliging. Vaste prijs. Eindtoestand: uw GC kan een bestuursvergadering binnenlopen met een genummerde lijst.
Het eigenlijke statistische werk. Intersectionele adverse-impact-tabellen, Colorado-impactbeoordeling, Illinois-kennisgevingsartefacten, EU Art. 10/11-documentatie, FCRA-toepasselijkheidsmemo, ASR WER-benchmarks. We produceren het pre-auditpakket dat de onafhankelijke LL144-auditor van uw keuze (DCI, ORCAA, Secretariat) zonder herschrijving zal accepteren. We identificeren onverzoenbare conflicten en schrijven de juridisch-strategische memo die het leiderschap vertelt welke blootstellingen ze bewust accepteren.
Voor elke genoemde leverancier voeren we een AI-bewuste beveiligingsbeoordeling uit, beoordelen we DPA's tegen de zeven botsingszones en stellen we de contractbijlagen op die uw inkoopteam bij verlenging zal toevoegen. Voor Workday / HiredScore-klanten beoordelen we specifiek de Mobley blootstelling en documenteren we waar uw deployment afwijkt van het feitenpatroon. Voor Eightfold-klanten markeren we het Kistler-risico en bevelen we tijdelijke mitigaties aan.
Alleen indien nodig. Een overlay die scores onderschept voordat ze het scherm van een recruiter bereiken, een op de kandidaat gericht geschilportaal geïntegreerd met uw ATS, een knowledge-graph skill matcher voor de ene functiefamilie waar de bestaande leverancier niet kan slagen. We bouwen, we dragen de code over, we documenteren het voor uw engineeringteam. Typische opdracht: één tot drie kwartalen.
We helpen u doorlopende monitoring op te zetten bovenop een governanceplatform dat u al bezit of hebt gekozen (FairNow, Holistic AI, Credo AI zijn hier allemaal prima voor; we verkopen geen van deze door). We trainen uw interne team in hoe de dashboards te interpreteren in de taal die elke toezichthouder gebruikt. Daarna gaan we weg.
Over tijdlijnen en eerlijkheid: Een bedrijf dat dit sinds 2024 niet heeft aangeraakt, kan tegen 2 augustus 2026 niet volledig compliant zijn over zes regimes. We zullen u precies vertellen welke blootstellingen overblijven, de memo schrijven en u helpen een weloverwogen juridisch-strategische beslissing te nemen over wat u accepteert. Het alternatief — volledige dekking claimen tegen een datum die nooit haalbaar was — creëert precies het "kwade-trouw"-dossier waar toezichthouders en eisers naar op zoek zijn.
Voer in waar u werft en wat u gebruikt. De tool berekent welke regimes van toepassing zijn, welke van uw leveranciers actieve procesvoering of regelgevingsblootstelling hebben, en wat de prioriteitsvolgorde van remediëring is. Niets wordt ergens naartoe verzonden — dit draait volledig in uw browser. Gebruik de output in uw volgende compliancevergadering, of u ons nu inhuurt of niet.
Geformuleerd zoals klanten ze daadwerkelijk formuleren tijdens het eerste gesprek, niet opgepoetst voor de website.
Geen aparte audits, maar aparte deliverables afgeleid van één goed ontworpen audit. Het onderliggende statistische werk — adverse-impact-ratio's, intersectionele analyse, feature-attributies — is gemeenschappelijk. De opmaak en wat er wordt berekend, is dat niet. LL144 eist intersectionele impactratio's per ras-naar-geslacht en een openbaar geplaatste samenvatting in een specifiek formaat. Colorado wil een gedocumenteerde impactbeoordeling als onderdeel van een risicomanagementprogramma, zonder expliciete four-fifths-vereiste. Illinois heeft een kennisgevingsartefact en proxy-variabeledocumentatie nodig. De EU wil Art. 10-datagovernancegegevens en Art. 11-technische documentatie, wat veel diepgaander is dan enig Amerikaans kader. Eén auditor die een "universele" LL144-audit uitvoert en deze goed verklaart voor Colorado, geeft u iets dat een toezichthouder zal afwijzen. Eén auditopdracht produceert vier of vijf anders gevormde deliverables als deze correct is ontworpen. Wij ontwerpen opdrachten op die manier; de meeste algemene auditleveranciers niet.
Misschien wel, misschien niet. De collectiviteit die in mei 2025 voorlopige certificering ontving, omvat sollicitanten van 40 jaar en ouder die werden uitgescreend door een Workday-klant die Workdays tools gebruikte. Rechter Lin verwierp vervolgens Workday's poging om HiredScore Spotlight en Fetch uit de collectiviteit uit te sluiten, ook al werden die producten na de klacht verworven, en gelastte Workday een uitputtende lijst te overleggen van werkgevers die HiredScore-functies hadden ingeschakeld. Het opt-invenster voor sollicitanten van boven de 40 sloot op 7 maart 2026, wat betekent dat de discovery nu doorgaat op geïdentificeerde class-leden. Uw onmiddellijke actiepunten zijn: haal uw HiredScore-deploymenthistorie met datums op, identificeer de functies en geografieën waar Spotlight of Fetch kandidaten filterde, bewaar alle gegevens op sollicitantniveau uit die periode en documenteer het menselijke-beoordelingscontrolepunt als dat er was. Een verweer van "de leverancier handelde het af" is precies wat het "agent"-oordeel van rechter Lin moest verslaan. Hoe eerder uw GC een feitenmemo heeft, hoe beter uw positie wanneer de raadsman van de eisers contact opneemt.
Onafhankelijke auditors die onder LL144 zijn erkend — voornamelijk DCI Consulting, ORCAA, Secretariat en een handvol kleinere firma's — rekenen doorgaans $50.000 tot $200.000 per AEDT per jaar, afhankelijk van datavolume, demografische beschikbaarheid en de complexiteit van de selectieworkflow. De doorlooptijd van data-gereed tot ondertekende audit is 15 tot 20 werkdagen zodra de auditor alles heeft wat hij nodig heeft. De fase "data-gereed worden" is waar de meeste tijd verdwijnt, en dat is wat wij doen: datapipeline, keuze van demografische imputatiemethode, intersectionele groepering, berekening van selectiepercentages, opmaak van artefacten. Een auditor die een schoon pre-auditpakket van ons ontvangt, kan in de geplaatste 15-20 dagen aftekenen; een auditor die uw data zelf moet opschonen, factureert aan de bovenkant van de range en doet er langer over. Wij zijn geen onafhankelijke auditor — we kunnen de definitieve LL144-deliverable niet ondertekenen, met opzet — maar we zijn de reden dat de audit die uw onafhankelijke auditor ondertekent, schoon is.
Nee. De EU AI Act is het veeleisendste regime op het gebied van documentatie, datagovernance en menselijk toezicht, maar het vereist niet de specifieke intersectionele adverse-impact-ratio's die LL144 eist, en het produceert niet het Colorado-impactbeoordelingsformaat dat de conceptregels van de CO AG beogen. EU-compliance is noodzakelijk maar niet voldoende voor Amerikaanse statelijke compliance. Andersom brengt LL144-compliance u niet binnen bereik van de EU-lat — LL144 is in wezen een smalle statistische audit en een geplaatste samenvatting, terwijl de EU AI Act een volledig kwaliteitsmanagementsysteem wil (Art. 17), een conformiteitsbeoordeling, een technisch documentatiedossier, post-market monitoring en CE-markering. Als uw voetafdruk zowel de VS als de EU beslaat, plan dan twee workstreams. De conflictzones waar de vereiste van het ene regime die van het andere overtreedt (postcode is het duidelijkste voorbeeld) zijn reëel en vereisen een juridisch-strategische beslissing, geen technische.
U verdedigt zich ertegen met een aparte ADA-pipelinebeoordeling, die de meeste bias-auditleveranciers niet aanbieden omdat het een andere juridische theorie en een andere bewijsbasis is. Voor video-interviewtools betekent dat het benchmarken van uw ASR-component tegen het Speech Accessibility Project-corpus en vergelijkbare testsets voor dove, slechthorende en Engelssprekenden met een accent. De gepubliceerde verschillen zijn groot: het winnende team van de 2025 SAP Challenge behaalde een WER van 8,11% op aangetaste spraak, wat nog steeds enkele veelvouden is van de benchmark-WER voor standaard-Engels, en Whispers meertalige prestatie is gemiddeld ongeveer 3x slechter dan zijn Engelse prestatie. Voor persoonlijkheids- en op games gebaseerde assessments is de vraag of het instrument klinische diagnostische criteria weerspiegelt — de theorie in de FTC-klacht van de ACLU over Aon. Voor de kandidaatervaring hebt u een aanpassingsworkflow nodig die een dove sollicitant niet 72 uur laat wachten op menselijke CART-ondersteuning, want "het proces was beschikbaar" is geen verweer wanneer het proces vereist dat de sollicitant weet dat hij moet vragen. De D.K. v. Intuit/HireVue klacht is het sjabloon dat de raadsman van de eisers nu gebruikt; lees het en stem uw controles af op elke specifieke beschuldiging, want dat is precies wat de discovery zal doorlopen.
Hangt af van welke theorie u te pakken krijgt. LL144 is $1.500/dag per overtreding, wat oploopt tot $547.500 per jaar per niet-geauditeerde tool voordat enig privaat recht van actie er bovenop komt. Texas TRAIGA loopt op tot $200.000 per niet-herstelbare overtreding. De EU AI Act stelt een plafond op het hoogste van €15M of 3% van de wereldwijde jaaromzet voor hoogrisicoverplichtingen. De EEOC schikte zijn eerste AI-wervingszaak (iTutorGroup, 2023) voor $365.000, wat klein is totdat je je realiseert dat het nu de ondergrens is voor individuele discriminatievorderingen. Class actions schalen anders: de collectiviteit van Mobley dekt mogelijk een aanzienlijk deel van de sollicitanten van boven de 40 die door Workdays ecosysteem zijn gegaan, wat de rechtbank opmerkte een miljard kan overschrijden. De FCRA-theorie van Kistler, indien deze standhoudt, koppelt een wettelijke schadevergoeding van $100–$1.000 per consument per overtreding aan elke kandidaat die is gescoord door een platform dat als consumer reporting agency wordt aangemerkt. Een bedrijf dat 2 miljoen kandidaten per jaar scoort en zelfs de onderkant verschuldigd blijkt, kijkt aan tegen $200M per jaar aan blootstelling. De kosten van een audit- en remediëringsprogramma over meerdere regimes liggen voor de meeste van onze klanten in de lage zes cijfers, en alleen voor de grootste in de lage zeven cijfers. De rekensom van verzekering versus blootstelling is niet eens close.
Ja, en voor doorlopende monitoring is een governanceplatform werkelijk nuttig. We hebben klanten die FairNow draaien voor continue LL144-tracking en Holistic AI voor cross-risk-zichtbaarheid, en we bevelen beide in de juiste context aan. Wat een platform niet doet, is uw leveranciersbeveiligingsbeoordeling met uw CISO uitzitten, de juridisch-strategische memo schrijven wanneer de vereisten van Illinois en de EU botsen, een SAP-corpus-ASR-benchmark draaien op uw HireVue-deployment, of een scoringpipeline herschrijven om uitvoer te onderscheppen voordat deze het recruiterscherm bereikt. Een platform is een dashboard; de opdracht die wij uitvoeren is wat het dashboard in de eerste plaats vult met betekenisvolle data. Draai het platform en huur de specialist in voor de opdracht. Ze zijn geen substituten.
Het was goed genoeg in 2024. Het is nu niet goed genoeg. Het onderzoek van Cornell / Data & Society / Consumer Reports muntte de term "Null Compliance" voor precies dit patroon: 391 NYC-werkgevers bestudeerd, slechts 4,6% publiceerde een bias-audit, en de rest vertrouwde op zelfclassificatieargumenten die de tool buiten het toepassingsgebied van LL144 plaatsten. De NY State Comptroller-audit van december 2025 toonde vervolgens aan dat zelfclassificatie een grondige beoordeling door derden niet overleeft — auditors van de staat vonden 17 potentiële overtredingen in dezelfde steekproef van 32 bedrijven waar DCWP er één had gevonden. DCWP stemde ermee in proactieve handhaving in te voeren, wat betekent dat de toezichthouder nu zijn eigen analyse uitvoert in plaats van te wachten tot werkgevers openbaar maken. Aan de leveranciersaansprakelijkheidskant verwerpt de "agent"-theorie van Mobley expliciet het idee dat een screeningtool die kandidaten aanbeveelt of filtert niet deelneemt aan de beslissing. De praktische houding voor elke CHRO is: ga ervan uit dat elke scoring-, ranking- of filtertool binnen het toepassingsgebied valt, behandel de memo "de leverancier zei dat we geen AEDT zijn" als een toekomstig discovery-bewijsstuk, en auditeer dienovereenkomstig. Een zelfclassificatieverweer dat vereist dat de toezichthouder en de eiser het eens zijn met de karakterisering van de leverancier, is geen verweer, het is een hoop.
Deze solution-pagina put uit acht van onze interactieve whitepapers. Elk behandelt een afzonderlijk deel van het AI-wervingscomplianceprobleem. De serieuze koper zou ze allemaal moeten doornemen vóór enig opdrachtgesprek.
Het ankerpaper voor deze pagina. Analyseert de NY State Comptroller-audit van LL144 van december 2025, het "Compliance Trilemma" over NYC, Colorado, Illinois en de EU, en de architecturale vereisten voor auditklare AI-wervingssystemen.
Knowledge-graph-benaderingen voor verklaarbare werving. Hoe een skill-ontologie het soort beslissingstracering mogelijk maakt dat EU AI Act Art. 13 en 14 vereisen, en waar de benadering tegen de grenzen van proxy-bias aanloopt.
Contrafeitelijke eerlijkheid en Structural Causal Models. Waarom adversariële debiasing in de praktijk instabiel is en hoe de afweging met voorspellende nauwkeurigheid er werkelijk uitziet.
De ADA-blootstelling die bias-audits niet dekken. Analyseert de Aon FTC-klachttheorie van de ACLU en de technische grenzen van causaal representatieleren voor handicapbewuste assessments.
Post-mortem van het McHire / Paradox-datalek van 64M records. Credentialhygiëne, IDOR-klassebugs, en waarom een SOC 2-brief geen vervanging is voor AI-bewuste due diligence van leveranciers.
Diepgaande analyse van het "agent"-oordeel in Mobley v. Workday. Hoe neuro-symbolic architecturen de auditeerbare beslissingstraceringen produceren die de discovery overleven.
FCRA-toepasselijkheid op AI-wervingsplatforms, het feitenpatroon van Kistler v. Eightfold, en de dataherkomst- en "Right to Dispute"-workflows die een als CRA aangemerkte leverancier zal moeten bouwen.
De invalshoek van toegankelijkheid en multimodale fusie. ASR WER-verschillen voor dove, slechthorende en Inheemse Engelssprekenden; het feitenpatroon van D.K. v. Intuit / HireVue; en een realistisch HITL-escalatieontwerp.
Een niet-geauditeerde AEDT in NYC loopt op tot $547.500 per jaar aan LL144-boetes alleen al. Mobley en Kistler voegen class-action-blootstelling toe die meeschaalt met uw sollicitatievolume. De kosten van een degelijke audit-opdracht over meerdere regimes vormen een kleine fractie van één class-action-verdediging.
We beginnen met een ontdekkings- en blootstellingsbeoordeling tegen vaste prijs. U gaat weg met een verdedigbaar AEDT-register en een genummerde memo — of u de opdracht nu voortzet of niet.