Art. 27 — FRIA: Fundamental Rights Impact Assessment

Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard

Inleiding: de FRIA als grondrechtenwaarborg

Art. 27 EU AI Act introduceert de Fundamental Rights Impact Assessment (FRIA): een verplichte beoordeling van de impact van een hoog-risico AI-systeem op de grondrechten van de betrokken personen. De FRIA is het meest ingrijpende compliance-instrument van de EU AI Act voor deployers in de publieke sector — het vereist een diepgaande analyse die aanzienlijk verder gaat dan een technische conformiteitscheck.

De FRIA verplicht deployers om actief na te denken over de grondrechtelijke gevolgen van hun AI-gebruik, die te documenteren, en — bij negatieve bevindingen — mitigerende maatregelen te implementeren. Een FRIA die uitsluitend positieve bevindingen oplevert, is in de meeste gevallen onvoldoende grondig.

Juridische context: Art. 27 in de systematiek van de wet

Art. 27 staat in Hoofdstuk III, Afdeling 3 (Verplichtingen van deployers van hoog-risico AI-systemen), maar is niet voor alle deployers verplicht. Art. 27.1 beperkt de verplichting tot specifieke categorieën deployers. De FRIA staat naast — niet in plaats van — de DPIA (Art. 35 AVG) die voor persoonsgegevensverwerkingen met hoog risico verplicht is.

Considerans 96 benadrukt dat de FRIA een instrument is voor continue verbetering, niet een éénmalige afvinkprocedure. De FRIA moet worden herzien bij materiële wijzigingen in het systeem of de inzetcontext.

Wie is verplicht een FRIA uit te voeren?

Art. 27.1 bepaalt dat de volgende deployers een FRIA moeten uitvoeren:

Verplicht:

• Publiekrechtelijke organen (overheden, publieke instellingen)
• Particuliere entiteiten die publieke diensten verlenen (bijv. geprivatiseerde nutsbedrijven, gesubsidieerde zorgaanbieders)
• Particuliere deployers van hoog-risico AI voor kredietbeoordeling (Bijlage III, punt 5.b)
• Particuliere deployers van hoog-risico AI voor levensverzekeringen en risicobeoordeling (Bijlage III, punt 5.c)

Niet verplicht (maar sterk aanbevolen):

• Private deployers buiten de bovenstaande categorieën
• Deployers van hoog-risico AI in onderwijs, HR en veiligheidscomponenten die niet onder bovenstaande vallen

Wat valt er NIET onder: Zuiver private deployers buiten de bovengenoemde categorieën zijn niet verplicht een FRIA te doen. Wél moeten zij een DPIA (Art. 35 AVG) uitvoeren als persoonsgegevens worden verwerkt met hoog privacyrisico.

Wat moet de FRIA bevatten?

Art. 27.2 specificeert de minimale inhoud van een FRIA:

A. Beschrijving van de processen en het doel:

• Voor welk specifiek doel wordt het hoog-risico AI-systeem ingezet?
• Welke categorieën betrokkenen worden beïnvloed en in welke omvang?
• Welke beslissingen worden gegrond op of beïnvloed door de AI-output?

B. Tijdsperiode en geografisch bereik:

• Hoe lang wordt het systeem ingezet?
• In welke geografische gebieden of organisatie-eenheden?

C. Categorieën betrokkenen en grondrechten:

• Welke grondrechten kunnen worden geraakt? (Zie het EU Handvest)
• Zijn er bijzonder kwetsbare groepen betrokken?

D. Risicobeoordeling per grondrecht:

• Menselijke waardigheid (Art. 1 EU Handvest)
• Non-discriminatie en gelijkheid (Art. 20-23)
• Bescherming van persoonsgegevens (Art. 8)
• Vrijheid van meningsuiting (Art. 11)
• Recht op behoorlijk bestuur (Art. 41)
• Recht op eerlijk proces (Art. 47)
• Sociale rechten (Art. 34-36)

E. Mitigerende maatregelen:

• Welke maatregelen worden getroffen voor elk geïdentificeerd risico?
• Hoe worden deze maatregelen gemonitord op effectiviteit?

F. Raadpleging van betrokkenen:

• Art. 27.2.f vereist dat relevante instanties worden geraadpleegd — denk aan vakbonden bij HR-AI, patiëntenvertegenwoordigers bij zorg-AI, of cliëntenraden bij sociale zekerheids-AI.

FRIA vs. DPIA: gecombineerd uitvoeren

Voor hoog-risico AI die persoonsgegevens verwerkt, zijn zowel een FRIA (Art. 27 EU AI Act) als een DPIA (Art. 35 AVG) verplicht. In de praktijk kunnen beide gecombineerd worden uitgevoerd als één geïntegreerd assessment-document, mits:

• De AVG-minimumeisen (Art. 35.7) volledig zijn gedekt
• De EU AI Act-minimumeisen (Art. 27.2) volledig zijn gedekt
• De DPO/FG is geconsulteerd (vereist voor de DPIA-component)

Een gecombineerd FRIA/DPIA is efficiënter en voorkomt dat dezelfde risico's tweemaal worden geanalyseerd. Gebruik één risico-matrix die zowel privacyrisico's als bredere grondrechtenrisico's omvat.

Stappenplan voor de FRIA

Stap 1 — Scope bepalen: Documenteer het AI-systeem, het gebruiksdoel, de betrokken populatie en het tijdsframe. Betrek de AI-systeemeigenaar, DPO en compliance-officer.

Stap 2 — Grondrechten in kaart brengen: Identificeer welke grondrechten relevant zijn voor dit specifieke gebruik. Gebruik het EU Handvest als checklist. Niet alle grondrechten zijn voor elk systeem relevant — focus op de grondrechten die realistische risico's lopen.

Stap 3 — Risico's beoordelen: Analyseer per relevant grondrecht: wat is de kans dat het systeem dit grondrecht schendt? Wat is de ernst van een eventuele schending? Zijn er kwetsbare subgroepen die extra risico lopen?

Stap 4 — Stakeholders raadplegen: Raadpleeg vertegenwoordigers van de betrokken populaties. Documenteer de raadpleging en de resultaten.

Stap 5 — Mitigerende maatregelen vaststellen: Definieer voor elk geïdentificeerd risico concrete mitigerende maatregelen. Koppel elk risico aan een maatregel, een verantwoordelijke en een monitoringfrequentie.

Stap 6 — Samenvatting voor EU-database: Stel een niet-vertrouwelijke samenvatting op die in de EU AI Act-database wordt geregistreerd (Art. 26.8 / Art. 49).

Stap 7 — Review-cyclus: Stel een datum in voor herziening, minimaal jaarlijks of bij materiële wijzigingen.

Handhaving en sancties

Niet-naleving van Art. 27 (voor verplichte deployers) valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. De ACM en de AP kunnen gezamenlijk onderzoek doen bij AI-systemen waarbij zowel grondrechtenschendingen als privacyschendingen zijn geconstateerd.

Veelgestelde vragen

V: Wij zijn een private zorginstelling. Moeten wij een FRIA doen?
A: Als u hoog-risico AI inzet voor diagnostiek of behandelbeslissingen en u kwalificeert als particuliere entiteit die publieke diensten verleent, dan wel. Raadpleeg uw juridisch adviseur over de kwalificatie. Bij twijfel: voer de FRIA uit. De investering weegt op tegen het risico van niet-naleving.

V: Onze FRIA heeft geen significante risico's gevonden. Klopt dat?
A: Wees kritisch. Een FRIA die voor een hoog-risico AI-systeem géén risico's identificeert, is waarschijnlijk niet grondig genoeg. Elk systeem dat beslissingen beïnvloedt over individuen heeft potentieel risico op bias, discriminatie of privacy-impact. Heroverweeg uw analyse.

V: Wanneer moet de FRIA zijn afgerond?
A: Vóór ingebruikname van het systeem. De FRIA-samenvatting moet beschikbaar zijn bij registratie in de EU-database (Art. 26.8). Plan de FRIA tijdig in uw implementatietraject.

Checklist: Art. 27 FRIA compliance

1. Is vastgesteld of uw organisatie valt onder de verplichte FRIA-categorieën van Art. 27.1?
2. Is de FRIA uitge voerd vóór ingebruikname van het hoog-risico AI-systeem?
3. Dekt de FRIA alle relevante grondrechten uit het EU Handvest?
4. Zijn relevante stakeholders geraadpleegd conform Art. 27.2.f?
5. Zijn mitigerende maatregelen gedefinieerd voor elk geïdentificeerd risico?
6. Is een niet-vertrouwelijke samenvatting beschikbaar voor de EU-database?
7. Is de FRIA gecombineerd of afgestemd met de DPIA?
8. Is er een review-cyclus gepland voor de FRIA?
9. Zijn de FRIA-bevindingen doorgegeven aan de verantwoordelijke voor implementatie?