GovCompass
Kennisbank
ReferenceAccountabilityHuman oversight

Art. 27, FRIA: Fundamental Rights Impact Assessment

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Art. 27 verplicht bepaalde deployers, publieke instanties en private deployers in afgebakende sectoren zoals krediet en verzekeringen, om vóór de inzet van een hoog-risico AI-systeem een Fundamental Rights Impact Assessment (FRIA) uit te voeren, die de impact op grondrechten en de mitigerende maatregelen onderzoekt.

Bijgewerkt: juni 2026

Inleiding: de FRIA als grondrechtenwaarborg

Art. 27 EU AI Act introduceert de Fundamental Rights Impact Assessmentimpact assessmentThe design-time discipline of describing a system, mapping stakeholders, identifying harms, rating probability × severity, choosing mitigations and documenting a signed decision — the skeleton under DPIAs, FRIAs and AIAs.Open full entry → (FRIAFRIAFundamental Rights Impact Assessment — required of public bodies and certain private deployers before using some high-risk AI systems under the EU AI Act.Open full entry →): een verplichte beoordeling van de impact van een hoog-risico AI-systeem op de grondrechten van de betrokken personen. De FRIA is het meest ingrijpende compliance-instrument van de EU AI Act voor deployers in de publieke sector, het vereist een diepgaande analyse die aanzienlijk verder gaat dan een technische conformiteitscheck.

De FRIA verplicht deployers om actief na te denken over de grondrechtelijke gevolgen van hun AI-gebruik, die te documenteren, en, bij negatieve bevindingen, mitigerende maatregelen te implementeren. Een FRIA die uitsluitend positieve bevindingen oplevert, is in de meeste gevallen onvoldoende grondig.

Juridische context: Art. 27 in de systematiek van de wet

Art. 27 staat in Hoofdstuk III, Afdeling 3 (Verplichtingen van deployers van hoog-risico AI-systemen), maar is niet voor alle deployers verplicht. Art. 27.1 beperkt de verplichting tot specifieke categorieën deployers. De FRIA staat naast, niet in plaats van, de DPIADPIAData Protection Impact Assessment — required before likely-high-risk processing (systematic profiling with significant effects, large-scale special categories, public monitoring); AI development triggers it constantly.Open full entry → (Art. 35 AVG) die voor persoonsgegevensverwerkingen met hoog risico verplicht is.

Overweging 96 benadrukt dat de FRIA een instrument is voor continue verbetering, niet een éénmalige afvinkprocedure. De FRIA moet worden herzien bij materiële wijzigingen in het systeem of de inzetcontext.

Wie is verplicht een FRIA uit te voeren?

Art. 27.1 bepaalt dat de volgende deployers een FRIA moeten uitvoeren:

Verplicht:

  • Publiekrechtelijke organen (overheden, publieke instellingen)
  • Particuliere entiteiten die publieke diensten verlenen (bijv. geprivatiseerde nutsbedrijven, gesubsidieerde zorgaanbieders)
  • Particuliere deployers van hoog-risico AI voor kredietbeoordeling (Bijlage III, punt 5.b)
  • Particuliere deployers van hoog-risico AI voor levensverzekeringen en risicobeoordeling (Bijlage III, punt 5.c)

Niet verplicht (maar sterk aanbevolen):

  • Private deployers buiten de bovenstaande categorieën
  • Deployers van hoog-risico AI in onderwijs, HR en veiligheidscomponenten die niet onder bovenstaande vallen

Wat valt er NIET onder: Zuiver private deployers buiten de bovengenoemde categorieën zijn niet verplicht een FRIA te doen. Wél moeten zij een DPIA (Art. 35 AVG) uitvoeren als persoonsgegevens worden verwerkt met hoog privacyrisico.

Wat moet de FRIA bevatten?

Art. 27.2 specificeert de minimale inhoud van een FRIA:

A. Beschrijving van de processen en het doel:

  • Voor welk specifiek doel wordt het hoog-risico AI-systeem ingezet?
  • Welke categorieën betrokkenen worden beïnvloed en in welke omvang?
  • Welke beslissingen worden gegrond op of beïnvloed door de AI-output?

B. Tijdsperiode en geografisch bereik:

  • Hoe lang wordt het systeem ingezet?
  • In welke geografische gebieden of organisatie-eenheden?

C. Categorieën betrokkenen en grondrechten:

  • Welke grondrechten kunnen worden geraakt? (Zie het EU Handvest)
  • Zijn er bijzonder kwetsbare groepen betrokken?

D. Risicobeoordeling per grondrecht:

  • Menselijke waardigheid (Art. 1 EU Handvest)
  • Non-discriminatie en gelijkheid (Art. 20-23)
  • Bescherming van persoonsgegevens (Art. 8)
  • Vrijheid van meningsuiting (Art. 11)
  • Recht op behoorlijk bestuur (Art. 41)
  • Recht op eerlijk proces (Art. 47)
  • Sociale rechten (Art. 34-36)

E. Mitigerende maatregelen:

  • Welke maatregelen worden getroffen voor elk geïdentificeerd risico?
  • Hoe worden deze maatregelen gemonitord op effectiviteit?

F. Raadpleging van betrokkenen:

  • Art. 27.2.f vereist dat relevante instanties worden geraadpleegd, denk aan vakbonden bij HR-AI, patiëntenvertegenwoordigers bij zorg-AI, of cliëntenraden bij sociale zekerheids-AI.

FRIA vs. DPIA: gecombineerd uitvoeren

Voor hoog-risico AI die persoonsgegevens verwerkt, zijn zowel een FRIA (Art. 27 EU AI Act) als een DPIA (Art. 35 AVG) verplicht. In de praktijk kunnen beide gecombineerd worden uitgevoerd als één geïntegreerd assessment-document, mits:

  • De AVG-minimumeisen (Art. 35.7) volledig zijn gedekt
  • De EU AI Act-minimumeisen (Art. 27.2) volledig zijn gedekt
  • De DPO/FG is geconsulteerd (vereist voor de DPIA-component)

Een gecombineerd FRIA/DPIA is efficiënter en voorkomt dat dezelfde risico's tweemaal worden geanalyseerd. Gebruik één risico-matrix die zowel privacyrisico's als bredere grondrechtenrisico's omvat.

Stappenplan voor de FRIA

Stap 1, Scope bepalen: Documenteer het AI-systeem, het gebruiksdoel, de betrokken populatie en het tijdsframe. Betrek de AI-systeemeigenaar, DPO en compliance-officer.

Stap 2, Grondrechten in kaart brengen: Identificeer welke grondrechten relevant zijn voor dit specifieke gebruik. Gebruik het EU Handvest als checklist. Niet alle grondrechten zijn voor elk systeem relevant, focus op de grondrechten die realistische risico's lopen.

Stap 3, Risico's beoordelen: Analyseer per relevant grondrecht: wat is de kans dat het systeem dit grondrecht schendt? Wat is de ernst van een eventuele schending? Zijn er kwetsbare subgroepen die extra risico lopen?

Stap 4, Stakeholders raadplegen: Raadpleeg vertegenwoordigers van de betrokken populaties. Documenteer de raadpleging en de resultaten.

Stap 5, Mitigerende maatregelen vaststellen: Definieer voor elk geïdentificeerd risico concrete mitigerende maatregelen. Koppel elk risico aan een maatregel, een verantwoordelijke en een monitoringfrequentie.

Stap 6, Samenvatting voor EU-database: Stel een niet-vertrouwelijke samenvatting op die in de EU AI Act-database wordt geregistreerd (Art. 26.8 / Art. 49).

Stap 7, Review-cyclus: Stel een datum in voor herziening, minimaal jaarlijks of bij materiële wijzigingen.

Handhaving en sancties

Niet-naleving van Art. 27 (voor verplichte deployers) valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. De bevoegde markttoezichthouder en de AP kunnen gezamenlijk onderzoek doen bij AI-systemen waarbij zowel grondrechtenschendingen als privacyschendingen zijn geconstateerd.

Veelgestelde vragen

V: Wij zijn een private zorginstelling. Moeten wij een FRIA doen?
A: Als u hoog-risico AI inzet voor diagnostiek of behandelbeslissingen en u kwalificeert als particuliere entiteit die publieke diensten verleent, dan wel. Raadpleeg uw juridisch adviseur over de kwalificatie. Bij twijfel: voer de FRIA uit. De investering weegt op tegen het risico van niet-naleving.

V: Onze FRIA heeft geen significante risico's gevonden. Klopt dat?
A: Wees kritisch. Een FRIA die voor een hoog-risico AI-systeem géén risico's identificeert, is waarschijnlijk niet grondig genoeg. Elk systeem dat beslissingen beïnvloedt over individuen heeft potentieel risico op bias, discriminatie of privacy-impact. Heroverweeg uw analyse.

V: Wanneer moet de FRIA zijn afgerond?
A: Vóór ingebruikname van het systeem. De FRIA-samenvatting moet beschikbaar zijn bij registratie in de EU-database (Art. 26.8). Plan de FRIA tijdig in uw implementatietraject.

Checklist: Art. 27 FRIA compliance

  1. Is vastgesteld of uw organisatie valt onder de verplichte FRIA-categorieën van Art. 27.1?
  2. Is de FRIA uitge voerd vóór ingebruikname van het hoog-risico AI-systeem?
  3. Dekt de FRIA alle relevante grondrechten uit het EU Handvest?
  4. Zijn relevante stakeholders geraadpleegd conform Art. 27.2.f?
  5. Zijn mitigerende maatregelen gedefinieerd voor elk geïdentificeerd risico?
  6. Is een niet-vertrouwelijke samenvatting beschikbaar voor de EU-database?
  7. Is de FRIA gecombineerd of afgestemd met de DPIA?
  8. Is er een review-cyclus gepland voor de FRIA?
  9. Zijn de FRIA-bevindingen doorgegeven aan de verantwoordelijke voor implementatie?
WetsverwijzingenArt. 27

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Meer over Human oversight

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.2, menselijk toezicht: wijs competente mensen aan

Reference

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Art. 4, AI literacy: zorg dat je team AI begrijpt

Reference

Art. 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die AI-systemen bedienen of gebruiken, in verhouding tot het systeem en de rol. De verplichting geldt voor alle AI-inzet, niet alleen hoog-risico, en moet aantoonbaar zijn.

Agentic AI: het besturen van acties, niet alleen beslissingen

Analysis

Data governance vraagt of je de data kunt vertrouwen. AI governance vraagt of je de beslissing kunt vertrouwen. Agentische governance stelt een derde vraag die geen van beide is ontworpen te beantwoorden: kun je beheersen wat het systeem doet? Agentic AI is het achtste GovCompass-element. Het bindt de andere zeven onder de condities die autonomie schept, want een AI-systeem dat namens jou handelt moet alle zeven elementen continu waarborgen, over meerstaps- en multi-agent-ketens, zonder menselijk controlepunt tussen elke stap.