GovCompass
Kennisbank
GuideFairnessAccountability

FRIA uitvoeren: stap-voor-stap handleiding

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Een Fundamental Rights Impact Assessment (FRIA) onder Art. 27 wordt stap voor stap uitgevoerd: beschrijf het systeem en het doel, identificeer de betrokken personen, beoordeel de impact op elke grondrechtendimensie, bepaal de mitigerende maatregelen, en documenteer het restrisico vóór de inzet.

Een Fundamental Rights Impact Assessmentimpact assessmentThe design-time discipline of describing a system, mapping stakeholders, identifying harms, rating probability × severity, choosing mitigations and documenting a signed decision — the skeleton under DPIAs, FRIAs and AIAs.Open full entry → (FRIAFRIAFundamental Rights Impact Assessment — required of public bodies and certain private deployers before using some high-risk AI systems under the EU AI Act.Open full entry →) analyseert welke grondrechten een hoog-risico AI-systeem raakt en welke maatregelen nodig zijn. Dit is een verplicht document vóór ingebruikname. Reserveer circa twee uur voor een volledige FRIA.

Fase 1, context en scope (15 min)

Beschrijf het AI-systeem: naam, leverancier, beoogd gebruik, betrokken populatie. Definieer de scope van de FRIA: welke beslissingen worden ondersteund? Wie wordt er door geraakt?

Fase 2, rechtenanalyse (30 min)

Analyseer welke grondrechten in het geding zijn: recht op privacy, non-discriminatie, recht op uitleg, vrijheid van meningsuiting, recht op eerlijke behandeling. Beoordeel per recht: is er impact? Hoe groot? Voor wie?

Fase 3, risicoidentificatie (30 min)

Identificeer concrete risico's per grondrecht. Hoe waarschijnlijk is het dat het recht wordt geschaad? Hoe ernstig zijn de gevolgen? Zijn er kwetsbare groepen die extra risico lopen?

Fase 4, mitigerende maatregelen (30 min)

Beschrijf voor elk geïdentificeerd risico de maatregel: extra toezicht, aanpassing van het gebruik, beperking van de doelgroep, transparantie-informatie, bezwaarprocedure voor betrokkenen.

Fase 5, monitoring en herbeoordeling (15 min)

Beschrijf hoe je de effecten in de praktijk monitort en wanneer je de FRIA herbeoordeelt (bij systeemwijzigingen, nieuwe inzichten of na een incident).

Fase 6, conclusie en goedkeuring (10 min)

Formuleer een overall-conclusie: kan het systeem verantwoord worden ingezet met de beschreven maatregelen? Laat de FRIA goedkeuren door een verantwoordelijke functionaris en archiveer het document.

WetsverwijzingenArt. 27GDPR

Meer over Fairness

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 5, verboden AI-praktijken

Reference

Art. 5 somt de acht verboden AI-praktijken op, waaronder subliminale manipulatie, exploitatie van kwetsbare groepen, social scoring en het ongericht scrapen van gezichtsopnamen. Deze verboden zijn absoluut, gelden voor elke organisatie ongeacht grootte, en zijn van kracht sinds 2 februari 2025.

AI in werving en selectie: risico's, bias en wat de EU AI Act nu al van u vraagt

Analysis

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.