Artikel 27 AI Act: Fundamental Rights Impact Assessment (FRIA) uitgelegd

De Fundamental Rights Impact Assessment, kortweg FRIA, is een van de meest besproken nieuwe instrumenten van de EU AI Act. De FRIA is voor bepaalde deployers van hoog-risico AI verplicht voor ingebruikname. Wie hoog-risico AI inzet zonder de FRIA op orde, riskeert handhaving en aansprakelijkheid. Tegelijk is de FRIA voor veel organisaties een nieuw type document, vergelijkbaar met maar breder dan de DPIA die we kennen uit de AVG.

In dit artikel leest u wat een FRIA precies is, voor wie het verplicht is, wat erin moet staan, hoe het zich verhoudt tot de DPIA, en hoe u in zeven stappen een FRIA opbouwt.

Wat is een FRIA en waarom bestaat het?

Een FRIA is een gestructureerde beoordeling van de impact die een hoog-risico AI-systeem heeft of kan hebben op de grondrechten van betrokken natuurlijke personen. Grondrechten zijn breder dan privacy. Denk aan het recht op non-discriminatie, het recht op een eerlijk proces, vrijheid van meningsuiting, het recht op effectieve rechtsmiddelen en het verbod op willekeurige uitsluiting van diensten.

De achtergrond van de FRIA in de AI Act is dat de Europese wetgever de DPIA als beperkt zag. De DPIA kijkt vooral naar privacy en gegevensbescherming. Maar AI kan rechten raken die niets met persoonsgegevens te maken hebben, of die juist verder gaan dan privacy. Denk aan een fraudemodel dat een hele wijk disproportioneel hard raakt, of een verzekeringsmodel dat een specifieke groep ouderen feitelijk uitsluit van een levensverzekering. De FRIA dwingt deployers om vooraf na te denken over die bredere impact.

Artikel 27 plaatst de FRIA aan de voorkant van het proces. Voordat het hoog-risico AI-systeem in gebruik wordt genomen, moet de assessment zijn afgerond. En de uitkomst moet bij de toezichthouder worden gemeld.

Voor wie is FRIA verplicht?

Niet elke deployer hoeft een FRIA te doen. Artikel 27 lid 1 noemt drie categorieen waarvoor de verplichting geldt:

• Publiekrechtelijke organisaties, zoals gemeenten, provincies, uitvoeringsorganisaties (UWV, SVB, Belastingdienst) en zelfstandige bestuursorganen, wanneer zij een hoog-risico AI-systeem inzetten.
• Private partijen die publieke diensten leveren, bijvoorbeeld een private partij die in opdracht van een gemeente bijstand uitvoert of een ggz-instelling met publieke financiering.
• Private deployers van hoog-risico AI in essentiele particuliere diensten, specifiek banken die kredietwaardigheid van natuurlijke personen beoordelen en verzekeraars die risico beoordelen of premie stellen voor levens- en zorgverzekeringen.

Andere private deployers van hoog-risico AI zijn niet wettelijk verplicht een FRIA te doen, maar het is in veel gevallen wel verstandig. Het levert een onderbouwing op voor due diligence richting klanten, toezichthouders en de rechter.

Wat staat er minimaal in een FRIA?

Artikel 27 lid 1 legt zes minimale elementen op:

1. Omschrijving van doelen en context. Voor welk concreet proces wordt het AI-systeem ingezet, met welk doel, binnen welke wettelijke kaders, op welke locatie.
2. Gebruiksfrequentie en periode. Hoe vaak draait het systeem, gedurende welke termijn, in welke volumes.
3. Categorieen natuurlijke personen en groepen die geraakt worden. Wie zijn de betrokkenen, met aandacht voor kwetsbare groepen (minderjarigen, mensen met een beperking, migranten).
4. Specifieke schaderisico's. Wat kan er fout gaan en welke grondrechten raakt dat. Denk aan onterechte afwijzing, ongelijke behandeling, gebrek aan klachtroute.
5. Menselijk toezichtmaatregelen. Hoe is artikel 14 (menselijk toezicht) ingericht voor deze inzet, wie kan ingrijpen, met welke bevoegdheid.
6. Mitigaties bij materialisatie van risico's. Wat doet u als een risico zich voordoet. Welke escalatiepaden, welke compensatieroutes, welke aanpassingen.

FRIA versus DPIA: drie verschillen en de overlap

De FRIA en de DPIA worden vaak in een adem genoemd, maar het zijn juridisch verschillende instrumenten. Drie verschillen springen eruit.

Verschil een: scope. Een DPIA toetst op de verwerking van persoonsgegevens en de privacy-impact daarvan. Een FRIA toetst op de impact op alle grondrechten, ook als er geen persoonsgegevens worden verwerkt. Een algoritme dat verkeerslichten regelt en daardoor bepaalde wijken slechter bedient kan FRIA-relevant zijn zonder dat er persoonsgegevens in omgaan.

Verschil twee: wettelijke basis. De DPIA staat in artikel 35 AVG. De FRIA staat in artikel 27 AI Act. Beide kennen eigen toezichthouders, hoewel die in Nederland in de praktijk samenvallen rond de AP.

Verschil drie: notificatie. Een DPIA hoeft alleen voor consultatie naar de AP als er na mitigatie nog steeds hoog risico is. Een FRIA moet altijd, ook bij gemitigeerde risico's, in samenvatting bij de toezichthouder worden gemeld.

De overlap is groot in de praktijk. Veel hoog-risico AI verwerkt persoonsgegevens, waardoor de DPIA en de FRIA inhoudelijk dezelfde onderwerpen raken. Het is daarom verstandig om beide documenten te combineren in een document met duidelijke kopjes per regime. Dat scheelt werk, dubbele bevindingen en interne discussies.

Stappenplan FRIA in zeven stappen

Stap een: classificatie verifieren. Stel vast dat het AI-systeem hoog-risico is op basis van artikel 6 en bijlage III. Geen hoog-risico AI, geen FRIA-verplichting (al kan vrijwillig zinvol zijn).

Stap twee: scope vaststellen. Welk specifiek proces, welke organisatieonderdelen, welke periode. De scope bepaalt welke betrokkenen en welke rechten in beeld komen.

Stap drie: stakeholders identificeren. Wie zijn intern verantwoordelijk (eigenaar proces, AVG-functionaris, juridisch, IT, eventueel een ethicus). Wie zijn extern relevant (betrokken doelgroepen, vertegenwoordigers, OR).

Stap vier: risico's in kaart. Per relevant grondrecht: wat kan er fout gaan, wat is de waarschijnlijkheid en wat de impact. Gebruik bestaande risico-inventarisaties als basis maar voeg specifieke AI-risico's toe zoals modeldrift, oneerlijke bias en feedback loops.

Stap vijf: mitigaties. Per risico een concrete maatregel: organisatorisch (bv. menselijk toezicht), technisch (bv. fairness-monitoring), juridisch (bv. duidelijke klachtroute). Restrisico vastleggen.

Stap zes: consultatie. Voor publieke deployers is consultatie van betrokken groepen of hun vertegenwoordigers een sterke aanbeveling. Voor sommige gemeenten en ZBO's al staande praktijk.

Stap zeven: notificeren bij de AP. Vul de samenvatting in via het door de toezichthouder beschikbaar gestelde meldformulier (artikel 27 lid 3). Pas na deze notificatie mag u het systeem in gebruik nemen.

Notificatieplicht aan toezichthouder

Artikel 27 lid 3 verplicht u om de uitkomst van de FRIA in samengevatte vorm te melden bij de toezichthouder. In Nederland is de Autoriteit Persoonsgegevens aangewezen als coordinerend toezichthouder voor de AI Act. De notificatie bestaat uit een door de Europese Commissie vastgesteld standaardformulier dat de kernpunten van de FRIA bevat.

Belangrijk: notificatie is geen toestemming. De AP toetst niet vooraf of uw FRIA correct is. U blijft zelf verantwoordelijk. Maar de notificatie zorgt wel dat er een spoor is dat de AP kan opvragen bij een klacht of bij eigen onderzoek. Onvolledige of ontbrekende notificatie weegt zwaar in een handhavingsdossier.

Praktisch template van een FRIA

Een werkbare FRIA hoeft geen tweehonderd pagina's te tellen. Een document met de volgende zes kopjes voldoet:

1. Systeem en context, met versie, leverancier, doel, classificatie en wettelijke basis.
2. Betrokkenen en groepen, met aparte aandacht voor kwetsbare groepen en aantallen.
3. Grondrechtenanalyse, per relevant grondrecht een korte uitleg van mogelijke impact en bevindingen.
4. Risico's en mitigaties, in een matrix met waarschijnlijkheid, impact, mitigatie en restrisico.
5. Menselijk toezicht en klachtroute, wie ziet wat, wie kan ingrijpen, hoe komt een burger ergens met een bezwaar.
6. Goedkeuring en herzieningsdatum, met datum, ondertekenaar en planning voor de volgende review.

Wat als de FRIA negatief uitvalt?

Een FRIA kan tot de conclusie leiden dat een hoog-risico AI-systeem op dit moment niet verantwoord kan worden ingezet. Dat is geen schande, dat is het hele doel van de exercitie. Vier mogelijke vervolgacties:

• Niet inzetten. Het systeem gaat niet live tot risico's beheersbaar zijn.
• Mitigeren en opnieuw beoordelen. Aanpassingen aan het systeem, het proces of het menselijk toezicht en daarna nieuwe FRIA-iteratie.
• Alternatieven onderzoeken. Soms is een minder ingrijpend systeem of een non-AI-aanpak proportioneler.
• Melden bij de AP. Bij ontdekking van een serieus risico dat al gerealiseerd wordt of dat een breed maatschappelijk effect heeft, is melding aan de AP aangewezen.