DPIA en FRIA voor AI: hoe combineert u beide impactbeoordelingen?

Sinds 2 augustus 2026 zijn FRIA-verplichtingen voor hoog-risico AI van kracht. Voor veel organisaties leidt dat tot een lastige vraag, gaan we een aparte FRIA opstellen naast onze bestaande DPIA, of combineren we beide in een document? Beide opties zijn juridisch toegestaan. In deze gids leest u wanneer welke beoordeling verplicht is, hoe de scopes verschillen, en hoe u beide effectief combineert in een werkbaar sjabloon van 10 secties.

Wanneer is een DPIA verplicht bij AI?

Artikel 35 AVG verplicht een Data Protection Impact Assessment wanneer een verwerking "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden" van betrokkenen. De Autoriteit Persoonsgegevens hanteert 9 criteria voor "waarschijnlijk hoog risico". Bij AI-systemen voldoet u snel aan meerdere criteria tegelijk:

• Evaluatie of scoring (bijvoorbeeld geautomatiseerde besluitvorming over kandidaten of klanten)
• Geautomatiseerde besluiten met rechtsgevolgen of soortgelijke wezenlijke gevolgen
• Stelselmatige monitoring (bijvoorbeeld AI-gestuurde gedragsanalyse)
• Verwerking van bijzondere categorieen persoonsgegevens of strafrechtelijke gegevens
• Grootschalige verwerking
• Gegevens van kwetsbare betrokkenen (kinderen, patienten, werknemers)
• Innovatieve technologie (AI valt hier vrijwel altijd onder)
• Combinatie of koppeling van datasets
• Belemmering van rechten of dienstverlening

Bij twee of meer criteria is een DPIA in de regel verplicht. Een AI-systeem dat sollicitanten scoort raakt direct vier tot vijf criteria.

Wanneer is een FRIA verplicht onder de AI Act?

Artikel 27 AI Act verplicht een Fundamental Rights Impact Assessment voor specifieke deployers van hoog-risico AI uit Bijlage III. Het gaat om:

• Publiekrechtelijke instellingen, dus overheid, gemeenten, waterschappen en uitvoeringsorganisaties
• Private partijen die publieke diensten leveren, zoals onderwijsinstellingen en zorgaanbieders met publieke taken
• Banken en verzekeraars bij hoog-risico AI in kredietbeoordeling en risico-inschatting van levens- en zorgverzekering

Naast deze verplichte gevallen kiezen veel private organisaties vrijwillig voor een FRIA als best practice, omdat een FRIA betere besluitvorming oplevert en het naleving-dossier versterkt.

Wanneer geldt beide tegelijk?

Vrijwel altijd wanneer u hoog-risico AI inzet die persoonsgegevens verwerkt en impact heeft op grondrechten. Concrete voorbeelden:

• Een gemeente die AI inzet voor fraudedetectie in uitkeringen, DPIA en FRIA verplicht
• Een bank die kredietaanvragen automatisch beoordeelt, DPIA en FRIA verplicht
• Een hogeschool die AI-proctoring inzet bij examens, DPIA en FRIA verplicht
• Een ziekenhuis dat AI inzet voor triage of diagnose-ondersteuning, DPIA en FRIA verplicht

Bij private partijen zonder publieke taak en zonder financiele-sector-toepassing is alleen de DPIA verplicht. Het opstellen van een FRIA blijft dan een keuze, geen wettelijke plicht.

Het verschil in scope: persoonsgegevens versus grondrechten

De DPIA en de FRIA kijken naar andere risico's, ook al overlappen ze. De DPIA richt zich op de bescherming van persoonsgegevens, dus op rechten als vertrouwelijkheid, integriteit en beschikbaarheid van data, plus de rechten van betrokkenen onder de AVG (inzage, correctie, verwijdering).

De FRIA kijkt breder, naar alle grondrechten uit het Handvest van de grondrechten van de EU. Denk aan het recht op non-discriminatie, op vrije meningsuiting, op een eerlijk proces, op menselijke waardigheid, op vakbondsvrijheid. Een AI-systeem dat geen persoonsgegevens verwerkt kan tochintervention grondrechten raken, bijvoorbeeld door content moderation die meningsuiting beinvloedt. Andersom kan een AI-systeem met persoonsgegevens grondrechten raken die buiten de AVG-scope vallen, zoals discriminatie op basis van postcode of inkomen.

Argument voor combineren in een document

De praktijk laat zien dat een gecombineerde DPIA+FRIA voor de meeste organisaties efficienter is. De voordelen:

• Efficiency: u beschrijft het AI-systeem, het doel en de context maar een keer
• Consistentie: geen tegenstrijdige risicobeoordelingen tussen twee documenten
• Betere besluitvorming: bestuur ziet alle risico's in samenhang in plaats van versnipperd
• Gedeelde stakeholders: DPO, business owner, IT en juridisch zijn in beide trajecten betrokken
• Eenmalige update: bij wijziging van het systeem wordt een document herzien

Argument voor apart houden

In sommige gevallen kiezen organisaties bewust voor twee aparte documenten. Reden:

• Verschillende toezichthouders: de Autoriteit Persoonsgegevens (AP) toetst DPIA's, de aankomende AI-toezichthouder (waaronder RDI voor markttoezicht) toetst FRIA's
• Verschillende termijnen: de DPIA hoort voor de verwerking gereed te zijn, de FRIA voor de ingebruikname van het AI-systeem
• Verschillende doelgroepen voor publicatie: FRIA's worden in sommige gevallen geheel of gedeeltelijk gepubliceerd in het algoritmeregister, DPIA's bevatten vaker bedrijfsvertrouwelijke informatie
• Verschillende methodieken: sommige organisaties hanteren al een vast DPIA-template dat lastig uit te breiden is

In de praktijk kiest de meerderheid voor combineren, met duidelijke section-markers per wettelijk kader voor toezichthouders.

Sjabloon-structuur voor gecombineerde DPIA+FRIA in 10 secties

Het volgende sjabloon dekt zowel artikel 35 AVG als artikel 27 AI Act volledig af. Markeer per sectie expliciet of de inhoud DPIA, FRIA of beide adresseert.

1. 1
   Omschrijving van het AI-systeem

   Naam, leverancier, versie, gebruikte modellen, type AI (regelgebaseerd, machine learning, generatief), inputs en outputs, plek in het bedrijfsproces. Verwijs naar de technische documentatie van de leverancier.

2. 2
   Doel en context van inzet

   Waarvoor wordt het systeem ingezet, wat is de zakelijke noodzaak, welk alternatief is overwogen (zonder AI), welke betrokkenen worden geraakt en in welke fase van het proces grijpt het systeem in?

3. 3
   Categorieen betrokkenen en data

   Wie zijn de betrokkenen (klanten, sollicitanten, werknemers, burgers), welke categorieen persoonsgegevens worden verwerkt, herkomst van de data, retentietermijnen en grondslag onder de AVG.

4. 4
   Risico-analyse AVG (DPIA-deel)

   Risico's voor vertrouwelijkheid, integriteit en beschikbaarheid. Risico's voor de rechten van betrokkenen (geautomatiseerde besluitvorming, profilering, inzagerecht, dataminimalisatie). Per risico een kans- en impact-inschatting.

5. 5
   Risico-analyse grondrechten (FRIA-deel)

   Risico's voor non-discriminatie, gelijke behandeling, vrije meningsuiting, eerlijke procesgang, menselijke waardigheid en andere relevante grondrechten uit het Handvest. Bias-analyse op basis van testresultaten. Per risico onderbouwing en kwantificering waar mogelijk.

6. 6
   Technische mitigaties

   Pseudonimisering, encryptie, toegangsbeperking, logging, bias-mitigatie in trainingsdata, model-monitoring, fallback-mechanismen bij modeldrift. Verwijs naar implementatie-bewijs.

7. 7
   Procesmatige mitigaties

   Trainingen voor gebruikers, escalatieprocedures, klachtenproces voor betrokkenen, transparantie naar betrokkenen, beoordelingscyclus, governance-rollen.

8. 8
   Menselijk toezicht (artikel 14 AI Act)

   Wie houdt toezicht, welke autorisaties zijn nodig om besluiten te overrulen, hoe vaak wordt het toezicht uitgeoefend, hoe wordt de toezichthoudende rol getraind en getoetst.

9. 9
   Consultatie DPO, OR en betrokkenen

   Advies van de Functionaris voor Gegevensbescherming (verplicht voor DPIA), advies of instemming Ondernemingsraad bij AI in werknemerscontext, consultatie van vertegenwoordigers van betrokkenen waar relevant.

10. 10
    Besluit, review en publicatie

    Eindoordeel (groen, oranje, rood), naam en functie van de eindverantwoordelijke beslisser, datum van besluit, review-frequentie, triggers voor herziening, publicatie in algoritmeregister waar verplicht.

Wie betrekt u in het proces?

Een goede DPIA+FRIA is geen solo-exercitie. De volgende rollen zijn onmisbaar:

• DPO of privacyfunctionaris, verplicht advies onder artikel 35 lid 2 AVG
• Business owner, degene die het AI-systeem inzet en begrijpt waarom
• IT en security, voor technische mitigaties en architectuur
• Juridisch, voor afweging tegen het bredere wettelijk kader
• Ondernemingsraad, bij AI in werknemerscontext (instemmingsrecht onder de WOR)
• Domeinexpert, iemand met inhoudelijke kennis van de doelgroep en bias-risico's
• Vertegenwoordiger betrokkenen, bij publieke entiteiten of bij gevoelige toepassingen

Hoe lang duurt het proces?

Voor een eenvoudig AI-systeem (een leverancier-tool met beperkte impact) duurt een gecombineerde DPIA+FRIA twee tot drie weken doorlooptijd, met ongeveer 20 tot 40 uur effectieve inzet. Voor een complex eigen ontwikkeld AI-systeem (bijvoorbeeld een fraudedetectiemodel) loopt het uit naar twee tot drie maanden doorlooptijd met 80 tot 160 uur effectieve inzet.

Wanneer reviewen?

Beide kaders schrijven herziening voor bij materiele wijziging van het systeem of de context. Praktisch betekent dit minimaal jaarlijks een review, en daarnaast bij:

• Wijziging van de doelgroep of toepassingscontext
• Wijziging van het AI-model (nieuwe versie, retraining)
• Uitbreiding van de dataset met nieuwe categorieen
• Een incident of klacht die het systeem raakt
• Wijziging van de wettelijke vereisten (denk aan geharmoniseerde EU-richtsnoeren)

Wat doet u na een negatieve uitkomst?

Een negatief eindoordeel is niet automatisch het einde. Twee scenario's:

Mitigeerbaar restrisico, identificeer aanvullende mitigaties (zwaarder menselijk toezicht, beperking van scope, betere training), her-evalueer en documenteer het besluit. Bij een hoog restrisico onder de AVG geldt artikel 36, voorafgaande raadpleging van de Autoriteit Persoonsgegevens voor u start.

Onaanvaardbaar risico, staak de inzet. Dit is een bestuursbeslissing, niet alleen een naleving-beslissing. Documenteer de afweging en bewaar het dossier, zodat u kunt aantonen dat u zorgvuldig heeft gehandeld bij een eventuele controle.