AI Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Compliance-platform Samenwerken LinkedIn NL·EN·DE
Uitleg

FRIA: wanneer moet ik een grondrechtentoets doen (AI Act art. 27)?

Vastgesteld 2026-06-16 · ≈ 2 min lezen · Dirk Baaijen

Gebruik je hoog-risico-AI als publieke instantie, aanbieder van publieke diensten, of voor kredietwaardigheid of levens- en ziektekostenverzekering? Dan eist art. 27 AI Act vóór ingebruikname een grondrechteneffectbeoordeling (FRIA).

Kort antwoord: Niet elke gebruiker van hoog-risico-AI hoeft een grondrechteneffectbeoordeling (FRIA) te doen. Artikel 27 AI Act legt die plicht alléén op aan bepaalde gebruiksverantwoordelijken: publieke instanties, private partijen die publieke diensten leveren, en wie hoog-risico-AI inzet voor kredietwaardigheidsbeoordeling of voor risicobeoordeling en prijsstelling bij levens- en ziektekostenverzekering. De FRIA moet vóór de eerste ingebruikname klaar zijn.

Wie de FRIA moet doen

Artikel 27 van Verordening (EU) 2024/1689 richt zich tot de gebruiksverantwoordelijke (deployer), niet tot de aanbieder. De plicht geldt bij gebruik van een hoog-risico-AI-systeem in de zin van bijlage III, en alleen voor:

  • Publiekrechtelijke instanties, of private partijen die publieke diensten verlenen;
  • gebruik voor het beoordelen van kredietwaardigheid of het vaststellen van een kredietscore (met een uitzondering voor het opsporen van financiële fraude);
  • gebruik voor risicobeoordeling en prijsstelling bij levens- en ziektekostenverzekeringen.

Andere deployers van hoog-risico-AI vallen in beginsel niet onder de FRIA-plicht. Wie bijvoorbeeld als gewoon privébedrijf een hoog-risico-planningsysteem inzet zonder publieke-dienstcontext, krediet- of verzekeringsdoel, hoeft geen FRIA te doen — andere hoog-risicoverplichtingen kunnen wél gelden.

Wat er in de beoordeling moet staan

De FRIA beschrijft hoe het systeem feitelijk wordt gebruikt en welke gevolgen dat heeft voor grondrechten. Concreet:

  • de processen waarin het systeem wordt gebruikt, passend bij het beoogde doel;
  • de periode en frequentie van het gebruik;
  • de categorieën personen die worden geraakt;
  • de specifieke risico's voor de grondrechten van die personen;
  • de maatregelen voor menselijk toezicht conform de gebruiksaanwijzing;
  • de mitigerende maatregelen als de risico's zich verwezenlijken, inclusief klachten- en governanceregelingen.

Na het opstellen meld je de uitkomst bij de markttoezichtautoriteit via het daarvoor bestemde formulier. Bij wezenlijke wijzigingen actualiseer je de beoordeling.

Verhouding tot de AVG-DPIA

De FRIA en de gegevensbeschermingseffectbeoordeling (DPIA) uit de AVG kunnen elkaar deels overlappen. Voer je al een DPIA uit, dan vult de FRIA die aan: hij vervangt de DPIA niet, maar je hoeft eerder verzamelde informatie niet dubbel te produceren. Behandel ze als complementaire toetsen — de DPIA kijkt naar gegevensverwerking, de FRIA breder naar het effect op grondrechten.

Lees ook: De AI Act-tijdlijn van verplichtingen. Doe de scan.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act), art. 27: grondrechteneffectbeoordeling.

Deel op LinkedIn

Lees ook

A

DPIA voor HR-AI: wanneer verplicht en hoe combineer je het met de FRIA?

Een DPIA (art. 35 AVG) is verplicht bij grootschalig, systematisch monitoren en bij hoog-risico-AI in HR. Dit artikel legt uit wat erin moet en hoe je de DPIA combineert met de FRIA (grondrechtentoets, art. 27 AI Act) tot één traject. Met praktisch stappenplan.

W

Registratie van hoog-risicosystemen in de EU-databank (artikel 49)

Artikel 49 van de AI Act verplicht aanbieders en bepaalde gebruiksverantwoordelijken om hoog-risicosystemen vóór ingebruikname te registreren in een openbare EU-databank. De registratie maakt zichtbaar welke systemen op de markt zijn en is een voorwaarde voor rechtmatig gebruik.

U

Een AI-model (GPAI) inkopen: welke plichten heb je als gebruiker?

De zwaarste GPAI-plichten gelden voor de aanbieder, niet voor jou. Als gebruiker raken je vooral AI-geletterdheid (artikel 4), transparantie (artikel 50) en — bij hoogrisico-inzet — de gebruiksverantwoordelijkheden van artikel 26.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.