FRIA Template: Stap-voor-stap handleiding bij Artikel 27 AI Act

Stel: een gemeente wil een AI-systeem inzetten om bijstandsaanvragen te beoordelen. Of een zorgverzekeraar overweegt algoritmes voor risicoprofilering bij levensverzekeringen. Voordat ze op de startknop drukken, eist de EU AI Act iets fundamenteels: een grondrechtentoetsing. Niet als formaliteit, maar als serieuze analyse van wat er mis kan gaan voor de mensen die ermee te maken krijgen.

Artikel 27 van de AI Act introduceert de Fundamental Rights Impact Assessment (FRIA). Het is een nieuw instrument dat specifiek is ontworpen voor AI-systemen, en het gaat verder dan de bekende DPIA uit de AVG. In dit artikel lopen we door alle vijf leden van Artikel 27, leggen we uit wie deze verplichting raakt, en bieden we een praktisch template waarmee je direct aan de slag kunt.

Wie moet een FRIA uitvoeren?

Niet elke organisatie die AI gebruikt hoeft een FRIA uit te voeren. Artikel 27 richt zich op drie specifieke categorieën gebruikers (deployers) van hoog-risico AI-systemen¹:

Publiekrechtelijke organisaties: overheden, gemeenten, uitvoeringsinstanties, zelfstandige bestuursorganen. Denk aan de Belastingdienst, het UWV of een gemeente die AI inzet voor handhaving.
Private partijen die publieke diensten verlenen: zorgaanbieders, onderwijsinstellingen, woningcorporaties, sociale dienstverleners. Als je als privaat bedrijf diensten levert die het publiek belang raken, val je hieronder⁶.
Gebruikers van specifieke financiële AI-systemen: partijen die AI inzetten voor kredietwaardigheidsbeoordeling, credit scoring, of risicobeoordeling en prijsstelling bij levens- en ziektekostenverzekeringen (Bijlage III, punt 5(b) en (c)). Deze categorie geldt ongeacht of je een publieke of private organisatie bent.

Belangrijk: de verplichting geldt niet voor AI-systemen die als veiligheidscomponent worden ingezet bij kritieke infrastructuur, zoals wegverkeer, watervoorziening, gas, verwarming of elektriciteit (Bijlage III, punt 2)¹.

Artikel 27 lid voor lid

Lid 1: De kern van de FRIA

Het eerste lid is het fundament. Voorafgaand aan de inzet van een hoog-risico AI-systeem moeten de hierboven genoemde organisaties een beoordeling uitvoeren van de impact op grondrechten. Die beoordeling moet uit zes onderdelen bestaan¹:

(a) Procesbeschrijving: een beschrijving van de processen waarin het AI-systeem wordt gebruikt, in lijn met het beoogde doel.

(b) Periode en frequentie: een beschrijving van de periode en de frequentie waarmee het AI-systeem wordt ingezet.

(c) Getroffen personen en groepen: de categorieën natuurlijke personen en groepen die waarschijnlijk worden geraakt door het gebruik in de specifieke context.

(d) Specifieke risico's: de specifieke risico's op schade die waarschijnlijk impact hebben op de onder (c) geïdentificeerde personen of groepen, rekening houdend met de informatie die de aanbieder verstrekt op grond van Artikel 13.

(e) Menselijk toezicht: een beschrijving van de implementatie van maatregelen voor menselijk toezicht, conform de gebruiksinstructies.

(f) Maatregelen bij realisatie van risico's: de maatregelen die worden genomen als de risico's zich daadwerkelijk voordoen, inclusief regelingen voor interne governance en klachtenmechanismen.

Lid 2: Eerste gebruik en actualisatie

De verplichting geldt voor het eerste gebruik van het AI-systeem. Bij vergelijkbare gevallen mag je terugvallen op eerder uitgevoerde FRIA's of bestaande impactbeoordelingen die de aanbieder (provider) heeft opgesteld. Maar zodra je vaststelt dat een van de elementen uit lid 1 is veranderd of niet meer actueel is, moet je de beoordeling bijwerken¹.

Dit betekent in de praktijk dat een FRIA geen eenmalige exercitie is. Het is een levend document dat meegaat met veranderingen in het gebruik, de context of het systeem zelf.

Lid 3: Melding aan de markttoezichthouder

Na het uitvoeren van de FRIA moet je de resultaten melden bij de markttoezichthouder. Je doet dit door het ingevulde template (zie lid 5) in te dienen als onderdeel van de notificatie. Organisaties die onder Artikel 46 lid 1 vallen, kunnen van deze meldplicht zijn vrijgesteld¹.

Lid 4: Samenloop met de DPIA

Dit lid is bijzonder relevant voor organisaties die al een Data Protection Impact Assessment (DPIA) uitvoeren op grond van artikel 35 AVG of artikel 27 van Richtlijn 2016/680. Als je al een DPIA hebt gedaan, hoef je niet helemaal opnieuw te beginnen. De FRIA vult de bestaande DPIA aan¹³.

In de praktijk betekent dit: je kunt beide beoordelingen combineren in één document, zolang je de AI Act-specifieke elementen (zoals grondrechtenrisico's breder dan privacy) toevoegt aan wat je al hebt. Dat scheelt dubbel werk en zorgt voor een samenhangend overzicht van alle risico's.

Lid 5: Template van het AI Office

Het AI Office ontwikkelt een template in de vorm van een vragenlijst, eventueel ondersteund door een geautomatiseerd hulpmiddel, om gebruikers te helpen aan hun verplichtingen te voldoen¹. Dit template is op het moment van schrijven nog niet gepubliceerd. Toch kun je nu al beginnen met voorbereiden. De zes elementen uit lid 1 vormen de ruggengraat van elke FRIA.

Praktisch FRIA-template

Op basis van de wettekst, academisch onderzoek van Mantelero², de gids van ECNL en het Danish Institute for Human Rights⁴⁸, en de ALTAI-checklist van de Europese Commissie⁵, kun je nu al een werkbaar template opstellen. Hieronder een structuur die je direct kunt gebruiken.

Stap 1: Systeemidentificatie en procesbeschrijving

Beantwoord de volgende vragen:

Welk AI-systeem wordt ingezet? (naam, versie, aanbieder)
In welk proces wordt het systeem gebruikt?
Wat is het beoogde doel volgens de aanbieder?
Hoe past dit binnen de bredere bedrijfsprocessen?
Wie is de interne verantwoordelijke (deployer-contactpersoon)?

Stap 2: Gebruiksperiode en frequentie

Wanneer wordt het systeem voor het eerst ingezet?
Hoe vaak wordt het systeem gebruikt? (continu, dagelijks, wekelijks, incidenteel)
Is er een geplande einddatum of is het gebruik voor onbepaalde tijd?

Stap 3: Getroffen personen en groepen identificeren

Welke categorieën personen worden direct geraakt? (bijv. sollicitanten, patiënten, uitkeringsgerechtigden, verzekerden)
Zijn er kwetsbare groepen betrokken? (kinderen, ouderen, mensen met een beperking, minderheden)
Hoe groot is de groep die potentieel wordt geraakt?
Zijn er indirecte effecten op derden?

Stap 4: Risicobeoordeling per grondrecht

Beoordeel voor elk relevant grondrecht uit het EU Handvest de mogelijke impact:

Menselijke waardigheid (Art. 1 Handvest): kan het systeem mensen reduceren tot een score of profiel?
Non-discriminatie (Art. 21): zijn er risico's op bias of ongelijke behandeling?
Privacy en gegevensbescherming (Art. 7-8): welke persoonsgegevens worden verwerkt?
Vrijheid van meningsuiting (Art. 11): kan het systeem uitingen beperken of censureren?
Recht op behoorlijk bestuur (Art. 41): krijgen betrokkenen een gemotiveerd besluit?
Toegang tot de rechter (Art. 47): kunnen betrokkenen de uitkomst aanvechten?
Rechten van het kind (Art. 24): als minderjarigen betrokken zijn, hoe worden hun belangen beschermd?

Gebruik hierbij de informatie die de aanbieder verplicht moet verstrekken op grond van Artikel 13 (transparantieverplichtingen).

Stap 5: Menselijk toezicht beschrijven

Welke maatregelen voor menselijk toezicht zijn geïmplementeerd?
Wie voert het toezicht uit en met welke bevoegdheden?
Kan een mens de output van het systeem overrulen?
Hoe is geborgd dat de toezichthouder voldoende getraind is?
Welke instructies van de aanbieder worden gevolgd?

Stap 6: Mitigatiemaatregelen en governance

Welke maatregelen worden genomen als risico's zich voordoen?
Is er een intern klachtenmechanisme voor betrokkenen?
Wie is verantwoordelijk voor de interne governance rondom het AI-systeem?
Hoe wordt de FRIA periodiek geëvalueerd en bijgewerkt?
Is er een escalatieprocedure bij onvoorziene effecten?

Stap 7: Documentatie en melding

Stel het volledige FRIA-rapport samen
Controleer of alle zes elementen uit Artikel 27 lid 1 zijn behandeld
Dien het ingevulde template in bij de markttoezichthouder (zodra het officiële template beschikbaar is)
Archiveer de FRIA en plan een herbeoordelingsmoment

De relatie met de DPIA

Veel organisaties voeren al een DPIA uit voor verwerkingen met een hoog privacyrisico. De FRIA en de DPIA overlappen deels, maar de FRIA gaat breder. Waar een DPIA zich richt op risico's voor persoonsgegevens, kijkt een FRIA naar het volledige spectrum van grondrechten: discriminatie, toegang tot de rechter, vrijheid van meningsuiting, sociale rechten³.

Het goede nieuws: Artikel 27 lid 4 staat expliciet toe dat je de FRIA combineert met een bestaande DPIA. Je hoeft niet twee compleet gescheiden documenten te maken. Voeg de grondrechtenanalyse toe aan je bestaande DPIA en je voldoet aan beide verplichtingen.

Waarom nu al beginnen?

De verplichting om een FRIA uit te voeren geldt vanaf 2 augustus 2026 voor de meeste hoog-risico AI-systemen. Dat lijkt ver weg, maar de voorbereiding kost tijd. Je moet interne processen inrichten, verantwoordelijkheden toewijzen, en de juiste informatie verzamelen bij je AI-aanbieders.

Bovendien laat het ECNL/DIHR-rapport⁴ zien dat een FRIA meer is dan een compliance-vinkje. Goed uitgevoerd helpt het je om daadwerkelijk te begrijpen wat je AI-systemen doen met de rechten van mensen. Dat is niet alleen wettelijk verplicht, het is ook gewoon verstandig.

Samenvatting

Artikel 27 introduceert een specifieke grondrechtentoets voor AI-systemen die verder gaat dan bestaande instrumenten. De FRIA verplicht publieke organisaties, aanbieders van publieke diensten en bepaalde financiële instellingen om vooraf na te denken over de impact van hun AI op de rechten van burgers. Met het template in dit artikel kun je alvast beginnen. Het officiële template van het AI Office volgt, maar de zes elementen uit de wet staan vast.