Artikel 27: Beoordeling van de gevolgen voor de grondrechten van AI-systemen met een hoog risico

De FRIA is primair een deployer-verplichting, maar aanbieders moeten de informatie leveren die deployers nodig hebben om hun FRIA uit te voeren.

Als publieke organisatie of aanbieder van publieke diensten bent u verplicht een FRIA uit te voeren vóór ingebruikname van hoog-risico AI. Gebruik onze FRIA Generator om te starten.

De FRIA-verplichting geldt primair voor publieke organisaties. Als MKB-deployer in de private sector bent u niet verplicht, maar het is wel best practice.

De FRIA is voor u verplicht. Combineer deze met de IAMA die u mogelijk al uitvoert. Publiceer het resultaat en update het bij significante wijzigingen.

Een Fundamental Rights Impact Assessment (FRIA) is een beoordeling van de impact op grondrechten. Het is verplicht voor publieke organisaties en organisaties die publieke diensten verlenen voordat zij hoog-risico AI in gebruik nemen.

Een FRIA moet onder meer beschrijven: het beoogde gebruik, de betrokken personen, specifieke risico's voor grondrechten, mitigerende maatregelen, en toezichtmechanismen.

Artikel 27 van de AI Act maakt geen algemene uitzondering voor het MKB. Wel voorziet de AI Act in ondersteunende maatregelen en eventueel verlichte verplichtingen voor kleine en middelgrote ondernemingen, afhankelijk van hun rol in de AI-waardeketen.

Artikel 27 van de AI Act werkt aanvullend op de AVG. Waar de AVG persoonsgegevens beschermt, richt de AI Act zich op de veiligheid en betrouwbaarheid van AI-systemen. Organisaties moeten aan beide regelgevingen voldoen wanneer hun AI-systeem persoonsgegevens verwerkt.

De AI Act kent een gefaseerde invoering. Verboden AI-praktijken gelden vanaf februari 2025, verplichtingen voor hoog-risico AI-systemen vanaf augustus 2026, en overige bepalingen worden geleidelijk van kracht. De specifieke deadline voor artikel 27 hangt af van de categorie van de verplichting.

Ja, artikel 27 van de AI Act kan ook relevant zijn wanneer u AI-systemen inkoopt. Als gebruiksverantwoordelijke (deployer) heeft u eigen verplichtingen onder de AI Act, ongeacht of u het systeem zelf heeft ontwikkeld of ingekocht bij een aanbieder.

Bij artikel 27 van de AI Act is de provider (aanbieder) degene die het AI-systeem ontwikkelt of op de markt brengt, terwijl de deployer (gebruiksverantwoordelijke) degene is die het systeem onder eigen verantwoordelijkheid inzet. Beide rollen hebben verschillende verplichtingen.

Artikel 27 van de AI Act vereist dat relevante documentatie wordt bijgehouden als onderdeel van het compliance-proces. Dit kan technische documentatie, gebruiksaanwijzingen, logs of conformiteitsverklaringen omvatten, afhankelijk van de classificatie van het AI-systeem.

Een FRIA (grondrechteneffectbeoordeling, artikel 27) richt zich op de impact van AI op alle grondrechten, terwijl een DPIA (gegevensbeschermingseffectbeoordeling, AVG artikel 35) zich specifiek richt op privacy en gegevensbescherming. Beide zijn verplicht als de voorwaarden worden vervuld en ze vullen elkaar aan.

De FRIA is verplicht voor deployers die publiekrechtelijke organen zijn, of private partijen die publieke diensten verlenen. Dit omvat overheidsinstanties, banken en verzekeraars (voor kredietbeoordeling), en aanbieders van essentiële diensten. De eerste FRIA moet zijn uitgevoerd vóór het eerste gebruik van het hoog-risico AI-systeem.

Het AI Office is verplicht om een template (vragenlijst) te ontwikkelen voor de FRIA conform artikel 27 lid 5. Daarnaast hebben organisaties als ECNL en het Deens Instituut voor Mensenrechten al praktische FRIA-templates gepubliceerd die als leidraad kunnen dienen.

Ja, artikel 27 lid 3 vereist dat deployers de resultaten van de FRIA melden bij de markttoezichtautoriteit door het ingevulde template in te dienen. Daarnaast moet een samenvatting worden geregistreerd in de EU-databank conform Bijlage VIII, Sectie C.