DPIA vs FRIA

In 2016 introduceerde de AVG de Data Protection Impact Assessment (DPIA) voor privacy-risico's. Met de EU AI-verordening (augustus 2024) kwam de Fundamental Rights Impact Assessment (FRIA) erbij, specifiek voor hoogrisico AI-systemen. Deze dubbele verplichting ontstaat omdat AI-systemen bredere risico's kunnen vormen dan alleen gegevensbescherming. Waar een DPIA zich concentreert op privacy-gerelateerde risico's, kijkt een FRIA naar het volledige spectrum van fundamentele rechten: menselijke waardigheid, non-discriminatie, vrijheid van meningsuiting, toegang tot rechtsbescherming en meer.

Onder artikel 35 van de AVG moet je een DPIA uitvoeren wanneer een verwerking "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen." Dit geldt wanneer je: systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt, dit doet op basis van geautomatiseerde verwerkingen inclusief profilering, en hierop beslissingen baseert die gevolgen hebben voor mensen. Een DPIA moet worden uitgevoerd vóór het begin van de verwerkingsactiviteiten - tijdens de planningsfase, niet achteraf.

De Fundamental Rights Impact Assessment (FRIA) is vastgelegd in artikel 27 van de EU AI-verordening. In tegenstelling tot de DPIA hanteert de FRIA een mensgerichte benadering door alle relevante fundamentele rechten te onderzoeken: menselijke waardigheid, gelijkheid voor de wet, non-discriminatie, culturele diversiteit, en het recht op effectieve rechtsbescherming. De FRIA is verplicht voor: (1) alle publieke organen en private entiteiten die diensten van publiek belang verlenen (onderwijs, gezondheidszorg, sociale diensten), en (2) alle organisaties die AI gebruiken voor kredietwaardigheidsbeoordelingen of risicobeoordeling bij verzekeringen.

1. FOCUS: DPIA richt zich op gegevensbescherming en privacy, FRIA op alle fundamentele rechten. 2. DATATYPE: DPIA alleen persoonsgegevens, FRIA ook niet-persoonsgegevens. 3. TOEPASSINGSGEBIED: DPIA voor alle hoog-risico dataverwerkingen, FRIA specifiek voor hoogrisico AI-systemen. 4. WIE VERPLICHT: DPIA voor verwerkingsverantwoordelijken, FRIA voor bepaalde categorieën AI-gebruikers (deployers). 5. RAPPORTAGE: DPIA intern (behalve bij voorafgaande raadpleging), FRIA verplichte melding aan toezichthouder.

Ja! De AI-verordening erkent de overlap tussen beide assessments. Artikel 27(4) stelt dat een FRIA een bestaande DPIA kan aanvullen wanneer beide vereist zijn. Je kunt kiezen voor: (1) Twee aparte assessments - afzonderlijke DPIA en FRIA documenten, of (2) Geïntegreerd assessment - één gecombineerd document dat aan beide sets vereisten voldoet. Voor succesvolle integratie moet het document alle DPIA-vereisten uit artikel 35 AVG dekken, alle FRIA-elementen uit artikel 27 AI-verordening bevatten, en de bredere scope van fundamentele rechten adresseren. Praktische tip: Begin met je bestaande DPIA-template en breid deze uit met FRIA-elementen.

Het Digital Omnibus on AI-voorstel (19 november 2025) heeft indirect gevolgen voor impact assessments. De hoog-risico AI-verplichtingen, waaronder de FRIA-verplichting voor deployers, worden uitgesteld tot 6 of 12 maanden nadat geharmoniseerde standaarden beschikbaar zijn (uiterlijk december 2027 of augustus 2028). Dit geeft organisaties meer tijd om hun FRIA-processen op te zetten. Daarnaast verruimt het voorstel de mogelijkheid om gevoelige persoonsgegevens te gebruiken voor bias-detectie bij alle AI-systemen (niet alleen hoog-risico), met een verlaagde drempel van "strikt noodzakelijk" naar "noodzakelijk". Dit heeft directe implicaties voor DPIA's: elke verwerking van gevoelige persoonsgegevens vereist een grondige privacybeoordeling. De EDPB en EDPS uiten in hun Joint Opinion 1/2026 zorgen over het uitstel en adviseren de oorspronkelijke tijdlijn te handhaven voor bepaalde verplichtingen zoals transparantie-eisen. Zij benadrukken ook dat DPA's (Data Protection Authorities) een centrale rol moeten behouden bij toezicht op persoonsgegevensverwerking in AI-contexten.