DPIA vs FRIA

In 2016 introduceerde de AVG de Data Protection Impact Assessment (DPIA) voor privacy-risico's. Met de EU AI-verordening (augustus 2024) kwam de Fundamental Rights Impact Assessment (FRIA) erbij, specifiek voor hoogrisico AI-systemen. Deze dubbele verplichting ontstaat omdat AI-systemen bredere risico's kunnen vormen dan alleen gegevensbescherming. Waar een DPIA zich concentreert op privacy-gerelateerde risico's, kijkt een FRIA naar het volledige spectrum van fundamentele rechten: menselijke waardigheid, non-discriminatie, vrijheid van meningsuiting, toegang tot rechtsbescherming en meer.

Onder artikel 35 van de AVG moet je een DPIA uitvoeren wanneer een verwerking "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen." Dit geldt wanneer je: systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt, dit doet op basis van geautomatiseerde verwerkingen inclusief profilering, en hierop beslissingen baseert die gevolgen hebben voor mensen. Een DPIA moet worden uitgevoerd vóór het begin van de verwerkingsactiviteiten - tijdens de planningsfase, niet achteraf.

De Fundamental Rights Impact Assessment (FRIA) is vastgelegd in artikel 27 van de EU AI-verordening. In tegenstelling tot de DPIA hanteert de FRIA een mensgerichte benadering door alle relevante fundamentele rechten te onderzoeken: menselijke waardigheid, gelijkheid voor de wet, non-discriminatie, culturele diversiteit, en het recht op effectieve rechtsbescherming. De FRIA is verplicht voor: (1) alle publieke organen en private entiteiten die diensten van publiek belang verlenen (onderwijs, gezondheidszorg, sociale diensten), en (2) alle organisaties die AI gebruiken voor kredietwaardigheidsbeoordelingen of risicobeoordeling bij verzekeringen.

1. FOCUS: DPIA richt zich op gegevensbescherming en privacy, FRIA op alle fundamentele rechten. 2. DATATYPE: DPIA alleen persoonsgegevens, FRIA ook niet-persoonsgegevens. 3. TOEPASSINGSGEBIED: DPIA voor alle hoog-risico dataverwerkingen, FRIA specifiek voor hoogrisico AI-systemen. 4. WIE VERPLICHT: DPIA voor verwerkingsverantwoordelijken, FRIA voor bepaalde categorieën AI-gebruikers (deployers). 5. RAPPORTAGE: DPIA intern (behalve bij voorafgaande raadpleging), FRIA verplichte melding aan toezichthouder.

Ja! De AI-verordening erkent de overlap tussen beide assessments. Artikel 27(4) stelt dat een FRIA een bestaande DPIA kan aanvullen wanneer beide vereist zijn. Je kunt kiezen voor: (1) Twee aparte assessments - afzonderlijke DPIA en FRIA documenten, of (2) Geïntegreerd assessment - één gecombineerd document dat aan beide sets vereisten voldoet. Voor succesvolle integratie moet het document alle DPIA-vereisten uit artikel 35 AVG dekken, alle FRIA-elementen uit artikel 27 AI-verordening bevatten, en de bredere scope van fundamentele rechten adresseren. Praktische tip: Begin met je bestaande DPIA-template en breid deze uit met FRIA-elementen.