Fundamentele Rechten Impact Assessment, oftewel grondrechteneffectbeoordeling. Een beoordeling die bepaalde deployers van hoog-risico AI-systemen moeten uitvoeren om de impact op fundamentele rechten vast te stellen voordat het systeem in gebruik wordt genomen. Verplicht onder Artikel 27 EU AI Act voor publiekrechtelijke instanties, private organisaties die publieke diensten leveren, en deployers die AI inzetten voor kredietwaardigheidsbeoordeling of risicobeoordeling bij levens- en zorgverzekeringen.
Hoe zit de FRIA in de AI Act?
Artikel 27 EU AI Act bepaalt dat de FRIA wordt uitgevoerd voor het eerste gebruik van het hoog-risico AI-systeem. De beoordeling beschrijft de processen waarin het systeem wordt gebruikt, de periode en frequentie van gebruik, de categorieën personen die worden geraakt, de specifieke risico's op schade aan grondrechten, de maatregelen voor menselijk toezicht en de maatregelen die worden genomen als risico's zich voordoen. De uitkomst wordt gemeld bij de markttoezichtautoriteit. Een bestaande DPIA mag als basis dienen: de FRIA vult deze aan voor grondrechten die buiten gegevensbescherming vallen.
Concreet voorbeeld
Een gemeente wil een AI-systeem inzetten dat signalen van mogelijk onrechtmatig gebruik van uitkeringen prioriteert. Voor ingebruikname brengt de gemeente in kaart welke groepen burgers worden geraakt, of het systeem indirect kan discrimineren (bijvoorbeeld via postcode of gezinssamenstelling als proxy), hoe een medewerker elke signalering inhoudelijk beoordeelt voordat actie volgt, en hoe burgers bezwaar kunnen maken. Die analyse, inclusief mitigerende maatregelen en restrisico's, vormt samen de FRIA.
Veelgemaakte misvatting
De FRIA is niet hetzelfde als een DPIA en geldt niet voor elke organisatie. Een DPIA onder de AVG kijkt naar risico's voor de bescherming van persoonsgegevens; een FRIA kijkt breder naar alle grondrechten, zoals non-discriminatie, menselijke waardigheid en toegang tot essentiële diensten. Bovendien geldt de FRIA-plicht alleen voor de in Artikel 27 genoemde categorieën deployers, niet voor iedere gebruiker van hoog-risico AI. Wie buiten die categorieën valt, doet er vaak alsnog verstandig aan een vergelijkbare toets uit te voeren als onderdeel van AI-governance.