Er is een moment waarop de abstractie van Europese wetgeving ineens heel concreet wordt. Dat moment doet zich voor wanneer een gemeenteambtenaar vraagt: "Maar wat doet dit algoritme eigenlijk met de rechten van onze inwoners?" Die vraag -- simpel, direct, menselijk -- is precies de kern van de Fundamental Rights Impact Assessment die de EU AI Act verplicht stelt.
Artikel 27 van de AI Act introduceert een nieuw instrument dat verder gaat dan de bekende privacytoets. Het verplicht bepaalde organisaties om grondrechten serieus te nemen voordat ze een AI-systeem inzetten. Niet als theoretische exercitie, maar als concreet, gedocumenteerd en bij de toezichthouder te melden oordeel over hoe een AI-systeem het leven van mensen beinvloedt.
Deze gids is de meest uitgebreide behandeling van de FRIA die u in het Nederlands vindt. We behandelen de juridische basis letter voor letter, werken de praktijk stap voor stap uit, en houden u niet weg van de moeilijke vragen. Want die zijn precies waar het bij grondrechten om draait.
De juridische basis: Artikel 27 woord voor woord
Artikel 27 van Verordening (EU) 2024/1689 -- de EU AI Act -- draagt de titel "Fundamental Rights Impact Assessment for High-Risk AI Systems". Dat klinkt eenvoudig, maar de reikwijdte is substantieel. Laten we de tekst volgen.
Het eerste lid opent met de verplichting: vóór het in gebruik nemen van een hoog-risico AI-systeem als bedoeld in Artikel 6 lid 2 -- de systemen op de lijst van Bijlage III -- moeten specifieke categorieën gebruikers (deployers) een beoordeling uitvoeren van de impact op grondrechten die het gebruik van zo'n systeem kan hebben. Dat is de kern. De grondrechtentoets is een pre-deployment verplichting. U mag er niet mee wachten tot na de livegang.
De verplichting kent een uitzondering: AI-systemen die worden ingezet als veiligheidscomponent bij het beheer van kritieke infrastructuur -- wegverkeer, water, gas, verwarming, elektriciteit -- vallen buiten de FRIA-plicht. Dezelfde organisaties kunnen overigens wel FRIA-plichtig zijn voor andere AI-toepassingen buiten die specifieke veiligheidscontext.
De zes onderdelen die Artikel 27 lid 1 verplicht stelt, vormen de ruggengraat van elke FRIA:
Onderdeel (a) vereist een beschrijving van de processen waarin het hoog-risico AI-systeem zal worden gebruikt, in lijn met het beoogde doel. U beschrijft dus niet alleen wat het systeem doet, maar hoe het past in uw organisatorische workflow.
Onderdeel (b) vraagt naar de tijdsperiode en frequentie van gebruik. Wordt het systeem continu ingezet, eenmalig per aanvraag, of periodiek voor hertaxaties? Die context bepaalt mede de omvang van de impact.
Onderdeel (c) betreft de categorieën natuurlijke personen en groepen die waarschijnlijk door het gebruik worden geraakt. Dit gaat verder dan directe gebruikers -- ook indirecte betrokkenen tellen mee.
Onderdeel (d) vormt het analytische hart: de specifieke risico's op schade die waarschijnlijk impact hebben op de geidentificeerde personen en groepen. Hierbij moet u rekening houden met de informatie die de aanbieder verstrekt op grond van Artikel 13 (de transparantieverplichtingen voor providers).
Onderdeel (e) betreft menselijk toezicht: hoe zijn de toezichtsmaatregelen geimplementeerd conform de gebruiksinstructies? Wie kijkt mee, en met welke bevoegdheden?
Onderdeel (f) sluit af met de maatregelen bij realisatie van risico's: governance-regelingen, klachtenmechanismen, escalatieprocedures.
Lid 2 verduidelijkt dat de verplichting geldt voor het eerste gebruik. Voor vergelijkbare gevallen mag u terugvallen op eerder uitgevoerde FRIA's of bestaande impactbeoordelingen van de provider. Maar zodra u vaststelt dat een element is veranderd, moet u actualiseren.
Lid 3 stelt de meldplicht vast: na voltooiing moet u de resultaten melden bij de markttoezichthouder, waarbij u het ingevulde template van Artikel 27 lid 5 indient. Organisaties die op grond van Artikel 46 lid 1 zijn vrijgesteld -- denk aan situaties van openbare veiligheid -- kunnen van deze meldplicht zijn ontheven.
Lid 4 regelt de samenloop met de DPIA uit de AVG (Artikel 35) of Richtlijn 2016/680. Als u al een DPIA hebt uitgevoerd, vult de FRIA die aan. U hoeft niet opnieuw te beginnen, maar u voegt de grondrechtendimensie toe die verder gaat dan privacy.
Lid 5, tot slot, machtigt het AI Office om een template te ontwikkelen in de vorm van een vragenlijst, eventueel ondersteund door een geautomatiseerd hulpmiddel. Op het moment van schrijven is dit template nog niet gepubliceerd. In afwachting daarvan kunt u alvast werken met ons FRIA template op basis van Artikel 27.
Wie moet een FRIA uitvoeren?
De FRIA-plicht rust niet op iedereen die AI gebruikt. Artikel 27 richt zich op drie specifieke categorieen deployers.
Categorie 1: Publiekrechtelijke instanties. Alle organen die worden beheerst door publiekrecht -- overheden, gemeenten, uitvoeringsorganisaties, zelfstandige bestuursorganen. In de Nederlandse context gaat het om organisaties als gemeenten, provincies, het UWV, de Belastingdienst, de IND, de DUO, de politie. Zodra zij een hoog-risico AI-systeem uit Bijlage III (met uitzondering van punt 2) inzetten, zijn zij FRIA-plichtig.
Categorie 2: Private partijen met een publieke dienstverlening. Overweging 96 van de AI Act licht toe wat "diensten van publiek belang" betekent: taken in het publiek belang op het gebied van onderwijs, gezondheidszorg, sociale dienstverlening, huisvesting, rechtspraak. Een particuliere zorginstelling, een woningcorporatie, een private onderwijsinstelling die publiek gefinancierd is -- zij vallen in deze categorie als zij hoog-risico AI inzetten. Ook nutsbedrijven die essentiële diensten leveren kunnen hier onder vallen, tenzij zij AI specifiek als veiligheidscomponent in die infrastructuur inzetten.
Categorie 3: Gebruikers van specifieke financiele AI-systemen. Dit is de categorie die het meest verrassend is voor veel organisaties. Ongeacht of een organisatie publiek of privaat is, geldt de FRIA-plicht voor deployers van AI-systemen voor (a) kredietwaardigheidsbeoordeling of credit scoring van natuurlijke personen (Bijlage III, punt 5(b)), en (b) risicobeoordeling en premiestelling bij levensverzekeringen en ziektekostenverzekeringen (Bijlage III, punt 5(c)). Banken, financiele instellingen en verzekeraars die dergelijke systemen inzetten, zijn dus altijd FRIA-plichtig -- een uitzondering geldt voor AI die uitsluitend wordt ingezet voor het opsporen van financiele fraude.
Een praktische kanttekening: de FRIA-plicht ligt bij de deployer, niet bij de provider (ontwikkelaar). Wie AI bouwt en verkoopt hoeft geen FRIA te doen. Wie AI inzet in de eigen bedrijfsvoering -- en valt in een van de drie categorieen -- wel.
Wanneer moet de FRIA klaar zijn?
Het antwoord is helder: vóór het eerste gebruik. Artikel 27 lid 1 opent met "prior to deploying". Er is geen ruimte voor de interpretatie dat u eerst kunt starten en later toetst. De FRIA is een pre-deployment instrument.
Dat heeft een logische reden. De beoordeling moet informeren, niet rechtvaardigen. Als u eerst live gaat en dan pas nadenkt over grondrechtenrisico's, is de kans reeel dat de uitkomsten worden gebruikt om de bestaande situatie te verdedigen in plaats van te verbeteren. Precies dat probleem probeert Artikel 27 te voorkomen.
Na het eerste gebruik leeft de FRIA door. Zodra u vaststelt dat een van de zes elementen uit lid 1 is veranderd -- het proces is gewijzigd, de doelgroep is uitgebreid, het systeem is geupdate -- moet u de FRIA actualiseren. Het is dus geen eenmalige exercitie maar een levend document.
In termen van de bredere AI Act-tijdlijn: de verplichtingen voor hoog-risico AI-systemen als bedoeld in Artikel 6 lid 2 gelden vanaf 2 augustus 2026. Dat betekent dat de FRIA voor die systemen uiterlijk op die datum klaar moet zijn als ze dan al in gebruik zijn. Voor nieuwe systemen die na die datum worden ingezet, geldt de FRIA-plicht bij de livegang.
Welke grondrechten toetst u?
De FRIA is breder dan de DPIA precies omdat zij het volledige spectrum van het EU Handvest voor de Grondrechten betrekt. Artikel 7 (privacyrecht) en Artikel 8 (gegevensbescherming) zijn hierin opgenomen, maar dat is slechts het begin.
Menselijke waardigheid (Artikel 1 Handvest) is het fundament. AI-systemen die mensen reduceren tot een score, een risicocategorie of een profiel raken aan dit recht. Denk aan algoritmen die bijstandsgerechtigden rangschikken op fraudekans: de manier waarop dat wordt gecommuniceerd en welke gevolgen eraan worden verbonden, raakt direct aan de waardigheid van betrokkenen.
Non-discriminatie (Artikel 21) is in de AI-context bijzonder relevant. Algoritmen trained op historische data reproduceren historische ongelijkheden. Directe discriminatie -- het systeem geeft expliciet andere uitkomsten op basis van ras of geslacht -- is zeldzaam en doorgaans al in de trainingsdata ondervangen. Indirecte discriminatie -- het systeem gebruikt proxy-variabelen die correleren met beschermde kenmerken -- is veel lastiger te detecteren en minstens zo problematisch. Uw FRIA moet hier expliciet op ingaan.
Gelijkheid voor de wet (Artikel 20) vereist dat vergelijkbare gevallen gelijk worden behandeld. Algoritmische systemen kunnen juist inconsistentie introduceren als ze slecht zijn gekalibreerd of als de inputdata scheef is verdeeld.
Privacy en gegevensbescherming (Artikelen 7 en 8) overlappen hier met de DPIA. U hoeft dit niet dubbel te documenteren -- de FRIA vult de DPIA aan, zoals Artikel 27 lid 4 bevestigt.
Vrijheid van meningsuiting en informatie (Artikel 11) is relevant bij AI die content beoordeelt, filtert of rangschikt. Systemen die moderatiebeslissingen nemen of informatietoegang beinvloeden raken aan dit recht.
Vrijheid van vergadering en vereniging (Artikel 12) kan worden geraakt door surveillance-AI of systemen die patronen in communicatie analyseren.
Recht op behoorlijk bestuur (Artikel 41) is cruciaal bij overheids-AI. Iedere burger heeft recht op een gemotiveerd besluit, op inzage in de stukken die hen betreffen, en op een billijke behandeling. Als een algoritme een besluit ondersteunt of automatisch neemt, moet er een mechanisme zijn voor menselijke uitleg en bezwaar.
Toegang tot de rechter (Artikel 47) raakt aan de vraag of betrokkenen de AI-gebaseerde beslissing kunnen aanvechten. Als een credit score een hypotheekaanvraag doet afwijzen, heeft de aanvrager recht op inzage en de mogelijkheid tot bezwaar. Uw FRIA moet beschrijven hoe dit is geregeld.
Rechten van het kind (Artikel 24) zijn relevant wanneer het systeem wordt ingezet in contexten waar minderjarigen betrokken zijn -- onderwijs, jeugdhulp, kinderbescherming.
Recht op eigendom (Artikel 17) en het recht op sociale zekerheid en sociale bijstand (Artikel 34) kunnen worden geraakt bij AI in de uitkeringsverstrekking of bij vastgoedbeheer.
Voor meer diepgang over hoe publieke organisaties deze grondrechten in de praktijk toetsen, verwijzen we naar onze post over de FRIA in de bestuurskamer van de publieke sector.
FRIA versus DPIA, ALTAI en IAMA: de essentie
Veel organisaties werken al met impact assessment-instrumenten. Hoe verhoudt de FRIA zich daartoe?
De DPIA (Data Protection Impact Assessment, Artikel 35 AVG) richt zich op risico's voor persoonsgegevens en privacy. Ze is verplicht voor verwerkingen met een hoog privacyrisico. De FRIA is breder en richt zich op het volledige grondrechtspectrum. Wettelijk gezien vult de FRIA de DPIA aan; in de praktijk kunt u ze combineren in een geintegreerd document. Voor een uitgebreide vergelijking met een praktische beslisboom, zie onze DPIA vs FRIA vergelijkingspost.
De ALTAI (Assessment List for Trustworthy AI) is een vrijwillige checklist van de Europese Commissie gebaseerd op de ethische AI-richtsnoeren uit 2019. Ze behandelt zeven vereisten voor betrouwbare AI waaronder veiligheid, transparantie, non-discriminatie en privacy. ALTAI is geen wettelijke verplichting maar kan als nuttig hulpmiddel dienen bij de voorbereiding van een FRIA.
Het IAMA (Impact Assessment for National Algorithms) is een specifiek Nederlands instrument, ontwikkeld door het Ministerie van Justitie en Veiligheid, voor de beoordeling van algoritmische besluitvorming bij de overheid. Het IAMA is grondrechtsgericht en overlaps sterk met de FRIA -- organisaties die het IAMA al hanteren, hebben een voorsprong bij het uitvoeren van hun FRIA.
Stap voor stap: hoe voert u een FRIA uit?
Het ECNL en het Danish Institute for Human Rights publiceerden in december 2025 een gedetailleerde gids die vijf fases onderscheidt. We vertalen die hier naar een praktische aanpak.
Fase 1: Voorbereiding en context
Voordat u de grondrechtenanalyse begint, legt u de basis. Identificeer het specifieke AI-systeem en de versie die u wilt inzetten. Beschrijf het beoogde gebruik precies zoals de aanbieder dat heeft gedefinieerd in het systeemdocument (vereist op grond van Artikel 11). Stel een multidisciplinair team samen: u heeft een jurist nodig die weet wat grondrechten zijn, een data-scientist die begrijpt hoe het systeem werkt, een beleidsadviseur die de context kent, en -- cruciaal -- een vertegenwoordiger van of betrokkenheid bij de groepen die door het systeem worden geraakt.
Fase 2: Contextbeschrijving (Artikel 27(1)(a)-(c))
Beschrijf het processenlandschap: in welke werkstroom is het AI-systeem ingebed? Wie neemt de uiteindelijke beslissingen, en welke rol speelt het systeem daarin? Zijn het ondersteunende aanbevelingen of geautomatiseerde besluiten? Bepaal de frequentie en periode van gebruik. En breng de betrokken groepen in kaart -- wie wordt direct geraakt, wie indirect? Zijn er kwetsbare groepen zoals kinderen, ouderen, mensen met een beperking, laagopgeleiden, migranten?
Fase 3: Grondrechtenanalyse (Artikel 27(1)(d))
Dit is het hart van de FRIA. Voor elk relevant grondrecht uit het EU Handvest beoordeelt u: wat zijn de specifieke risico's van schade? Hoe waarschijnlijk zijn die risico's, en hoe ernstig? U put hierbij uit de informatie van de aanbieder (Artikel 13 AI Act), maar ook uit eigen contextkennis, literatuur en waar mogelijk consultatie met betrokkenen.
Wees concreet. "Non-discriminatierisico aanwezig" is geen analyse. Schrijf: "Het systeem is getraind op historische data van kredietaanvragen uit de periode 2010-2020. In die periode werden aanvragen van bepaalde postcodes systematisch vaker afgewezen. Het systeem reproduceert mogelijk dit patroon. Wij hebben de aanbieder gevraagd een bias-analyse te overleggen en schatten het risico op indirecte discriminatie als middelgroot in."
Fase 4: Menselijk toezicht en mitigatie (Artikel 27(1)(e)-(f))
Beschrijf hoe menselijk toezicht is georganiseerd. Welke medewerker beoordeelt de output, met welke kennis, en heeft die medewerker de bevoegdheid om de aanbeveling te negeren? Documenteer ook de mitigatiemaatregelen per geidentificeerd risico: technisch (bijv. bias-testing), organisatorisch (bijv. trainingen voor medewerkers die met het systeem werken), procedureel (bijv. klachtenmechanisme).
Fase 5: Documentatie en melding
Stel het FRIA-rapport samen met alle zes elementen van Artikel 27 lid 1 expliciet behandeld. Dien het in bij de markttoezichthouder -- in Nederland is dat de Rijksinspectie Digitale Infrastructuur (RDI) voor de meeste sectoren -- zodra het officieel AI Office template beschikbaar is. Archiveer de FRIA intern en plan een periodieke herbeoordelingsmoment.
Voor een volledig invulbaar template op basis van Artikel 27, zie de FRIA template post. Wilt u direct aan de slag? Gebruik onze interactieve FRIA generator om stap voor stap uw eigen FRIA rapport samen te stellen.
De rol van de DPO en andere stakeholders
De Functionaris Gegevensbescherming (FG/DPO) heeft een logische rol in het FRIA-proces, maar die rol is groter dan sommige organisaties verwachten.
De DPO is al vertrouwd met impactbeoordelingen via de DPIA-praktijk. Zij of hij begrijpt risico-analyse, documentatievereisten en toezichtrelaties. Maar de FRIA vraagt ook expertise buiten het privacydomein. Non-discriminatierecht, bestuursrecht, toegang tot de rechter -- dat zijn gebieden waar de gemiddelde DPO aanvullende expertise nodig heeft.
In de praktijk zien we drie modellen ontstaan. Het eerste model plaatst de DPO als procesverantwoordelijke die de FRIA coordineert maar de grondrechtenanalyse delegeert aan een multidisciplinair team. Het tweede model creëert een aparte AI Ethics Officer of AI Compliance Officer die de FRIA trekt, met de DPO als adviseur voor de privacydimensie. Het derde model -- het meest voorkomend bij kleinere organisaties -- laat de DPO de volledige FRIA uitvoeren, wat vraagt om gerichte bijscholing in grondrechten buiten de privacysfeer.
Buiten de DPO zijn er meer stakeholders die een rol spelen. De aanbieder van het AI-systeem is verplicht informatie te verstrekken op grond van Artikel 13 (gebruiksregisters, technische documentatie, instructies) en Artikel 11 (volledige technische documentatie). Die informatie is de basis voor uw grondrechtenanalyse -- vraag er actief om en leg schriftelijk vast wat u heeft ontvangen.
De ondernemingsraad heeft bij inzet van AI met gevolgen voor arbeidsomstandigheden of personeelsbeoordeling instemmingsrecht op grond van Artikel 27 lid 1 WOR. Betrek de OR tijdig, niet als formaliteit maar als waardevolle bron van perspectief vanuit de werkvloer.
Overweeg ook consultatie van de groepen die door het systeem worden geraakt. Overweging 96 van de AI Act beveelt dit aan als best practice. Een gemeente die een algoritme inzet voor handhaving in kwetsbare wijken doet er goed aan om bewoners -- of hun vertegenwoordigers -- te betrekken bij de FRIA.
Sectorspecifieke overwegingen
De FRIA is in principe universeel, maar de invulling varieert sterk per sector.
Overheid en gemeenten werken met systemen die directe bestuursrechtelijke consequenties hebben. Bijstandsalgoritmen, handhavingsalgoritmen, systemen voor de toewijzing van zorg of woonruimte -- de output raakt aan fundamentele sociale rechten. Hier is het recht op behoorlijk bestuur (Artikel 41 Handvest) en het recht op rechtsbescherming (Artikel 47) bijzonder relevant. Gemeenten moeten bovendien rekening houden met het IAMA-instrument dat de VNG aanbeveelt.
Financiele sector valt als categorie 3 altijd onder de FRIA-plicht voor krediet- en verzekeringsalgoritmen. Hier is non-discriminatie het grootste grondrechtensrisico: gestructureerde en semi-gestructureerde leendata bevat historische ongelijkheden die door AI worden versterkt. Banken moeten hiervoor specifieke bias-analyses kunnen overleggen -- idealiter bijgevoegd bij de FRIA als bijlage.
Gezondheidszorg raakt aan medische besluitvorming, behandelkeuzes en toegang tot zorg. Systemen die triageren, diagnosticeren of behandelplannen ondersteunen vallen mogelijk onder Bijlage III. Hier zijn zowel menselijke waardigheid als non-discriminatie en het recht op gezondheidszorg (Artikel 35 Handvest) relevant.
HR en werving is een van de meest gevoelige toepassingsgebieden. Bijlage III punt 4 omvat AI voor werving, selectie, bevordering en ontslag. Werkgevers die dergelijke systemen inzetten zijn FRIA-plichtig als zij als publieke organisatie of publieke dienstverlener worden aangemerkt. Non-discriminatie -- op grond van geslacht, leeftijd, etniciteit -- is hier het dominante risico.
Zorgverzekeraars die AI gebruiken voor risicoprofilering en premieberekening vallen expliciet onder categorie 3 (Bijlage III punt 5(c)). Hier raken grondrechtenrisico's aan oneerlijke premiestelling voor kwetsbare of chronisch zieke verzekerden.
De relatie met conformiteitsbeoordeling en CE-markering
De FRIA staat niet op zichzelf -- zij is deel van een breder compliance-ecosysteem. Voor hoog-risico AI-systemen eist de AI Act ook conformiteitsbeoordeling (Artikel 43) en, voor sommige systemen, een derde-partij audit. Providers moeten een technisch dossier opstellen, testen op nauwkeurigheid en robuustheid, en een kwaliteitsmanagementsysteem inrichten.
De FRIA is een deployer-verplichting die parallel loopt aan de provider-verplichtingen. U als deployer kunt niet de conformiteitsbeoordeling van de provider invullen, en de provider's CE-markering ontslaat u niet van de FRIA-plicht. De twee trajecten zijn complementair: de provider toont aan dat het systeem veilig is gebouwd; de deployer toont aan dat het systeem veilig wordt ingezet in de specifieke context.
Een interessant praktijkpunt: de technische documentatie die de provider op grond van Artikel 11 moet bijhouden, en de gebruiksregisters op grond van Artikel 12 en 26, zijn uw primaire bronnen voor de FRIA. Vraag die documenten op bij de aanschaf of ingebruikname van het systeem -- het is uw recht als deployer.
Toezicht en handhaving: wat als u geen FRIA doet?
De meldplicht van Artikel 27 lid 3 impliceert actief toezicht. De markttoezichthouder ontvangt de ingevulde templates en kan controleren of de FRIA adequaat is uitgevoerd. In Nederland heeft de RDI een centrale toezichtrol bij de handhaving van de AI Act voor de meeste sectoren, maar ook sectorspecifieke toezichthouders zoals de DNB (financiele sector), de NZa (zorg) en de AP (gegevensbescherming) spelen een rol.
De AI Act noemt in Artikel 99 sancties voor overtredingen van verplichtingen voor hoog-risico AI-systemen. Boetes kunnen oplopen tot 15 miljoen euro of 3 procent van de wereldwijde jaaromzet voor organisaties die de verplichtingen voor hoog-risico AI niet nakomen, en tot 30 miljoen euro of 6 procent voor zwaardere overtredingen. De FRIA-verplichting valt onder de categorie van deployer-verplichtingen -- het ontbreken van een FRIA is dus een handhavingsrisico.
Opvallend detail uit de AO Shearman-analyse: de AI Act specificeert geen aparte sanctie voor het ontbreken van een FRIA. Maar een ontbrekende FRIA is wel een aanwijzing dat een organisatie haar hoog-risico AI-systeem niet adequaat heeft beoordeeld, wat bredere handhavingsconsequenties kan hebben. Bovendien kan een toezichthouder via een last onder bestuursdwang afdwingen dat de FRIA alsnog wordt opgesteld.
Los van handhaving is er een ander risico: reputatieschade en aansprakelijkheid. Als een AI-systeem schade veroorzaakt aan betrokkenen en u kunt niet aantonen dat u een FRIA heeft uitgevoerd, staat u zwak in een gerechtelijke procedure. De FRIA is niet alleen een compliance-instrument -- het is ook een risicobeheersinstrument.
Veelgemaakte fouten in de praktijk
Organisaties die nu beginnen met FRIA-voorbereiding maken een aantal herkenbare fouten.
De FRIA als vinkje zien is de meest fundamentele fout. Een FRIA die in twee uur is ingevuld door een jurist zonder consultatie van betrokken medewerkers of groepen, voldoet formeel misschien aan de wettelijke minimumvereisten maar mist de essentie. Een FRIA moet informeren, niet rechtvaardigen.
Te laat beginnen is een praktische fout. De FRIA vereist informatie van de aanbieder, consultatie van stakeholders, en een grondige analyse. Dat kost weken, niet uren. Begin zodra u het AI-systeem overweegt, niet een week voor de livegang.
De grondrechtenanalyse te smal maken -- alleen naar privacy kijken -- is de meest inhoudelijke fout. Non-discriminatie, toegang tot de rechter, behoorlijk bestuur: dat zijn rechten die al snel relevant worden maar door privacygerichte teams worden gemist.
De rol van de provider onderschatten is een contractuele fout. U heeft de informatie van de provider nodig voor onderdeel (d) van de FRIA. Leg contractueel vast dat de provider de technische documentatie en gebruiksregisters tijdig en volledig aanlevert, en dat die aansprakelijk is als de verstrekte informatie onjuist blijkt.
De FRIA niet actualiseren is een proces-fout. Systemen worden bijgewerkt, gebruik verandert, doelgroepen verschuiven. Bouw een periodieke FRIA-review in als standaard onderdeel van uw AI governance.
Tijdlijn: wanneer moet alles klaar zijn?
De EU AI Act kent een gefaseerde implementatietijdlijn. De verplichtingen voor verboden AI (Artikel 5) golden al vanaf 2 februari 2025. De verplichtingen voor hoog-risico AI-systemen op grond van Artikel 6 lid 2 -- de categorie waarop Artikel 27 van toepassing is -- gelden vanaf 2 augustus 2026.
Dat betekent praktisch:
Voor systemen die al in gebruik zijn op 2 augustus 2026 geldt de FRIA-plicht per die datum. U heeft dus tot die datum om de FRIA af te ronden en te melden bij de markttoezichthouder.
Voor systemen die na 2 augustus 2026 worden ingezet, geldt de FRIA-plicht bij de livegang. U voert de FRIA dus uit als onderdeel van het implementatietraject.
Systemen die al in gebruik waren voor 2 augustus 2026 maar die worden gewijzigd na die datum, vallen onder de herzieningsverplichting van Artikel 27 lid 2: actualiseer de FRIA zodra relevante elementen zijn veranderd.
Als u nu -- in het voorjaar van 2026 -- nog geen FRIA-voorbereiding heeft gestart voor hoog-risico AI-systemen die in uw organisatie actief zijn, is er geen tijd te verliezen. Breng eerst de systemen in kaart die onder Bijlage III vallen, bepaal voor welke de FRIA-plicht geldt, en start per systeem een FRIA-traject.
Van compliance naar verantwoord AI-gebruik
De FRIA is wettelijk verplicht, maar de beste organisaties zien haar als meer dan dat. Ze gebruiken de grondrechtentoets als moment om fundamentele vragen te stellen over de AI-systemen die zij inzetten: zijn wij de juiste organisatie om dit te doen? Hebben wij voldoende capaciteit voor betekenisvol menselijk toezicht? Worden de rechten van betrokkenen werkelijk gewaarborgd, of doen wij aan compliance-theater?
Die vragen zijn niet altijd comfortabel. Maar ze zijn precies de vragen die de wetgever heeft bedoeld te triggeren met Artikel 27. De FRIA is een instrument voor reflectie, niet alleen voor documentatie.
Wie de FRIA serieus neemt -- multidisciplinair, met consultatie van betrokkenen, met concrete maatregelen per geidentificeerd risico -- bouwt daarmee ook de governance-structuren die op de lange termijn noodzakelijk zijn voor verantwoord AI-gebruik. Dat is de belofte van de grondrechtentoets: niet alleen minder risico op sancties, maar werkelijk beter omgaan met de rechten van de mensen die u dient.