Joris DeeneDe komst van de Europese AI Act (of ‘AI-verordening’) introduceert een golf van nieuwe verplichtingen voor organisaties die artificiële intelligentie ontwikkelen of gebruiken. Centraal in deze nieuwe regels staat de ‘Fundamental Rights Impact Assessment’ (FRIA) , een verplichte effectbeoordeling. Veel ondernemingen gaan er ten onrechte van uit dat dit simpelweg een nieuwe naam is voor de Data Protection Impact Assessment (DPIA) die we al kennen uit de Algemene Verordening Gegevensbescherming (AVG).
Dit is een misvatting. Hoewel beide analyses risico’s evalueren, is de FRIA fundamenteel anders en aanzienlijk breder dan een DPIA. Het begrijpen van dit verschil, de methodologie en de nieuwe operationele uitdagingen is cruciaal voor de compliance van uw organisatie.
Het fundamentele verschil in reikwijdte
Het eerste en belangrijkste onderscheid is de reikwijdte van de bescherming.
De DPIA (AVG/GDPR)
De DPIA, of ‘Gegevensbeschermingseffectbeoordeling’, verplicht onder artikel 35 AVG, is strikt gericht op één specifiek grondrecht: de bescherming van persoonsgegevens. Een DPIA is vereist wanneer een verwerking van persoonsgegevens, met name door nieuwe technologieën, waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De focus ligt op risico’s zoals datalekken, onrechtmatige toegang of verlies van controle over persoonlijke informatie.
De FRIA (AI Act)
De FRIA, of ‘beoordeling van de gevolgen van de grondrechten, verplicht onder artikel 27 AI Act, heeft een veel bredere en diepgaandere scope. Deze analyse verplicht organisaties om de impact te evalueren van een AI-systeem op alle fundamentele rechten die zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie.
De AI Act dwingt een organisatie dus om verder te kijken dan alleen gegevensbescherming. De FRIA moet de risico’s evalueren op onder meer:
- Menselijke waardigheid;
- Het recht op non-discriminatie;
- Vrijheid van meningsuiting en informatie;
- Rechten van werknemers;
- Recht op onderwijs;
- Consumentenbescherming;
- Het recht op een doeltreffende voorziening in rechte.
De FRIA dwingt een organisatie dus om na te denken over systemische risico’s, zoals de kans dat een AI-model voor aanwervingen onbewust discrimineert, of dat een AI in de zorg de menselijke waardigheid aantast. Waar de DPIA dus persoonsgegevens centraal stelt, stelt de FRIA het systeem centraal en kijkt het naar alle maatschappelijke effecten.
DPIA vs. FRIA: een methodologisch verschil
De aanpak van de twee analyses verschilt aanzienlijk, ook al delen ze een gelijkaardige logica van risicobeheer.
Verplichting en focus
Een DPIA is vereist voor elke verwerking met een hoog risico, ongeacht of dit nu AI is of een andere technologie (bv. grootschalige camerabewaking).
De FRIA is specifiek en uitsluitend vereist voor de ingebruikname van een AI-systeem met een een hoog risico. De AI Act definieert in haar bijlagen nauwkeurig welke systemen hieronder vallen (bv. AI in kritieke infrastructuur, onderwijs, werkgelegenheid, rechtshandhaving, etc.).
Analyse van risico’s
Beide analyses vereisen een beoordeling van de noodzaak en proportionaliteit. De FRIA voegt hier echter expliciet aan toe dat de gebruiker moet kijken naar mogelijke niet-AI-alternatieven.
Bij de analyse van de risico’s (gebaseerd op waarschijnlijkheid en ernst), vereist de FRIA een diepere, meer contextuele beoordeling. Dit omvat variabelen zoals de inspanning die nodig is voor herstel (remediëring) en de mate van blootstelling van getroffen groepen.
Een cruciaal methodologisch verschil is dat de FRIA een evaluatie per grondrecht vereist. Het is niet toegestaan om een negatieve impact op één recht (bv. non-discriminatie) te ‘compenseren’ met een positieve impact op een ander recht (bv. efficiëntie).
Maatregelen en toezicht
Na een DPIA met een hoog restrisico, is de gebruiker verplicht om voorafgaand te consulteren met de Gegevensbeschermingsautoriteit (GBA).
De AI Act hanteert een andere logica. De FRIA leidt tot een holistisch pakket van maatregelen (technisch, organisatorisch én contextueel). Vervolgens moet de gebruiker de resultaten notificeren aan de relevante nationale toezichthouder voor markttoezicht. Dit is een vorm van controle a posteriori in plaats van consultatie ex ante.
Transparantie
Een DPIA is een intern document dat ter beschikking moet worden gehouden van de GBA. Er is geen algemene publicatieplicht.
De FRIA introduceert een nieuwe vorm van publieke transparantie. Voor bepaalde gebruikers, zoals overheidsinstanties, zal er een verplichting zijn om een samenvatting van de FRIA te publiceren in een centrale EU-database. Dit verhoogt de publieke verantwoording aanzienlijk.
De operationele uitdaging: wie doet wat?
De AI Act creëert twee grote operationele uitdagingen die de AVG in deze vorm niet kende: de onduidelijke governance en de informatiekloof.
De ‘AI Officer’ bestaat (nog) niet
De AVG heeft de rol van de Data Protection Officer (DPO) (functionaris van de gegevensbescherming) geïnstitutionaliseerd: een verplichte, onafhankelijke expertrol binnen de organisatie.
De AI Act doet dit niet. Er wordt geen verplichte ‘AI Officer’ in het leven geroepen. De wet laat de governance flexibel. Dit geeft organisaties de vrijheid om zelf een model te kiezen (bv. een ethisch comité, een multidisciplinair team, externe experts). Hoewel dit flexibel is, creëert het ook een risico op een zeer uiteenlopende (en mogelijk lage) kwaliteit en diepgang van de FRIA’s in de praktijk.
De vraag rijst of de DPO deze taak dan op zich moet nemen. Dit is niet zonder risico. De onafhankelijkheid van de DPO kan in het gedrang komen als hij of zij ook een beslissende rol krijgt in de ontwikkeling of aankoop (deployment) van AI-systemen. Een DPO-rol beperkt tot puur compliance-advies zou wel mogelijk kunnen zijn.
De informatiekloof tussen provider en deployer
Misschien wel de grootste uitdaging is de informatie-asymmetrie. De AI Act creëert een waardeketen met ‘providers’ (ontwikkelaars) en ‘deployers’ (gebruikers). De eindverantwoordelijkheid voor de FRIA ligt bij de deployer.
Om een goede FRIA uit te voeren, is de deployer echter volledig afhankelijk van de technische documentatie, testresultaten en risico-analyses van de provider. De provider is verplicht om informatie over de kenmerken en restrisico’s van het systeem te verstrekken. Er is echter een reëel risico dat providers terughoudend zullen zijn met het delen van cruciale informatie, bijvoorbeeld omwille van de bescherming van bedrijfsgeheimen of de pure technische complexiteit van ‘black box’ machine learning-modellen.
Deze asymmetrie maakt de deployer kwetsbaar. Zonder volledige informatie van de provider is het nagenoeg onmogelijk om een conforme FRIA op te stellen. Dit benadrukt het cruciale belang van waterdichte contractuele afspraken. Net zoals de AVG leidde tot verplichte verwerkersovereenkomsten, zal de AI Act dwingen tot specifieke contractclausules die de plicht tot samenwerking, het delen van informatie en de verdeling van aansprakelijkheid tussen provider en deployer helder regelen.
Bestaande tools en de weg vooruit
De verplichting om een FRIA uit te voeren treedt in werking op 2 augustus 2026. Op dit moment heeft het Europese ‘AI-bureau’ nog geen officieel, geharmoniseerd model voor een FRIA gepubliceerd.
In de tussentijd is er echter al een veelheid aan tools en methodologieën ontwikkeld door overheden, de academische wereld en private spelers. Enkele voorbeelden zijn:
- De Nederlandse ‘FRAIA’: Een van de eerste initiatieven, ontwikkeld voor de Nederlandse overheid. Het is een substantieel (bijna 100 pagina’s) discussie-instrument, maar uit een pilootstudie bleek ook dat het proces als traag ervaren kan worden.
- Het Catalaanse model: Een initiatief van de Catalaanse DPA dat een meer empirische en gestroomlijnde aanpak voorstelt om de last voor organisaties te beperken.
- De ALTAI-checklist: Ontwikkeld door de High-Level Expert Group van de EU. Deze tool was invloedrijk voor de AI Act, maar is sinds 2020 niet meer bijgewerkt en mogelijk verouderd.
- Andere tools: Ook UNESCO , Microsoft en diverse academische groepen hebben eigen impact assessments gepubliceerd.
Het is te hopen dat het AI-bureau op korte termijn een geharmoniseerd kader voorstelt dat juridische zekerheid biedt, maar ook de nodige flexibiliteit laat.
Veelgestelde vragen (FAQ)
Wat is een ‘systeem voor AI met een hoog risico’?
De AI Act definieert ‘systemen met een hoog risico’ in Bijlage III van de verordening. Dit zijn systemen die worden gebruikt in specifieke domeinen waar ze een aanzienlijk risico kunnen vormen voor de gezondheid, veiligheid of grondrechten. Denk aan AI voor de selectie van sollicitanten, medische diagnoses, of de beoordeling van kredietwaardigheid.
Wanneer treedt de FRIA-verplichting in werking?
De verplichting om een FRIA uit te voeren voor systemen met een hoog risico wordt van toepassing vanaf 2 augustus 2026. Gezien de complexiteit van de analyse is het echter essentieel om hier nu al voorbereidingen voor te treffen.
Bestaan er al officiële sjablonen voor een FRIA?
Nee. Het ‘AI-bureau’ van de Europese Commissie moet nog een officieel model of sjabloon ontwikkelen. In de tussentijd zijn er wel al diverse methodologieën en tools ontwikkeld door nationale overheden (zoals de Nederlandse FRAIA), academici en private ondernemingen (zoals Microsoft), maar deze zijn nog niet geharmoniseerd.
Conclusie: start vandaag met de voorbereiding
De FRIA is een complexe en ingrijpende verplichting die de compliance-last voor het gebruik van AI aanzienlijk verzwaart. Het is geen ‘check-the-box’-oefening en reikt veel verder dan de DPIA die u gewend bent. Organisaties moeten niet alleen de technische risico’s, maar ook de brede maatschappelijke en ethische impact op alle grondrechten evalueren.
De afhankelijkheid van leveranciers en het gebrek aan een opgelegd governancemodel vereisen proactieve actie. Het is essentieel om nu al na te denken over interne processen en uw contracten met AI-providers juridisch te laten doorlichten.
Dutch 
English