EU AI Act

AI-impactbeoordeling (FRIA): wanneer en hoe

Sommige hoog-risico-AI-systemen mogen pas in gebruik na een grondrechteneffectbeoordeling, kortweg FRIA. Deze gids legt uit wanneer een FRIA vereist is onder Artikel 27 van de AI Act, wat erin hoort en hoe je hem opbouwt.

Laatst bijgewerkt: 13 juni 2026

Doe de gratis risicoscan

Wat is een FRIA?

FRIA staat voor Fundamental Rights Impact Assessment, in het Nederlands de grondrechteneffectbeoordeling. Het is een beoordeling die je uitvoert vóórdat je een hoog-risico-AI-systeem in gebruik neemt, om in kaart te brengen welke gevolgen het kan hebben voor de grondrechten van mensen. Denk aan het recht op gelijke behandeling, privacy en een eerlijk proces.

De FRIA is geregeld in Artikel 27 van de AI Act en richt zich op de gebruiksverantwoordelijke (deployer). Het is een aanvulling op, en geen vervanging van, een eventuele gegevensbeschermingseffectbeoordeling (DPIA) onder de AVG. Waar de DPIA inzoomt op de bescherming van persoonsgegevens, kijkt de FRIA breder naar álle grondrechten die in het geding kunnen zijn. In de praktijk kun je beide deels in samenhang uitvoeren, zodat je niet dubbel werk doet.

Wanneer is een FRIA vereist?

Een FRIA is niet voor elk systeem nodig. De plicht geldt voor gebruiksverantwoordelijken van bepaalde hoog-risico-systemen uit Bijlage III, en in het bijzonder voor:

publieke instanties en organisaties die publieke diensten verlenen;
partijen die hoog-risico-AI inzetten voor het beoordelen van kredietwaardigheid of voor risicobeoordeling en prijsstelling bij levens- en zorgverzekeringen.

In de kern: als je een hoog-risico-systeem inzet dat direct ingrijpt in de positie van mensen, en zeker als daar persoonsgegevens bij betrokken zijn, is een FRIA al snel aan de orde. Twijfel je of jouw systeem hoog risico is? Lees dan de pagina over hoog-risico-AI of doe de gratis risicoscan.

Wat staat er in een FRIA?

Artikel 27 noemt een aantal onderdelen die in de beoordeling thuishoren. Samengevat beschrijf je:

Onderdeel	Wat leg je vast?
Gebruiksdoel	Voor welk proces en welke beslissingen zet je het systeem in
Periode en frequentie	Hoe lang en hoe vaak wordt het gebruikt
Betrokkenen	Welke personen of groepen worden geraakt
Risico's voor grondrechten	Welke schade aan grondrechten voorzienbaar is
Menselijk toezicht	Hoe toezicht en interventie zijn geregeld
Mitigerende maatregelen	Wat je doet om risico's te beperken en wat je doet als ze toch optreden

Het doel is niet om risico's weg te schrijven, maar om ze eerlijk te benoemen en er bewust mee om te gaan.

Hoe voer je een FRIA uit?

Een FRIA hoeft geen academisch document te zijn. Werk in een paar overzichtelijke stappen:

Bepaal of de plicht geldt op basis van je rol, het systeem en de context.
Beschrijf het systeem en het gebruiksdoel zo concreet mogelijk.
Breng de betrokkenen in beeld en welke groepen extra kwetsbaar zijn.
Identificeer de risico's voor grondrechten, met aandacht voor bias en uitsluiting.
Beschrijf de maatregelen voor toezicht, beperking en escalatie.
Leg de uitkomst vast en bepaal wie verantwoordelijk is voor de opvolging.
Herhaal de beoordeling als het gebruik of het systeem wezenlijk verandert.

Betrek bij die stappen de mensen die het systeem echt gebruiken; zij zien risico's die op papier onzichtbaar blijven. Overweeg ook om betrokkenen of hun vertegenwoordigers te raadplegen wanneer de impact groot kan zijn. Houd de beoordeling proportioneel: een eenvoudig systeem met beperkte impact vraagt minder uitwerking dan een systeem dat ingrijpende beslissingen over mensen ondersteunt.

De FRIA in je bredere aanpak

De FRIA staat niet op zichzelf. Hij bouwt voort op je AI-register en je classificatie en sluit aan op het menselijk toezicht dat Artikel 26 vraagt. Wie zijn AI-systemen al netjes in kaart heeft, heeft het meeste voorwerk voor een FRIA al gedaan.

Het UMW-platform signaleert wanneer een FRIA aan de orde lijkt en helpt je de onderdelen gestructureerd in te vullen, zodat je de beoordeling aantoonbaar en herhaalbaar maakt. Meer verdieping vind je in de kennisbank. Houd er rekening mee dat dit een hulpmiddel is en geen juridisch advies; bij grote belangen kan een jurist meerwaarde hebben.

Veelgestelde vragen

Een DPIA (gegevensbeschermingseffectbeoordeling) komt uit de AVG en richt zich op risico’s voor de bescherming van persoonsgegevens. Een FRIA komt uit de AI Act en kijkt breder naar de gevolgen voor grondrechten. Ze kunnen elkaar aanvullen en deels overlappen, maar vervangen elkaar niet.

Nee. De FRIA-plicht geldt vooral voor gebruiksverantwoordelijken van bepaalde hoog-risico-systemen, met name publieke instanties en partijen die kredietwaardigheid of verzekeringsrisico’s beoordelen. Veel MKB-bedrijven met laag- of beperkt-risico-AI hebben er geen.

De beoordeling vindt plaats vóórdat het hoog-risico-systeem in gebruik wordt genomen. Verandert het gebruik of het systeem wezenlijk, dan actualiseer je de FRIA.

Klaar om te beginnen?

Doe de gratis risicoscan en ontdek je risicocategorie en eerste stappen, of bekijk het platform.

Gratis risicoscan Bekijk het platform

Lees verder

De EU AI Act: de complete gids voor het MKBAlles over de EU AI Act (Verordening (EU) 2024/1689): wat de wet inhoudt, voor wie ze geldt, de risicocategorieën, de deadlines en de boetes. Met concrete eerste stappen.Wat valt onder de AI Act?Wat valt er onder de EU AI Act en wat niet? Lees wat een AI-systeem is, welke toepassingen eronder vallen, de vier risicocategorieën en doe de zelftest.Deployer of provider: welke rol heb je onder de AI Act?Je rol onder de AI Act bepaalt je verplichtingen. Lees het verschil tussen deployer (gebruiksverantwoordelijke) en provider (aanbieder), de plichten per rol en wanneer je rol verschuift.Hoog-risico-AI en Bijlage III van de AI ActHoog-risico-AI valt onder de strengste eisen van de AI Act. Lees wat hoog-risico-systemen zijn, welke domeinen Bijlage III noemt en welke verplichtingen erbij horen.