Voor overheidsorganisaties die een AI-systeem willen inzetten dat persoonsgegevens verwerkt, gelden sinds de komst van de AI Act niet één, maar twee verplichte beoordelingen. De eerste is de Data Protection Impact Assessment (hierna: DPIA). Dit is een risicobeoordeling die in kaart brengt welke risico’s een gegevensverwerking oplevert voor de rechten en vrijheden van betrokkenen. De DPIA bestaat sinds de invoering van de Algemene Verordening Gegevensbescherming (hierna: AVG) in 2018 en is voor veel organisaties inmiddels een bekend instrument. Daar komt nu de Fundamental Rights Impact Assessment (hierna: FRIA) bij. De FRIA beoordeelt welke gevolgen een AI-systeem heeft voor de grondrechten van mensen.
AI-systemen kunnen bredere risico's opleveren dan alleen die op het gebied van gegevensbescherming. Denk bijvoorbeeld aan het risico op discriminatie of aantasting van de menselijke waardigheid. Beide beoordelingen evalueren dus risico's, maar elk vanuit een eigen invalshoek. Tegelijkertijd overlappen ze in de praktijk aanzienlijk. In dit blog leggen we uit waarin de DPIA en de FRIA verschillen, waar ze elkaar raken en waarom een geïntegreerde aanpak meerwaarde kan bieden.
Het grootste verschil tussen beide beoordelingen zit in de reikwijdte. De DPIA is verankerd in artikel 35 AVG en is verplicht wanneer een gegevensverwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van natuurlijke personen. Dat geldt ongeacht of er AI in het spel is. Wel kom dit bij AI-toepassingen die persoonsgegevens verwerken al snel in beeld. Denk aan systematische profilering, geautomatiseerde besluitvorming met juridische gevolgen, grootschalige verwerking van bijzondere persoonsgegevens of het monitoren van openbare ruimte. Dit zijn voorbeelden van verwerkingen die volgens de richtsnoeren van de European Data Protection Board (EDPB) een hoog risico opleveren.[1]
De FRIA volgt uit artikel 27 van de AI Act en geldt voor publiekrechtelijke instanties en voor private partijen die publieke diensten verlenen. De verplichting ontstaat op het moment dat zij een hoog-risico AI-systeem in gebruik nemen. Het gaat onder meer om AI-toepassingen die vallen onder bijlage III van de AI Act, zoals systemen voor kredietbeoordeling, arbeidsbeslissingen, rechtshandhaving en migratie. In een eerdere blog schreven we over de FRIA en de vereisten waaraan deze moet voldoen.
Of de FRIA-verplichting geldt, hangt dus af van de context waarin het systeem wordt ingezet. Neem als voorbeeld een AI-systeem voor het beoordelen van sollicitanten.[2] Wordt dit ingezet door een private organisatie, dan levert dit niet direct een FRIA-verplichting op, ondanks dat het om een hoog-risico AI-systeem gaat. Gebruikt een overheidsorganisatie diezelfde tool, dan is een FRIA wel verplicht. In dat geval worden zowel een DPIA als een FRIA uitgevoerd, elk vanuit een eigen invalshoek. Met de DPIA wordt beoordeeld of de sollicitatiegegevens rechtmatig worden verwerkt, of de bewaartermijnen kloppen en of betrokkenen hun rechten kunnen uitoefenen. De FRIA kijkt vanuit een ander perspectief. Discrimineert het model onbewust bepaalde groepen? En wordt de menselijke waardigheid van kandidaten voldoende geborgd, bijvoorbeeld doordat er altijd een mens meekijkt bij de eindbeoordeling? Een AI-systeem kan dus volledig AVG-conform zijn en tegelijkertijd grondrechten schenden.
Voor het uitvoeren van beide beoordelingen zijn verschillende hulpmiddelen beschikbaar. Binnen de overheid worden hiervoor doorgaans twee instrumenten gebruikt. Voor de DPIA is dat de Model DPIA Rijksdienst en voor de mensenrechtentoets bij algoritmes het Impact Assessment Mensenrechten en Algoritmes (hierna: IAMA). Het IAMA heeft een bredere reikwijdte dan de FRIA. Waar de FRIA specifiek geldt voor hoog-risico AI-systemen onder de AI Act, is het IAMA van toepassing op alle algoritmes die impact kunnen hebben op grondrechten. Dit geldt dus ook voor eenvoudige rule-based systemen die niet als AI kwalificeren. In februari 2026 is het IAMA geactualiseerd en in lijn gebracht met de vereisten uit de AI Act. Voor overheidsorganisaties die al met het IAMA werken, biedt dat een stevige basis om ook aan de FRIA-verplichting te voldoen. Het Rijksmodel DPIA en het IAMA vertonen onderling enige overlap. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft daarom een handreiking opgesteld voor het gecombineerde gebruik van beide instrumenten.[3]
Zowel de DPIA als de FRIA zijn vormvrij. Organisaties die niet aan een intern verplicht model gebonden zijn, kunnen dus zelf invulling geven aan beide beoordelingen. Zij kunnen bijvoorbeeld het Rijksmodel DPIA en het IAMA gebruiken, een eigen instrument ontwikkelen of een combinatie kiezen. Voorwaarde is wel dat de gekozen instrumenten voldoen aan de eisen van artikel 35 AVG en artikel 27 AI Act.
Hoewel de DPIA en de FRIA vanuit een verschillende invalshoek naar risico’s kijken, zit er in de praktijk aanzienlijke overlap tussen beide. Wie de verschillende beoordelingen twee keer volledig opnieuw uitwerkt, doet niet alleen dubbel werk, maar loopt ook het risico op inconsistenties tussen documenten die over hetzelfde systeem gaan.
Om die reden heeft de Europese wetgever een brug ingebouwd tussen beide instrumenten. Artikel 27, lid 4 van de AI Act bepaalt dat wanneer aan een deel van de FRIA-verplichtingen is voldaan via een DPIA, de FRIA die bestaande beoordeling aanvult. De FRIA vervangt de DPIA dus niet, en andersom evenmin. Wel biedt het artikel de ruimte om bestaand werk te hergebruiken en beide beoordelingen als één samenhangend traject uit te voeren. Daarmee stimuleert de verordening een geïntegreerde aanpak, mits beide kaders volledig zijn afgedekt.
In plaats van de DPIA en de FRIA los van elkaar te doorlopen, kan een organisatie kiezen voor één geïntegreerde beoordeling. Door beide kaders naast elkaar te leggen, wordt zichtbaar welke onderdelen elkaar overlappen, welke aanvullend zijn en waar de FRIA daadwerkelijk extra inhoud toevoegt. Concreet zou je de geïntegreerde beoordeling in de volgende stappen kunnen doorlopen:
Bij ICTRecht ontwikkelen we op dit moment een geïntegreerd beoordelingskader dat aan beide sets vereisten voldoet. Dit helpt organisaties om de DPIA en de FRIA in één samenhangend proces uit te voeren. Kun je ondersteuning gebruiken bij dit proces, neem dan contact met ons op. We denken graag met je mee.
De AI Act is inmiddels in werking en de verplichtingen worden gefaseerd van kracht. Oorspronkelijk zouden hoog-risico AI-systemen vanaf 2 augustus 2026 aan de regels uit de verordening moeten voldoen. Op 29 juni 2026 heeft de Raad van de Europese Unie echter definitief ingestemd met de Digitale Omnibus. Dit pakket moet het digitale wetgevingskader van de EU, waaronder de uitvoering van de AI Act, vereenvoudigen. Onderdeel daarvan is dat een aantal deadlines uit de AI Act wordt opgeschoven. De verplichtingen voor zelfstandige hoog-risico AI-systemen (bijlage III) verschuiven daarmee naar 2 december 2027, en voor ingebouwde hoog-risico AI (bijlage I) naar 2 augustus 2028. In deze blog lees je meer over de Digitale Omnibus voor AI.
Dat uitstel geeft enige ruimte, maar zelfs met de nieuwe deadlines is de implementatietermijn krap. Begin daarom op tijd met het in kaart brengen van je AI-systemen. Door de risicobeoordelingen vooraf uit te voeren, kunnen de uitkomsten worden meegenomen in het ontwerp of de implementatie van het systeem, in plaats van achteraf reparaties uit te voeren.
De komst van de FRIA vraagt om extra werk, maar biedt tegelijkertijd een kans om het risicomanagement rondom AI breder en samenhangender in te richten. Onderzoek daarom hoe je beide beoordelingen kunt integreren in één samenhangend traject, in plaats van ze afzonderlijk te doorlopen. Dat bespaart tijd én levert een beter eindresultaat op.
Kortom, wil je meer weten over de samenhang tussen DPIA en FRIA, of wil je als organisatie alvast voorsorteren op de AI-verordening? Neem contact met ons op. We pakken het graag samen op.
1. Zie de richtsnoeren van de EDPB (WP248 rev.01, 2017).
2. Dit betreft een hoog-risico toepassing onder bijlage III, categorie 4 van de AI Act.
3. Zie Handreiking gezamenlijk gebruik Rijksmodel DPIA en IAMA.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.