28 dagen tot de inwerkingtreding van de EU AI-wet
Meer informatie →

EU AI-wet Artikel 27: Fundamentele Rechten Impact Assessment (FRIA)

Artikel 27 vereist dat bepaalde deployers van hoogrisico AI-systemen een Fundamentele Rechten Impact Assessment uitvoeren voordat ze het systeem in gebruik nemen. Het documenteert hoe het systeem zal worden gebruikt, wie het zal beïnvloeden, de risico's voor fundamentele rechten en de maatregelen voor menselijke toezicht en governance die zijn getroffen — en de resultaten worden gemeld aan de markttoezichtautoriteit.

Artikel 27 — Fundamentele Rechten Impact Assessment

EU AI-wet Artikel 27: Fundamentele Rechten Impact Assessment (FRIA)

Artikel 27 vereist dat bepaalde deployers van hoogrisico AI-systemen een Fundamentele Rechten Impact Assessment uitvoeren voordat ze het systeem in gebruik nemen. Het documenteert hoe het systeem zal worden gebruikt, wie het zal beïnvloeden, de risico's voor fundamentele rechten en de maatregelen voor menselijke toezicht en governance die zijn getroffen — en de resultaten worden gemeld aan de markttoezichtautoriteit.

Laatst bijgewerkt: 4 juli 2026

Wie moet een FRIA uitvoeren

De FRIA-verplichting rust op een bepaalde set deployers van hoogrisico AI-systemen, niet op aanbieders en niet op elke deployer:

  • Publiekrechtelijke lichamen, en private entiteiten die openbare diensten verlenen, wanneer ze hoogrisico AI-systemen in gebruik nemen
  • Deployers van bijlage III-kredietbeoordelingsystemen — hoogrisico AI gebruikt voor de beoordeling van kredietwaardigheid of het vaststellen van een krediet-score (met uitzondering van fraudeopsporing)
  • Deployers van bijlage III-verzekeringsystemen — hoogrisico AI gebruikt voor risicobeoordeling en prijsbepaling in levens- en gezondheidsverzekeringen
  • De beoordeling moet worden voltooid voordat het systeem in gebruik wordt genomen

Waar een gegevensbeschermingsimpactbeoordeling onder artikel 35 van de AVG al enige van dezelfde grond dekt, kan de FRIA hierop voortbouwen in plaats van het te dupliceren.

Wat de beoordeling moet dekken

Artikel 27(1) specificeert de elementen die een FRIA moet beschrijven:

  • Een beschrijving van de deployerprocessen waarin het hoogrisicosysteem zal worden gebruikt, in overeenstemming met de beoogde doelstelling
  • De periode en frequentie waarover het systeem is bedoeld om te worden gebruikt
  • De categorieën van natuurlijke personen en groepen die waarschijnlijk worden beïnvloed in de specifieke context
  • De specifieke risico's van schade die waarschijnlijk deze categorieën van personen zullen treffen
  • Een beschrijving van de maatregelen voor menselijke toezicht die zijn getroffen, volgens de instructies voor gebruik
  • De maatregelen die moeten worden genomen als risico's zich materialiseren, inclusief interne governance-regelingen en klachtenmechanismen

Melden aan de autoriteit

De FRIA is geen puur interne oefening — de resultaten worden gerapporteerd aan de toezichthouder:

  • Zodra de beoordeling is uitgevoerd, meldt de deployer de markttoezichtautoriteit de resultaten
  • Het AI-kantoor is belast met het ontwikkelen van een sjabloonvragenlijst om deployers te helpen bij het nakomen van deze melding op een vereenvoudigde manier
  • De FRIA moet worden geüpdatet als enig van de elementen verandert of niet langer up-to-date is tijdens de gebruiksperiode
  • Het vult de eigen conformiteits- en risicobeheerverplichtingen van de aanbieder aan en vervangt deze niet

Hoe AIAgentree helpt

Een FRIA moet de maatregelen voor menselijke toezicht en monitoring op papier beschrijven — AIAgentree biedt het operationele bewijs dat deze maatregelen daadwerkelijk werken:

  • Menselijke toezicht- en goedkeuringsworkflows geven concrete inhoud aan de toezichtmaatregelen die een FRIA moet beschrijven, met een record van wie wat heeft beoordeeld en wanneer
  • Bewijsbestendige besluitvormingsrecords en uitkomstvolging ondersteunen de voortdurende monitoring van risico's voor getroffen personen waartoe een FRIA u verplicht
  • Audit-fit retentie (zes maanden of meer) met EU-gegevensresidencie in Duitsland houdt dat toezichtsbewijs beschikbaar als de autoriteit vraagt om te zien hoe de beoordeling in de praktijk werkt

Veelgestelde vragen

Wie moet een fundamentele rechtenimpactbeoordeling uitvoeren?

Bepaalde implementers van hoogrisico-AI-systemen: lichamen die onderworpen zijn aan het publieke recht en particuliere entiteiten die openbare diensten verlenen, plus implementers van de in bijlage III genoemde hoogrisicosystemen die worden gebruikt voor kredietbeoordeling (beoordeling van de kredietwaardigheid) en voor risicobeoordeling en prijsbepaling in levens- en gezondheidsverzekeringen. Het is een implementer-verplichting, niet een aanbieder-verplichting.

Wanneer moet de FRIA worden voltooid?

Voordat de implementer het hoogrisico-AI-systeem in gebruik neemt. Het moet ook up-to-date worden gehouden - als een van de elementen verandert of verouderd raakt tijdens de gebruiksperiode, werkt de implementer de beoordeling bij.

Wat moet een FRIA behandelen?

De processen en de beoogde doelstelling van de implementer voor het systeem, de periode en frequentie van gebruik, de categorieën personen en groepen die waarschijnlijk worden beïnvloed, de specifieke risico's van schade voor hen, de maatregelen voor menselijke toezicht die zijn getroffen, en de maatregelen die moeten worden genomen als risico's zich materialiseren, inclusief interne governance en klachtenmechanismen.

Moeten we een regulator over de FRIA informeren?

Ja. Zodra de beoordeling is uitgevoerd, stelt de implementer de markttoezichtautoriteit op de hoogte van de resultaten. Het AI-kantoor ontwikkelt een sjabloonvragenlijst om een vereenvoudigde manier van naleving van deze kennisgeving te ondersteunen.

Kan een FRIA onze GDPR-gegevensbeschermingsimpactbeoordeling hergebruiken?

Gedeeltelijk. Waar een DPIA onder GDPR-artikel 35 al overlappende elementen behandelt, kan de FRIA hierop voortbouwen en aanvullen in plaats van het werk te dupliceren. De FRIA heeft nog steeds zijn eigen focus op fundamentele rechten die een DPIA niet volledig vervangt.

Ga verder met het verkennen van de EU AI Act-gids

EU AI Act-nalevingsgids

De complete gids voor EU AI Act-naleving voor AI-agents — start hier.

Artikel 12 — Record-keeping & Logging

Wat elk hoogrisico AI-systeem moet loggen en hoe je het vastlegt.

Artikel 14 — Menselijke toezicht

Het ontwerpen van effectieve menselijke controles in de lus voor AI-beslissingen.

Bijlage III — Hoogrisico AI-systemen

Welke AI-gebruiksgevallen de wet classificeert als hoogrisico.

EU AI Act-nalevingscontrolelijst

Een stap-voor-stap controlelijst om naleving te bereiken en te documenteren.

Nalevingskostenberekenaar

Schat uw EU AI Act-nalevingsinspanning en -kosten.

Deadline & Tijdlijn

Belangrijke handhavingsdata, inclusief de deadline van 2 augustus 2026.

Boetes & Sancties

Boetetarieven tot €35M of 7% van de wereldwijde jaarlijkse omzet.

Transparantieverplichtingen (Art. 13 & 50)

Openbaarmakingsplichten voor AI-systemen en hun uitvoer.

Risicobeheer & Conformiteitsbeoordeling

Bouw een risicobeheersysteem en beoordeel de conformiteit.

GPAI-verplichtingen

Regels voor aanbieders van algemene AI-modellen.

EU AI Act voor Amerikaanse bedrijven

Extraterritoriale reikwijdte en wat Amerikaanse aanbieders moeten doen.

Omnibus-update

De laatste wijzigingen in de EU AI Act-tijdlijn en -regels.

BoetecalcULATOR

Schat uw maximale boete onder de artikel 99-tarieven.

Artikel 11 + Bijlage IV

Welke technische documentatie de EU AI-wet vereist.

Artikel 26: Verplichtingen van de implementer

Wat implementers van high-risk AI moeten doen, inclusief logretentie.

Artikel 17: Kwaliteitsbeheer

Het QMS dat aanbieders van high-risk AI moeten documenteren.

Artikel 10: Gegevensbeheer

Gegevenskwaliteit, mitigatie van vooringenomenheid en beheerstaken.

Artikel 4: AI-geletterdheid

De AI-geletterdheidsverplichting voor het personeel die sinds februari 2025 van kracht is.

Implementer vs Aanbieder

Wie draagt welke verplichting — en wanneer een implementer een aanbieder wordt.

Wie Valt Hier Onder?

Reikwijdte, exploitanten en de extraterritoriale reikwijdte van de EU AI-wet.

Nasmarkttoezicht

Artikelen 72–73: voortdurend toezicht en incidentenrapportage.

ISO 42001 vs EU AI-wet

Hoe de vrijwillige norm en de bindende wet samenhangen.

NIST AI RMF vs EU AI-wet

Een praktische crosswalk tussen het kader en de wet.

EU AI-wet voor de Gezondheidszorg

High-risk medische AI, MDR/IVDR-interactie en clinici-toezicht.

EU AI-wet voor Financiële Diensten

Credit scoring, verzekeringsprijzen en bestaande financiële regelgeving.

EU AI-wet voor HR & Werkgelegenheid

Het aannemen van AI als high-risk, plus NYC LL144 en EEOC-overlapping.