EU AI-wet Artikel 27: Fundamentele Rechten Impact Assessment (FRIA)
Artikel 27 vereist dat bepaalde deployers van hoogrisico AI-systemen een Fundamentele Rechten Impact Assessment uitvoeren voordat ze het systeem in gebruik nemen. Het documenteert hoe het systeem zal worden gebruikt, wie het zal beïnvloeden, de risico's voor fundamentele rechten en de maatregelen voor menselijke toezicht en governance die zijn getroffen — en de resultaten worden gemeld aan de markttoezichtautoriteit.
EU AI-wet Artikel 27: Fundamentele Rechten Impact Assessment (FRIA)
Artikel 27 vereist dat bepaalde deployers van hoogrisico AI-systemen een Fundamentele Rechten Impact Assessment uitvoeren voordat ze het systeem in gebruik nemen. Het documenteert hoe het systeem zal worden gebruikt, wie het zal beïnvloeden, de risico's voor fundamentele rechten en de maatregelen voor menselijke toezicht en governance die zijn getroffen — en de resultaten worden gemeld aan de markttoezichtautoriteit.
Laatst bijgewerkt: 4 juli 2026
Wie moet een FRIA uitvoeren
De FRIA-verplichting rust op een bepaalde set deployers van hoogrisico AI-systemen, niet op aanbieders en niet op elke deployer:
- Publiekrechtelijke lichamen, en private entiteiten die openbare diensten verlenen, wanneer ze hoogrisico AI-systemen in gebruik nemen
- Deployers van bijlage III-kredietbeoordelingsystemen — hoogrisico AI gebruikt voor de beoordeling van kredietwaardigheid of het vaststellen van een krediet-score (met uitzondering van fraudeopsporing)
- Deployers van bijlage III-verzekeringsystemen — hoogrisico AI gebruikt voor risicobeoordeling en prijsbepaling in levens- en gezondheidsverzekeringen
- De beoordeling moet worden voltooid voordat het systeem in gebruik wordt genomen
Waar een gegevensbeschermingsimpactbeoordeling onder artikel 35 van de AVG al enige van dezelfde grond dekt, kan de FRIA hierop voortbouwen in plaats van het te dupliceren.
Wat de beoordeling moet dekken
Artikel 27(1) specificeert de elementen die een FRIA moet beschrijven:
- Een beschrijving van de deployerprocessen waarin het hoogrisicosysteem zal worden gebruikt, in overeenstemming met de beoogde doelstelling
- De periode en frequentie waarover het systeem is bedoeld om te worden gebruikt
- De categorieën van natuurlijke personen en groepen die waarschijnlijk worden beïnvloed in de specifieke context
- De specifieke risico's van schade die waarschijnlijk deze categorieën van personen zullen treffen
- Een beschrijving van de maatregelen voor menselijke toezicht die zijn getroffen, volgens de instructies voor gebruik
- De maatregelen die moeten worden genomen als risico's zich materialiseren, inclusief interne governance-regelingen en klachtenmechanismen
Melden aan de autoriteit
De FRIA is geen puur interne oefening — de resultaten worden gerapporteerd aan de toezichthouder:
- Zodra de beoordeling is uitgevoerd, meldt de deployer de markttoezichtautoriteit de resultaten
- Het AI-kantoor is belast met het ontwikkelen van een sjabloonvragenlijst om deployers te helpen bij het nakomen van deze melding op een vereenvoudigde manier
- De FRIA moet worden geüpdatet als enig van de elementen verandert of niet langer up-to-date is tijdens de gebruiksperiode
- Het vult de eigen conformiteits- en risicobeheerverplichtingen van de aanbieder aan en vervangt deze niet
Hoe AIAgentree helpt
Een FRIA moet de maatregelen voor menselijke toezicht en monitoring op papier beschrijven — AIAgentree biedt het operationele bewijs dat deze maatregelen daadwerkelijk werken:
- Menselijke toezicht- en goedkeuringsworkflows geven concrete inhoud aan de toezichtmaatregelen die een FRIA moet beschrijven, met een record van wie wat heeft beoordeeld en wanneer
- Bewijsbestendige besluitvormingsrecords en uitkomstvolging ondersteunen de voortdurende monitoring van risico's voor getroffen personen waartoe een FRIA u verplicht
- Audit-fit retentie (zes maanden of meer) met EU-gegevensresidencie in Duitsland houdt dat toezichtsbewijs beschikbaar als de autoriteit vraagt om te zien hoe de beoordeling in de praktijk werkt
Veelgestelde vragen
Wie moet een fundamentele rechtenimpactbeoordeling uitvoeren?
Bepaalde implementers van hoogrisico-AI-systemen: lichamen die onderworpen zijn aan het publieke recht en particuliere entiteiten die openbare diensten verlenen, plus implementers van de in bijlage III genoemde hoogrisicosystemen die worden gebruikt voor kredietbeoordeling (beoordeling van de kredietwaardigheid) en voor risicobeoordeling en prijsbepaling in levens- en gezondheidsverzekeringen. Het is een implementer-verplichting, niet een aanbieder-verplichting.
Wanneer moet de FRIA worden voltooid?
Voordat de implementer het hoogrisico-AI-systeem in gebruik neemt. Het moet ook up-to-date worden gehouden - als een van de elementen verandert of verouderd raakt tijdens de gebruiksperiode, werkt de implementer de beoordeling bij.
Wat moet een FRIA behandelen?
De processen en de beoogde doelstelling van de implementer voor het systeem, de periode en frequentie van gebruik, de categorieën personen en groepen die waarschijnlijk worden beïnvloed, de specifieke risico's van schade voor hen, de maatregelen voor menselijke toezicht die zijn getroffen, en de maatregelen die moeten worden genomen als risico's zich materialiseren, inclusief interne governance en klachtenmechanismen.
Moeten we een regulator over de FRIA informeren?
Ja. Zodra de beoordeling is uitgevoerd, stelt de implementer de markttoezichtautoriteit op de hoogte van de resultaten. Het AI-kantoor ontwikkelt een sjabloonvragenlijst om een vereenvoudigde manier van naleving van deze kennisgeving te ondersteunen.
Kan een FRIA onze GDPR-gegevensbeschermingsimpactbeoordeling hergebruiken?
Gedeeltelijk. Waar een DPIA onder GDPR-artikel 35 al overlappende elementen behandelt, kan de FRIA hierop voortbouwen en aanvullen in plaats van het werk te dupliceren. De FRIA heeft nog steeds zijn eigen focus op fundamentele rechten die een DPIA niet volledig vervangt.
Ga verder met het verkennen van de EU AI Act-gids
EU AI Act-nalevingsgids
De complete gids voor EU AI Act-naleving voor AI-agents — start hier.
Artikel 12 — Record-keeping & Logging
Wat elk hoogrisico AI-systeem moet loggen en hoe je het vastlegt.
Artikel 14 — Menselijke toezicht
Het ontwerpen van effectieve menselijke controles in de lus voor AI-beslissingen.
Bijlage III — Hoogrisico AI-systemen
Welke AI-gebruiksgevallen de wet classificeert als hoogrisico.
EU AI Act-nalevingscontrolelijst
Een stap-voor-stap controlelijst om naleving te bereiken en te documenteren.
Nalevingskostenberekenaar
Schat uw EU AI Act-nalevingsinspanning en -kosten.
Deadline & Tijdlijn
Belangrijke handhavingsdata, inclusief de deadline van 2 augustus 2026.
Boetes & Sancties
Boetetarieven tot €35M of 7% van de wereldwijde jaarlijkse omzet.
Transparantieverplichtingen (Art. 13 & 50)
Openbaarmakingsplichten voor AI-systemen en hun uitvoer.
Risicobeheer & Conformiteitsbeoordeling
Bouw een risicobeheersysteem en beoordeel de conformiteit.
GPAI-verplichtingen
Regels voor aanbieders van algemene AI-modellen.
EU AI Act voor Amerikaanse bedrijven
Extraterritoriale reikwijdte en wat Amerikaanse aanbieders moeten doen.
Omnibus-update
De laatste wijzigingen in de EU AI Act-tijdlijn en -regels.
BoetecalcULATOR
Schat uw maximale boete onder de artikel 99-tarieven.
Artikel 11 + Bijlage IV
Welke technische documentatie de EU AI-wet vereist.
Artikel 26: Verplichtingen van de implementer
Wat implementers van high-risk AI moeten doen, inclusief logretentie.
Artikel 17: Kwaliteitsbeheer
Het QMS dat aanbieders van high-risk AI moeten documenteren.
Artikel 10: Gegevensbeheer
Gegevenskwaliteit, mitigatie van vooringenomenheid en beheerstaken.
Artikel 4: AI-geletterdheid
De AI-geletterdheidsverplichting voor het personeel die sinds februari 2025 van kracht is.
Implementer vs Aanbieder
Wie draagt welke verplichting — en wanneer een implementer een aanbieder wordt.
Wie Valt Hier Onder?
Reikwijdte, exploitanten en de extraterritoriale reikwijdte van de EU AI-wet.
Nasmarkttoezicht
Artikelen 72–73: voortdurend toezicht en incidentenrapportage.
ISO 42001 vs EU AI-wet
Hoe de vrijwillige norm en de bindende wet samenhangen.
NIST AI RMF vs EU AI-wet
Een praktische crosswalk tussen het kader en de wet.
EU AI-wet voor de Gezondheidszorg
High-risk medische AI, MDR/IVDR-interactie en clinici-toezicht.
EU AI-wet voor Financiële Diensten
Credit scoring, verzekeringsprijzen en bestaande financiële regelgeving.
EU AI-wet voor HR & Werkgelegenheid
Het aannemen van AI als high-risk, plus NYC LL144 en EEOC-overlapping.