DPIA en FRIA in één document: kan dat?
DPIA (AVG art. 35) en FRIA (AI Act art. 27) overlappen voor 60-80% in scope wanneer een hoog-risico AI-systeem persoonsgegevens verwerkt. Wanneer mag je ze combineren, hoe doe je dat in de praktijk, en welke nuances moet je niet missen.
Een DPIA (Gegevensbeschermings-effectbeoordeling, AVG art. 35) en een FRIA (Grondrechten-effectbeoordeling, AI Act art. 27) overlappen substantieel voor hoog-risico AI-systemen die persoonsgegevens verwerken. De Europese wetgever heeft dit erkend en in AI Act art. 27 lid 4 expliciet bepaald dat een DPIA die alle FRIA-elementen meeneemt voldoende is.
Praktisch gezien: voor de meeste MKB-organisaties met één hoog-risico-systeem is het één gecombineerd document aan te raden. Scheelt dubbel werk, één review-cyclus, één archief, en versionering blijft consistent.
Wanneer mag je combineren?
De combinatie is alleen toegestaan als beide instrumenten dezelfde scope delen. Dat betekent in de praktijk:
- 1.Dezelfde betrokkenen — de personen wiens persoonsgegevens je verwerkt zijn ook de personen wiens grondrechten geraakt worden.
- 2.Dezelfde verwerking — het AI-systeem dat je beoordeelt is hetzelfde als de verwerking onder DPIA.
- 3.Geen externe niet-data-gerelateerde grondrechten-impact — als het systeem ook impact heeft op derden die buiten je AVG-scope vallen, dan onvolledig.
Werkende structuur voor het gecombineerde document
De structuur die in 2026 ingeburgerd is geraakt onder Nederlandse DPO-praktijken, geinspireerd op het AP-DPIA-template uitgebreid met de AI Act-elementen:
| # | Sectie | Bron |
|---|---|---|
| 1 | Beschrijving van de verwerking en het AI-systeem | AVG 35 lid 7a + AI Act 27 lid 1a |
| 2 | Doel(en) van de verwerking en het systeem | AVG 35 lid 7a + AI Act 27 lid 1b |
| 3 | Categorieen betrokkenen + omvang | AVG 35 lid 7a + AI Act 27 lid 1c |
| 4 | Geraakte grondrechten (privacy + alle andere) | FRIA-uitbreiding op DPIA |
| 5 | Risico-analyse per recht/categorie | AVG 35 lid 7c + AI Act 27 lid 1d |
| 6 | Mitigerende maatregelen (technisch + organisatorisch + juridisch) | AVG 35 lid 7d + AI Act 27 lid 1d |
| 7 | Menselijk-toezicht-protocol | AI Act-specifiek (art. 14 + 27 lid 1e) |
| 8 | Monitoring + incident-response | AI Act-specifiek (art. 73) |
| 9 | Conclusie + restrisico + DPO-advies | AVG 35 lid 7d + AI Act 27 lid 4 |
| 10 | Versiebeheer + revisietermijnen | Best practice |
Vier praktische tips
1. Schrijf grondrechten-impact NAAST privacy-impact, niet ipv
Een veelgemaakte fout: bestaande DPIA hergebruiken en simpelweg 'voor FRIA: zie boven' eronder zetten. Een toezichthouder leest dat als laksheid. Voeg een echte sectie toe over non-discriminatie, vrijheid van meningsuiting (bij content-AI) of recht op werk (bij HR-AI). Het zijn echte, andere risico's dan privacy.
2. Houdt menselijk-toezicht apart
Het menselijk-toezicht-protocol uit art. 14 + 27 lid 1e is een specifieke FRIA-vereiste die niet in een DPIA hoort. Houd dit als aparte sectie 7. Wie kan de AI overrulen? Welke knop drukt diegene? Welke informatie heeft de mens nodig om te overrulen?
3. Versionneer expliciet
Eén document met dubbele functie betekent dat een wijziging onder de AVG ook de FRIA-versie laat oplopen. Documenteer per versie wat er wijzigde en waarom. AuditAI doet dit automatisch (templateVersion + generatedAt + change-log).
4. Niet stiekem inkrimpen op de risico-analyse
Een gecombineerd document leidt vaak tot 'efficiente' (= beperkte) risico-analyses. De FRIA-vereiste op specifieke grondrechten is breder dan de DPIA-vereiste op data-bescherming. Als je document dunner wordt dan een goede DPIA + een goede FRIA bij elkaar zou zijn, is dat een red flag.
Kennisgeving aan toezichthouder
Het gecombineerde document zelf is intern. Twee externe communicaties zijn wel nodig:
- FRIA-kennisgeving aan de markttoezichtautoriteit (AI Act art. 27 lid 3) — vóór ingebruikname een korte aanmelding via een door de Commissie gepubliceerd format. Géén volledig document, wel: identificatie van het systeem + samenvatting van conclusie.
- DPIA-prior-consultation aan de AP (AVG art. 36) — alleen vereist als je restrisico hoog blijft ondanks mitigaties. In de praktijk zelden voor MKB.
Wanneer combineer je NIET?
Drie scenarios waarin je beter twee aparte documenten houdt:
- 1.Niet-AI-verwerkingen die samen DPIA-plicht hebben — als je organisatie meerdere DPIA's uitvoert voor verschillende verwerkingen (klant-data, HR-data, marketing) is het overzichtelijker om de AI-DPIA met FRIA gecombineerd uit te zonderen i.p.v. door alle DPIA's te mengen.
- 2.FRIA voor systeem zonder persoonsgegevens — bv. een fraud-detector die alleen geanonimiseerde data verwerkt. Daar is geen DPIA, alleen FRIA.
- 3.Multi-system FRIA — als je organisatie 5+ hoog-risico-systemen heeft met verschillende doelgroepen, is het schaalbaarder om FRIA's per systeem aan te houden en DPIA's apart per verwerkingsdoel.
Veelgestelde vragen
Moet ik mijn bestaande DPIA herschrijven of kan ik een appendix toevoegen?
Wie tekent het gecombineerde document?
Hoe vaak update ik het?
Mijn AI-leverancier heeft hun eigen FRIA — kan ik die overnemen?
Als ik geen DPIA hoef te doen, moet ik alsnog FRIA?
Verder lezen
FRIA in 7 stappen: grondrechten-effectbeoordeling voor MKB
Een FRIA (Fundamental Rights Impact Assessment) is voor hoog-risico AI-systemen verplicht onder EU AI Act art. 27. Welke 7 stappen je doorloopt, welke informatie je verzamelt, en hoe je het document maakt zonder een externe adviseur in te huren.
Hoog-risico AI herkennen: Annex III in begrijpelijk Nederlands
Bijlage III van de EU AI Act somt acht categorieen AI-systemen op die als hoog-risico gelden. Per categorie: wat valt eronder, wat valt er net buiten, en welke verplichtingen worden actief.
Doe een gratis risicoscan voor je eigen AI-systeem
5 minuten, geen account, anoniem. Krijg direct je AI Act-categorie + de drie eerstvolgende acties op volgorde van urgentie.