Direct naar inhoud
Aan de slag

FRIA in 7 stappen: grondrechten-effectbeoordeling voor MKB

Een FRIA (Fundamental Rights Impact Assessment) is voor hoog-risico AI-systemen verplicht onder EU AI Act art. 27. Welke 7 stappen je doorloopt, welke informatie je verzamelt, en hoe je het document maakt zonder een externe adviseur in te huren.

Jurgen Claassens·Founder, AuditAI··9 min lezen

Een FRIA is een Fundamental Rights Impact Assessment: een gestructureerde analyse van welke grondrechten van betrokkenen geraakt kunnen worden door een hoog-risico AI-systeem, plus de maatregelen die je neemt om die risico's te beperken. Het is wettelijk verplicht onder AI Act art. 27 voordat een hoog-risico-systeem in gebruik wordt genomen.

Veel organisaties huren hier een externe adviseur voor in (typische prijs €5.000-€10.000 per FRIA). Voor MKB met een eenduidig systeem en een bewuste interne aanpak is dat niet nodig. Onderstaande 7 stappen geven je de structuur.

Wie moet een FRIA uitvoeren?

Niet elke gebruiksverantwoordelijke van hoog-risico AI hoeft FRIA te doen. Art. 27 lid 1 specificeert:

  • Publieke sector — overheid, gemeenten, agentschappen, ZBO's, of organisaties die publieke diensten verlenen (bv. zorginstellingen, scholen).
  • Private partijen die essentiele diensten leveren — kredietverstrekkers (Bijlage III §5a), levens- en zorgverzekeraars (Bijlage III §5b).

Andere private organisaties met een hoog-risico-systeem hoeven niet verplicht een FRIA, maar wel technische documentatie (Bijlage IV). In de praktijk overlappen die twee zoveel dat je een FRIA-light alsnog wilt doen — anders is je technische documentatie incompleet.

De 7 stappen — ons template

Stap 1 — Beschrijf het AI-systeem en zijn doel

Wat doet het systeem in essentie? Welke vendor en model, welke data-inputs, welke gebruikers, welk autonomie-niveau? Wie wordt geraakt door de output? Doel hier: zorg dat een lezer in 2 minuten begrijpt wat het systeem is. Dit voorkomt dat de risico-analyse later ongedefinieerd wordt.

Stap 2 — Identificeer geraakt grondrechten

Welke rechten uit het Handvest van de Grondrechten van de EU en het EVRM kunnen geraakt worden? In de praktijk komt het vrijwel altijd neer op een subset:

Veelvoorkomende grondrechten in FRIA voor AI-systemen
RechtWanneer relevantBron
Privacy / gegevensbeschermingBij verwerking van persoonsgegevensEVRM art. 8 + Handvest art. 7-8
Non-discriminatieBij beslissingen over personen, vooral kwetsbare groepenHandvest art. 21
Vrijheid van meningsuitingBij content-moderatie of -aanbevelingEVRM art. 10 + Handvest art. 11
Recht op effectieve rechtsbeschermingBij geautomatiseerde beslissingen die in beroep moeten kunnenHandvest art. 47
Recht op behoorlijk bestuurBij overheids-AIHandvest art. 41
Recht op werk en eerlijke arbeidsomstandighedenBij HR / werknemers-AIHandvest art. 31

Stap 3 — Categoriseer de betrokkenen

Wie is de doelgroep? Werknemers, sollicitanten, klanten, burgers, leerlingen, patienten, minderjarigen. Per groep: hoeveel mensen, welke kenmerken, welke kwetsbare subgroepen. Aandachtspunt: kwetsbare groepen (minderjarigen, mensen in financiele nood, asielzoekers, mensen met beperking) krijgen extra waarborgen onder art. 27 lid 1d.

Stap 4 — Beoordeel de specifieke risico's

Per geraakt grondrecht uit stap 2: welke specifieke risico's brengt het systeem? Concrete voorbeelden:

  • Bias — wordt een bepaalde groep systematisch lager gescoord?
  • False positives — leidt een fout-positief tot serieuze gevolgen voor het individu?
  • False negatives — wat als het systeem iemand mist die wel risico had?
  • Onverklaarbaarheid — kan een betrokkene begrijpen waarom het systeem deze beslissing nam?
  • Overfitting op historie — versterkt het systeem bestaande sociale ongelijkheden uit zijn trainingsdata?

Stap 5 — Beschrijf mitigerende maatregelen

Per risico uit stap 4: welke maatregelen neem je? Maatregelen vallen typisch in 4 categorieen:

  1. 1.Technisch — bias-testen, threshold-tuning, fallback-modus, monitoring-dashboards.
  2. 2.Organisatorisch — verplichte menselijke review, escalatie-procedure, klachten-loket.
  3. 3.Juridisch — informatieplicht, mogelijkheid tot bezwaar, AVG-grondslag.
  4. 4.Governance — eigenaar per systeem, periodieke heroverweging, training van bedienaars.

Stap 6 — Specificeer monitoring en escalatie

Hoe controleer je dat het systeem in productie volgens plan werkt? Concreet: welke metrics worden waar geregistreerd, wie krijgt welk alert bij welke threshold, hoe escaleer je een incident. Dit raakt aan art. 14 (menselijk toezicht) en art. 73 (incident-rapportering) — beide moet je kunnen aantonen.

Stap 7 — Documenteer + meld bij toezichthouder

Tot slot: leg het hele FRIA-document vast met versie, datum en eigenaar. Belangrijke verplichting: stuur een kennisgeving van de FRIA naar de markttoezichtautoriteit (in Nederland vermoedelijk de AP). Dat is geen volledige inzending — een korte aanmelding dat je een FRIA hebt uitgevoerd voor een specifiek systeem, conform een door de Commissie gepubliceerde template.

Hoeveel tijd kost een FRIA?

Realistisch tijdsschema voor een MKB met één hoog-risico-systeem:

Tijds-inschatting FRIA
ActiviteitTijdWie
Intake + systeembeschrijving (stap 1)1 uurEigenaar systeem + DPO
Grondrechten + betrokkenen + risico's (stap 2-4)2-3 uurDPO + jurist
Mitigerende maatregelen + monitoring (stap 5-6)2 uurEigenaar + IT
Document afmaken + reviewen (stap 7)1 uurDPO + tweede reviewer
Kennisgeving naar toezichthouder30 minDPO

Hoe vaak herhaal je het?

FRIA wordt vóór ingebruikname uitgevoerd. Daarna herhaal je bij:

  • Substantiele wijziging in het systeem (nieuwe vendor, ander model, andere data, ander gebruiksdoel) — onmiddellijk nieuwe FRIA.
  • Nieuwe doelgroep — bv. bestaande HR-tool wordt nu ook ingezet voor invoeg-arbeidskrachten — opnieuw beoordelen.
  • Wetwijziging of AP-richtlijn-update die expliciet op jouw systeem-categorie ziet — review en aanpassen.
  • Regelmatige cyclus — minimaal jaarlijks doornemen of de aannames nog kloppen.

Veelgestelde vragen

Mag ik mijn FRIA-template van een andere organisatie hergebruiken?
Ja, mits je 'm aanpast aan jouw specifieke systeem en betrokkenen. De wettelijke vereisten (art. 27 lid 1) zijn universeel; de invulling per AI-systeem is uniek. Hergebruik van structuur is goed; copy-paste van inhoud is fataal — een toezichthouder ziet generieke teksten direct.
Moet ik mijn FRIA publiceren?
Nee. De kennisgeving naar de markttoezichtautoriteit is verplicht (art. 27 lid 4); de FRIA zelf is intern. Wel: in aanbestedingen van overheidsklanten wordt steeds vaker gevraagd om de FRIA-samenvatting als bijlage. Bereid een publieke versie voor (zonder gevoelige interne details).
Verschilt FRIA van DPIA?
Ja, deels. DPIA (AVG art. 35) richt zich op gegevensbeschermingsrisico's; FRIA op alle grondrechten, ook niet-data-gerelateerde (non-discriminatie, vrijheid van meningsuiting). Bij overlappende scope mogen ze in één document — zie ons artikel DPIA en FRIA in één document.
Wat als de externe leverancier al een FRIA heeft gedaan?
Dat ontslaat jou als gebruiksverantwoordelijke niet. De aanbieder doet zijn eigen conformiteitsbeoordeling (art. 43); jij doet de gebruiks-FRIA. Vraag wel naar hun documentatie om de jouwe te onderbouwen — veel van de algemene risico-analyse kun je verwijzen naar hun materialen.
Boete bij geen FRIA?
Vereiste van art. 27 valt onder de gebruiksverantwoordelijke-verplichtingen (art. 26). Niet-naleving kan een boete tot €15 miljoen of 3% van wereldwijde omzet opleveren. In de praktijk gaat een toezichthouder eerst overleggen + waarschuwen voordat een boete volgt — als je goede wil aantoont.

Verder lezen

Wetgeving

Hoog-risico AI herkennen: Annex III in begrijpelijk Nederlands

Bijlage III van de EU AI Act somt acht categorieen AI-systemen op die als hoog-risico gelden. Per categorie: wat valt eronder, wat valt er net buiten, en welke verplichtingen worden actief.

Praktisch

Audit-pack: wat de toezichthouder écht wil zien

Een audit-pack is een gestructureerde set documenten die bewijst dat je AI-Act-compliant werkt. Wat hoort er minimaal in voor MKB, hoe leveren toezichthouders een audit-vraag uit, en welke valkuilen vermijd je.

Volgende stap

Doe een gratis risicoscan voor je eigen AI-systeem

5 minuten, geen account, anoniem. Krijg direct je AI Act-categorie + de drie eerstvolgende acties op volgorde van urgentie.

Start gratis scan