Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

FRIA: grondrechtentoets bij de overheid

Vastgesteld 2026-06-29 · ≈ 2 min lezen · Dirk Baaijen

Overheden en private aanbieders van publieke diensten moeten vóór de eerste inzet van een hoog-risico AI-systeem een grondrechteneffectbeoordeling (FRIA) uitvoeren en de resultaten melden bij de markttoezichthouder.

Kort antwoord: Artikel 27 van Verordening (EU) 2024/1689 (de AI-verordening) verplicht overheden en private partijen die publieke diensten leveren om vóór de eerste inzet van een hoog-risico AI-systeem een grondrechteneffectbeoordeling (FRIA) uit te voeren. De FRIA moet de risico's voor alle grondrechten uit het EU-Handvest in kaart brengen en worden gemeld bij de nationale markttoezichthouder. De verplichting geldt vanaf 2 augustus 2026.

Wie is verplicht?

Artikel 27 richt zich op drie categorieën uitvoerders. Ten eerste: overheidsinstanties en andere publiekrechtelijke organen die hoog-risico AI-systemen inzetten. Ten tweede: private organisaties die publieke diensten verlenen — zoals onderwijs, gezondheidszorg, sociale zekerheid, huisvesting of rechtsbedeling. Ten derde: alle uitvoerders, ongeacht hun rechtsvorm, die AI-systemen gebruiken voor kredietwaardigheidsbeoordeling of risicobeprijzing bij levens- en ziektekostenverzekeringen. Systemen die vallen onder punt 2 van bijlage III (veiligheidscomponenten van kritieke digitale infrastructuur, wegverkeersbeheer, water- en energievoorziening) zijn uitdrukkelijk uitgesloten van de FRIA-plicht.

Wat moet een FRIA bevatten?

De verordening schrijft zes verplichte onderdelen voor:

  1. Een beschrijving van de processen van de uitvoerder waarbinnen het hoog-risico AI-systeem wordt gebruikt, in lijn met het beoogde doel.
  2. De tijdsduur en frequentie van het beoogde gebruik.
  3. De categorieën van betrokken natuurlijke personen en groepen.
  4. De specifieke risico's op schade voor die categorieën, waaronder risico's op discriminatie of aantasting van de persoonlijke levenssfeer.
  5. De wijze waarop menselijk toezicht wordt geïmplementeerd overeenkomstig de gebruiksaanwijzingen van de aanbieder.
  6. Maatregelen bij het optreden van risico's, waaronder klachtmechanismen en governanceafspraken.

Meldingsplicht en verhouding tot de DPIA

Na afronding van de FRIA moet de uitvoerder de resultaten melden bij de bevoegde markttoezichthouder. Het AI-bureau (European AI Office) ontwikkelt hiervoor een gestandaardiseerde vragenlijst. De FRIA is aanvullend op en vervangt niet de gegevensbeschermingseffectbeoordeling (DPIA) op grond van artikel 35 AVG: beide instrumenten kunnen naast elkaar vereist zijn. De FRIA dekt het volledige EU-Grondrechtenhandvest; de DPIA is beperkt tot privacy en persoonsgegevens.

Tijdlijn

De verplichtingen voor hoog-risico AI-systemen, waaronder artikel 27, zijn van toepassing vanaf 2 augustus 2026. De FRIA moet worden uitgevoerd vóór de eerste inzet; bij herhaald gebruik in vergelijkbare contexten mag op een eerder uitgevoerde beoordeling worden voortgebouwd, mits deze actueel wordt gehouden.

Bronnen

  1. https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32024R1689
    Verordening (EU) 2024/1689, de EU AI-verordening — officiële geconsolideerde tekst op EUR-Lex
  2. https://artificialintelligenceact.eu/article/27/
    Volledige tekst van artikel 27 AI-verordening, inclusief toepassingsgebied en inhoudsvereisten
  3. https://securiti.ai/eu-ai-act/article-27/
    Analyse van artikel 27: uitvoerders, bijlage III-afbakening en meldingsplicht

Deel op LinkedIn

Lees ook

U

Transparantie van overheidsalgoritmes

De AI-verordening (2024/1689) verplicht overheden die hoog-risico AI-systemen inzetten tot registratie in een EU-database, transparante documentatie en kennisgeving aan betrokkenen; Nederland loopt vooruit met een vrijwillig Algoritmeregister dat naar verwachting wettelijk verplicht wordt.

A

DPIA voor HR-AI: wanneer verplicht en hoe combineer je het met de FRIA?

Een DPIA (art. 35 AVG) is verplicht bij grootschalig, systematisch monitoren en bij hoog-risico-AI in HR. Dit artikel legt uit wat erin moet en hoe je de DPIA combineert met de FRIA (grondrechtentoets, art. 27 AI Act) tot één traject. Met praktisch stappenplan.

U

Het Algoritmeregister voor de overheid

Het Algoritmeregister (algoritmes.overheid.nl) is de centrale, openbare plek waar Nederlandse overheidsorganisaties vrijwillig informatie publiceren over de algoritmen die zij inzetten; registratie in het Nederlandse register is niet wettelijk verplicht, maar overheidsorganisaties die…

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.