EU AI-verordening compliance
DPIA of FRIA: wat heeft jouw bedrijf écht nodig onder de EU AI-verordening?
Als je AI inzet voor recruitment of kredietbeoordeling, kom je al snel twee afkortingen tegen: de AVG-DPIA en de FRIA uit de EU AI-verordening. Maar moet je ze allebei invullen, of is één voldoende?
Twee formulieren, twee toezichthouders, twee deadlines. Als Nederlandse ondernemer die AI inzet voor sollicitatiescreening of kredietsystemen, stuit je vroeg of laat op de vraag: moet ik nu een DPIA doen, een FRIA, of allebei? Het antwoord is genuanceerd, maar niet ingewikkeld. En het maakt nogal wat uit voor hoeveel werk je op je bord legt.
Wat is een DPIA, en wanneer ben je het verplicht?
Een DPIA, de gegevensbeschermingseffectbeoordeling, komt uit de AVG. Artikel 35 AVG schrijft voor dat je een DPIA moet uitvoeren wanneer een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van personen. Drie situaties die bijna altijd een DPIA triggeren: systematische en uitgebreide beoordeling van mensen op basis van geautomatiseerde verwerking, grootschalige verwerking van bijzondere categorieën persoonsgegevens, en stelselmatige monitoring van publiek toegankelijke ruimten.
Een AI-systeem dat cv's beoordeelt? Dat valt nagenoeg altijd onder de eerste categorie. Een kredietscoringssysteem dat automatisch beslissingen neemt over leningen? Idem. De Autoriteit Persoonsgegevens heeft dit meerdere keren bevestigd: geautomatiseerde besluitvorming met significante gevolgen voor mensen vereist een DPIA.
De DPIA kijkt dus vanuit het perspectief van persoonsgegevens. Wat verzamel je, hoe lang bewaar je het, wie heeft er toegang, en wat zijn de risico's voor de betrokkenen? Het is een privacydocument.
Wat is een FRIA, en wanneer geldt die?
De FRIA, de grondrechten-impactbeoordeling, is een nieuw instrument uit de EU AI-verordening, specifiek Artikel 27. De verordening legt deze verplichting op aan deployers, dus aan de organisaties die een hoog-risico AI-systeem in gebruik nemen. Niet de fabrikant, maar jij als gebruiker.
Wanneer ben je verplicht een FRIA uit te voeren? Artikel 27 geldt voor deployers van hoog-risico AI-systemen zoals bedoeld in Bijlage III van de verordening. En die lijst is herkenbaar voor het MKB: AI voor werving en selectie, beoordeling van werknemers, kredietwaardigheidsanalyse, toegang tot essentiële private diensten. Precies de systemen die in een gemiddeld middelgroot bedrijf voorkomen.
Waar de DPIA vraagt 'wat doe je met persoonsgegevens', vraagt de FRIA 'wat is de impact op grondrechten'. Denk aan het recht op gelijke behandeling, op menselijke waardigheid, op non-discriminatie. Een AI-systeem kan privacyneutraal zijn maar toch grondrechten schenden. Een sollicitatiefilter die mannen structureel hoger scoort dan vrouwen lekt misschien geen persoonsgegevens, maar schendt wél het gelijkheidsbeginsel.
Dit is het kernverschil: DPIA gaat over data, FRIA gaat over rechten.
Moet je ze allebei doen?
Kijk, in de meeste situaties waarbij je een FRIA nodig hebt, is er ook een DPIA-plicht. AI-systemen in Bijlage III verwerken bijna per definitie persoonsgegevens en nemen beslissingen met significante gevolgen. Dus ja, in de praktijk kom je vaak uit op twee verplichtingen.
Maar er is goed nieuws. Artikel 27 lid 4 van de EU AI-verordening bepaalt expliciet dat als een deployer al een DPIA heeft uitgevoerd krachtens de AVG, de FRIA 'in combinatie daarmee' mag worden uitgevoerd. De verordening nodigt je dus actief uit om ze samen te pakken. Niet twee losse documenten, maar één geïntegreerde beoordeling die beide perspectieven dekt.
Voor het Nederlandse MKB is dit een praktisch voordeel. Je hoeft het wiel niet twee keer uit te vinden.
Wat overlappen ze, en waar zitten de blinde vlekken?
Beide instrumenten vragen je om het doel van het systeem te beschrijven, de betrokken categorieën personen te identificeren, en risico's te beoordelen. Dat deel schrijf je één keer.
Waar ze uiteenlopen:
DPIA vraagt specifiek naar:
- Welke persoonsgegevens worden verwerkt?
- Wat is de wettelijke grondslag?
- Hoe lang worden gegevens bewaard?
- Welke technische en organisatorische maatregelen beschermen de data?
- Is er een verwerkersovereenkomst?
FRIA vraagt specifiek naar:
- Welke grondrechten kunnen worden geraakt?
- Zijn er risico's op discriminatie of uitsluiting?
- Welke groepen zijn kwetsbaar voor dit systeem?
- Hoe worden mensen geïnformeerd over geautomatiseerde besluitvorming?
- Is er een menselijke toets op de uitkomsten?
Die laatste vraag is interessant. De FRIA dwingt je na te denken over wie er bij een beslissing betrokken is. Dat gaat verder dan AVG-recht op inzage; het gaat over de vraag of een mens de AI kan terugdraaien.
Twee concrete voorbeelden
Sollicitatiescreening
Stel, je gebruikt een AI-tool die cv's rankt op geschiktheid. De DPIA vraagt: hoe lang sla je die cv's op, heb je toestemming, wie binnen je organisatie kan ze inzien? De FRIA vraagt: scoort het systeem vrouwen of mensen met een niet-westers klinkende naam systematisch lager? Heb je dat getest? Hoe geef je afgewezen sollicitanten uitleg?
Beide vragen zijn terecht. Beide vragen zijn verplicht. En ze vullen elkaar mooi aan in één document.
Kredietsysteem voor zakelijke klanten
Een fintech of kredietafdeling die een AI-model inzet om bedrijfskredieten te beoordelen, heeft te maken met de AVG omdat het model vrijwel altijd gegevens van natuurlijke personen (de eigenaar, de directeur) verwerkt. De DPIA dekt dat. Maar de FRIA gaat verder: heeft het model een historische bias richting bepaalde sectoren of regio's? Wat zijn de gevolgen voor een ondernemer die ten onrechte wordt afgewezen? Is er een bezwaarprocedure?
Kijk, een bank die dit overslaat en later blijkt dat het model structureel ondernemers uit bepaalde postcodegebieden benadeelt, heeft een serieus probleem. Niet alleen bij de AP, maar ook bij de markttoezichthouder.
De sjabloonaanpak: zo pak je het efficiënt aan
De meest werkbare aanpak voor MKB-bedrijven is een geïntegreerd document met twee luiken. Deel A dekt de DPIA-vragen, deel B de FRIA-vragen. De inleiding is gedeeld: systeembeschrijving, doelgroep, context.
Wat je nodig hebt:
- Een beschrijving van het AI-systeem en het beoogde gebruik
- Een inventarisatie van betrokken persoonsgegevens (DPIA-luik)
- Een analyse van potentieel getroffen grondrechten (FRIA-luik)
- Risico's en mitigerende maatregelen voor beide perspectieven
- Conclusie en restrisico-acceptatie, ondertekend door de verwerkingsverantwoordelijke
Eén documentversie, twee compliance-vinkjes. Dat is hoe het werkt als je het slim aanpakt.
Wat ook helpt: leg dit niet neer bij alleen de jurist of alleen de IT-afdeling. De FRIA vraagt om inzicht in hoe het model feitelijk werkt, en dat weet IT. De DPIA vraagt om juridische grondslag, en dat weet de jurist. Zet ze samen aan tafel.
Wanneer hoef je géén FRIA te doen?
Niet elk AI-systeem is hoog-risico. Als je een chatbot inzet voor klantenservice over openingstijden, of een AI gebruikt om facturen te categoriseren, zit je niet in Bijlage III. Geen FRIA-plicht. Wellicht nog steeds een lichte DPIA als er persoonsgegevens in zitten, maar dat is een stuk eenvoudiger.
De eerste stap is dus altijd: bepaal of je systeem hoog-risico is onder de EU AI-verordening. Pas als dat antwoord 'ja' is, heb je de dubbele verplichting.
Deadline en sancties
De FRIA-verplichting voor deployers van hoog-risico AI-systemen geldt vanaf augustus 2026, wanneer de regels voor hoog-risico AI volledig van kracht worden. Dat klinkt ruim, maar een goede FRIA opstellen kost tijd, zeker als je het systeem nog goed moet documenteren. Begin nu met de inventarisatie.
Sanctionering loopt via nationale toezichthouders. In Nederland is de AP aangewezen als één van de bevoegde autoriteiten voor de AI-verordening. Een ontbrekende FRIA bij een hoog-risico systeem kan leiden tot boetes tot 15 miljoen euro of 3% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
Voor een MKB-bedrijf is dat existentieel. Maar eerlijk gezegd: de meeste bedrijven lopen dat risico niet omdat ze kwade bedoelingen hebben, maar simpelweg omdat ze niet wisten dat ze iets moesten doen.
Dat laatste is oplosbaar. Doe de gratis 2-minuten compliance-check op comply.khairos.ai en ontdek direct of jouw AI-toepassingen DPIA- of FRIA-plichtig zijn, en wat je eerste stap zou moeten zijn.
# Hulp nodig bij compliance?
De gratis 2-minuten compliance-check laat je direct zien waar je gaten zitten. Geen e-mailadres nodig om je score te zien.
Start de gratis check →