Wat is de betekenis van de afkorting FRIA?
De afkorting FRIA staat voor Fundamental Rights Impact Assessment, oftewel in het Nederlands: Beoordeling van de impact op de grondrechten.

Wat is een FRIA?
Het is een onderzoek op grond van de AI Act (de Europese verordening inzake kunstmatige intelligentie) om te beoordelen welke invloed bepaalde AI-systemen met een hoog risico kunnen hebben op de fundamentele rechten van mensen. Denk aan privacy, gelijke behandeling, menselijke waardigheid, vrijheid van meningsuiting en het recht op non-discriminatie. Het doel is om vroegtijdig risico’s te identificeren en maatregelen te nemen om negatieve gevolgen van de toepassing van een AI-systeem te voorkomen of te beperken. In tegenstelling tot een puur technische risicoanalyse kijkt een FRIA niet alleen naar de werking of prestaties van het systeem, maar vooral naar de maatschappelijke en juridische impact.

Wanneer is een FRIA verplicht?
Op grond van artikel 27 van de AI Act is het uitvoeren van een FRIA verplicht voor AI-systemen met een hoog risico als bedoeld in artikel 6, lid 2, AI Act. Dit betreft de AI-systemen die zijn opgesomd in bijlage III van de AI Act, met uitzondering van AI-systemen die bedoeld zijn om te worden gebruikt als veiligheidscomponent bij het beheer of de exploitatie van kritieke digitale infrastructuren (artikel 27, lid 1, AI Act).

Wie moet een FRIA uitvoeren?
In de gehele waardeketen, van ontwikkeling tot toepassing van AI-systemen, zijn vaak meerdere partijen betrokken. De verplichting om een FRIA uit te voeren rust echter uitsluitend op de gebruiksverantwoordelijke (artikel 27, lid 1, AI Act). Hoewel de aanbieder of producent doorgaans beter weet hoe het AI-systeem technisch functioneert, is juist de gebruiksverantwoordelijke het best in staat om te beoordelen hoe het systeem in de praktijk wordt toegepast en welke gevolgen dat kan hebben voor individuen en de samenleving. De gebruiksverantwoordelijke kan daarbij uiteraard gebruikmaken van informatie of ondersteuning van de aanbieder of producent.

Niet elke gebruiksverantwoordelijke is verplicht om een FRIA uit te voeren
Volgens artikel 27 van de AI Act geldt de verplichting tot het uitvoeren van een FRIA alleen voor:

• Publiekrechtelijke organen, zoals overheidsinstanties;
• Particuliere entiteiten die openbare diensten verlenen;
• AI-systemen die worden gebruikt voor de beoordeling van kredietwaardigheid;
• AI-systemen die worden ingezet voor risicobeoordelingen bij levensverzekeringen of ziektekostenverzekeringen.

Andere gebruiksverantwoordelijken die AI-systemen met een hoog risico inzetten, zijn niet wettelijk verplicht om een FRIA uit te voeren, maar kunnen dat vrijwillig doen om transparantie en verantwoord gebruik van AI te bevorderen.

Wat moet er in een FRIA staan?
Een FRIA bestaat volgens de AI Act uit zes onderdelen:
1. Procesbeschrijving van het AI-systeem en de context van het gebruik;
2. Beschrijving van de periode en frequentie van het gebruik;
3. Identificatie van categorieën personen of groepen die waarschijnlijk gevolgen zullen ondervinden van het systeem;
4. Inventarisatie van risico’s op schade voor deze personen of groepen;
5. Maatregelen voor menselijk toezicht op het gebruik van het systeem;
6. Acties of maatregelen die worden genomen wanneer risico’s zich daadwerkelijk voordoen.

Het doel van een FRIA is om helder vast te stellen welke risico’s gepaard gaan met de inzet van een hoog risico AI-systeem en welke maatregelen worden genomen om die risico’s te beperken of te voorkomen.

Hoe verhoudt FRIA zich met DPIA?
Een aantal onderdelen van de FRIA zijn vergelijkbaar met verplichtingen die we kennen vanuit de DPIA, de beoordeling die verplicht kan zijn op grond van de AVG. Ook de verschillen tussen FRIA en DPIA zijn vergelijkbaar. Zo is een FRIA verplicht bij de inzet van AI-systemen met een hoog risico, terwijl een DPIA verplicht is bij de verwerking van persoonsgegevens met een hoog risico. Beide onderzoeken zijn dus bedoeld voor situaties met hoog risico, zij het in een ander kader.
Daarnaast richt de FRIA zich op natuurlijke personen of groepen, terwijl de DPIA betrekking heeft op betrokkenen die deel uitmaken van een verwerking van persoonsgegevens. In de praktijk gaat het bij betrokkenen in de zin van de AVG echter ook altijd om natuurlijke personen.
Bovendien stelt de AI Act specifiek dat wanneer er eerder al een DPIA is uitgevoerd, een FRIA daarop kan voortbouwen of als aanvulling kan dienen (artikel 27, lid 4, AI Act).

Een FRIA uitvoeren
Wilt u een FRIA uitvoeren voor een AI-systeem met een hoog risico? Het opstellen van een FRIA kan complex zijn, omdat zowel technische als juridische en ethische aspecten moeten worden beoordeeld. Wij beschikken over ruime kennis en ervaring met het uitvoeren van FRIA-onderzoeken en kunnen u volledig ondersteunen in dit proces (van risicoanalyse tot documentatie).
Neem hiervoor gerust en vrijblijvend contact met ons op!

Let op: dit artikel bevat algemene informatie die niet gericht is op uw specifieke situatie. Derhalve kunnen er geen rechten aan worden ontleend.