De Europese AI-verordening stelt eisen aan AI-systemen op basis van het risico dat ze hebben. De bescherming van fundamentele rechten, zoals het recht op gelijke behandeling en het recht op privacy, vormt daarbij een uitdrukkelijk uitgangspunt. Hoe groter de potentiële impact van een AI-systeem op betrokkenen, hoe zwaarder de verplichtingen zijn. Voor sommige deployers van systemen met een hoog risico (inmiddels beter bekend als “high-risk AI”) is een van die verplichtingen het uitvoeren van een Fundamental Rights Impact Assessment (FRIA).
Deze plicht geldt voor diverse categorieën deployers, waaronder overheidsinstanties. Een FRIA dient overigens te zijn uitgevoerd vóór ingebruikname van het AI-systeem. Die verplichting tot het uitvoeren van een FIA is ook echt meer dan een compliance-formaliteit. Een zorgvuldig uitgevoerde FRIA maakt risico’s zichtbaar en dwingt tot het maken van keuzes. Voor publieke organisaties weegt dit natuurlijk extra zwaar, omdat de inzet van AI direct raakt aan de verhouding tussen overheid en burger.
AI Act: wat is een FRIA?
Een FRIA is, kort gezegd, een evaluatie die een organisatie moet maken voordat zij een hoog-risico AI-systeem in gebruik neemt. Via een FRIA probeer je als organisatie in kaart te brengen welke risico’s het systeem kan hebben voor de fundamentele rechten van de mensen die ermee te maken krijgen. Het doel is om potentiële schade die het systeem kan veroorzaken zoveel mogelijk te voorkomen voordat het systeem wordt ingezet.
Goed om te weten: de verplichting tot het uitvoeren van een FRIA ligt bij de deployer (gebruiker) van het systeem en dus niet bij de aanbieder ervan. Dat lijkt in eerste instantie wellicht een beetje contra-intuïtief (het zou toch de leverancier moeten zijn?), maar het wordt duidelijker als je je beseft dat de gedachte achter de FRIA is dat risico’s voor fundamentele rechten niet altijd zichtbaar zijn op het niveau van de aanbieder van een systeem.
Pas wanneer een organisatie het systeem inzet in een specifieke context, met een specifieke doelgroep en binnen een specifiek juridisch kader, worden die risico’s concreet. De deployer is daarom de aangewezen partij om deze beoordeling te maken.
Wie moet een FRIA uitvoeren?
De plicht om een FRIA uit te voeren geldt niet voor iedere organisatie die een hoog-risico AI-systeem wil inzetten. De Europese wetgever heeft ervoor gekozen de verplichting te beperken tot een vijftal categorieën. Het gaat om overheidsinstanties en private partijen die publieke diensten aanbieden, maar ook om instellingen die kredietwaardigheidschecks uitvoeren, verzekeraars die AI inzetten bij de acceptatie van verzekerden of de controle van claims, en politiediensten die AI gebruiken voor biometrie op afstand in de openbare ruimte. Andere organisaties die hoog-risico AI inzetten, zijn niet verplicht een FRIA uit te voeren, maar mogen dat uiteraard wel.
Wanneer moet een overheidsinstantie een FRIA uitvoeren bij AI-systemen?
Niet elk AI-systeem vereist een FRIA. De verplichting geldt uitsluitend voor hoogrisico-AI zoals omschreven in artikel 6 lid 2 van de AI Act, in samenhang met Bijlage III. Het gaat om toepassingen op terreinen als biometrie, onderwijs, werkgelegenheid, toegang tot essentiële publieke diensten, rechtshandhaving, migratie en grensbeheer, en rechtsbedeling.
Timing is hier juridisch relevant. De AI Act vereist, zoals gezegd, dat de FRIA wordt uitgevoerd vóór de eerste ingebruikname. Dat betekent dat de beoordeling idealiter al begint bij de aanbestedingsfase en niet pas nadat een systeem is aangeschaft en geïmplementeerd. Een FRIA die achteraf wordt opgesteld, is niet alleen formeel problematisch; zij biedt ook praktisch weinig sturing, omdat de ruimte voor technische en contractuele mitigerende maatregelen dan al grotendeels is weggevallen.
Hoe voer je een FRIA uit als overheidsinstantie?
Artikel 27 van de AI Act noemt zes verplichte elementen waaruit een FRIA moet bestaan: een beschrijving van de processen waarin het systeem wordt ingezet, de duur en frequentie van het gebruik, de betrokken categorieën personen, de specifieke risico’s op schade, de menselijk-toezichtmaatregelen en de te nemen maatregelen bij het intreden van risico’s, inclusief interne governance en klachtmechanismen.
In de praktijk vergt een goede uitvoering meer dan het invullen van die zes onderdelen. Begin met het bepalen van de scope en stel een team samen met kennis van fundamentele rechten en technologie. Breng vervolgens in kaart welke risico’s het systeem in de specifieke context kan opleveren, zowel onder normale omstandigheden als in ongunstige scenario’s, en weeg die risico’s af op basis van ernst en waarschijnlijkheid. Op basis daarvan neemt de organisatie een onderbouwde beslissing over de inzet van het systeem en legt zij die beslissing publiekelijk vast. Na ingebruikname houdt de verplichting niet op: de beoordeling moet worden gemonitord en geactualiseerd wanneer relevante omstandigheden wijzigen.
Voor overheidsinstanties geldt daarbij een extra verplichting. De samenvatting van de FRIA-bevindingen moet namelijk worden gepubliceerd in de EU-database voor hoogrisico-AI-systemen.
Verschil tussen FRIA en DPIA
De DPIA uit de AVG en de FRIA onder de AI Act hebben een gedeeltelijk overlappend doel, maar zijn geen equivalenten. De DPIA is gericht op risico’s voor persoonsgegevens en de privacy van betrokkenen. De FRIA heeft een aanzienlijk bredere reikwijdte. Zij bestrijkt alle rechten uit het EU Handvest van de Grondrechten, van het recht op een eerlijk proces tot het recht op onderwijs, van het discriminatieverbod tot het recht op een doeltreffende voorziening in rechte.
Artikel 27 lid 4 van de AI Act bepaalt dat de FRIA de DPIA kan aanvullen wanneer de DPIA al in bepaalde verplichtingen voorziet. De twee assessments zijn dus complementair, niet uitwisselbaar.
FRIA en toezicht: wat verwachten toezichthouders van de overheid?
In Nederland is de Autoriteit Persoonsgegevens aangewezen als toezichthouder voor een deel van de hoogrisico-toepassingen, maar de precieze taakverdeling tussen toezichthouders is op dit moment nog in ontwikkeling. Dat laat onverlet dat overheidsinstanties nu al moeten anticiperen op de verwachtingen die toezichthouders zullen stellen.
Uit de toezichtpraktijk bij vergelijkbare instrumenten, zoals de DPIA, valt af te leiden dat toezichthouders niet alleen naar het eindresultaat kijken maar ook naar het proces. Relevante vragen zijn: is de FRIA tijdig uitgevoerd, is het team voldoende gekwalificeerd, zijn betrokken groepen geraadpleegd, zijn de bevindingen vertaald naar concrete maatregelen en is er een monitoringcyclus ingericht?
Juridische ondersteuning nodig bij het uitvoeren van een FRIA?
Heeft je organisatie te maken met de FRIA-verplichting onder de AI Act en wil je weten wat dit concreet betekent voor jouw situatie? De juristen van SenS juristen adviseren overheidsinstanties bij de implementatie van de AI Act. Neem contact met ons op voor een vrijblijvend gesprek.
