Artikel 27 van Verordening (EU) 2024/1689 — Beoordeling van de gevolgen voor grondrechten voor hoog-risico AI-systemen. Officiële tekst, praktische interpretatie, belangrijkste verplichtingen en nalevingsimplicaties.
Samenvatting van de officiële tekst
Artikel 27 van Verordening (EU) 2024/1689 stelt een verplichting in voor bepaalde gebruiksverantwoordelijken van hoog-risico AI-systemen om een beoordeling van de gevolgen voor grondrechten (FRIA) uit te voeren vóór de ingebruikstelling van dergelijke systemen. De verplichting geldt voor gebruiksverantwoordelijken die bestuursrechtelijke organen zijn als gedefinieerd in Richtlijn 2014/24/EU, en voor gebruiksverantwoordelijken die particuliere entiteiten zijn die diensten van openbaar belang verlenen — specifiek op het gebied van bankieren, verzekeringen, gezondheidszorg, onderwijs en beroepsopleiding, arbeids- en personeelsbeheer, en beheer van kritieke infrastructuur.
De beoordeling moet vóór de inzet worden uitgevoerd en moet de volgende elementen omvatten: een beschrijving van de processen van de gebruiksverantwoordelijke waarbij het hoog-risico AI-systeem zal worden gebruikt en het doel daarvan; de categorieën natuurlijke personen en groepen die waarschijnlijk worden getroffen; de specifieke risico's voor grondrechten die kunnen voortvloeien uit het gebruik; de concrete maatregelen die de gebruiksverantwoordelijke van plan is te treffen om die risico's te beperken; een indicatie of er klachten- of beroepsmechanismen bestaan; en, waar van toepassing, een beschrijving van de gevolgen voor kinderen.
Gebruiksverantwoordelijken die onder de verplichting vallen, moeten ook de relevante markttoezichtautoriteit in kennis stellen vóór de inzet van bepaalde categorieën hoog-risico AI-systemen opgesomd in Bijlage III. De beoordeling moet gebaseerd zijn op informatie die door de aanbieder wordt verstrekt overeenkomstig Artikel 13 en moet worden gedocumenteerd en beschikbaar worden gehouden voor bevoegde autoriteiten.
Wat dit in de praktijk betekent
Voor organisaties die onder het toepassingsgebied vallen, vereist Artikel 27 een gestructureerd, gedocumenteerd proces voordat een hoog-risico AI-systeem in gebruik wordt genomen. Dit is geen eenmalige formaliteit — de FRIA moet de werkelijke inzetcontext weerspiegelen en opnieuw worden bekeken wanneer die context wezenlijk verandert.
Een openbaar ziekenhuis dat een AI-ondersteund diagnostisch of triagesysteem inzet, moet beoordelen welke patiëntengroepen onevenredig kunnen worden getroffen, welke rechten op het spel staan (waardigheid, non-discriminatie, toegang tot gezondheidszorg), en welke waarborgen er zijn als het systeem onjuiste aanbevelingen geeft. Een gemeente die een AI-systeem gebruikt voor de beoordeling van uitkeringsgerechtigdheid moet risico's voor het recht op sociale bescherming en een eerlijke procedure identificeren, en documenteren hoe menselijk toezicht in de praktijk zal functioneren.
Particuliere entiteiten die openbare financiële diensten verlenen — zoals kredietscoreplatforms of verzekeringsacceptatieplatforms — vallen binnen het toepassingsgebied als zij kwalificeren als gebruiksverantwoordelijken van hoog-risico systemen in de zin van Bijlage III. Een fintechbedrijf dat een AI-model gebruikt om leningaanvragen te beoordelen, moet de demografische groepen die blootstaan aan algoritmische beslissingen in kaart brengen, het risico van discriminerende uitkomsten evalueren, en een gedocumenteerde beroepsprocedure opzetten.
In de praktijk moeten gebruiksverantwoordelijken de FRIA integreren in hun bestaande werkstromen voor de gegevensbeschermingseffectbeoordeling (DPIA) op grond van de AVG waar relevant, aangezien Artikel 27(4) uitdrukkelijk toestaat dat de twee beoordelingen gezamenlijk worden uitgevoerd. Organisaties moeten een verantwoordelijke eigenaar aanwijzen voor de beoordeling, de technische documentatie en gebruiksinstructies van de aanbieder als input gebruiken, en een versioned dossier opstellen dat op verzoek aan toezichthoudende autoriteiten kan worden overgelegd.
Belangrijkste verplichtingen
- Voer een beoordeling van de gevolgen voor grondrechten uit vóór de inzet van een hoog-risico AI-systeem binnen het toepassingsgebied van de gebruiksverantwoordelijke, waarbij het beoogde gebruik, de getroffen personen, de geïdentificeerde risico's en de geplande maatregelen worden behandeld.
- Documenteer de beoordeling schriftelijk en bewaar deze voor inspectie door bevoegde autoriteiten en markttoezichtautoriteiten op verzoek.
- Stel de relevante markttoezichtautoriteit in kennis vóór de inzet waar vereist door de specifieke categorie hoog-risico AI-systeem vermeld in Bijlage III.
- Gebruik de informatie en gebruiksinstructies die door de aanbieder van het AI-systeem worden verstrekt op grond van Artikel 13 als verplichte input voor de beoordeling.
- Werk de beoordeling bij wanneer de inzetcontext wezenlijk verandert, met inbegrip van wijzigingen in de categorieën getroffen personen, het gebruiksdoel of het risicoprofiel van het systeem.
- Waar ook een gegevensbeschermingseffectbeoordeling op grond van Artikel 35 AVG vereist is, mogen de twee beoordelingen gezamenlijk worden uitgevoerd om de administratieve last te verminderen, mits alle elementen van beide worden gedekt.
Verhouding tot andere artikelen
Artikel 27 bevindt zich in Hoofdstuk 3 van Titel III, dat verplichtingen verdeelt tussen aanbieders en gebruiksverantwoordelijken. Het moet worden gelezen samen met Artikel 26 (verplichtingen van gebruiksverantwoordelijken in het algemeen), dat de bredere plicht van gebruiksverantwoordelijken vaststelt om hoog-risico systemen te gebruiken in overeenstemming met de instructies van de aanbieder en menselijk toezicht te implementeren. De FRIA is direct gebaseerd op de informatie die de aanbieder verplicht is te verstrekken op grond van Artikel 13 (transparantie en verstrekking van informatie aan gebruiksverantwoordelijken) en Artikel 16(d) (verplichting van de aanbieder om technische documentatie op te stellen).
Artikel 27(4) legt een directe procedurele link naar de AVG: waar ook een DPIA op grond van Artikel 35 van Verordening (EU) 2016/679 vereist is, mogen de twee beoordelingen worden samengevoegd. Dit verband is met name relevant voor gebruiksverantwoordelijken die persoonsgegevens verwerken, wat het geval zal zijn in de meeste gereglementeerde contexten die vallen onder Bijlage III.
Artikel 27 verwijst ook naar Artikel 72 (markttoezicht) en Artikel 74 (toegang tot gegevens), aangezien de voltooide beoordeling beschikbaar moet zijn voor bevoegde autoriteiten die toezichthoudende taken uitoefenen.
Nalevingstijdlijn
De EU AI-verordening is op 1 augustus 2024 in werking getreden (twintig dagen na publicatie in het Publicatieblad op 12 juli 2024). De bepalingen zijn in fasen van toepassing:
- 2 februari 2025 — Verboden op AI-praktijken met onaanvaardbaar risico (Artikel 5) werden van toepassing.
- 2 augustus 2025 — Verplichtingen met betrekking tot AI-modellen voor algemene doeleinden (Titel VIII, Hoofdstuk 2) en governancebepalingen werden van toepassing.
- 2 december 2026 — Verplichtingen voor hoog-risico AI-systemen vermeld in Bijlage I (productvoetigheidswetgeving) worden van toepassing.
- 2 augustus 2027 — Verplichtingen voor hoog-risico AI-systemen vermeld in Bijlage III (op zichzelf staande hoog-risico systemen, inclusief die welke het meest waarschijnlijk FRIA's op grond van Artikel 27 zullen triggeren op gebieden zoals werkgelegenheid, onderwijs, biometrische identificatie en toegang tot openbare diensten) worden van toepassing.
Artikel 27 valt binnen het kader van verplichtingen voor hoog-risico gebruiksverantwoordelijken en wordt derhalve afdwingbaar op 2 augustus 2027 voor systemen in Bijlage III, en 2 december 2026 voor systemen in Bijlage I. Gebruiksverantwoordelijken mogen niet wachten tot deze deadlines: het nu al opbouwen van FRIA-processen stelt organisaties in staat om risico's voor grondrechten te identificeren en te verhelpen vóór het begin van de handhaving, en beoordelingen af te stemmen op lopende GDPR DPIA-programma's.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artikel 27 is specifiek van toepassing op gebruiksverantwoordelijken van hoog-risico AI-systemen die bestuursrechtelijke organen zijn als gedefinieerd in Richtlijn 2014/24/EU, of particuliere entiteiten die diensten van openbaar belang verlenen, zoals in de sectoren bankieren, verzekeringen, gezondheidszorg of onderwijs. Niet alle gebruiksverantwoordelijken vallen hieronder — particuliere bedrijven die puur in commerciële contexten opereren zonder een dimensie van openbare dienstverlening vallen in het algemeen buiten het toepassingsgebied van deze specifieke verplichting, hoewel zij onderworpen blijven aan andere verplichtingen voor gebruiksverantwoordelijken uit hoofde van de AI-verordening.
De beoordeling moet worden uitgevoerd vóór de inzet van het hoog-risico AI-systeem. Het betreft een verplichting vóór de inzet, hetgeen betekent dat de gebruiksverantwoordelijke de beoordeling moet uitvoeren en documenteren voordat het systeem in gebruik wordt genomen. De beoordeling moet worden bijgewerkt wanneer er wezenlijke wijzigingen optreden in de inzetcontext of het gebruik van het systeem.
De conformiteitsbeoordeling op grond van Artikel 43 wordt uitgevoerd door of namens de aanbieder om te verifiëren dat het AI-systeem voldoet aan de technische vereisten van Hoofdstuk 2 vóór het op de markt brengen. De FRIA op grond van Artikel 27 wordt uitgevoerd door de gebruiksverantwoordelijke om de concrete gevolgen voor grondrechten in de specifieke inzetcontext te beoordelen. Zij zijn complementair: de conformiteitsbeoordeling richt zich op de intrinsieke naleving van het systeem, terwijl de FRIA gericht is op de reële gevolgen voor individuen in een bepaalde gebruikscase.
Artikel 27 schrijft externe auditing niet uitdrukkelijk voor. De beoordeling mag intern worden uitgevoerd door de gebruiksverantwoordelijke. Gebruiksverantwoordelijken moeten de relevante markttoezichtautoriteit echter in bepaalde gevallen vóór de inzet in kennis stellen, en de gedocumenteerde beoordeling moet op verzoek beschikbaar worden gesteld aan bevoegde autoriteiten. Het inschakelen van externe deskundigheid is een beste praktijk, met name voor complexe of gevoelige inzetcontexten.
Gebruiksverantwoordelijken moeten gebruikmaken van de informatie die door de aanbieder beschikbaar is gesteld op grond van Artikel 13 (transparantie en verstrekking van informatie) en de gebruiksinstructies. Aanbieders zijn verplicht voldoende informatie te verstrekken over het beoogde doel, de mogelijkheden, beperkingen en risico's van het systeem, zodat gebruiksverantwoordelijken een zinvolle beoordeling van de gevolgen voor grondrechten kunnen uitvoeren.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.