BLOG

EU AI Act FRIA: Fundamental Rights Impact Assessment for offentlige deployers

Når en offentlig myndighed eller stor virksomhed implementerer et AI-system til rekruttering, performancevurdering eller personaleforvaltning, opstår der en situation, som EU AI Act behandler med særlig alvor. Loven introducerer nemlig et krav, der rækker langt ud over den klassiske databeskyttelse: den såkaldte Fundamental Rights Impact Assessment — eller FRIA.

FRIA er ikke blot et skema, der skal udfyldes. Det er en struktureret risikoanalyse, der tvinger deployers til at tage stilling til, om et AI-system kan krænke de grundlæggende rettigheder, som EU's Charter om grundlæggende rettigheder beskytter. For HR-AI drejer det sig om alt fra ligebehandling og privatliv til retten til beskæftigelse og non-diskrimination.

Denne artikel gennemgår, hvad FRIA er, hvem der er pligtige til at gennemføre den, hvad den skal indeholde, og hvad konsekvenserne er, hvis man forsømmer den.

Hvad er EU AI Act FRIA — og hvorfor eksisterer den?

EU AI Act (forordning 2024/1689) klassificerer visse AI-systemer som høj-risiko under Bilag III. Det gælder bl.a. systemer til rekruttering og udvalgelse af kandidater, systemer til evaluering og overvågning af medarbejderes præstationer, samt AI til forfremmelse, afskedigelse og lignende HR-beslutninger.

For disse systemer stilles der en lang række krav til teknisk robusthed, dokumentation, menneskelig overvågning og transparens. Men for deployers — dem, der tager systemet i brug — tilføjer Artikel 27 endnu et lag: en forpligtelse til at vurdere, hvilken konkret indvirkning systemet kan have på menneskers grundlæggende rettigheder.

Logikken bag FRIA er enkel: Et AI-system, der screener jobansogere eller vurderer medarbejdere, trækker reelt beslutninger med vidtrækkende konsekvenser for enkeltpersoners liv. Disse beslutninger kan — bevidst eller utilsigtet — reproducere bias, ekskludere sårbare grupper og underminere rettighederne i EU's Charter. FRIA er lovgivers instrument til at sikre, at disse risici er kortlagt og adresseret, inden systemet går i drift.

Artikel 27, stk. 1: Hvem er obligatorisk FRIA-pligtig?

Forpligtelsen til at gennemføre en FRIA gælder ikke alle deployers automatisk. Artikel 27, stk. 1 afgrænser kredsen til tre grupper:

1. Offentlige myndigheder og organer

Alle offentlige myndigheder, der deployerer et høj-risiko AI-system, er forpligtede. I dansk kontekst betyder dette kommuner, regioner, statslige ministerier og styrelser samt selvstyrende institutioner, der varetager offentlige opgaver. En kommunes brug af AI-assisteret rekruttering til at screene ansogninger er et klart eksempel.

2. Private enheder, der udforer offentlige tjenester

Private virksomheder eller organisationer, der leverer tjenesteydelser på vegne af det offentlige — eksempelvis private leverandører af social beskæftigelsesservice, uddannelsesinstitutioner med offentlig finansiering eller sundhedsleverandører under offentlig kontrakt — er ligeledes omfattet, når de deployerer høj-risiko AI som led i disse opgaver.

3. Store private virksomheder under visse betingelser

Forordningens nuancerede formulering åbner for, at store private aktorer kan blive FRIA-pligtige, når de deployerer systemer, der påvirker et tilstrækkeligt stort antal personer med hensyn til grundlæggende rettigheder. Kommissionen forventes at præcisere tærsklerne for dette i delegerede retsakter.

Det er vigtigt at understrege: SMV'er (virksomheder med under 250 ansatte) er som udgangspunkt undtaget, medmindre de specifikt leverer offentlige tjenesteydelser under de ovennachevnte betingelser. Undtagelsen er ikke automatisk — virksomheder bør selv vurdere, om de falder ind under kategori 2 eller 3.

Dansk kontekst: Hvem er "offentlig myndighed"?

I dansk ret er begrebet "offentlig myndighed" veldefineret, men EU AI Acts rammer er bredere. Kommuner er klart omfattede — og de er netop relevante, fordi mange kommuner eksperimenterer med AI i rekruttering til administrative og sociale stillinger. Regioner er ligeledes klart inden for kredsen.

Statslige institutioner som Styrelsen for Arbejdsmarked og Rekruttering (STAR), Skatteforvaltningen, Forsvaret og Politiet er alle FRIA-pligtige, hvis de anvender høj-risiko HR-AI. Det er relevant at notere, at Datatilsynet allerede fører tilsyn med GDPR-compliance for disse aktorer — og FRIA er designet til at koordinere med netop disse processer.

Et gråzonetilfælde, der bør afklares: Aktieselskaber, der er 100 % offentligt ejede og varetager monopolopgaver — eksempelvis visse forsyningsselskaber og regionale trafikselskaber — vil sandsynligvis falde ind under artikel 27's anvendelsesområde, men det afventer afklaring i nationale implementeringsretningslinjer.

Artikel 27, stk. 2: De 8 elementer i en FRIA

En FRIA er ikke en fri form-ovelse. Artikel 27, stk. 2 specificerer, hvad vurderingen skal indeholde. Der er otte obligatoriske elementer:

Element 1: Beskrivelse af systemets formal og anvendelse

Hvad gør AI-systemet konkret? Hvilke beslutninger understotter eller trækker det? Hvem er slutmodtagerne af disse beslutninger? En præcis systembeskrivelse er fundamentet for alle efterfolgende analysetrin.

Element 2: Begrundelse for anvendelse af det pågældende system

Hvorfor dette system frem for andre metoder? Er der en saglig, proportional begrundelse for at anvende høj-risiko AI til den pågældende opgave? Begrundelsen skal være substantiel — ikke blot "det er mere effektivt."

Element 3: Vurdering af alternative muligheder

Hvad er alternativerne? Kunne opgaven løses med mindre indgribende metoder — eksempelvis manuel sagsbehandling, enklere algoritmer eller regelbaserede systemer uden maskinlæring? EU AI Act har et proportionalitetsprincip som lodrette stolpe: jo storre indgreb i grundlæggende rettigheder, jo storre krav til begrundelse for valget.

Element 4: Identifikation af påvirkede grupper

Hvilke befolkningsgrupper, kategorier af arbejdssøgende eller medarbejdersegmenter vil systemet påvirke? Er der særligt sårbare grupper, der er over- eller underreprasenterede? Kortlægningen bør være konkret og ikke blot generisk.

Element 5: Risikovurdering for grundlæggende rettigheder

Den centrale analyse: Hvilke grundlæggende rettigheder kan påvirkes, og med hvilken sandsynlighed og alvorlighed? Dette punkt er kernen i FRIA og adskiller den fundamentalt fra en ren teknisk risikovurdering.

Element 6: Afbødende foranstaltninger

Hvilke foranstaltninger er iværksat for at reducere eller elim

Klar til at komme i gang?

PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

Start med M1 — 10.999 kr