Gå til indhold
Spekir
AIeu-ai-actdpiafria

DPIA og FRIA — to dokumenter, to formål

Forskel og overlap mellem GDPR's DPIA og AI Act's FRIA. Hvornår skal I lave hvad, hvem er ansvarlig, og hvordan undgår I dobbeltarbejde med en koordineret workflow?

Founder, Spekir9 min læsetid
Hop til afsnit...

Mange IT-ledere og compliance-ansvarlige stiller det samme spørgsmål: "Vi laver allerede DPIA under GDPR — skal vi nu lave endnu et dokument?" Svaret er ja og nej. DPIA og FRIA overlapper på vigtige punkter, men de er ikke det samme, og de opfylder ikke hinandens krav.

Denne artikel forklarer forskellen, hvornår I har brug for hvad, og hvordan I bygger en koordineret arbejdsproces der undgår dobbeltarbejde.

Hvad er en DPIA?

En Data Protection Impact Assessment (DPIA) er et krav under GDPR (artikel 35). I er forpligtet til at gennemføre en DPIA inden I igangsætter behandlingsaktiviteter der sandsynligvis indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

Datatilsynet i Danmark og tilsvarende myndigheder i EU har identificeret en liste over behandlingsaktiviteter der kræver DPIA — herunder systematisk profilering, behandling af følsomme personoplysninger i stor skala, og overvågning af offentligt tilgængelige arealer.

DPIA fokuserer på:

  • Proportionalitet og nødvendighed af databehandlingen
  • Risici for de registreredes rettigheder og frihedsrettigheder
  • Tekniske og organisatoriske sikkerhedsforanstaltninger
  • Høring af databehandlere og evt. tilsynsmyndighed

DPIA er et datahygiejne-dokument. Det handler primært om personoplysninger, behandlingsgrundlag, og databeskyttelse by design and by default.

Hvad er en FRIA?

En Fundamental Rights Impact Assessment (FRIA) er et krav under EU AI Act for deployere af high-risk AI-systemer (artikel 27). FRIA er et nyere krav — det har ikke eksisteret under GDPR — og har et bredere fokus end DPIA.

FRIA stiller spørgsmål som: Hvilke grundlæggende rettigheder kan dette AI-system potentielt påvirke? Hvilke individer og grupper er berørt? Hvad er sandsynlighed og alvor for negative effekter? Og hvad er jeres afbødningsplan?

FRIA fokuserer på:

  • Effekt på grundlæggende rettigheder — herunder retten til ligebehandling, menneskelig værdighed, retten til privatliv, retten til retfærdig behandling
  • Bredere end personoplysninger: retten til beskæftigelse, adgang til uddannelse, social ydelser
  • Sårbare grupper: børn, ældre, personer med handicap, mindretal
  • Systemets tilsigtede og ikke-tilsigtede effekter

FRIA er et rettigheds-dokument. Det handler om mennesker, ikke kun om data.

Overlap og forskelle — en sammenligning

| Dimension | DPIA | FRIA | |---|---|---| | Retsgrundlag | GDPR artikel 35 | EU AI Act artikel 27 | | Formål | Beskytte personoplysninger | Beskytte grundlæggende rettigheder | | Trigger | Høj-risiko databehandling | High-risk AI-system (Annex III) | | Fokus | Data og behandlingsaktivitet | AI-systemets effekter på individer | | Scope | Personoplysninger | Rettigheder og frihedsrettigheder (bredere) | | Ansvarlig | DPO + behandlingsansvarlig | AI-ansvarlig + systemejere | | Review-krav | Ved ændringer i behandling | Mindst hvert 3. år eller ved ændringer |

Hvornår overlapper de?

Når et AI-system behandler personoplysninger og er high-risk under AI Act, kræver det begge vurderinger. Dette er tilfældet for:

  • AI-drevne rekrutteringssystemer der behandler CV-data
  • AI-systemer til kreditvurdering der behandler personlig finansdata
  • Biometriske identifikationssystemer
  • AI-baseret sundhedsvurdering

I disse tilfælde bør DPIA og FRIA koordineres — men de er stadig separate dokumenter med separate formål.

Hvornår har I brug for hvad?

Kun DPIA (ikke FRIA):

  • Behandling af personoplysninger i stor skala uden AI-komponent
  • Profilering baseret på regelbaserede (ikke maskinlærings-baserede) systemer
  • Datastudier og analyser der ikke har direkte individuelle konsekvenser

Kun FRIA (ikke DPIA):

  • High-risk AI-systemer der ikke behandler personoplysninger
  • AI-styring af fysisk infrastruktur (Annex III kategori 2) uden dataintensiv komponent
  • AI-systemer til samfundskritiske beslutninger der ikke involverer persondata

Begge (DPIA + FRIA):

  • High-risk AI-systemer der behandler personoplysninger
  • AI-rekrutteringsværktøjer
  • AI-kreditvurderingsssystemer
  • AI-baseret sundhedsvurdering

Hvem laver hvad?

DPIA er typisk DPO's (Data Protection Officers) ansvarsområde, koordineret med IT og forretningen. DPO'en har kompetencen til GDPR-analyse og kender behandlingsregisteret.

FRIA er typisk AI-ansvarlig eller IT-leders ansvar, koordineret med HR (for beskæftigelsessystemer), økonomiafdelingen (for kreditvurdering), og eventuelt juridisk afdeling.

I mange midmarket-virksomheder er DPO'en og IT-chefen de samme to-tre personer. Her er koordination enklere — men det kræver stadig at begge vurderinger gennemføres med det korrekte fokus.

En praktisk workflow for koordination

Her er en fem-trins proces for virksomheder der skal lave begge vurderinger for et high-risk AI-system:

Trin 1: Systemkortlægning (fælles) Beskriv systemet: hvad gør det, hvem bruger det, hvilke data behandles, hvilke individer berøres. Dette udgangspunkt er fælles for begge vurderinger.

Trin 2: DPIA-spor (DPO-ledet) Kør den traditionelle DPIA-analyse: behandlingsgrundlag, proportionalitet, sikkerhedsforanstaltninger, høring af databehandlere. Output: DPIA-rapport.

Trin 3: FRIA-spor (AI-ansvarlig-ledet) Vurder de fem dimensioner i AI Acts FRIA-krav:

  1. Hvilke kategorier af individer berøres?
  2. Hvilke grundlæggende rettigheder kan systemet påvirke?
  3. Hvad er sandsynlighed og alvor for negative effekter?
  4. Hvilke afbødningsforanstaltninger er på plads?
  5. Er det muligt for berørte at klage eller søge genoprejsning?

Trin 4: Koordinationsreview (fælles) Gennemgå om DPIA og FRIA-analyser er konsistente. Identificér overlap og modsigende konklusioner. Dokumentér koordinationspunkter.

Trin 5: Periodisk revision (fælles) DPIA revideres ved ændringer i behandlingen. FRIA revideres mindst hvert tredje år eller ved ændringer i systemet. Sæt en reminder.

Praktiske fejl der koster tid

Fejl 1: Lave FRIA som en DPIA der bare har et nyt navn FRIA er bredere end DPIA. Retten til ligebehandling, retten til arbejde, og retten til uddannelse er grundlæggende rettigheder der ikke er persondata-spørgsmål. En FRIA der kun fokuserer på personoplysninger er ufuldstændig.

Fejl 2: Ignorere FRIA fordi man allerede har DPIA Det sker jævnligt. Argumentet er "vi har lavet en grundig DPIA, det må være nok." Det er det ikke. AI Act kræver eksplicit en FRIA for high-risk deployere.

Fejl 3: Lave begge vurderinger i isolation Hvis DPO'en laver DPIA uden at DPO'en kender FRIA-resultater, og omvendt, risikerer I inkonsistente konklusioner. Koordinationspunktet er vigtigt.

Fejl 4: Lave FRIA én gang og aldrig opdatere AI-systemer ændrer sig. Leverandørerne opdaterer modeller. Brugsscenarier udvides. FRIA er ikke et "set and forget"-dokument.

Hvad Atlas understøtter (og hvad der er på roadmap)

Atlas understøtter allerede DPIA-registrering under AI Governance-modulet. FRIA-funktionalitet — med guided fem-trins vurdering og dokumentgenerering — er under aktiv udvikling. Tjek changelog for opdateringer.

Skabelon: fem spørgsmål til en FRIA

En FRIA behøver ikke være et langt dokument. Her er de fem kernespørgsmål som enhver FRIA for et high-risk AI-system bør besvare:

1. Hvilke kategorier af individer berøres? Beskriv alle grupper der kan påvirkes af systemets outputs — direkte (som input-subjekter) og indirekte (som berørte tredjeparter). Overvej specifikt sårbare grupper: børn, ældre, personer med handicap, etniske mindretal.

2. Hvilke grundlæggende rettigheder er relevante? Hvilke rettigheder kan systemet potentielt påvirke? Retten til ligebehandling (artikel 21, EU-charter), retten til privatliv (artikel 7 og 8), retten til effektive retsmidler (artikel 47), retten til at arbejde (artikel 15)?

3. Hvad er sandsynlighed og alvor for negative effekter? For hver identificeret rettighed: vurdér sandsynlighed for negativ effekt (lav/middel/høj) og alvor (begrænset/moderat/alvorlig). Dokumentér begrundelse.

4. Hvilke afbødningsforanstaltninger er implementeret? Menneskelig tilsynsprotokol, mulighed for indsigelse, transparens, regelmæssig bias-evaluering af systemet, adgang til forklaring ved negative beslutninger.

5. Hvad er klage- og genoprejsningsproceduren? Konkret: Hvad kan en person gøre hvis de mener at systemet har behandlet dem uretfærdigt? Hvem kontakter de? Hvad er tidsrammen for svar?

Dokumentationskrav og opbevaringstid

Både DPIA og FRIA er dokumenter der skal opbevares og holdes opdateret. Her er de relevante krav:

DPIA:

  • Skal opbevares så længe behandlingen finder sted
  • Skal opdateres ved væsentlige ændringer i behandlingen
  • Skal stilles til rådighed for Datatilsynet ved anmodning
  • Ingen specifik opbevaringsperiode efter behandlingen ophører — anbefalet minimum 3 år

FRIA:

  • Skal opbevares i mindst 10 år efter deployment (AI Act artikel 27)
  • Skal opdateres ved væsentlige ændringer i systemets funktionalitet eller anvendelse
  • Skal opdateres mindst hvert tredje år
  • Skal stilles til rådighed for tilsynsmyndigheder ved anmodning

Det er stærkt anbefalet at DPIA og FRIA for samme system opbevares samlet i jeres governance-dokumentation, med tydelig versionshistorik og dato for seneste review.

Ressourcer til FRIA-arbejdet

EU's AI-kontor har publiceret vejledning om FRIA-gennemførelse, og Datatilsynet forventes at udgive dansk-specifik vejledning i 2026. Følg opdateringer på ai.spekir.com og datatilsynet.dk.

For virksomheder der ønsker struktureret support til FRIA-arbejdet, understøtter Atlas en guided FRIA-vurdering med dokumentgenerering som del af AI Governance-modulet.

Seks spørgsmål til at afgøre om I har brug for en FRIA

Brug disse spørgsmål som første filter:

  1. Er systemet klassificeret som high-risk under Annex III? (Rekruttering, kredit, sundhed, biometri osv.) Ja → FRIA er påkrævet.
  2. Bruges systemet til beslutninger der påvirker individers adgang til ressourcer, ydelser eller beskæftigelse? Ja → FRIA er sandsynligvis påkrævet, selv uden Annex III-klassificering.
  3. Behandler systemet personoplysninger? Ja → Overvej om DPIA er påkrævet parallelt.
  4. Er I deployer (I bruger andres system)? Ja → I er forpligtede til FRIA som deployer.
  5. Er I udbyder (I bygger systemet)? Ja → Yderligere krav udover FRIA.
  6. Er systemet nyt eller væsentligt ændret? Ja → Ny FRIA (eller opdatering af eksisterende) inden deployment.

Sammenfatning

DPIA og FRIA er komplementære, ikke redundante. DPIA beskytter personoplysninger under GDPR. FRIA vurderer bredere effekter på grundlæggende rettigheder under AI Act. Begge er påkrævede for high-risk AI-systemer der behandler persondata.

Den gode nyhed: en stor del af det forberedende arbejde er det samme. Systemkortlægning, brugeranalyse og effektvurdering genbruges på tværs af begge dokumenter.

Brug DPIA og FRIA som systematiseringsøvelse, ikke som compliance-byrde. De tvinger jer til at forstå jeres egne AI-systemer bedre — og det er al tid værd.

eu-ai-actdpiafriagdprcompliance
DelLinkedInX

Spekir bygger det lag, der forbinder strategi med IT-porteføljen. Se Atlas →

Relaterede artikler

EU AI Act for midmarket — hvad du faktisk skal gøre

En pragmatisk køreplan til IT-leder eller compliance-koordinator der skal omsætte EU AI Act til handling uden dedikeret compliance-team. De 20 ting, prioritering og hvad der er realistisk.

9 min

Annex III forklaret — hvornår er din AI 'high-risk'?

De otte kategorier i Annex III gennemgået med konkrete eksempler fra nordisk midmarket. Hvornår er jeres rekrutteringsværktøj, kreditscoring eller OT-system high-risk under EU AI Act?

8 min

Din AI-politik — 8 sektioner du ikke kan undvære

Hvad skal en AI-politik indeholde? De otte obligatoriske sektioner, typiske fejl og hvad der adskiller en politique der faktisk bruges fra én der lever i en PDF-mappe ingen åbner.

8 min

Alle artikler