# FRIA-mal — Fundamental Rights Impact Assessment (Art. 27) Last updated: 2026-02 Status: GA Category: Responsible AI & Governance --- ## Oversikt og hjemmel Fundamental Rights Impact Assessment (FRIA) er påkrevd etter EU AI Act Art. 27 for: - Offentlige organer som deployer av høyrisiko-AI-systemer (alltid) - Private aktører som deployer i kredittvurdering og forsikring (alltid) - Andre deployers av Annex III-systemer (anbefalt) FRIA er en selvstendig vurdering fra deployer — ikke det samme som provider's samsvarsvurdering (Art. 43). FRIA kan gjennomføres samlet med GDPR DPIA der begge er påkrevd. **Notifikasjon:** Resultater fra FRIA skal sendes til tilsynsmyndigheten (Art. 27(4)). --- ## Når må FRIA gjennomføres? ### Obligatorisk - **Offentlige organer som deployer av høyrisiko-AI = ALLTID** (Art. 27(1)) — dette inkluderer statlige etater, fylkeskommuner, kommuner og offentlige foretak - **Bankvirksomhet for kredittvurdering = ALLTID** (Annex III pkt. 5(b)) - **Livsforsikring og helseforsikring = ALLTID** (Annex III pkt. 5(d)) - **Private deployers som oppfyller Art. 27-kriteriene** — bl.a. stor skala behandling av personopplysninger ### Frivillig men sterkt anbefalt - Private deployers av andre Annex III-kategorier - Deployers som ønsker å dokumentere ansvarlig AI-praksis - Deployers som eksponerer systemet mot sårbare grupper ### Tidspunkt FRIA gjennomføres **før** systemet tas i bruk. Ved vesentlige endringer i bruken, systemet eller konteksten skal FRIA oppdateres. --- ## FRIA-mal — 7 seksjoner --- ### Seksjon 1: Systembeskrivelse | Felt | Innhold | |------|---------| | **Systemnavn** | [Offisielt navn på AI-systemet] | | **Versjon** | [Versjonsnummer] | | **Tiltenkt formål (deployer)** | [Beskriv hvordan deployer bruker systemet — ikke bare provider's tiltenkte formål] | | **Deployer** | [Organisasjonsnavn, organisasjonsnummer] | | **Provider** | [Leverandørnavn og kontaktinformasjon] | | **Risikoklassifisering** | [Høyrisiko — Annex III, kategori X] | | **Klassifiseringsdato** | [DD.MM.ÅÅÅÅ] | | **FRIA-versjon** | [1.0, 1.1 osv.] | | **FRIA-dato** | [DD.MM.ÅÅÅÅ] | | **Gyldig til** | [DD.MM.ÅÅÅÅ — eller "løpende med årlig revisjon"] | | **Geografisk scope** | [Norge / Nordland fylke / Oslo kommune osv.] | | **Tidsperiode** | [Fra dato — til dato, eller "løpende"] | | **Beslutningstype** | [Fullt automatisert / Beslutningsstøtte med menneskelig godkjenning] | | **Volum** | [Estimert antall beslutninger per år] | **Prosessbeskrivelse:** [Beskriv konkret hvordan AI-systemet brukes i saksbehandlingsprosessen. Hvem legger inn input? Hva er output? Hvem tar endelig beslutning? Hvilke alternativer til AI-systemet finnes?] --- ### Seksjon 2: Berørte grupper Identifiser alle grupper som direkte eller indirekte berøres av AI-systemets beslutninger. | Gruppe | Antall berørte (estimat) | Sårbarhet | Kontaktpunkt / representasjon | |--------|--------------------------|-----------|-------------------------------| | [Gruppe 1 — f.eks. "Søkere om førerrett klasse B"] | [Antall/år] | Lav / Middels / Høy | [Interesseorganisasjon, brukerrepresentant] | | [Gruppe 2 — f.eks. "Eldre søkere (over 70 år)"] | [Antall/år] | Høy | [Råd for eldre, brukerombud] | | [Gruppe 3 — f.eks. "Søkere med funksjonsnedsettelse"] | [Antall/år] | Høy | [FFO, brukerombud] | | [Gruppe 4 — f.eks. "Nyankomne innvandrere"] | [Antall/år] | Middels | [NOAS, integreringsorganisasjoner] | | [Gruppe 5] | | | | **Vurdering av sårbarhetsnivå:** - **Lav:** Ressurssterke, kan enkelt klage og alternative kanaler finnes - **Middels:** Begrenset tilgang til ressurser, men ikke særlig sårbare - **Høy:** Barn, eldre, funksjonshemmede, minoriteter, eller i akutt behov for tjenesten --- ### Seksjon 3: Rettighetsmatrise Vurder påvirkning på 12 grunnleggende rettigheter fra EU-charteret. Skala: **Ingen / Lav / Middels / Høy / Kritisk**. | # | Grunnleggende rettighet (EU Charter) | Vurdering | Begrunnelse | |---|--------------------------------------|-----------|-------------| | 1 | Menneskelig verdighet (Art. 1) | [Ingen/Lav/Middels/Høy/Kritisk] | [Kort begrunnelse] | | 2 | Frihet og personlig sikkerhet (Art. 6) | [Ingen/Lav/Middels/Høy/Kritisk] | [Kort begrunnelse] | | 3 | Beskyttelse av personopplysninger (Art. 8) | [Ingen/Lav/Middels/Høy/Kritisk] | [Kort begrunnelse] | | 4 | Ikke-diskriminering (Art. 21) | [Ingen/Lav/Middels/Høy/Kritisk] | [Kort begrunnelse] | | 5 | Likestilling mellom kvinner og menn (Art. 23) | [Ingen/Lav/Middels/Høy/Kritisk] | [Kort begrunnelse] | | 6 | Forbrukerrettigheter (Art. 38) | [Ingen/Lav/Middels/Høy/Kritisk] | [Kort begrunnelse] | | 7 | Retten til rettferdig rettergang (Art. 47) | [Ingen/Lav/Middels/Høy/Kritisk] | [Kort begrunnelse] | | 8 | Barns rettigheter (Art. 24) | [Ingen/Lav/Middels/Høy/Kritisk] | [Kort begrunnelse] | | 9 | Funksjonshemmedes rettigheter og integrering (Art. 26) | [Ingen/Lav/Middels/Høy/Kritisk] | [Kort begrunnelse] | | 10 | Miljøvern og bærekraftig utvikling (Art. 37) | [Ingen/Lav/Middels/Høy/Kritisk] | [Kort begrunnelse] | | 11 | Rett til sosial sikkerhet og sosial støtte (Art. 34) | [Ingen/Lav/Middels/Høy/Kritisk] | [Kort begrunnelse] | | 12 | Tilgang til helsetjenester (Art. 35) | [Ingen/Lav/Middels/Høy/Kritisk] | [Kort begrunnelse] | **Vurderingsskala:** - **Ingen:** Systemet berører ikke denne rettigheten - **Lav:** Marginal påvirkning, enkelt avhjulpet - **Middels:** Merkbar påvirkning, krever tiltak - **Høy:** Vesentlig påvirkning på en identifisert gruppe, krever sterke tiltak - **Kritisk:** Potensielt brudd på rettigheten — vurder om systemet kan tas i bruk --- ### Seksjon 4: Konsekvensanalyse For **hver rettighet med middels eller høyere vurdering** i seksjon 3, gjennomfør utvidet analyse: --- **Rettighet [X]: [Navn på rettighet]** **Vurdering:** [Middels / Høy / Kritisk] **Berørte grupper:** [Fra seksjon 2] **Beskrivelse av risiko:** [Beskriv konkret hvordan AI-systemet kan påvirke denne rettigheten. Gi eksempler på scenarioer der rettigheten kan krenkes. Vurder både direkte og indirekte påvirkning.] **Sannsynlighet for negativ påvirkning:** [Lav / Middels / Høy] **Eksisterende mitigeringstiltak:** [Beskriv tiltak som allerede er implementert av provider eller deployer for å redusere risikoen.] **Ytterligere tiltak (deployer implementerer):** | Tiltak | Ansvarlig | Frist | Status | |--------|-----------|-------|--------| | [Tiltak 1] | [Navn/rolle] | [DD.MM.ÅÅÅÅ] | [Planlagt/Implementert] | | [Tiltak 2] | [Navn/rolle] | [DD.MM.ÅÅÅÅ] | [Planlagt/Implementert] | **Restrisiko etter tiltak:** [Lav / Middels / Høy] **Akseptert av:** [Navn, rolle, dato] --- [Gjenta for hver rettighet med middels+ vurdering] --- ### Seksjon 5: Tilsynsmyndighets-notifikasjon I henhold til Art. 27(4) skal resultater fra FRIA sendes til nasjonal tilsynsmyndighet. | Felt | Innhold | |------|---------| | **Tilsynsmyndighet** | [Nasjonal AI-tilsynsmyndighet — per 2026 under etablering i Norge. Inntil videre: Datatilsynet for personverndimensjonen] | | **Notifikasjonsform** | [Elektronisk innlevering / Brev / Tilgjengeliggjøring på nettsted] | | **Notifikasjonsdato** | [DD.MM.ÅÅÅÅ] | | **Referansenummer** | [Tilsynsmyndighetens saksnummer der tilgjengelig] | | **Offentliggjøring** | [Ja / Nei — FRIA-sammendrag tilgjengelig offentlig?] | **Merk:** Det norske regelverket for notifikasjonsprosedyre er under utvikling (per februar 2026). Deployer bør følge Datatilsynets veiledning og fremtidig AI-tilsynsmyndighets instrukser. --- ### Seksjon 6: Godkjenning Alle tre roller skal godkjenne FRIA før systemet tas i bruk. | Rolle | Navn | Tittel | Dato | Signatur | |-------|------|--------|------|----------| | **Systemansvarlig** | [Navn] | [Tittel] | [DD.MM.ÅÅÅÅ] | ____________ | | **Personvernombud (DPO)** | [Navn] | Personvernombud | [DD.MM.ÅÅÅÅ] | ____________ | | **Leder / Direktør** | [Navn] | [Tittel] | [DD.MM.ÅÅÅÅ] | ____________ | **Neste revisjonsdato:** [DD.MM.ÅÅÅÅ] — Anbefalt: Minst én gang per år, eller ved vesentlige endringer i systemet, bruken eller regelverket. **Revisjonsoversikt:** | Versjon | Dato | Endring | Godkjent av | |---------|------|---------|-------------| | 1.0 | [DD.MM.ÅÅÅÅ] | Initiell FRIA | [Navn] | | 1.1 | [DD.MM.ÅÅÅÅ] | [Beskrivelse av endring] | [Navn] | --- ### Seksjon 7: Vedlegg Lenker til relaterte dokumenter som bør arkiveres sammen med FRIA: | Dokument | Referanse / Lenke | Versjon | Dato | |----------|-------------------|---------|------| | **Samsvarserklæring (DoC) fra provider** | [Dokumentreferanse] | [Versjon] | [Dato] | | **DPIA / PVK** | [Dokumentreferanse] | [Versjon] | [Dato] | | **ROS-analyse** | [Dokumentreferanse] | [Versjon] | [Dato] | | **Klassifiseringsrapport (Annex III)** | [Dokumentreferanse] | [Versjon] | [Dato] | | **Provider's tekniske dokumentasjon (Annex IV)** | [Dokumentreferanse / lenke] | [Versjon] | [Dato] | | **Bruksanvisning fra provider (Art. 13)** | [Dokumentreferanse] | [Versjon] | [Dato] | | **Opplæringsplan for operatører** | [Dokumentreferanse] | [Versjon] | [Dato] | | **Log retention policy** | [Dokumentreferanse] | [Versjon] | [Dato] | --- ## Eksempel: FRIA for AutomatiskSaksbehandler Førerkort (Statens vegvesen) Illustrativt eksempel for å vise utfylt mal: **Seksjon 1 (utdrag):** - Systemnavn: AutomatiskSaksbehandler Førerkort v2.0 - Provider: [Leverandørnavn] - Klassifisering: Høyrisiko — Annex III, kategori 5 (viktige offentlige tjenester) - Beslutningstype: Beslutningsstøtte — AI anbefaler, saksbehandler godkjenner - Volum: Ca. 150 000 søknader/år **Seksjon 3 (utdrag — høyeste risikoer):** - Ikke-diskriminering (Art. 21): **Høy** — Risiko for ulik behandling av søkere med funksjonsnedsettelse dersom treningsdata underrepresenterer denne gruppen - Rettferdig rettergang (Art. 47): **Middels** — Søker har klagerett, men forklaring fra AI-system kan være utilstrekkelig uten aktiv tilrettelegging **Seksjon 4 (utdrag):** - Tiltak for Art. 21: Bias-testingsrapport fra provider gjennomgått. Internkontroll ved kvartalsvis stikkprøvekontroll av avslag mot søkerprofil. Saksbehandler-opplæring i å overridere ved usikkerhet. - Tiltak for Art. 47: Standardisert klageveiledning som alltid vedlegges avslag. Forpliktelse om at saksbehandler skriver begrunnelse i klartekst (ikke kun AI-output). --- ## For Cosmo Bruk denne filen som arbeidsmal når bruker (typisk offentlig etat) skal gjennomføre FRIA for et høyrisiko-AI-system. **Typiske trigger-scenarioer:** - "Vi skal ta i bruk [AI-system] og trenger hjelp med FRIA" - "Tilsynsmyndigheten ber oss dokumentere rettighetsvurdering" - "Vi skal anskaffes nytt AI-system — hva må vi gjøre?" **Fremgangsmåte:** 1. Fyll ut seksjon 1 (systembeskrivelse) basert på brukerens input 2. Identifiser berørte grupper (seksjon 2) — spør om det er sårbare grupper 3. Gå gjennom rettighetsmatrisen (seksjon 3) systematisk — alle 12 rettigheter 4. For middels+ rettigheter: Dypdykk i konsekvensanalyse (seksjon 4) 5. Sjekk om DPIA også kreves (samordne) 6. Minn om godkjenningsprosessen (seksjon 6) og tilsynsnotifikasjon (seksjon 5) **Kobling til andre KB-filer:** - Klassifisering → `ai-act-classification-methodology.md` - Deployer-kontekst → `ai-act-deployer-obligations.md` - ROS-analyse → `../norwegian-public-sector-governance/ros-*.md` - Norsk offentlig sektor governance → `../norwegian-public-sector-governance/` **Norsk kontekst:** Per februar 2026 er det ingen etablert nasjonal AI-tilsynsmyndighet i Norge. Datatilsynet håndterer personverndimensjonen. Anbefal alltid å kontakte Datatilsynet for veiledning og følge deres oppdaterte retningslinjer.