Styrning & efterlevnad

FRIA: Grundläggande rättigheter-bedömning enligt EU AI Act

Vad är en FRIA-bedömning och när behöver man göra den?

En FRIA (Fundamental Rights Impact Assessment) är en bedömning av hur ett högrisk-AI-system påverkar enskildas grundläggande rättigheter, som driftsansvariga inom offentlig sektor måste göra innan systemet tas i bruk. Kravet följer av artikel 27 i EU:s AI-förordning.

Varför det spelar roll

En FRIA är skillnaden mellan att kontrollera ett AI-systems tekniska risk och att kontrollera dess mänskliga risk. Ett kreditbeslut, ett biståndsbeslut eller en prioritering i en vårdkö fattas inte i ett vakuum. Det träffar en person som har rätt till likabehandling, till att förstå beslutet och till att överklaga det. FRIA tvingar fram den frågan innan systemet rör en enda verklig medborgare.

För offentlig sektor är detta inte en formalitet vid sidan av. Det är myndighetsutövning i ny form. När en kommun låter ett AI-system stödja beslut om försörjningsstöd står rättssäkerheten på spel på ett sätt som ett rent dataskyddsperspektiv inte fångar. DPIA frågar om uppgifterna behandlas rätt. FRIA frågar om människan behandlas rätt.

Tidslinjen gör frågan akut just nu, av ett skäl som är lätt att missförstå. Det ursprungliga datumet för högrisk-skyldigheterna är 2 augusti 2026. I maj 2026 enades rådet och Europaparlamentet preliminärt om att skjuta upp dem till 2 december 2027 inom förenklingspaketet Digital Omnibus (källa: Consilium, 2026-05-07). Men uppskovet är ännu inte lag. Det kräver formellt antagande och publicering i EU:s officiella tidning. En svensk aktör som planerar mot det uppskjutna datumet bygger på regler som ännu inte är beslutade.

Hur det fungerar

En FRIA är en kvalitativ rättighetsanalys, inte en kryssruta. Artikel 27.1 i AI-förordningen anger sex innehållsdelar som varje bedömning måste täcka. De fungerar som en arbetsgång.

Steg	Vad ni dokumenterar	Källa i artikel 27.1
1. Process	Era processer där systemet ska användas enligt avsett ändamål	(a)
2. Tidsperiod	Hur länge och hur ofta systemet ska användas	(b)
3. Berörda	Kategorier av personer och grupper som sannolikt påverkas	(c)
4. Risker	Specifika risker för skada för dessa grupper, med leverantörens information som underlag	(d)
5. Tillsyn	Hur mänsklig tillsyn genomförs enligt bruksanvisningen	(e)
6. Åtgärder	Vad ni gör om en risk materialiseras, inklusive intern styrning och klagomålsmekanism	(f)

När bedömningen är klar ska ni anmäla resultaten till marknadskontrollmyndigheten (källa: AI-förordningen artikel 27.3, 2024). I Sverige föreslår SOU 2025:101 att Post- och telestyrelsen får huvudansvaret för marknadskontroll, medan Integritetsskyddsmyndigheten och Finansinspektionen delar ansvar inom sina områden (källa: SOU 2025:101, 2025-10-06).

Har ni redan gjort en DPIA enligt artikel 35 GDPR ska FRIA komplettera den, inte ersätta den. Det betyder att överlappande delar, kartläggningen av berörda personer, riskidentifieringen, kan återanvändas. FRIA lägger till rättighetsperspektivet ovanpå.

När det passar

FRIA passar varje gång er organisation tar i bruk ett högrisk-AI-system enligt Annex III. Den gäller om ni dessutom är en av de driftsansvariga som artikel 27 pekar ut. I praktiken handlar det om offentlig sektor och om beslut som rör människors livssituation.

En kommun som inför AI-stöd i handläggning av ekonomiskt bistånd.
En region som använder AI för prioritering i vårdköer.
En myndighet som tar i bruk biometrisk identifiering eller riskprofilering.
En bank eller försäkringsgivare som automatiserar kreditbedömning eller premiesättning.

Den passar också när ni vill bygga kapacitet i förväg. En FRIA är en analys som tar månader att lära sig göra väl. Att öva på den nu, innan plikten är skarp, är den ansvarsfulla hållningen, inte minst eftersom DPIA-arbetet enligt GDPR ändå måste göras.

När det inte passar

En FRIA är fel verktyg om systemet inte är högrisk. AI-förordningen är riskbaserad. Ett internt schemaläggningsverktyg eller en chattbot som svarar på allmänna frågor utlöser ingen FRIA-skyldighet. Att göra en full rättighetsbedömning för varje AI-användning är slöseri som dessutom döljer var de verkliga riskerna sitter.

Den passar inte heller som ersättning för en DPIA. De två bedömningarna svarar på olika frågor, och en FRIA löser inte era dataskyddskrav. Gör båda där båda krävs.

Och den passar inte som efterhandskonstruktion. Artikel 27 kräver att bedömningen görs innan systemet används första gången. En FRIA som skrivs ihop efter driftstart för att bocka av en revision missar hela poängen: att fånga rättighetsrisken medan ni fortfarande kan ändra på den.

Slutligen är ren transparensskyldighet inte samma sak. Skyldigheten i artikel 50 att informera den som interagerar med ett AI-system gäller från 2 augusti 2026 och påverkas inte av uppskovet för högrisk (källa: Gibson Dunn, 2026-05-27). Den löser ni med en upplysning, inte med en FRIA.

Konkret exempel

Tänk er en mellanstor svensk kommun. Den vill införa ett AI-system som förutsäger vilka hushåll som riskerar långvarigt försörjningsstöd, så att socialtjänsten kan rikta tidiga insatser. Systemet klassas som högrisk eftersom det påverkar tillgången till en offentlig förmån.

Kommunen är driftsansvarig och offentligrättsligt organ. FRIA-skyldigheten gäller. Arbetsgången blir konkret. I steg tre identifierar kommunen att systemet sannolikt träffar grupper som redan är överrepresenterade i statistiken, ensamstående föräldrar, nyanlända, personer med funktionsnedsättning. I steg fyra blir den specifika risken tydlig: att modellen lär sig av historiska mönster och därmed cementerar en bias mot just dessa grupper. I steg fem fastställer kommunen att en handläggare alltid fattar det faktiska beslutet, aldrig systemet. I steg sex bygger kommunen in en klagomålsväg så att en enskild kan begära att beslutet omprövas av en människa.

Resultatet är inte att systemet stoppas. Resultatet är att kommunen vet var risken sitter och har dokumenterat hur den hanteras, innan första hushållet bedöms. Det är skillnaden mellan ansvarsfull AI på papperet och i drift.

På Digitalist möter vi den här typen av bedömningar genom vårt arbete med AI-styrning för offentlig sektor. Vi är ISO/IEC 42001-certifierade av DNV Business Assurance, vilket innebär att riskbedömning, mänsklig tillsyn och klagomålshantering redan är inbyggt i hur vi tar fram AI-system, inte påklistrat efteråt.

Vanliga missförstånd

“Uppskovet ger oss tid att vänta.” Den preliminära Digital Omnibus-överenskommelsen från maj 2026 skjuter på datumet, men den är ännu inte lag. Tills den antas och publiceras i EU:s officiella tidning gäller 2 augusti 2026 rättsligt (källa: Covington/Inside Privacy, 2026). En organisation som väntar in det uppskjutna datumet planerar mot regler som ännu inte finns.

“FRIA är bara en DPIA till.” De överlappar i underlag men inte i syfte. DPIA skyddar personuppgifter, FRIA skyddar grundläggande rättigheter. Civilsamhällesorganisationer som ECNL har dessutom kritiserat uppskovet just för att det riskerar att försvaga rättighetsskyddet (källa: ECNL, 2026). Den som behandlar FRIA som en formalitet missar varför den finns.

“Leverantören sköter det åt oss.” Artikel 27 lägger skyldigheten på driftsansvarig. Leverantörens information om systemets risker är ett obligatoriskt underlag i steg fyra, men bedömningen av er faktiska användning kan ingen annan göra åt er.

Den färska, ansvarsfulla positionen 2026 är inte att vänta in ett datum som ännu inte är beslutat. Det är att kartlägga era högrisk-system, öva på rättighetsanalysen och ha kapaciteten på plats den dag plikten blir skarp.

Vanliga frågor

Vem måste göra en FRIA?

Skyldigheten träffar driftsansvariga, alltså den som tar ett högrisk-AI-system i bruk. Tre grupper omfattas: offentligrättsliga organ, privata aktörer som tillhandahåller offentliga tjänster, samt driftsansvariga för kreditvärdighetsbedömning och för riskbedömning och prissättning inom liv- och sjukförsäkring (Annex III punkt 5 b och c). För svensk del betyder det att kommuner, regioner och statliga myndigheter som använder högrisk-AI nästan alltid omfattas (källa: AI-förordningen artikel 27.1, 2024).

Vad är skillnaden mellan FRIA och DPIA?

Skillnaden ligger i vad bedömningen skyddar. En DPIA enligt artikel 35 GDPR granskar personuppgiftsbehandlingen, laglig grund, säkerhet, lagringstid. En FRIA granskar systemets påverkan på enskildas grundläggande rättigheter, rättvisa, icke-diskriminering och möjligheten att överklaga ett beslut. De överlappar men ersätter inte varandra. Har ni redan gjort en DPIA ska FRIA komplettera den, inte göras om från noll (källa: AI-förordningen artikel 27.4, 2024).

Finns det en officiell FRIA-mall?

EU:s AI-kontor ska ta fram ett standardiserat frågeformulär och ett automatiserat verktyg som hjälper driftsansvariga att uppfylla skyldigheterna i artikel 27 på ett enklare sätt. Mallen var ännu inte publicerad i juni 2026. Tills den finns bygger ni er egen FRIA kring de sex innehållsdelar som artikel 27.1 räknar upp, de är obligatoriska oavsett mallformat (källa: AI-förordningen artikel 27.5, 2024).

När börjar FRIA-skyldigheten gälla i Sverige?

Det rättsligt gällande datumet är fortfarande 2 augusti 2026, två år efter att AI-förordningen trädde i kraft. I maj 2026 nådde rådet och Europaparlamentet en preliminär överenskommelse inom Digital Omnibus-paketet om att skjuta upp högrisk-skyldigheterna till 2 december 2027. Den överenskommelsen är ännu inte antagen som lag. Den svenska anpassningsutredningen SOU 2025:101 föreslår dessutom att de svenska kompletterande reglerna ska träda i kraft redan 2 augusti 2026 (källa: Consilium, 2026-05-07; SOU 2025:101).

Vad händer om en FRIA inte görs?

Att hoppa över en obligatorisk FRIA är ett brott mot driftsansvarigas skyldigheter i AI-förordningen. Sanktionsnivån för den kategorin går upp till 15 miljoner euro eller 3 procent av den globala årsomsättningen (källa: AI-förordningen artikel 99, 2024).

Räcker det att leverantören har gjort sin riskbedömning?

Leverantörens dokumentation är ett underlag, inte en ersättning. Leverantören bedömer systemet i allmänhet. FRIA bedömer er konkreta användning, i er process, mot er målgrupp, i er kontext. Artikel 27 är uttryckligen en skyldighet för driftsansvarig, och ni kan inte delegera bort den till leverantören (källa: AI-förordningen artikel 27.1, 2024).

Pontus Rosin Ansvarig informationssäkerhet och AI governance · Digitalist Uppdaterad 4 juni 2026

Vill ni omsätta det här i praktiken?

Boka ett kort samtal med en kundansvarig.

Kontakta oss

Vad är en FRIA-bedömning och när behöver man göra den?

Varför det spelar roll

Hur det fungerar

När det passar

När det inte passar

Konkret exempel

Vanliga missförstånd

Vanliga frågor

Fördjupning

EU AI Act för svenska myndigheter: vad ni behöver göra 2026

ISO 42001 i praktiken: vad det innebär att vara AI-certifierad

Så skapar du en effektiv AI-policy: guide och mall 2026

Ansvarsfull AI i praktiken: från princip till genomförande

Relaterade tjänster

Governance: AI, informationssäkerhet och cybersäkerhet

Vill ni omsätta det här i praktiken?