Innholdsfortegnelse

Artikkel

DPIA eller FRIA — hva trenger vi?

DPIA og FRIA har forskjellig formål og metode. De kan samkjøres, men er ikke det samme. Her er forskjellen, hvem som trenger hva, og hvordan de kan kombineres i ett dokument.

Sist oppdatert · 4 min lesetid

DPIA eller FRIA — hva trenger vi?

Kort svar: Det kommer an på hvem dere er og hva systemet brukes til. DPIA (personvernkonsekvensvurdering) følger av GDPR og gjelder alle. FRIA (vurdering av grunnleggende rettigheter) følger av KI-forordningen og gjelder primært offentlig sektor. De kan samkjøres i ett dokument, men har ulik metodikk og ulikt formål.

To vurderinger, to regelverk

DPIA — Data Protection Impact Assessment — er regulert i GDPR artikkel 35. Den utløses når en behandling «sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter». Formålet er å identifisere og redusere personvernrisiko før behandlingen starter.

FRIA — Fundamental Rights Impact Assessment — er regulert i KI-forordningen artikkel 27. Den gjelder for idriftsettere av høyrisiko-KI-systemer som er offentlige myndigheter eller private aktører som yter offentlige tjenester. Formålet er å vurdere konsekvensene for grunnleggende rettigheter.

Den viktige forskjellen

Arnesen (Lov & Data 2024 nr. 2 s. 12) identifiserer en fundamental spenning mellom de to:

DPIA etter GDPR «er ment å avdekke brudd eller fare for brudd på grunnleggende rettigheter, slik at behandlingsansvarlig kan justere behandlingsaktivitetene på en måte som unngår rettighetsbrudd.»

FRIA etter KI-forordningen derimot «ser ut til å akseptere risikoen for en viss mengde rettighetsbrudd» — basert på en risikobasert tilnærming der restrisiko er «judged to be acceptable».

Altså: DPIA handler om å unngå personvernbrudd. FRIA handler om å identifisere berørte og etablere beredskap for akseptabel restrisiko.

Hvem trenger hva?

Alle virksomheter som behandler personopplysninger med KI kan trenge DPIA — men bare dersom behandlingen sannsynligvis medfører «høy risiko» etter GDPR artikkel 35.

GDPR artikkel 35 nr. 3 gir tre eksempler på høy risiko: systematisk og omfattende profilering med rettsvirkning, behandling i stor skala av særlige kategorier, og systematisk overvåking i stor skala. Karnov lovkommentar note 1 til artikkel 35 presiserer at «en grunnleggende risikovurdering må skje også for behandlinger som ikke har en slik høy risiko» — man må alltid vurdere om DPIA-terskelen er nådd.

Offentlige virksomheter og private som yter offentlige tjenester trenger i tillegg FRIA for høyrisiko-KI-systemer. Arnesen (s. 11) bekrefter at private aktører i hovedsak er unntatt fra FRIA-plikten.

Kan de samkjøres?

Ja. KI-forordningen artikkel 27 nr. 4 tillater eksplisitt at FRIA «may be performed in conjunction with an existing data protection impact assessment under Article 35 of Regulation (EU) 2016/679».

Men samkjøring betyr ikke at de er identiske. Et kombinert dokument bør tydelig markere hvilke elementer som dekker GDPR artikkel 35 og hvilke som dekker KI-forordningen artikkel 27.

FRIA-innhold etter artikkel 27

Arnesen (s. 12) oppsummerer hva FRIA skal inneholde:

  1. Beskrivelse av hvordan KI-systemet vil bli brukt, inkludert frekvens, tidsperiode og berørte personer
  2. Risikovurdering av konsekvensene for de berørte personene
  3. Beskrivelse av tiltak for menneskelig tilsyn i tråd med tilbyderens instruksjoner
  4. Beskrivelse av beredskapstiltak ved rettighetsbrudd, inkludert klageadgang

Det siste punktet er unikt for FRIA — og reflekterer at KI-forordningen aksepterer restrisiko: brukeren må ha beredskap for når rettighetsbrudd forekommer, ikke bare tiltak for å unngå dem.

Et praktisk eksempel

Copilot brukt til e-postskriving: Behandler persondata, men er neppe «systematisk profilering med rettsvirkning». Sannsynligvis under DPIA-terskelen etter GDPR. Og neppe høyrisiko etter KI-forordningen Annex III. Resultat: grunnleggende risikovurdering er nok.

KI-system brukt til å vurdere jobbsøkere i en kommune: Behandler persondata i stor skala, med profilering som har rettsvirkning. Sannsynligvis over DPIA-terskelen. Og rekruttering er høyrisiko etter Annex III. Resultat: Både DPIA og FRIA kreves.

Norsk veiledning?

Per april 2026 finnes det ingen norsk veiledning om DPIA/FRIA-samkjøring. Datatilsynets DPIA-veileder dekker kun GDPR artikkel 35 og er ikke oppdatert for KI-forordningen.

Arnesen og Vanebo i Lov & Data er de nærmeste norske fagkildene. Digitaliseringsrundskrivet D-2025-2 peker generelt mot forberedelse, men uten spesifikk FRIA-veiledning.

Rettskilder brukt i denne artikkelen

  • GDPR artikkel 35 (DPIA) + Karnov note 1 og 2
  • Forordning (EU) 2024/1689 artikkel 27 nr. 1–4 (FRIA), Annex III
  • Arnesen, Lars: Lov & Data 2024 nr. 2 s. 9–12 (LoD-2024-158-9)
  • Digitaliseringsrundskrivet D-2025-2 pkt. 1.3

Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no