DPIA-concept — Bewindvoerder
Documentnummer: DPIA-BEWINDVOERDER-2026-CONCEPT Versie: 1.0 — concept Datum: 19 mei 2026 Status: CONCEPT — vereist juridische review en vaststelling vóór gebruik. Geen juridisch advies.
Dit is een concept-DPIA op grond van AVG art. 35. Een uitgebreidere, architectuurgerichte versie staat in
legal/dpia/bewind-dpia-v1.md; dit document is de samenvattende portal-DPIA. Laat beide toetsen voordat ze worden vastgesteld.
1. Aanleiding en context
Het bewindvoerder-portaal ondersteunt professionele bewindvoerders bij het voeren van wettelijk bewind: het beheren van rekeningen en leefgeld, en het opstellen van rekening en verantwoording (R&V) aan de rechter. Een DPIA is passend omdat de verwerking de volledige financiële situatie van mensen in een afhankelijke positie betreft.
2. Beschrijving van de verwerking
Doel. Het voeren van bewind conform Boek 1 BW en het indienen van rekening en verantwoording bij de rechter.
| Categorie persoonsgegevens | Bron |
|---|---|
| Naam, adres, BSN, geboortedatum rechthebbende | Bewindvoerder, DigiD |
| Bankrekeningen, transacties, leefgeld | PSD2-koppeling, handmatig |
| Schulden, beslagen, financiële administratie | Bewindvoerder, documenten |
| R&V-rapporten | Systeem, gecontroleerd door de bewindvoerder |
| Sociale notities | Bewindvoerder |
| Audit-log | Systeem |
Betrokkenen. Rechthebbenden onder bewind; bewindvoerders en kantoor- medewerkers.
3. Rechtsgrondslag en noodzaak
| Verwerking | Grondslag |
|---|---|
| Bewindadministratie | Wettelijke verplichting, AVG art. 6 lid 1 sub c (Boek 1 BW) |
| R&V-indiening | Wettelijke verplichting en algemeen belang, AVG art. 6 lid 1 sub c en e |
| Verwerking BSN | Wettelijke grondslag |
| Audit-logging | Beveiliging en wettelijke plicht |
De verwerking is proportioneel: alleen gegevens die nodig zijn voor het bewind worden verwerkt. AI-ondersteuning bij R&V levert alleen een voorstel; de bewindvoerder controleert en accordeert.
4. Risico-analyse
| # | Risico | Kans | Impact | Score |
|---|---|---|---|---|
| R1 | Datalek financiële administratie via een gecompromitteerd account | 2 | 5 | 10 |
| R2 | Fout in een AI-voorstel voor R&V dat de rechter zou kunnen misleiden | 2 | 5 | 10 |
| R3 | Bewindvoerder neemt een AI-voorstel klakkeloos over | 3 | 4 | 12 |
| R4 | Sociale of gezondheidsnotities lekken naar de rechter | 2 | 4 | 8 |
| R5 | Toegang door een collega buiten de kantoor-scope | 2 | 4 | 8 |
5. Maatregelen
Technisch
- Versleuteling in transit en in rust; veldniveau-encryptie voor BSN en notities (R1, R4).
- RBAC met kantoor-scope: een bewindvoerder ziet alleen eigen rechthebbenden (R5).
- MFA verplicht (R1, R5).
- R&V wordt pas vrijgegeven na expliciete review en akkoord van de bewindvoerder (R2, R3).
- AI-voorstel filtert sociale en gezondheidsnotities uit de context (R4).
- Geen externe cloud-AI voor casus-data; lokale of EU-first route.
- Onveranderlijk audit-log (R1, R5).
- Geautomatiseerde verwijdering na de bewaartermijn.
Organisatorisch
- Verwerkersovereenkomst met het bewindkantoor (AVG art. 28).
- Uitleg over de rol van AI, vindbaar vanuit elk R&V-stuk.
- R&V-stukken zijn herkenbaar gemarkeerd als gecontroleerd door de bewindvoerder.
- Heldere privacyverklaring en klachtroute voor rechthebbenden.
- Datalekprocedure met melding aan het kantoor binnen 24 uur.
6. Restrisico en conclusie
Na de maatregelen is het restrisico aanvaardbaar; de bewindvoerder blijft eindverantwoordelijk. Bij uitbreiding naar geautomatiseerde besluiten over het bewind is een nieuwe DPIA en mogelijk een voorafgaande raadpleging van de Autoriteit Persoonsgegevens vereist.
7. Rechten van betrokkenen
Rechthebbenden houden hun AVG-rechten, binnen de grenzen van het bewindrecht. Verzoeken lopen via de bewindvoerder; Fynqo verleent technische bijstand.
8. Vaststelling
| Veld | Invullen |
|---|---|
| Verwerkingsverantwoordelijke | [bewindkantoor] |
| Naam en functie | |
| Datum | |
| Volgende herziening | Binnen 12 maanden of bij wijziging van de verwerking |
Concept — DPIA-BEWINDVOERDER-2026-CONCEPT v1.0. Vereist juridische review.