# DPIA-concept — Bewindvoerder-portaal **Documentnummer:** DPIA-BEWINDVOERDER-2026-CONCEPT **Versie:** 1.0 — concept **Datum:** 19 mei 2026 **Status:** CONCEPT — vereist juridische review en vaststelling vóór gebruik. Geen juridisch advies. > Dit is een concept-DPIA op grond van AVG art. 35. Een uitgebreidere, > architectuurgerichte versie staat in `legal/dpia/bewind-dpia-v1.md`; dit > document is de samenvattende portal-DPIA. Laat beide toetsen voordat ze worden > vastgesteld. ## 1. Aanleiding en context Het bewindvoerder-portaal ondersteunt professionele bewindvoerders bij het voeren van wettelijk bewind: het beheren van rekeningen en leefgeld, en het opstellen van rekening en verantwoording (R&V) aan de rechter. Een DPIA is passend omdat de verwerking de volledige financiële situatie van mensen in een afhankelijke positie betreft. ## 2. Beschrijving van de verwerking **Doel.** Het voeren van bewind conform Boek 1 BW en het indienen van rekening en verantwoording bij de rechter. | Categorie persoonsgegevens | Bron | |---|---| | Naam, adres, BSN, geboortedatum rechthebbende | Bewindvoerder, DigiD | | Bankrekeningen, transacties, leefgeld | PSD2-koppeling, handmatig | | Schulden, beslagen, financiële administratie | Bewindvoerder, documenten | | R&V-rapporten | Systeem, gecontroleerd door de bewindvoerder | | Sociale notities | Bewindvoerder | | Audit-log | Systeem | **Betrokkenen.** Rechthebbenden onder bewind; bewindvoerders en kantoor- medewerkers. ## 3. Rechtsgrondslag en noodzaak | Verwerking | Grondslag | |---|---| | Bewindadministratie | Wettelijke verplichting, AVG art. 6 lid 1 sub c (Boek 1 BW) | | R&V-indiening | Wettelijke verplichting en algemeen belang, AVG art. 6 lid 1 sub c en e | | Verwerking BSN | Wettelijke grondslag | | Audit-logging | Beveiliging en wettelijke plicht | De verwerking is proportioneel: alleen gegevens die nodig zijn voor het bewind worden verwerkt. AI-ondersteuning bij R&V levert alleen een voorstel; de bewindvoerder controleert en accordeert. ## 4. Risico-analyse | # | Risico | Kans | Impact | Score | |---|---|---|---|---| | R1 | Datalek financiële administratie via een gecompromitteerd account | 2 | 5 | 10 | | R2 | Fout in een AI-voorstel voor R&V dat de rechter zou kunnen misleiden | 2 | 5 | 10 | | R3 | Bewindvoerder neemt een AI-voorstel klakkeloos over | 3 | 4 | 12 | | R4 | Sociale of gezondheidsnotities lekken naar de rechter | 2 | 4 | 8 | | R5 | Toegang door een collega buiten de kantoor-scope | 2 | 4 | 8 | ## 5. Maatregelen **Technisch** - Versleuteling in transit en in rust; veldniveau-encryptie voor BSN en notities (R1, R4). - RBAC met kantoor-scope: een bewindvoerder ziet alleen eigen rechthebbenden (R5). - MFA verplicht (R1, R5). - R&V wordt pas vrijgegeven na expliciete review en akkoord van de bewindvoerder (R2, R3). - AI-voorstel filtert sociale en gezondheidsnotities uit de context (R4). - Geen externe cloud-AI voor casus-data; lokale of EU-first route. - Onveranderlijk audit-log (R1, R5). - Geautomatiseerde verwijdering na de bewaartermijn. **Organisatorisch** - Verwerkersovereenkomst met het bewindkantoor (AVG art. 28). - Uitleg over de rol van AI, vindbaar vanuit elk R&V-stuk. - R&V-stukken zijn herkenbaar gemarkeerd als gecontroleerd door de bewindvoerder. - Heldere privacyverklaring en klachtroute voor rechthebbenden. - Datalekprocedure met melding aan het kantoor binnen 24 uur. ## 6. Restrisico en conclusie Na de maatregelen is het restrisico aanvaardbaar; de bewindvoerder blijft eindverantwoordelijk. Bij uitbreiding naar geautomatiseerde besluiten over het bewind is een nieuwe DPIA en mogelijk een voorafgaande raadpleging van de Autoriteit Persoonsgegevens vereist. ## 7. Rechten van betrokkenen Rechthebbenden houden hun AVG-rechten, binnen de grenzen van het bewindrecht. Verzoeken lopen via de bewindvoerder; Fynqo verleent technische bijstand. ## 8. Vaststelling | Veld | Invullen | |---|---| | Verwerkingsverantwoordelijke | [bewindkantoor] | | Naam en functie | | | Datum | | | Volgende herziening | Binnen 12 maanden of bij wijziging van de verwerking | *Concept — DPIA-BEWINDVOERDER-2026-CONCEPT v1.0. Vereist juridische review.*