DPIA-concept — Budgetcoach
Documentnummer: DPIA-BUDGETCOACH-2026-CONCEPT Versie: 1.0 — concept Datum: 19 mei 2026 Status: CONCEPT — vereist juridische review en vaststelling vóór gebruik. Geen juridisch advies.
Dit is een concept-DPIA op grond van AVG art. 35. De verwante schuldhulp-DPIA staat in
legal/dpia/schuldhulp-dpia-v1.md. Laat beide toetsen voordat ze worden vastgesteld.
1. Aanleiding en context
Het budgetcoach-portaal ondersteunt financieel coaches en budgetbeheerders bij het begeleiden van cliënten: inzicht in inkomsten en uitgaven, budgetafspraken en het werken aan financiële stabiliteit. Een DPIA is passend omdat de verwerking de volledige financiële situatie van mensen in een kwetsbare positie betreft.
2. Beschrijving van de verwerking
Doel. Het ondersteunen van financieel coachen en budgetbeheer en het begeleiden van cliënten naar meer financiële rust.
| Categorie persoonsgegevens | Bron |
|---|---|
| Naam, contactgegevens cliënt | Coach, cliënt |
| Inkomsten, uitgaven, transacties | PSD2-koppeling, handmatig |
| Budgetafspraken en doelen | Coach, cliënt |
| Communicatieberichten | Coach, cliënt |
| Audit-log | Systeem |
Betrokkenen. Cliënten in begeleiding; coaches en budgetbeheerders.
3. Rechtsgrondslag en noodzaak
| Verwerking | Grondslag |
|---|---|
| Coaching en budgetbeheer | Uitvoering van de overeenkomst, AVG art. 6 lid 1 sub b |
| Koppelen van de bankrekening | Expliciete toestemming, AVG art. 6 lid 1 sub a |
| AI-ondersteuning bij inzicht | Uitvoering van de overeenkomst, met menselijke tussenkomst |
| Audit-logging | Beveiliging, AVG art. 6 lid 1 sub c en f |
De verwerking is proportioneel: alleen gegevens die nodig zijn voor de begeleiding worden verwerkt. De AI geeft informatie en suggesties, geen financieel advies, en een mens beslist.
4. Risico-analyse
| # | Risico | Kans | Impact | Score |
|---|---|---|---|---|
| R1 | Datalek met financiële gegevens van cliënten | 2 | 4 | 8 |
| R2 | AI-suggestie wordt opgevat als bindend financieel advies | 3 | 3 | 9 |
| R3 | Coach ziet gegevens van een cliënt buiten de begeleidingsrelatie | 2 | 4 | 8 |
| R4 | Toestemming voor bankkoppeling is onvoldoende geïnformeerd | 2 | 3 | 6 |
| R5 | Gegevens te lang bewaard na afronding van de begeleiding | 2 | 3 | 6 |
5. Maatregelen
Technisch
- Versleuteling in transit en in rust (R1).
- RBAC: een coach ziet alleen de eigen cliënten; delen verloopt via een tijdgebonden, intrekbare toegangsverlening (R3).
- MFA voor coaches (R1, R3).
- Aparte, expliciete toestemmingsstap voor de bankkoppeling (R4).
- Onveranderlijk audit-log (R3).
- Geautomatiseerde verwijdering na de bewaartermijn (R5).
Organisatorisch
- Verwerkersovereenkomst met de coachorganisatie (AVG art. 28).
- AI-output is herkenbaar als informatie en niet als financieel advies (R2).
- Heldere privacyverklaring voor cliënten.
- Geen externe cloud-AI voor casus-data; lokale of EU-first route.
- Datalekprocedure met melding aan de organisatie binnen 24 uur.
6. Restrisico en conclusie
Na de maatregelen is het restrisico aanvaardbaar. Het portaal voorziet niet in geautomatiseerde besluiten met rechtsgevolgen.
7. Rechten van betrokkenen
Cliënten houden hun AVG-rechten: inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar. Verzoeken lopen via de coachorganisatie; Fynqo verleent technische bijstand.
8. Vaststelling
| Veld | Invullen |
|---|---|
| Verwerkingsverantwoordelijke | [coachorganisatie] |
| Naam en functie | |
| Datum | |
| Volgende herziening | Binnen 12 maanden of bij wijziging van de verwerking |
Concept — DPIA-BUDGETCOACH-2026-CONCEPT v1.0. Vereist juridische review.