# DPIA-concept — Budgetcoach-portaal

**Documentnummer:** DPIA-BUDGETCOACH-2026-CONCEPT
**Versie:** 1.0 — concept
**Datum:** 19 mei 2026
**Status:** CONCEPT — vereist juridische review en vaststelling vóór gebruik.
Geen juridisch advies.

> Dit is een concept-DPIA op grond van AVG art. 35. De verwante schuldhulp-DPIA
> staat in `legal/dpia/schuldhulp-dpia-v1.md`. Laat beide toetsen voordat ze
> worden vastgesteld.

## 1. Aanleiding en context

Het budgetcoach-portaal ondersteunt financieel coaches en budgetbeheerders bij
het begeleiden van cliënten: inzicht in inkomsten en uitgaven, budgetafspraken
en het werken aan financiële stabiliteit. Een DPIA is passend omdat de
verwerking de volledige financiële situatie van mensen in een kwetsbare positie
betreft.

## 2. Beschrijving van de verwerking

**Doel.** Het ondersteunen van financieel coachen en budgetbeheer en het
begeleiden van cliënten naar meer financiële rust.

| Categorie persoonsgegevens | Bron |
|---|---|
| Naam, contactgegevens cliënt | Coach, cliënt |
| Inkomsten, uitgaven, transacties | PSD2-koppeling, handmatig |
| Budgetafspraken en doelen | Coach, cliënt |
| Communicatieberichten | Coach, cliënt |
| Audit-log | Systeem |

**Betrokkenen.** Cliënten in begeleiding; coaches en budgetbeheerders.

## 3. Rechtsgrondslag en noodzaak

| Verwerking | Grondslag |
|---|---|
| Coaching en budgetbeheer | Uitvoering van de overeenkomst, AVG art. 6 lid 1 sub b |
| Koppelen van de bankrekening | Expliciete toestemming, AVG art. 6 lid 1 sub a |
| AI-ondersteuning bij inzicht | Uitvoering van de overeenkomst, met menselijke tussenkomst |
| Audit-logging | Beveiliging, AVG art. 6 lid 1 sub c en f |

De verwerking is proportioneel: alleen gegevens die nodig zijn voor de
begeleiding worden verwerkt. De AI geeft informatie en suggesties, geen
financieel advies, en een mens beslist.

## 4. Risico-analyse

| # | Risico | Kans | Impact | Score |
|---|---|---|---|---|
| R1 | Datalek met financiële gegevens van cliënten | 2 | 4 | 8 |
| R2 | AI-suggestie wordt opgevat als bindend financieel advies | 3 | 3 | 9 |
| R3 | Coach ziet gegevens van een cliënt buiten de begeleidingsrelatie | 2 | 4 | 8 |
| R4 | Toestemming voor bankkoppeling is onvoldoende geïnformeerd | 2 | 3 | 6 |
| R5 | Gegevens te lang bewaard na afronding van de begeleiding | 2 | 3 | 6 |

## 5. Maatregelen

**Technisch**

- Versleuteling in transit en in rust (R1).
- RBAC: een coach ziet alleen de eigen cliënten; delen verloopt via een
  tijdgebonden, intrekbare toegangsverlening (R3).
- MFA voor coaches (R1, R3).
- Aparte, expliciete toestemmingsstap voor de bankkoppeling (R4).
- Onveranderlijk audit-log (R3).
- Geautomatiseerde verwijdering na de bewaartermijn (R5).

**Organisatorisch**

- Verwerkersovereenkomst met de coachorganisatie (AVG art. 28).
- AI-output is herkenbaar als informatie en niet als financieel advies (R2).
- Heldere privacyverklaring voor cliënten.
- Geen externe cloud-AI voor casus-data; lokale of EU-first route.
- Datalekprocedure met melding aan de organisatie binnen 24 uur.

## 6. Restrisico en conclusie

Na de maatregelen is het restrisico aanvaardbaar. Het portaal voorziet niet in
geautomatiseerde besluiten met rechtsgevolgen.

## 7. Rechten van betrokkenen

Cliënten houden hun AVG-rechten: inzage, rectificatie, verwijdering, beperking,
overdraagbaarheid en bezwaar. Verzoeken lopen via de coachorganisatie; Fynqo
verleent technische bijstand.

## 8. Vaststelling

| Veld | Invullen |
|---|---|
| Verwerkingsverantwoordelijke | [coachorganisatie] |
| Naam en functie | |
| Datum | |
| Volgende herziening | Binnen 12 maanden of bij wijziging van de verwerking |

*Concept — DPIA-BUDGETCOACH-2026-CONCEPT v1.0. Vereist juridische review.*