DPIA-bouwsteen voor gemeenten
Documentnummer: DPIA-GEMEENTE-BOUWSTEEN-2026-001 Versie: 1.0 Datum: 19 mei 2026 Opgesteld door: Fynqo B.V. Status: CONCEPT — leverdocument voor de gemeente.
Dit document is een bouwsteen, geen vastgestelde DPIA. Een DPIA op grond van AVG art. 35 wordt vastgesteld door de verwerkingsverantwoordelijke, in dit geval de gemeente. Fynqo levert hier de systeeminformatie aan die de gemeente in haar eigen DPIA kan overnemen. Het document is geen juridisch advies en geen gecertificeerde of bindende uitspraak. Laat het toetsen door de functionaris voor gegevensbescherming (FG) van de gemeente en door bevoegd juridisch counsel voordat de gemeente erop vertrouwt.
0. Hoe u dit document gebruikt
Een gemeente die Fynqo inzet, blijft verwerkingsverantwoordelijke voor de gegevens van haar inwoners. De gemeente moet vaak een eigen DPIA uitvoeren of actualiseren. Dit document levert de bouwblokken die specifiek over het Fynqo-platform gaan, zodat de gemeente die kan overnemen of citeren in haar eigen DPIA-format. Wat de gemeente zelf moet aanvullen, staat telkens expliciet benoemd onder het kopje Door de gemeente in te vullen.
De bouwstenen volgen de structuur van een DPIA: aanleiding, verwerkingen, grondslagen, gegevensstromen, beveiliging, rechten, AI-systeem-informatie en risico’s met mitigaties.
1. Aanleiding en noodzaak van een DPIA
Een DPIA is verplicht of sterk aangewezen omdat de gemeentelijke inzet van Fynqo de volgende kenmerken combineert:
- grootschalige verwerking van gegevens van inwoners in een kwetsbare positie;
- gegevens over de financiële situatie en soms de gezondheidssituatie van betrokkenen;
- systematische monitoring en signalering in het sociaal domein;
- ondersteuning door AI-systemen bij de voorbereiding van besluiten over toegang tot publieke voorzieningen (schuldhulp).
Deze kenmerken vallen onder meerdere criteria van de lijst van de Autoriteit Persoonsgegevens en van EDPB-richtsnoer WP248. De gemeente bepaalt zelf of een voorafgaande raadpleging van de Autoriteit Persoonsgegevens nodig is; dat is aan de orde wanneer een hoog restrisico niet voldoende kan worden afgedekt.
Door de gemeente in te vullen
- de concrete beleidscontext en het besluit dat aan de inzet van Fynqo ten grondslag ligt;
- of de gemeente eerder een DPIA voor het sociaal domein heeft vastgesteld en of die wordt geactualiseerd;
- de planning van de FG-toetsing en de vaststelling.
2. Verwerkingsdoeleinden per portaal
Fynqo is een multi-portaal platform. Een gemeente gebruikt doorgaans het gemeente-portaal en kan daarnaast toegang verlenen aan ketenpartners die hun eigen portaal gebruiken. De verwerkingsdoeleinden per portaal:
| Portaal | Verwerkingsdoel | Wie gebruikt het |
|---|---|---|
| Gemeente | Sturing en KPI-rapportage in het sociaal domein op geaggregeerd niveau; ondersteuning van de schuldhulptaak | Beleidsmedewerkers en schuldhulpverleners van de gemeente |
| Schuldhulp | Ondersteuning bij schuldhulpverlening conform de Wgs; voorbereiding van toelatingsbesluiten | Schuldhulpverleners |
| Budgetcoach | Financieel coachen en budgetbeheer van inwoners | Budgetcoaches in opdracht van de gemeente |
| Woningcorporatie | Vroegsignalering van huurachterstanden en doorverwijzing naar hulp | Woningcorporatie als vastelastenpartner (Wgs art. 3) |
| Consument en overige burgerportalen | Eigen financieel overzicht van de inwoner | De inwoner zelf |
Beleidsmedewerkers zien uitsluitend geaggregeerde, niet tot een persoon herleidbare cijfers. Individuele dossiers zijn alleen zichtbaar voor de behandelende hulpverlener met een vastgelegde behandelrelatie.
Door de gemeente in te vullen
- welke portalen de gemeente daadwerkelijk afneemt;
- welke ketenpartners toegang krijgen en op welke grondslag.
3. Categorieën persoonsgegevens en betrokkenen
3.1 Betrokkenen
- inwoners met een schuldhulpvraag of een dreigende betalingsachterstand;
- inwoners die het burgerportaal voor eigen financieel overzicht gebruiken;
- medewerkers van de gemeente en van ketenpartners die de portalen gebruiken.
3.2 Gewone persoonsgegevens
| Categorie | Voorbeelden | Bron |
|---|---|---|
| Identificatiegegevens | Naam, geboortedatum, adres, BSN | Inwoner of gemeente |
| Contactgegevens | E-mail, telefoonnummer | Inwoner |
| Financiële gegevens | Inkomen, uitgaven, schulden, beslag, vaste lasten | Inwoner, PSD2-koppeling, vastelastenpartner |
| Huishoudgegevens | Aantal personen, kinderen | Inwoner |
| Vroegsignaal-gegevens | Achterstandsmelding van een partner met bedrag | Vastelastenpartner |
| Communicatie | Berichten en notities binnen het dossier | Medewerker en inwoner |
| Gebruiks- en beveiligingsgegevens | IP-adres, tijdstip, audit-log | Systeem |
3.3 Bijzondere categorieën (AVG art. 9)
Het gemeente-, schuldhulp- en budgetcoach-portaal zijn niet bedoeld voor de verwerking van gezondheidsgegevens. Toch kan een medewerker in een vrije notitie informatie over de gezondheid of de sociale situatie van een inwoner vastleggen. Zulke informatie kan een bijzondere categorie raken. De gemeente moet hier beleid op voeren: instrueer medewerkers terughoudend te zijn met vrije notities en alleen vast te leggen wat noodzakelijk is voor de taak.
Het GGZ-portaal verwerkt wel structureel gezondheidsgegevens, maar dat portaal is voor zorgorganisaties, niet voor de gemeente.
3.4 BSN
Het BSN wordt verwerkt voor zover de Wgs en de gemeentelijke taak dit toestaan. Het BSN wordt op veldniveau versleuteld opgeslagen.
Door de gemeente in te vullen
- de exacte set gegevens die de gemeente in het portaal laat invoeren;
- het beleid voor vrije notities en de instructie aan medewerkers.
4. Rechtsgrondslagen
| Verwerking | Grondslag (AVG) | Wettelijke basis |
|---|---|---|
| Schuldhulpverlening | Art. 6 lid 1 sub e — taak van algemeen belang | Wet gemeentelijke schuldhulpverlening (Wgs) |
| Vroegsignalering van betalingsachterstanden | Art. 6 lid 1 sub e | Wgs art. 3 en het Besluit gemeentelijke schuldhulpverlening |
| Geaggregeerde KPI-rapportage | Art. 6 lid 1 sub e | Gemeentelijke beleidstaak |
| Audit-logging en beveiliging | Art. 6 lid 1 sub c — wettelijke verplichting | AVG art. 32 |
| Verwerking van bijzondere categorieën, indien onvermijdelijk | Art. 9 lid 2 sub b of sub g | Afhankelijk van de taak; gemeente beoordeelt |
| Eigen burgerportaal van de inwoner | Art. 6 lid 1 sub b — overeenkomst met de inwoner | Niet van toepassing |
De verwerking is proportioneel doordat beleidsrapportage uitsluitend op geaggregeerd, niet-herleidbaar niveau plaatsvindt en doordat toegang tot individuele dossiers is beperkt tot de behandelende hulpverlener.
Door de gemeente in te vullen
- de vaststelling dat de gekozen grondslag voor elke verwerking passend is;
- de onderbouwing van noodzaak en proportionaliteit in de gemeentelijke context;
- een eventuele subsidiariteitstoets: is er een minder ingrijpend alternatief.
5. Bewaartermijnen
| Categorie | Bewaartermijn | Grondslag |
|---|---|---|
| Accountgegevens medewerkers | Tot intrekking toegang, daarna 30 dagen | Uitvoering overeenkomst |
| Schuldendossiers | Duur van het traject, daarna conform afspraak met de gemeente | Wgs en gemeentelijk beleid |
| Transactie- en betaaldata | 7 jaar na einde dienstverlening | Fiscale bewaarplicht |
| Vroegsignaal-gegevens | Zolang nodig voor de signaleringstaak, daarna verwijderd | Wgs |
| Geaggregeerde KPI-gegevens | Niet tot een persoon herleidbaar; valt buiten de AVG | Niet van toepassing |
| Audit-logs | 2 jaar | Beveiligingsverplichting |
| Communicatieberichten | 1 jaar, of eerder op verzoek | Proportionaliteit |
| Foutmonitoring (technische logs) | Maximaal 90 dagen | Gerechtvaardigd belang |
Verlopen gegevens worden via een geautomatiseerd proces verwijderd. De gemeente stelt het gemeentelijke deel van de bewaartermijnen vast; Fynqo voert het technisch uit.
Door de gemeente in te vullen
- de bewaartermijn voor schuldendossiers conform het gemeentelijk archief- en selectiebeleid.
6. Sub-verwerkers en verwerkingslocatie
Fynqo schakelt sub-verwerkers in. De actuele lijst staat op https://fynqo.app/juridisch/sub-verwerkers. Op het moment van schrijven:
| Sub-verwerker | Functie | Verwerkingslocatie |
|---|---|---|
| Supabase | Database en authenticatie | EU (EER) |
| Railway | Hosting van de backend-API | EU-regio |
| Vercel | Hosting van de web-app en portalen | EU-edge; SCC’s voor VS-onderdelen |
| Cloudflare | CDN, DNS en bescherming | EU |
| Resend | Transactionele e-mail (primair) | EU-regio |
| SendGrid (Twilio) | E-mail als fallback | VS, met SCC’s |
| Mollie | Betaalverwerking | Nederland |
| GoCardless | Open banking-koppeling (PSD2) | EU (EER) |
| Sentry | Foutmonitoring | VS, met SCC’s |
| Anthropic | AI-inferentie, alleen optionele fallback | VS, met SCC’s |
Het zwaartepunt van de verwerking ligt binnen de EER. Voor VS-onderdelen gelden de standaardcontractbepalingen (SCC’s) van de Europese Commissie. Gevoelige casus-context en bijzondere categorieën worden niet naar een externe cloud-AI gestuurd; voor zorg-, bewind-, gemeente- en organisatieverkeer geldt een lokale of EU-first route.
Door de gemeente in te vullen
- de vaststelling dat de gemeente akkoord is met deze sub-verwerkers;
- de procedure bij bezwaar tegen een nieuwe sub-verwerker (zie de verwerkersovereenkomst, Artikel 5).
7. Gegevensstromen en doorgifte
7.1 Interne gegevensstromen
- De inwoner of de medewerker voert gegevens in, of er wordt een PSD2-bankkoppeling geactiveerd.
- De gegevens worden versleuteld opgeslagen in de database (Supabase, EU).
- De behandelende hulpverlener ziet het individuele dossier; de beleidsmedewerker ziet alleen geaggregeerde cijfers.
- Een vastelastenpartner kan een vroegsignaal aanleveren (Wgs art. 3).
- Een AI-systeem kan een samenvatting of toelichting genereren; een mens beoordeelt die vóór er een besluit valt.
7.2 Doorgifte buiten de EER
Fynqo geeft persoonsgegevens niet door aan landen buiten de EER, tenzij een passend beschermingsniveau is gewaarborgd op grond van AVG Hoofdstuk V. Waar een sub-verwerker een VS-component heeft, gelden SCC’s, encryptie, toegangsbeperking en dataminimalisatie. Ruwe banktokens worden niet naar AI-providers gestuurd.
Door de gemeente in te vullen
- een toets of de gemeente extra waarborgen wenst voor de VS-onderdelen.
8. Beveiligingsmaatregelen (TOMs)
8.1 Technische maatregelen
- versleuteling in transit via TLS, afgedwongen via security-headers;
- versleuteling in rust van de database;
- veldniveau-encryptie (Fernet) voor BSN, identiteitsattributen en bijzondere categorieën;
- role-based access control met scheiding per portaal en per rol;
- tenant-scheiding tussen organisaties;
- multi-factor authenticatie voor medewerkers met toegang tot productiedata;
- onveranderlijk audit-log van inzage en mutaties, met gebruiker, tijdstip en reden;
- geautomatiseerde verwijdering na verloop van de bewaartermijn;
- ondergrens per rapportagecel zodat geaggregeerde cijfers niet herleidbaar zijn;
- jaarlijkse penetratietest door een externe partij;
- kwetsbaarhedenscan van afhankelijkheden bij elke release.
8.2 Organisatorische maatregelen
- verwerkersovereenkomst tussen de gemeente en Fynqo (AVG art. 28);
- geheimhoudingsverplichting voor medewerkers met datatoegang;
- gedocumenteerde datalekprocedure met melding aan de gemeente binnen 24 uur;
- periodieke review van toegangsrechten;
- privacy by design in het ontwikkelproces;
- AI-geletterdheidstraining voor medewerkers die met AI-systemen werken.
Door de gemeente in te vullen
- de gemeentelijke maatregelen rond accountbeheer, autorisaties en offboarding van eigen medewerkers;
- de inbedding in het gemeentelijke informatiebeveiligingsbeleid (BIO).
9. Rechten van betrokkenen
Inwoners houden hun AVG-rechten: inzage, rectificatie, verwijdering, beperking van de verwerking, overdraagbaarheid en bezwaar. Ook hebben zij recht op uitleg over een AI-suggestie die hen raakt en kunnen zij vragen om een menselijke beoordeling.
- Verzoeken lopen via de gemeente als verwerkingsverantwoordelijke.
- Fynqo verleent technische bijstand: export en cascade-verwijdering zijn in het platform ingebouwd.
- Sommige gegevens blijven bewaard zolang een wettelijke bewaarplicht geldt.
Door de gemeente in te vullen
- het loket en de procedure waarmee de gemeente verzoeken van inwoners afhandelt;
- de informatievoorziening aan inwoners (privacyverklaring van de gemeente).
10. AI-systeem-informatie
Fynqo houdt een AI-systeemregister bij. Voor de gemeentelijke context zijn de volgende AI-systemen relevant:
| AI-systeem | Doel | Risicoklasse (AI Act) | Menselijk toezicht |
|---|---|---|---|
schuldhulp_summary | Samenvatting van het schuldenoverzicht ter ondersteuning van de schuldhulpbeoordeling | Hoog-risico (Annex III §5a) | Gemeente-medewerker beoordeelt vóór besluit; inwoner kan intrekken |
categorizer | Categoriesuggestie voor banktransacties | Beperkt risico | Gebruiker kan elke categorie corrigeren |
chat en coach | Uitleg en ondersteuning in gewone taal | Beperkt risico | Guardrail tegen advies; mens overneembaar |
Kernpunten:
- Geen enkel AI-systeem neemt zelfstandig een besluit met rechtsgevolg. De gemeente-medewerker beslist; de UI dwingt een menselijke beslisstap af.
- De inwoner ziet dat een tekst door AI is opgesteld (transparantie, AI Act art. 50) en kan uitleg opvragen.
- Voor hoog-risico AI-systemen die door een publieke instantie worden
ingezet, kan een grondrechteneffectbeoordeling (FRIA, AI Act art. 27)
verplicht zijn. Fynqo levert hiervoor een FRIA-bouwsteen aan; de templates
staan in
legal/fria/. - AI-beslissingen en hun input-hashes worden gelogd voor controle.
Door de gemeente in te vullen
- de uitvoering en vaststelling van de FRIA per AI-systeem dat de gemeente inzet;
- de aanwijzing van de medewerkers die de menselijke beoordeling uitvoeren en hun training.
11. Risico-matrix met mitigaties
Kans en impact op een schaal van 1 (laag) tot 5 (hoog); score = kans × impact. De score is na de mitigatie.
| # | Risico | Kans | Impact | Score | Mitigatie |
|---|---|---|---|---|---|
| R1 | Datalek met financiële gegevens van inwoners | 2 | 5 | 10 | Versleuteling in transit en rust, veldniveau-encryptie, MFA, audit-log, jaarlijkse pentest |
| R2 | Geaggregeerde cijfers blijken herleidbaar naar een persoon | 2 | 4 | 8 | Ondergrens per rapportagecel; beleidsmedewerker ziet geen dossiers |
| R3 | Functiecreep: beleidsgebruik van individuele gegevens | 2 | 4 | 8 | RBAC met harde scheiding; doelbinding vastgelegd in de verwerkersovereenkomst |
| R4 | Onterechte inzage door een medewerker | 2 | 4 | 8 | Toegang met reden, audit-log, periodieke autorisatiereview |
| R5 | Over-reliance op een AI-samenvatting bij een besluit | 3 | 4 | 12 | Verplichte menselijke beoordeling, transparantiemarkering, recht op uitleg, AI-geletterdheidstraining |
| R6 | Onjuiste of bevooroordeelde AI-output | 2 | 4 | 8 | Bias-monitoring per kwartaal, accuracy-meting, kill-switch, deterministische fallback |
| R7 | Te lang bewaren van gegevens | 2 | 3 | 6 | Geautomatiseerde verwijdering na de bewaartermijn |
| R8 | Onrechtmatige doorgifte buiten de EER | 1 | 4 | 4 | EU-first verwerking, SCC’s, geen ruwe casus-context naar externe AI |
| R9 | Gemeente-medewerker legt onnodig bijzondere categorieën vast | 3 | 3 | 9 | Instructie en beleid rond vrije notities; dataminimalisatie |
Na de maatregelen resteert geen risico met een onaanvaardbaar hoog niveau,
mits de gemeente de organisatorische maatregelen daadwerkelijk doorvoert en de
FRIA voor schuldhulp_summary uitvoert. De gemeente beoordeelt zelf of een
voorafgaande raadpleging van de Autoriteit Persoonsgegevens nodig is.
Door de gemeente in te vullen
- een herijking van kans en impact in de gemeentelijke context;
- aanvullende risico’s die voortkomen uit de gemeentelijke inrichting;
- de conclusie over het restrisico en de beslissing tot vaststelling.
12. Vaststelling
| Veld | Invullen |
|---|---|
| Verwerkingsverantwoordelijke | [naam gemeente] |
| Opsteller DPIA | [naam, functie] |
| Advies FG | [datum, advies] |
| Vastgesteld door | [naam, functie, datum] |
| Volgende herziening | Binnen 12 maanden of bij wijziging van de verwerking |
Concept — DPIA-GEMEENTE-BOUWSTEEN-2026-001 v1.0. Dit is een leverdocument van Fynqo, geen vastgestelde DPIA en geen juridisch advies. De gemeente stelt haar eigen DPIA vast na toetsing door de FG en bevoegd juridisch counsel.