DPIA-concept — Nieuwkomers
Documentnummer: DPIA-NIEUWKOMERS-2026-CONCEPT Versie: 1.0 — concept Datum: 19 mei 2026 Status: CONCEPT — vereist juridische review vóór gebruik. Geen juridisch advies.
Dit is een concept-DPIA op grond van AVG art. 35.
1. Aanleiding en context
Het nieuwkomers-portaal ondersteunt mensen die nieuw in Nederland zijn bij het op orde brengen van hun financiën: het begrijpen van toeslagen, vaste lasten en budget, vaak in een andere taal. Een DPIA is passend omdat de doelgroep extra kwetsbaar is, omdat er financiële gegevens worden verwerkt en omdat taalvoorkeur en herkomst gevoelig kunnen liggen.
2. Beschrijving van de verwerking
Doel. Nieuwkomers helpen grip te krijgen op hun financiën en de weg te vinden naar regelingen en hulp.
| Categorie persoonsgegevens | Bron |
|---|---|
| Account- en contactgegevens | Gebruiker |
| Taalvoorkeur | Gebruiker |
| Inkomsten, uitgaven, toeslagen | Gebruiker, handmatig of PSD2 |
| AI-context en chatgeschiedenis | Gebruiker, systeem |
| Audit-log | Systeem |
Betrokkenen. Nieuwkomers die het portaal gebruiken; eventueel een begeleider die met toestemming meekijkt.
3. Rechtsgrondslag en noodzaak
| Verwerking | Grondslag |
|---|---|
| Accountbeheer en kernfunctie | Uitvoering van de overeenkomst, AVG art. 6 lid 1 sub b |
| Taalvoorkeur | Uitvoering van de overeenkomst; noodzakelijk voor begrijpelijke ondersteuning |
| Koppelen van de bankrekening | Expliciete toestemming, AVG art. 6 lid 1 sub a |
| Delen met een begeleider | Expliciete, intrekbare toestemming |
De verwerking is proportioneel. Taalvoorkeur wordt alleen gebruikt om de ondersteuning begrijpelijk te maken; er wordt geen profilering op herkomst of nationaliteit toegepast.
4. Risico-analyse
| # | Risico | Kans | Impact | Score |
|---|---|---|---|---|
| R1 | Datalek met financiële gegevens | 2 | 4 | 8 |
| R2 | Toestemming onvoldoende begrepen door een taalbarrière | 3 | 4 | 12 |
| R3 | Profilering of stigmatisering op basis van herkomst | 1 | 5 | 5 |
| R4 | AI-uitleg in een andere taal bevat een fout of onduidelijkheid | 3 | 3 | 9 |
| R5 | Begeleider behoudt te lang toegang | 2 | 3 | 6 |
5. Maatregelen
Technisch
- Versleuteling in transit en in rust (R1).
- Toestemmingsteksten in de taal van de gebruiker, in gewone taal (R2).
- Geen verwerking van nationaliteit of herkomst voor profilering (R3).
- Toegang van een begeleider is tijdgebonden en intrekbaar (R5).
- Inzage en export via het privacy-overzicht.
Organisatorisch
- Heldere, vertaalde privacyverklaring.
- AI-uitleg is herkenbaar als informatie en niet als bindend advies; bij twijfel een verwijzing naar een hulpverlener (R4).
- Geen externe cloud-AI voor gevoelige gegevens zonder expliciete toestemming.
- Datalekprocedure conform de AVG.
6. Restrisico en conclusie
Na de maatregelen is het restrisico aanvaardbaar. Het belangrijkste aandachtspunt blijft begrijpelijke toestemming; daarom worden teksten in de eigen taal en in gewone taal aangeboden en wordt het effect daarvan gevolgd.
7. Rechten van betrokkenen
De gebruiker is zelf betrokkene en kan rechten direct in de app uitoefenen. Toestemming voor de bankkoppeling of voor een begeleider kan op elk moment worden ingetrokken.
8. Vaststelling
| Veld | Invullen |
|---|---|
| Verwerkingsverantwoordelijke | Fynqo B.V. |
| Naam en functie | [naam] |
| Datum | |
| Volgende herziening | Binnen 12 maanden of bij wijziging van de verwerking |
Concept — DPIA-NIEUWKOMERS-2026-CONCEPT v1.0. Vereist juridische review.