# DPIA-concept — Nieuwkomers-portaal

**Documentnummer:** DPIA-NIEUWKOMERS-2026-CONCEPT
**Versie:** 1.0 — concept
**Datum:** 19 mei 2026
**Status:** CONCEPT — vereist juridische review vóór gebruik. Geen juridisch
advies.

> Dit is een concept-DPIA op grond van AVG art. 35.

## 1. Aanleiding en context

Het nieuwkomers-portaal ondersteunt mensen die nieuw in Nederland zijn bij het op
orde brengen van hun financiën: het begrijpen van toeslagen, vaste lasten en
budget, vaak in een andere taal. Een DPIA is passend omdat de doelgroep extra
kwetsbaar is, omdat er financiële gegevens worden verwerkt en omdat
taalvoorkeur en herkomst gevoelig kunnen liggen.

## 2. Beschrijving van de verwerking

**Doel.** Nieuwkomers helpen grip te krijgen op hun financiën en de weg te
vinden naar regelingen en hulp.

| Categorie persoonsgegevens | Bron |
|---|---|
| Account- en contactgegevens | Gebruiker |
| Taalvoorkeur | Gebruiker |
| Inkomsten, uitgaven, toeslagen | Gebruiker, handmatig of PSD2 |
| AI-context en chatgeschiedenis | Gebruiker, systeem |
| Audit-log | Systeem |

**Betrokkenen.** Nieuwkomers die het portaal gebruiken; eventueel een begeleider
die met toestemming meekijkt.

## 3. Rechtsgrondslag en noodzaak

| Verwerking | Grondslag |
|---|---|
| Accountbeheer en kernfunctie | Uitvoering van de overeenkomst, AVG art. 6 lid 1 sub b |
| Taalvoorkeur | Uitvoering van de overeenkomst; noodzakelijk voor begrijpelijke ondersteuning |
| Koppelen van de bankrekening | Expliciete toestemming, AVG art. 6 lid 1 sub a |
| Delen met een begeleider | Expliciete, intrekbare toestemming |

De verwerking is proportioneel. Taalvoorkeur wordt alleen gebruikt om de
ondersteuning begrijpelijk te maken; er wordt geen profilering op herkomst of
nationaliteit toegepast.

## 4. Risico-analyse

| # | Risico | Kans | Impact | Score |
|---|---|---|---|---|
| R1 | Datalek met financiële gegevens | 2 | 4 | 8 |
| R2 | Toestemming onvoldoende begrepen door een taalbarrière | 3 | 4 | 12 |
| R3 | Profilering of stigmatisering op basis van herkomst | 1 | 5 | 5 |
| R4 | AI-uitleg in een andere taal bevat een fout of onduidelijkheid | 3 | 3 | 9 |
| R5 | Begeleider behoudt te lang toegang | 2 | 3 | 6 |

## 5. Maatregelen

**Technisch**

- Versleuteling in transit en in rust (R1).
- Toestemmingsteksten in de taal van de gebruiker, in gewone taal (R2).
- Geen verwerking van nationaliteit of herkomst voor profilering (R3).
- Toegang van een begeleider is tijdgebonden en intrekbaar (R5).
- Inzage en export via het privacy-overzicht.

**Organisatorisch**

- Heldere, vertaalde privacyverklaring.
- AI-uitleg is herkenbaar als informatie en niet als bindend advies; bij twijfel
  een verwijzing naar een hulpverlener (R4).
- Geen externe cloud-AI voor gevoelige gegevens zonder expliciete toestemming.
- Datalekprocedure conform de AVG.

## 6. Restrisico en conclusie

Na de maatregelen is het restrisico aanvaardbaar. Het belangrijkste aandachtspunt
blijft begrijpelijke toestemming; daarom worden teksten in de eigen taal en in
gewone taal aangeboden en wordt het effect daarvan gevolgd.

## 7. Rechten van betrokkenen

De gebruiker is zelf betrokkene en kan rechten direct in de app uitoefenen.
Toestemming voor de bankkoppeling of voor een begeleider kan op elk moment worden
ingetrokken.

## 8. Vaststelling

| Veld | Invullen |
|---|---|
| Verwerkingsverantwoordelijke | Fynqo B.V. |
| Naam en functie | [naam] |
| Datum | |
| Volgende herziening | Binnen 12 maanden of bij wijziging van de verwerking |

*Concept — DPIA-NIEUWKOMERS-2026-CONCEPT v1.0. Vereist juridische review.*