DPIA-concept — Woningcorporatie
Documentnummer: DPIA-WONINGCORPORATIE-2026-CONCEPT Versie: 1.0 — concept Datum: 19 mei 2026 Status: CONCEPT — vereist juridische review en vaststelling door de verwerkingsverantwoordelijke vóór gebruik. Geen juridisch advies.
Dit is een concept-DPIA op grond van AVG art. 35. Laat het toetsen voordat het wordt vastgesteld.
1. Aanleiding en context
Het woningcorporatie-portaal ondersteunt corporaties bij vroegsignalering van betalingsachterstanden en bij het tijdig doorverwijzen van huurders naar hulp. Vroegsignalering is wettelijk verankerd (Wgs en het Besluit gemeentelijke schuldhulpverlening). Een DPIA is passend omdat betalingsachterstanden gegevens over de financiële situatie van mensen in een kwetsbare positie betreffen en omdat signalering een risico op stigmatisering kent.
2. Beschrijving van de verwerking
Doel. Het tijdig herkennen van een huurachterstand en het aanbieden van of doorverwijzen naar hulp, ter voorkoming van escalatie en huisuitzetting.
Aard. Registratie van huurachterstanden, het delen van een signaal met de gemeente of een hulpverlener, en het volgen of een huurder hulp accepteert.
| Categorie persoonsgegevens | Bron |
|---|---|
| Naam, adres, contactgegevens huurder | Corporatie |
| Hoogte en duur van de huurachterstand | Corporatie |
| Status van het hulptraject | Hulpverlener of gemeente |
| Audit-log | Systeem |
Betrokkenen. Huurders met een betalingsachterstand; medewerkers van de corporatie.
3. Rechtsgrondslag en noodzaak
| Verwerking | Grondslag |
|---|---|
| Vroegsignalering en doorverwijzing | Wettelijke taak en algemeen belang (Wgs), AVG art. 6 lid 1 sub c en e |
| Delen van een signaal met de gemeente | Wettelijke taak (Wgs), AVG art. 6 lid 1 sub c |
| Audit-logging | Wettelijke plicht en beveiliging, AVG art. 6 lid 1 sub c |
De verwerking is proportioneel: er worden alleen gegevens verwerkt die nodig zijn om een achterstand te signaleren en hulp aan te bieden. Er worden geen risicoprofielen of scores opgebouwd.
4. Risico-analyse
| # | Risico | Kans | Impact | Score |
|---|---|---|---|---|
| R1 | Datalek met financiële gegevens van huurders | 2 | 4 | 8 |
| R2 | Stigmatisering door een breed gedeeld signaal | 2 | 4 | 8 |
| R3 | Signaal bereikt geen hulpverlener; huurder valt tussen wal en schip | 2 | 4 | 8 |
| R4 | Onterechte toegang door een medewerker | 2 | 3 | 6 |
| R5 | Gegevens te lang bewaard na afronding | 2 | 3 | 6 |
5. Maatregelen
Technisch
- RBAC: een signaal is alleen zichtbaar voor de medewerker en de hulpverlener die het behandelen (R2, R4).
- Versleuteling in transit en in rust (R1).
- MFA voor medewerkers met toegang (R1, R4).
- Onveranderlijk audit-log van inzage en delen (R4).
- Geautomatiseerde verwijdering na de bewaartermijn (R5).
- Statusopvolging zodat een onbeantwoord signaal zichtbaar blijft (R3).
Organisatorisch
- Verwerkersovereenkomst tussen de corporatie en Fynqo (AVG art. 28).
- Heldere informatie aan huurders over vroegsignalering en hun rechten.
- Geen profilering of risicoscores op huurders.
- Datalekprocedure met melding aan de corporatie binnen 24 uur.
6. Restrisico en conclusie
Na de maatregelen is het restrisico aanvaardbaar. Het portaal voorziet niet in geautomatiseerde besluiten over huurders. Zou een corporatie individuele risicoscores willen inzetten, dan is een nieuwe DPIA vereist.
7. Rechten van betrokkenen
Huurders houden hun AVG-rechten. Verzoeken lopen via de corporatie als verwerkingsverantwoordelijke; Fynqo verleent technische bijstand.
8. Vaststelling
| Veld | Invullen |
|---|---|
| Verwerkingsverantwoordelijke | [woningcorporatie] |
| Naam en functie | |
| Datum | |
| Volgende herziening | Binnen 12 maanden of bij wijziging van de verwerking |
Concept — DPIA-WONINGCORPORATIE-2026-CONCEPT v1.0. Vereist juridische review.