# DPIA-concept — Woningcorporatie-portaal

**Documentnummer:** DPIA-WONINGCORPORATIE-2026-CONCEPT
**Versie:** 1.0 — concept
**Datum:** 19 mei 2026
**Status:** CONCEPT — vereist juridische review en vaststelling door de
verwerkingsverantwoordelijke vóór gebruik. Geen juridisch advies.

> Dit is een concept-DPIA op grond van AVG art. 35. Laat het toetsen voordat het
> wordt vastgesteld.

## 1. Aanleiding en context

Het woningcorporatie-portaal ondersteunt corporaties bij vroegsignalering van
betalingsachterstanden en bij het tijdig doorverwijzen van huurders naar hulp.
Vroegsignalering is wettelijk verankerd (Wgs en het Besluit gemeentelijke
schuldhulpverlening). Een DPIA is passend omdat betalingsachterstanden gegevens
over de financiële situatie van mensen in een kwetsbare positie betreffen en
omdat signalering een risico op stigmatisering kent.

## 2. Beschrijving van de verwerking

**Doel.** Het tijdig herkennen van een huurachterstand en het aanbieden van of
doorverwijzen naar hulp, ter voorkoming van escalatie en huisuitzetting.

**Aard.** Registratie van huurachterstanden, het delen van een signaal met de
gemeente of een hulpverlener, en het volgen of een huurder hulp accepteert.

| Categorie persoonsgegevens | Bron |
|---|---|
| Naam, adres, contactgegevens huurder | Corporatie |
| Hoogte en duur van de huurachterstand | Corporatie |
| Status van het hulptraject | Hulpverlener of gemeente |
| Audit-log | Systeem |

**Betrokkenen.** Huurders met een betalingsachterstand; medewerkers van de
corporatie.

## 3. Rechtsgrondslag en noodzaak

| Verwerking | Grondslag |
|---|---|
| Vroegsignalering en doorverwijzing | Wettelijke taak en algemeen belang (Wgs), AVG art. 6 lid 1 sub c en e |
| Delen van een signaal met de gemeente | Wettelijke taak (Wgs), AVG art. 6 lid 1 sub c |
| Audit-logging | Wettelijke plicht en beveiliging, AVG art. 6 lid 1 sub c |

De verwerking is proportioneel: er worden alleen gegevens verwerkt die nodig zijn
om een achterstand te signaleren en hulp aan te bieden. Er worden geen
risicoprofielen of scores opgebouwd.

## 4. Risico-analyse

| # | Risico | Kans | Impact | Score |
|---|---|---|---|---|
| R1 | Datalek met financiële gegevens van huurders | 2 | 4 | 8 |
| R2 | Stigmatisering door een breed gedeeld signaal | 2 | 4 | 8 |
| R3 | Signaal bereikt geen hulpverlener; huurder valt tussen wal en schip | 2 | 4 | 8 |
| R4 | Onterechte toegang door een medewerker | 2 | 3 | 6 |
| R5 | Gegevens te lang bewaard na afronding | 2 | 3 | 6 |

## 5. Maatregelen

**Technisch**

- RBAC: een signaal is alleen zichtbaar voor de medewerker en de hulpverlener
  die het behandelen (R2, R4).
- Versleuteling in transit en in rust (R1).
- MFA voor medewerkers met toegang (R1, R4).
- Onveranderlijk audit-log van inzage en delen (R4).
- Geautomatiseerde verwijdering na de bewaartermijn (R5).
- Statusopvolging zodat een onbeantwoord signaal zichtbaar blijft (R3).

**Organisatorisch**

- Verwerkersovereenkomst tussen de corporatie en Fynqo (AVG art. 28).
- Heldere informatie aan huurders over vroegsignalering en hun rechten.
- Geen profilering of risicoscores op huurders.
- Datalekprocedure met melding aan de corporatie binnen 24 uur.

## 6. Restrisico en conclusie

Na de maatregelen is het restrisico aanvaardbaar. Het portaal voorziet niet in
geautomatiseerde besluiten over huurders. Zou een corporatie individuele
risicoscores willen inzetten, dan is een nieuwe DPIA vereist.

## 7. Rechten van betrokkenen

Huurders houden hun AVG-rechten. Verzoeken lopen via de corporatie als
verwerkingsverantwoordelijke; Fynqo verleent technische bijstand.

## 8. Vaststelling

| Veld | Invullen |
|---|---|
| Verwerkingsverantwoordelijke | [woningcorporatie] |
| Naam en functie | |
| Datum | |
| Volgende herziening | Binnen 12 maanden of bij wijziging van de verwerking |

*Concept — DPIA-WONINGCORPORATIE-2026-CONCEPT v1.0. Vereist juridische review.*