DPIA-concept — ZZP
Documentnummer: DPIA-ZZP-2026-CONCEPT Versie: 1.0 — concept Datum: 19 mei 2026 Status: CONCEPT — vereist juridische review vóór gebruik. Geen juridisch advies.
Dit is een concept-DPIA op grond van AVG art. 35.
1. Aanleiding en context
Het zzp-portaal ondersteunt zelfstandigen bij hun zakelijke financiën: cashflow, btw, facturen en het reserveren van geld voor belastingen. Een DPIA is passend omdat het portaal financiële gegevens verwerkt, een bankkoppeling onder PSD2 mogelijk is en er fiscale gegevens worden verwerkt.
2. Beschrijving van de verwerking
Doel. De zelfstandige overzicht geven over zakelijke inkomsten, uitgaven, btw en reserveringen.
| Categorie persoonsgegevens | Bron |
|---|---|
| Account- en bedrijfsgegevens | Gebruiker |
| Zakelijke transacties en cashflow | PSD2-koppeling, handmatig |
| Btw- en facturatiegegevens | Gebruiker, systeem |
| AI-context en chatgeschiedenis | Gebruiker, systeem |
| Audit-log | Systeem |
Betrokkenen. Zelfstandige ondernemers die het portaal gebruiken; in facturen kunnen ook gegevens van opdrachtgevers voorkomen.
3. Rechtsgrondslag en noodzaak
| Verwerking | Grondslag |
|---|---|
| Accountbeheer en kernfunctie | Uitvoering van de overeenkomst, AVG art. 6 lid 1 sub b |
| Koppelen van de bankrekening | Expliciete toestemming, AVG art. 6 lid 1 sub a |
| Bewaren van btw- en factuurgegevens | Wettelijke plicht (fiscale bewaarplicht), AVG art. 6 lid 1 sub c |
| AI-ondersteuning bij inzicht | Uitvoering van de overeenkomst, met menselijke tussenkomst |
De verwerking is proportioneel: het portaal verwerkt zakelijke financiële gegevens die nodig zijn voor overzicht en fiscale verplichtingen.
4. Risico-analyse
| # | Risico | Kans | Impact | Score |
|---|---|---|---|---|
| R1 | Datalek met zakelijke financiële gegevens | 2 | 4 | 8 |
| R2 | AI-suggestie over btw of belasting wordt opgevat als fiscaal advies | 3 | 3 | 9 |
| R3 | Overname van een account | 2 | 4 | 8 |
| R4 | Gegevens van opdrachtgevers in facturen onvoldoende beschermd | 2 | 3 | 6 |
| R5 | Gegevens te lang of te kort bewaard ten opzichte van de fiscale plicht | 2 | 3 | 6 |
5. Maatregelen
Technisch
- Versleuteling in transit en in rust (R1, R4).
- MFA beschikbaar; rate-limiting op authenticatie (R3).
- Bewaartermijnen afgestemd op de fiscale bewaarplicht; geautomatiseerde verwijdering daarna (R5).
- Inzage en export via het privacy-overzicht.
Organisatorisch
- Heldere privacyverklaring in gewone taal.
- AI-output is herkenbaar als informatie en niet als fiscaal of financieel advies; bij twijfel een verwijzing naar een gecertificeerde professional (R2).
- Geen externe cloud-AI voor gevoelige gegevens zonder expliciete toestemming.
- Datalekprocedure conform de AVG.
6. Restrisico en conclusie
Na de maatregelen is het restrisico aanvaardbaar. Het portaal voorziet niet in geautomatiseerde besluiten met rechtsgevolgen.
7. Rechten van betrokkenen
De zelfstandige is zelf betrokkene en kan rechten direct in de app uitoefenen. Voor gegevens van opdrachtgevers in facturen geldt de fiscale bewaarplicht.
8. Vaststelling
| Veld | Invullen |
|---|---|
| Verwerkingsverantwoordelijke | Fynqo B.V. |
| Naam en functie | [naam] |
| Datum | |
| Volgende herziening | Binnen 12 maanden of bij wijziging van de verwerking |
Concept — DPIA-ZZP-2026-CONCEPT v1.0. Vereist juridische review.