# DPIA-concept — ZZP-portaal

**Documentnummer:** DPIA-ZZP-2026-CONCEPT
**Versie:** 1.0 — concept
**Datum:** 19 mei 2026
**Status:** CONCEPT — vereist juridische review vóór gebruik. Geen juridisch
advies.

> Dit is een concept-DPIA op grond van AVG art. 35.

## 1. Aanleiding en context

Het zzp-portaal ondersteunt zelfstandigen bij hun zakelijke financiën:
cashflow, btw, facturen en het reserveren van geld voor belastingen. Een DPIA is
passend omdat het portaal financiële gegevens verwerkt, een bankkoppeling onder
PSD2 mogelijk is en er fiscale gegevens worden verwerkt.

## 2. Beschrijving van de verwerking

**Doel.** De zelfstandige overzicht geven over zakelijke inkomsten, uitgaven, btw
en reserveringen.

| Categorie persoonsgegevens | Bron |
|---|---|
| Account- en bedrijfsgegevens | Gebruiker |
| Zakelijke transacties en cashflow | PSD2-koppeling, handmatig |
| Btw- en facturatiegegevens | Gebruiker, systeem |
| AI-context en chatgeschiedenis | Gebruiker, systeem |
| Audit-log | Systeem |

**Betrokkenen.** Zelfstandige ondernemers die het portaal gebruiken; in facturen
kunnen ook gegevens van opdrachtgevers voorkomen.

## 3. Rechtsgrondslag en noodzaak

| Verwerking | Grondslag |
|---|---|
| Accountbeheer en kernfunctie | Uitvoering van de overeenkomst, AVG art. 6 lid 1 sub b |
| Koppelen van de bankrekening | Expliciete toestemming, AVG art. 6 lid 1 sub a |
| Bewaren van btw- en factuurgegevens | Wettelijke plicht (fiscale bewaarplicht), AVG art. 6 lid 1 sub c |
| AI-ondersteuning bij inzicht | Uitvoering van de overeenkomst, met menselijke tussenkomst |

De verwerking is proportioneel: het portaal verwerkt zakelijke financiële
gegevens die nodig zijn voor overzicht en fiscale verplichtingen.

## 4. Risico-analyse

| # | Risico | Kans | Impact | Score |
|---|---|---|---|---|
| R1 | Datalek met zakelijke financiële gegevens | 2 | 4 | 8 |
| R2 | AI-suggestie over btw of belasting wordt opgevat als fiscaal advies | 3 | 3 | 9 |
| R3 | Overname van een account | 2 | 4 | 8 |
| R4 | Gegevens van opdrachtgevers in facturen onvoldoende beschermd | 2 | 3 | 6 |
| R5 | Gegevens te lang of te kort bewaard ten opzichte van de fiscale plicht | 2 | 3 | 6 |

## 5. Maatregelen

**Technisch**

- Versleuteling in transit en in rust (R1, R4).
- MFA beschikbaar; rate-limiting op authenticatie (R3).
- Bewaartermijnen afgestemd op de fiscale bewaarplicht; geautomatiseerde
  verwijdering daarna (R5).
- Inzage en export via het privacy-overzicht.

**Organisatorisch**

- Heldere privacyverklaring in gewone taal.
- AI-output is herkenbaar als informatie en niet als fiscaal of financieel
  advies; bij twijfel een verwijzing naar een gecertificeerde professional (R2).
- Geen externe cloud-AI voor gevoelige gegevens zonder expliciete toestemming.
- Datalekprocedure conform de AVG.

## 6. Restrisico en conclusie

Na de maatregelen is het restrisico aanvaardbaar. Het portaal voorziet niet in
geautomatiseerde besluiten met rechtsgevolgen.

## 7. Rechten van betrokkenen

De zelfstandige is zelf betrokkene en kan rechten direct in de app uitoefenen.
Voor gegevens van opdrachtgevers in facturen geldt de fiscale bewaarplicht.

## 8. Vaststelling

| Veld | Invullen |
|---|---|
| Verwerkingsverantwoordelijke | Fynqo B.V. |
| Naam en functie | [naam] |
| Datum | |
| Volgende herziening | Binnen 12 maanden of bij wijziging van de verwerking |

*Concept — DPIA-ZZP-2026-CONCEPT v1.0. Vereist juridische review.*