Gegevensbeschermingseffectbeoordeling (DPIA)
Laatst bijgewerkt: 19 februari 2026
Deze Gegevensbeschermingseffectbeoordeling (DPIA) is opgesteld conform artikel 35 van de Algemene Verordening Gegevensbescherming (AVG). Een DPIA is verplicht wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit document beoordeelt de risico's van de verwerkingen binnen het JustRunBiz-platform en beschrijft de maatregelen om deze risico's te beperken.
1. Beschrijving van de verwerkingen
1.1 Overzicht
JustRunBiz is een cloud-gebaseerd bedrijfsbeheerplatform voor het MKB (midden- en kleinbedrijf). Het platform biedt modules voor boekhouding, facturatie, HR, CRM, e-commerce en AI-assistentie.
1.2 Verwerkingen die een DPIA vereisen
De volgende verwerkingen zijn geïdentificeerd als mogelijk hoog risico:
Verwerking van BSN-nummers (HR-module)
BSN is een bijzonder persoonsgegeven onder de UAVG. Verwerking is alleen toegestaan voor wettelijk voorgeschreven doeleinden (loonbelasting, sociale zekerheid).
Grootschalige financiële gegevensverwerking
Systematische verwerking van financiële gegevens van grote aantallen betrokkenen (klanten, leveranciers, medewerkers).
AI-verwerking (Atlas AI)
Gebruik van een groot taalmodel (Anthropic Claude) dat toegang heeft tot administratiegegevens. Verwerking door derde partij buiten de EER.
Bankkoppelingen (Open Banking / PSD2)
Toegang tot bankrekeningen en transactiegegevens via Enable Banking, inclusief doorgifte naar de VS (Supabase).
2. Noodzakelijkheid en evenredigheid
2.1 Doelbinding
Elke verwerking dient een specifiek, uitdrukkelijk omschreven en gerechtvaardigd doel:
- BSN-verwerking: Uitsluitend voor wettelijk verplichte loonaangifte en sociale zekerheid (Art. 46 UAVG)
- Financiële gegevens: Uitvoering van de overeenkomst (boekhoudservice) en wettelijke bewaarplicht (Art. 52 AWR)
- AI-verwerking: Op uitdrukkelijk verzoek van de gebruiker (opt-in), ter ondersteuning van de administratie
- Bankkoppelingen: Op uitdrukkelijke toestemming van de rekeninghouder, voor automatische boekhouding
2.2 Dataminimalisatie
Per verwerking wordt niet meer data verzameld dan strikt noodzakelijk:
- Atlas AI ontvangt alleen de context die relevant is voor de gestelde vraag, niet de volledige administratie
- BSN wordt alleen opgeslagen wanneer de HR-module actief is en de werkgever dit invoert
- Banktransacties worden alleen opgehaald voor gekoppelde rekeningen
3. Risicobeoordeling
| Risico | Verwerking | Kans | Impact | Risico | Maatregel | Resterend |
|---|---|---|---|---|---|---|
| Onbevoegde toegang tot BSN | A | Laag | Hoog | Midden | Versleuteling (AES-256), RLS, minimale toegang | Laag |
| Datalek financiële gegevens | B | Laag | Hoog | Midden | RLS, TLS, versleutelde backups, auditlog | Laag |
| AI-hallucinatie / onjuist advies | C | Midden | Midden | Midden | Disclaimers, menselijk toezicht, geen auto-besluitvorming | Laag |
| AI-data misbruik door derde | C | Laag | Hoog | Midden | Contractueel geen modeltraining, SCCs, 90-dagen retentie | Laag |
| Onbevoegde toegang bankgegevens | D | Laag | Hoog | Midden | PSD2-regulering, RLS, versleuteling, sessie-expiratie | Laag |
| Internationale doorgifte (VS) | A-D | Midden | Midden | Midden | SCCs, Data Privacy Framework, versleuteling, TIA | Laag |
4. Maatregelen per verwerking
4.1 BSN-verwerking (Verwerking A)
- BSN wordt versleuteld opgeslagen (AES-256) met een aparte encryptiesleutel
- Row Level Security (RLS) zorgt ervoor dat alleen de eigen organisatie toegang heeft
- BSN wordt nooit in logbestanden of AI-context opgenomen
- Toegang tot BSN-velden vereist expliciete actie van de werkgever
- Na einde dienstverband: bewaard voor wettelijke termijn (7 jaar), daarna verwijderd
4.2 Financiële gegevens (Verwerking B)
- Database-niveau beveiliging via Supabase RLS-policies
- TLS 1.2+ voor alle communicatie
- Versleutelde backups met point-in-time recovery
- Auditlog van alle wijzigingen
- 7-jaar bewaarplicht conform Art. 52 AWR
4.3 AI-verwerking (Verwerking C)
- Atlas AI is opt-in: gebruiker moet bewust kiezen om AI te gebruiken
- Alleen relevante context wordt naar Anthropic verzonden, niet de volledige administratie
- Anthropic gebruikt API-data niet voor modeltraining (contractueel vastgelegd)
- AI-gesprekken worden na 90 dagen automatisch verwijderd
- Duidelijke disclaimers: AI-output is informatief, geen professioneel advies
- Geen geautomatiseerde besluitvorming (Art. 22 AVG): gebruiker neemt altijd de beslissing
- EU AI Act transparantie: systeem geclassificeerd als "beperkt risico"
4.4 Bankkoppelingen (Verwerking D)
- Enable Banking is PSD2-gereguleerd en EU-gevestigd (Finland)
- Banktoegang vereist expliciete toestemming van de rekeninghouder via bankredirect
- Sessies verlopen automatisch (max. 180 dagen, afhankelijk van bank)
- Transactiegegevens worden versleuteld opgeslagen
- Gebruiker kan koppeling op elk moment verbreken
5. Doorgifte buiten de EER
JustRunBiz maakt gebruik van dienstverleners buiten de Europese Economische Ruimte (EER):
- Supabase (VS): Database en authenticatie. Waarborg: Standard Contractual Clauses (SCCs), EU-U.S. Data Privacy Framework
- Vercel (VS): Hosting en CDN. Waarborg: SCCs
- Anthropic (VS): AI-verwerking. Waarborg: SCCs, contractueel geen modeltraining, 90-dagen retentie
- Shopify (Canada): E-commerce. Waarborg: Adequaatheidsbesluit Canada
Voor alle VS-doorgiftes is een Transfer Impact Assessment (TIA) uitgevoerd. Aanvullende technische maatregelen (versleuteling, pseudonimisering) zijn geïmplementeerd als supplement bij de SCCs.
6. Rechten van betrokkenen
Betrokkenen kunnen hun AVG-rechten uitoefenen ongeacht de verwerking:
- Recht op inzage, rectificatie, verwijdering, beperking, overdraagbaarheid (Art. 15-20 AVG)
- Recht om niet onderworpen te worden aan geautomatiseerde besluitvorming (Art. 22 AVG)
- Recht om toestemming in te trekken (Art. 7 AVG): voor AI en bankkoppelingen
- Recht om klacht in te dienen bij de Autoriteit Persoonsgegevens
7. Conclusie
Beoordeling
Na beoordeling van alle geïdentificeerde risico's en de getroffen maatregelen, is het restrisico voor alle verwerkingen als laag beoordeeld. De technische en organisatorische maatregelen zijn passend en evenredig. Voorafgaande raadpleging van de Autoriteit Persoonsgegevens (Art. 36 AVG) is op dit moment niet vereist.
Deze DPIA wordt jaarlijks herzien of eerder bij significante wijzigingen in de verwerkingen.
8. Contact
Vragen over deze DPIA of onze gegevensbescherming:
- DPO: stijn@justrunbiz.com