Laatste wijziging: 19 juni 2026
Forgewise B.V. (hierna: Forgewise) verwerkt persoonsgegevens binnen het Forgewise Assessment Platform. In de meeste gevallen is Forgewise hierbij verwerkingsverantwoordelijke: wij bepalen zelf het doel en de middelen van de verwerking. Voeren wij een assessment uit in opdracht van en onder instructie van een klant, dan kan Forgewise optreden als verwerker namens die klant; in dat geval gelden aanvullende afspraken uit de overeenkomst met de klant.
Wij hebben geen functionaris gegevensbescherming (FG) aangesteld; dit is voor onze organisatie niet wettelijk verplicht.
Voor vragen of verzoeken over uw gegevens: privacy@forgewise.ai
Klanten zijn er zelf verantwoordelijk voor om geen bijzondere persoonsgegevens of gegevens van derden te uploaden, tenzij dit noodzakelijk is en daarvoor een geldige grondslag bestaat.
Voor de werking van het platform schakelen wij de volgende dienstverleners in. Afhankelijk van de situatie zijn dit verwerkers (wanneer Forgewise verwerkingsverantwoordelijke is) of sub-verwerkers (wanneer Forgewise zelf optreedt als verwerker namens een klant). Met deze partijen maken wij passende contractuele afspraken, waaronder waar nodig een verwerkersovereenkomst en afspraken over doorgifte buiten de Europese Economische Ruimte (EER).
| Partij | Doel | Vestiging |
|---|---|---|
| Hetzner Online GmbH | Hosting van applicatie + database | Duitsland (EU) |
| Amazon Web Services (AWS) | AI-analyse via Amazon Bedrock. Het Claude-model van Anthropic draait op AWS-infrastructuur; Anthropic ontvangt uw gegevens niet. Input wordt geminimaliseerd: direct identificerende gegevens zoals naam, e-mail en telefoonnummer worden waar mogelijk verwijderd vóór verzending. | EU (Frankfurt, eu-central-1) |
| Resend, Inc. | Transactionele e-mail (rapportverzending, wachtwoord-reset) | VS (passende waarborgen) |
Voorafgaand aan AI-verwerking passen wij dataminimalisatie toe: direct identificerende gegevens zoals namen, e-mailadressen en telefoonnummers worden waar mogelijk verwijderd of vervangen via onze privacy-filter. In de praktijk bereiken vooral branche, bedrijfsgrootte en assessment-antwoorden de AI-dienst. Omdat vrije-tekstvelden en geüploade documenten alsnog herleidbare informatie kunnen bevatten, spreken wij van geminimaliseerde in plaats van volledig geanonimiseerde gegevens.
De AI-analyse via Amazon Bedrock vindt plaats in de EU-regio Frankfurt (eu-central-1) en blijft daarmee binnen de EER. Voor doorgifte van gegevens buiten de EER (bijvoorbeeld naar de Verenigde Staten bij Resend) treffen wij passende waarborgen, zoals EU-modelcontractbepalingen (Standard Contractual Clauses, SCC), aanvullende contractuele afspraken en dataminimalisatie.
Wij verkopen uw gegevens niet en verstrekken deze niet aan derden voor hun eigen doeleinden. Amazon Bedrock gebruikt de input en output niet om modellen te trainen en deelt deze niet met de modelaanbieder. Forgewise kan de gegevens wel gebruiken om de eigen dienstverlening en de kwaliteit van de analyses te verbeteren.
Binnen Forgewise hebben alleen bevoegde medewerkers toegang tot uw gegevens, op basis van hun rol: de betrokken consultant(s), platformbeheerders en, waar nodig voor ondersteuning, technisch beheer. Toegang is beperkt via role-based access control en wordt vastgelegd in het audit-log.
Na afloop van de klantrelatie verwijderen of anonimiseren wij de persoonsgegevens binnen de hierboven genoemde termijnen, behalve waar een wettelijke bewaarplicht geldt. Op verzoek leveren wij de gegevens vooraf in een gangbaar formaat aan of verwijderen wij deze eerder, voor zover geen bewaarplicht in de weg staat.
U heeft het recht op:
Stuur uw verzoek naar privacy@forgewise.ai. Wij reageren binnen 30 dagen. U heeft tevens het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Wij nemen passende technische en organisatorische maatregelen (TOM): TLS 1.3 voor alle verbindingen, AES-256-GCM voor opgeslagen API-credentials, bcrypt voor wachtwoordhashes, verplichte tweefactorauthenticatie (2FA) voor beheerders, key-only SSH, rate-limiting, audit-logging en role-based access control. Datacenter Hetzner (Falkenstein, DE) is ISO 27001 gecertificeerd.
Bij een meldplichtig datalek melden wij dit zonder onredelijke vertraging en waar vereist binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens. Levert het datalek waarschijnlijk een hoog risico op voor uw rechten en vrijheden, dan informeren wij ook u rechtstreeks.
Wij kunnen deze verklaring aanpassen wanneer wetgeving of onze werkwijze daarom vraagt. Substantiële wijzigingen melden wij actief via e-mail aan onze klantcontactpersonen. De datum bovenaan deze pagina toont de laatste wijziging.