© 2026 Forgewise B.V.
Privacyverklaring

Privacyverklaring

Laatste wijziging: 19 juni 2026

1. Wie zijn wij

Forgewise B.V. (hierna: Forgewise) verwerkt persoonsgegevens binnen het Forgewise Assessment Platform. In de meeste gevallen is Forgewise hierbij verwerkingsverantwoordelijke: wij bepalen zelf het doel en de middelen van de verwerking. Voeren wij een assessment uit in opdracht van en onder instructie van een klant, dan kan Forgewise optreden als verwerker namens die klant; in dat geval gelden aanvullende afspraken uit de overeenkomst met de klant.

Wij hebben geen functionaris gegevensbescherming (FG) aangesteld; dit is voor onze organisatie niet wettelijk verplicht.

Voor vragen of verzoeken over uw gegevens: privacy@forgewise.ai

2. Welke gegevens en waarom

Consultants (gebruikers van het platform)

  • Naam, e-mailadres, telefoonnummer, accountrol
  • Login-tijdstempels en audit-log van uitgevoerde acties
  • Doel: toegang verlenen tot het platform, beveiliging (rate-limiting, brute-force-detectie), traceerbaarheid van wijzigingen
  • Rechtsgrond: voor accountbeheer en toegang de uitvoering van de arbeids- of dienstverleningsovereenkomst; voor beveiliging, logging, fraudepreventie en de audit trail ons gerechtvaardigd belang; en waar van toepassing een wettelijke verplichting voor administratie.

Klantbedrijven en contactpersonen

  • Bedrijfsnaam, branche, KvK-nummer, vestigingsadres
  • Contactpersoon: naam, e-mailadres, telefoonnummer
  • Assessment-antwoorden, consultant-notities, AI-gegenereerde aanbevelingen
  • Geüploade documenten en URL's als kennisbronnen
  • Doel: uitvoeren van het assessment van de digitale volwassenheid en opleveren van het rapport
  • Rechtsgrond: de uitvoering van de overeenkomst met het klantbedrijf (consultancy-opdracht). Voor de gegevens van individuele zakelijke contactpersonen baseren wij ons daarnaast op ons gerechtvaardigd belang om die overeenkomst uit te voeren en de zakelijke relatie te beheren.

Klanten zijn er zelf verantwoordelijk voor om geen bijzondere persoonsgegevens of gegevens van derden te uploaden, tenzij dit noodzakelijk is en daarvoor een geldige grondslag bestaat.

Logging en cookies

  • Server-logs: IP-adres, user-agent, request-pad. Bewaartermijn 30 dagen, daarna geanonimiseerd.
  • Cookies: alleen functioneel, session-cookie en CSRF-token. Geen tracking, geen analytics, geen marketing. Voor deze strikt noodzakelijke, functionele cookies is geen toestemming vereist.

3. Verwerkers en ingeschakelde dienstverleners

Voor de werking van het platform schakelen wij de volgende dienstverleners in. Afhankelijk van de situatie zijn dit verwerkers (wanneer Forgewise verwerkingsverantwoordelijke is) of sub-verwerkers (wanneer Forgewise zelf optreedt als verwerker namens een klant). Met deze partijen maken wij passende contractuele afspraken, waaronder waar nodig een verwerkersovereenkomst en afspraken over doorgifte buiten de Europese Economische Ruimte (EER).

PartijDoelVestiging
Hetzner Online GmbHHosting van applicatie + databaseDuitsland (EU)
Amazon Web Services (AWS)AI-analyse via Amazon Bedrock. Het Claude-model van Anthropic draait op AWS-infrastructuur; Anthropic ontvangt uw gegevens niet. Input wordt geminimaliseerd: direct identificerende gegevens zoals naam, e-mail en telefoonnummer worden waar mogelijk verwijderd vóór verzending.EU (Frankfurt, eu-central-1)
Resend, Inc.Transactionele e-mail (rapportverzending, wachtwoord-reset)VS (passende waarborgen)

Voorafgaand aan AI-verwerking passen wij dataminimalisatie toe: direct identificerende gegevens zoals namen, e-mailadressen en telefoonnummers worden waar mogelijk verwijderd of vervangen via onze privacy-filter. In de praktijk bereiken vooral branche, bedrijfsgrootte en assessment-antwoorden de AI-dienst. Omdat vrije-tekstvelden en geüploade documenten alsnog herleidbare informatie kunnen bevatten, spreken wij van geminimaliseerde in plaats van volledig geanonimiseerde gegevens.

De AI-analyse via Amazon Bedrock vindt plaats in de EU-regio Frankfurt (eu-central-1) en blijft daarmee binnen de EER. Voor doorgifte van gegevens buiten de EER (bijvoorbeeld naar de Verenigde Staten bij Resend) treffen wij passende waarborgen, zoals EU-modelcontractbepalingen (Standard Contractual Clauses, SCC), aanvullende contractuele afspraken en dataminimalisatie.

Wij verkopen uw gegevens niet en verstrekken deze niet aan derden voor hun eigen doeleinden. Amazon Bedrock gebruikt de input en output niet om modellen te trainen en deelt deze niet met de modelaanbieder. Forgewise kan de gegevens wel gebruiken om de eigen dienstverlening en de kwaliteit van de analyses te verbeteren.

Binnen Forgewise hebben alleen bevoegde medewerkers toegang tot uw gegevens, op basis van hun rol: de betrokken consultant(s), platformbeheerders en, waar nodig voor ondersteuning, technisch beheer. Toegang is beperkt via role-based access control en wordt vastgelegd in het audit-log.

4. Bewaartermijnen

  • Actieve klantdossiers: voor de duur van de opdracht
  • Inhoud van afgeronde assessments (antwoorden, notities, AI-aanbevelingen): maximaal 12 maanden na afronding, tenzij met de klant een kortere termijn is afgesproken
  • Geüploade documenten en kennisbronnen: verwijderd na oplevering van het rapport, uiterlijk binnen 12 maanden
  • Administratieve gegevens (contracten, offertes, facturen): 7 jaar, op grond van de wettelijke fiscale bewaarplicht
  • Server-logs: 30 dagen, daarna IP-adres geanonimiseerd
  • Audit-log: 12 maanden, daarna gepseudonimiseerd voor statistiek
  • Rapport-deellinks: 30 dagen, daarna automatisch verlopen

Na afloop van de klantrelatie verwijderen of anonimiseren wij de persoonsgegevens binnen de hierboven genoemde termijnen, behalve waar een wettelijke bewaarplicht geldt. Op verzoek leveren wij de gegevens vooraf in een gangbaar formaat aan of verwijderen wij deze eerder, voor zover geen bewaarplicht in de weg staat.

5. Uw rechten (AVG Art. 15-22)

U heeft het recht op:

  • Inzage in welke gegevens we van u verwerken (Art. 15)
  • Rectificatie of aanvulling van onjuiste gegevens (Art. 16)
  • Wissing ("recht om vergeten te worden") voor zover geen bewaarplicht geldt (Art. 17)
  • Beperking van de verwerking (Art. 18)
  • Dataportabiliteit: uw gegevens in een gestructureerd formaat ontvangen (Art. 20)
  • Bezwaar tegen verwerking op grond van gerechtvaardigd belang (Art. 21)

Stuur uw verzoek naar privacy@forgewise.ai. Wij reageren binnen 30 dagen. U heeft tevens het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

6. Beveiliging

Wij nemen passende technische en organisatorische maatregelen (TOM): TLS 1.3 voor alle verbindingen, AES-256-GCM voor opgeslagen API-credentials, bcrypt voor wachtwoordhashes, verplichte tweefactorauthenticatie (2FA) voor beheerders, key-only SSH, rate-limiting, audit-logging en role-based access control. Datacenter Hetzner (Falkenstein, DE) is ISO 27001 gecertificeerd.

Bij een meldplichtig datalek melden wij dit zonder onredelijke vertraging en waar vereist binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens. Levert het datalek waarschijnlijk een hoog risico op voor uw rechten en vrijheden, dan informeren wij ook u rechtstreeks.

7. Wijzigingen

Wij kunnen deze verklaring aanpassen wanneer wetgeving of onze werkwijze daarom vraagt. Substantiële wijzigingen melden wij actief via e-mail aan onze klantcontactpersonen. De datum bovenaan deze pagina toont de laatste wijziging.

← Terug naar startpagina