en:twine
PRIVACY EN:TWINE

Privacyverklaring en:twine

Laatst bijgewerkt: 27 juni 2026

Bij en:twine helpen we organisaties met AI-readiness en implementatie. Daarbij verwerken wij persoonsgegevens. In deze verklaring leest u welke gegevens wij verwerken via deze website, waarom, hoe lang en met welke partijen. Vragen? Mailprivacy@en-twine.ai. Wij reageren binnen een maand (art. 12 lid 3 AVG, met mogelijke verlenging van twee maanden).

1. Wie is verantwoordelijk

1.1 Verwerkingsverantwoordelijke is en:twine B.V., statutair gevestigd te Utrecht, ingeschreven bij de Kamer van Koophandel onder nummer 42091831.

1.2 Voor vragen over deze verklaring of over de verwerking van uw persoonsgegevens kunt u contact opnemen met onze privacycontactpersoon: Lynn Diepenbroek, bereikbaar viaprivacy@en-twine.ai.

1.3 Wij hebben geen Functionaris Gegevensbescherming aangesteld. Onze kernactiviteiten betreffen geen grootschalige observatie of verwerking van bijzondere categorieën persoonsgegevens, zodat de criteria van artikel 37 AVG niet van toepassing zijn. Wij herbeoordelen dit als onze verwerking wezenlijk verandert.

1.4 Deze verklaring geldt voor bezoekers uit de EU/EER en het Verenigd Koninkrijk. Wij hebben geen vertegenwoordiger in het Verenigd Koninkrijk aangesteld onder artikel 27 UK GDPR. Onze verwerking van persoonsgegevens van UK-bezoekers is incidenteel, niet grootschalig en betreft geen bijzondere categorieën persoonsgegevens; en:twine voert geen actieve UK-acquisitie. UK-bezoekers kunnen ons rechtstreeks bereiken via het privacycontact.

1.5 Onze diensten richten zich op zakelijke gebruikers en zijn niet bedoeld voor minderjarigen onder 16 jaar. Wij verwerken niet bewust persoonsgegevens van minderjarigen. Als u weet dat een minderjarige toch gegevens via onze website heeft achtergelaten, neem dan contact op via privacy@en-twine.aizodat wij deze kunnen verwijderen.

2. Welke gegevens wij verwerken en waarom

Wij verwerken persoonsgegevens voor vier concrete doelen op deze website, plus technische logging voor de werking en beveiliging van de site.

2.1 Contactformulier

Als u het contactformulier invult of ons rechtstreeks mailt, verwerken wij naam, e-mailadres, eventueel telefoonnummer, organisatie en de inhoud van uw bericht.

  • Doel: uw vraag beantwoorden en zo nodig een vervolgtraject starten.
  • Grondslag: uitvoering van een (pre-)contractuele maatregel op uw verzoek (art. 6 lid 1 sub b AVG) of ons gerechtvaardigd belang om op zakelijke vragen te reageren (art. 6 lid 1 sub f AVG).
  • Bewaartermijn: maximaal 12 maanden na het laatste contact, tenzij hieruit een opdracht voortvloeit. In dat geval gelden de bewaartermijnen uit de hoofdovereenkomst en de fiscale bewaarplicht (7 jaar, art. 52 AWR).

2.2 AI Readiness Scan

Op de website bieden wij een AI-chatbot aan voor de AI Readiness Scan.U praat met een AI-systeem, niet met een mens. Wij maken dit ook in de chatbot-interface zelf expliciet kenbaar. De chatbot kan fouten maken en is bedoeld als oriëntatie, niet als bindend advies.

Wij verwerken: uw naam, e-mailadres, bedrijfsnaam, eventueel de bedrijfswebsite, uw vragen en antwoorden, scanresultaten, rapportlink, sessie-ID, tijdstempel, technische metadata en publiek beschikbare bedrijfscontext die wij op basis van de bedrijfsnaam en eventuele website ophalen om de scan te personaliseren.

  • Doel: de scan uitvoeren, een indicatieve AI-readiness-uitslag en rapport genereren, het rapport per e-mail toesturen, u eventueel één herinnering sturen als u de scan niet afmaakt, intern opvolging organiseren en, met uw toestemming, u eenmalig persoonlijk opvolgen over uw resultaat. Wij kunnen gegevens in geanonimiseerde of geredigeerde vorm analyseren voor productverbetering en marktonderzoek.
  • Grondslag: uw toestemming bij start van de chat (art. 6 lid 1 sub a AVG). U kunt stoppen door de sessie te sluiten. Wilt u toestemming intrekken of gegevens laten verwijderen, mail dan privacy@en-twine.ai(art. 7 lid 3 AVG). Intrekking doet geen afbreuk aan verwerking die vóór intrekking al rechtmatig heeft plaatsgevonden.
  • Geen geautomatiseerde besluitvorming met rechtsgevolgen. De uitkomst is indicatief; er worden geen besluiten genomen die rechtsgevolgen voor u hebben of u in aanmerkelijke mate treffen in de zin van artikel 22 AVG. U kunt altijd een mens spreken via privacy@en-twine.ai of via een afspraak op onze Calendly-pagina.
  • Verwerker: de chatbot maakt gebruik van het Claude large language model van Anthropic PBC onder de Anthropic Commercial Terms en Data Processing Addendum. Inputs en outputs worden buiten de EER (Verenigde Staten) verwerkt. Doorgifte vindt plaats onder het EU-VS Data Privacy Framework en de Standaardcontractbepalingen van de Europese Commissie.
  • Verwerking inputs/outputs: Anthropic verwerkt inputs en outputs uitsluitend voor het beantwoorden van uw vraag. Op grond van het standaard API-beleid van Anthropic worden uw inputs en outputs niet gebruikt om modellen te trainen.
  • Bewaartermijn bij Anthropic: inputs en outputs worden tot30 dagen door Anthropic bewaard voor abuse-monitoring. Geautomatiseerde trust-and-safety classifier-scores worden tot 7 jaar door Anthropic bewaard.
  • Opslag en interne opvolging: scanrecords en berichten worden opgeslagen in Supabase. Voor publieke bedrijfscontext kunnen wij Exa gebruiken of, als u een website invult, openbare website-metadata ophalen. Na afronding kunnen wij Resend gebruiken om het rapport en eventuele herinnering te versturen. Een beperkte interne notificatie en CRM-opvolging kan via Slack en Notion lopen, zodat het en:twine-team de scan kan opvolgen. Daarbij kunnen naam, e-mailadres, bedrijfsnaam, score, rapportlink en samenvatting/resultaat zichtbaar zijn voor bevoegde teamleden.
  • Vul geen bijzondere persoonsgegevens, bedrijfsgeheimen of vertrouwelijke informatie van derden in.
  • Bewaartermijn: onafgemaakte scans worden na ongeveer 24 uur gesloten. Wij sturen maximaal één herinnering tussen 2 en 24 uur na de start als de scan nog niet is afgerond. Ruwe chatinhoud wordt maximaal 90 dagen bewaard voor opvolging, kwaliteitsbewaking en beveiliging; daarna wordt de ruwe inhoud verwijderd en blijft alleen een geredigeerde of geanonimiseerde versie beschikbaar voor analyse. Contact-, rapport- en opvolgingsgegevens bewaren wij maximaal 12 maanden na de laatste scaninteractie, tenzij hieruit een opdracht voortvloeit of langere bewaring nodig is voor wettelijke verplichtingen of geschilafhandeling.

2.3 Cookies, product- en marketinganalytics (PostHog en GA4)

Wij gebruiken cookies en vergelijkbare technieken voor twee doelen: het laten werken van de website (functioneel) en het meten van product- en marketinggebruik (analytisch en marketinganalyse) via PostHog en Google Analytics 4. Wij gebruiken geen derde-partij- advertentienetwerken, retargeting-pixels, of cross-site-tracking. Onze analytics blijven first-party — verzameld op onze eigen domein-context en niet gedeeld met advertentie-ecosystemen. Verwerkt door PostHog Cloud EU en Google Analytics 4 onder verwerkersvoorwaarden.

  • Functionele en strikt noodzakelijke cookies plaatsen wij zonder toestemming (art. 11.7a lid 3 Telecommunicatiewet). Het gaat om sessie-cookies, taalvoorkeur en CSRF-tokens.
  • Analytische en marketinganalytics-cookies via PostHog en GA4 laden wij uitsluitend nadat u daarvoor via de cookiebanner toestemming hebt gegeven (art. 11.7a lid 1 Tw, art. 6 lid 1 sub a AVG). U kunt uw toestemming op elk moment intrekken via de cookie-instellingen onderaan deze pagina; wij stoppen dan met toekomstige metingen. Verwijdering van gegevens die al naar PostHog of Google Analytics zijn gestuurd kunt u aanvragen via het privacycontact.
  • Wat PostHog meet: paginaweergaves en productinteracties die wij expliciet naar PostHog sturen, zoals AI Readiness Scan-stappen, PDF-downloads, rapportshares, CTA-kliks en eerste/laatste herkomstsignalen zoals UTM-parameters, landingspagina en externe verwijzer. Als session replay is ingeschakeld, gebruiken wij PostHog-privacycontroles om invoervelden te maskeren en gevoelige inhoud niet bewust vast te leggen.
  • Wat GA4 meet: paginaweergaves en verkeersbronnen voor kruiscontrole van websiteverkeer. GA4 wordt niet geladen voordat analytische cookies zijn geaccepteerd. Google Signals, User ID, user-provided data collection, ads personalisation, remarketing en productkoppelingen met Google Ads of andere advertentieproducten staan uit.
  • GA4-redactie: e-mailredactie en query-parameterredactie zijn actief voor gevoelige/private URL-parameters zoals e-mail, naam, telefoon, token-, rapport- en assessment-ID-parameters. Enhanced Measurement-formulierinteracties staan uit.
  • AI Readiness Scan en rapport-events: server-side scan- en rapportacties van de eigenaar worden alleen naar PostHog gestuurd voor assessments die zijn gestart nadat u expliciet toestemming hebt gegeven voor de scan. Deze events kunnen het assessment-ID gebruiken en intern aan uw scanrecord worden gekoppeld. Rapportweergaves en rapport-CTA's meten wij via browseranalytics en dus alleen nadat de bezoeker analytische cookies heeft geaccepteerd.
  • PostHog deployment: PostHog Cloud EU (Frankfurt) door PostHog Inc. Doorgiften of toegang buiten de EER worden geregeld via onze verwerkersafspraken en passende waarborgen.
  • Staging en development: events krijgen een environment-label (production/staging/development), zodat niet-productieverkeer uit productiedashboards kan worden gefilterd.
  • Bewaartermijn: PostHog-events maximaal 12 maanden en sessie-replays maximaal 30 dagen (PostHog Cloud EU free plan defaults). GA4 event- en user-data staan ingesteld op 2 maanden, zonder reset op nieuwe gebruikersactiviteit.

2.4 Calendly (afspraakboeking)

Voor het inplannen van een (kennismakings)gesprek gebruiken wij Calendly. We linken vanaf onze website naar Calendly (pop-out), de boeking gebeurt op calendly.com. Wij verwerken: naam, e-mailadres, organisatie, telefoonnummer, gekozen tijdslot, tijdzone en eventuele antwoorden op intake-vragen.

  • Doel: afspraak plannen, bevestigen, wijzigen en opvolgen.
  • Grondslag: uitvoering van een (pre-)contractuele maatregel op uw verzoek (art. 6 lid 1 sub b AVG).
  • Verwerker: Calendly LLC, Buford GA, Verenigde Staten. Doorgifte onder het EU-VS Data Privacy Framework, met de Standaardcontractbepalingen (Module 2) en het UK IDTA-Addendum als terugvalmechanisme.
  • Calendly Notetaker: wij maken geen gebruik van Calendly's ingebouwde Notetaker.
  • Bewaartermijn: maximaal 12 maanden na de afspraak voor administratieve doeleinden.

2.5 Server- en beveiligingslogs

De website wordt gehost door Vercel Inc., met compute in de Vercel-regio fra1 (Frankfurt, Duitsland) en een wereldwijd edge/CDN-netwerk voor levering, caching en logging. Daarbij worden technische logbestanden (waaronder IP-adressen, request-tijdstempels en user-agent) tijdelijk verwerkt voor de werking en beveiliging van de website.

  • Doel: beschikbaarheid, foutopsporing en beveiliging.
  • Grondslag: ons gerechtvaardigd belang bij netwerkbeveiliging (art. 6 lid 1 sub f AVG, overweging 49 AVG).
  • Bewaartermijn: maximaal 30 dagen.

3. Verwerkers en doorgifte buiten de EER

Waar een partij namens ons persoonsgegevens verwerkt, sluiten wij een verwerkersovereenkomst conform artikel 28 AVG. Waar een partij zelfstandig verwerkingsverantwoordelijke is voor delen van de verwerking, verwijzen wij naar diens privacyvoorwaarden.

Doorgifte buiten de EER vindt uitsluitend plaats op basis van een adequaatheidsbesluit, het EU-VS Data Privacy Framework of de standaardcontractbepalingen van de Europese Commissie (art. 44 t/m 49 AVG). Voor UK-doorgiften gebruiken wij waar nodig het UK Addendum.

  • Vercel Inc. — verwerker, website-hosting, Vercel-regio fra1 (Frankfurt, Duitsland) voor compute / global edge voor levering, caching en logs, EU-VS DPF + SCC's.
  • Supabase — verwerker, database en server-side opslag van scanrecords, berichten, scores en rapportgegevens, DPA + passende doorgiftewaarborgen.
  • PostHog Inc. — verwerker, product- en marketinganalytics + optionele session replay, PostHog Cloud EU (Frankfurt).
  • Google Ireland Ltd / Google LLC — verwerker, Google Analytics 4 websiteanalytics, EU-VS DPF + SCC's voor subverwerking.
  • Anthropic PBC — verwerker, LLM-API voor chatbot (Claude), Verenigde Staten, EU-VS DPF + SCC's.
  • Exa — verwerker, publieke bedrijfscontext voor de AI Readiness Scan, Verenigde Staten, DPA + passende doorgiftewaarborgen.
  • Resend — verwerker, transactionele e-mail voor contactformulieren, scanrapporten, herinneringen en rapportshares, Verenigde Staten, EU-VS DPF + DPA.
  • Notion — verwerker, interne CRM- en salesopvolging van scanleads, DPA + passende doorgiftewaarborgen.
  • Slack Technologies — verwerker, interne notificaties over afgeronde scans en operationele waarschuwingen, DPA + passende doorgiftewaarborgen.
  • Calendly LLC — verwerker (boekingsdata namens en:twine) en zelfstandig verantwoordelijke (eigen accountbeheer), Verenigde Staten, EU-VS DPF + SCC's (Module 2) + UK IDTA als terugvalmechanisme.
  • Google Ireland Ltd / Google LLC — verwerker, zakelijke e-mail (Google Workspace, EU data residency Frankfurt), adequaatheidsbesluit (intra-EU) + EU-VS DPF + SCC's voor sub-processing.

Op verzoek verstrekken wij u een kopie van de getroffen waarborgen. Wij verkopen uw gegevens niet en gebruiken ze niet voor profiling buiten de hierboven genoemde doelen.

4. Beveiliging

Wij treffen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen, conform artikel 32 AVG. Denk aan versleuteling in transit (TLS), toegangsbeheer op need-to-know-basis, logging, leveranciersselectie en periodieke evaluatie. Bij een datalek met risico voor u melden wij dit binnen 72 uur bij de Autoriteit Persoonsgegevens en, indien vereist, bij u (art. 33 en 34 AVG).

Vermoedt u een datalek? Mailprivacy@en-twine.ai. Wij beoordelen het signaal en informeren u over vervolgstappen.

5. Uw rechten

U hebt onder de AVG (en UK GDPR voor inwoners van het VK) recht op:

  • inzage (art. 15);
  • rectificatie of aanvulling (art. 16);
  • gegevenswissing (art. 17);
  • beperking van de verwerking (art. 18);
  • gegevensoverdraagbaarheid (art. 20);
  • bezwaar tegen verwerking op grond van gerechtvaardigd belang (art. 21);
  • intrekking van toestemming (art. 7 lid 3), zonder dat dit afbreuk doet aan eerdere verwerkingen.

U hebt ook het recht om niet te worden onderworpen aan uitsluitend geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbaar significant effect (art. 22 AVG). Onze website-chatbot neemt zulke besluiten niet.

Stuur uw verzoek naar privacy@en-twine.ai. Wij reageren binnen een maand (art. 12 lid 3 AVG, met mogelijke verlenging van twee maanden bij complexiteit). Wij kunnen vragen om informatie om uw identiteit aan te tonen.

6. Klachtrecht

Bent u niet tevreden over hoe wij met uw persoonsgegevens omgaan, dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). Bezoekers uit het Verenigd Koninkrijk kunnen zich richten tot de Information Commissioner's Office (ico.org.uk).

7. Wijzigingen

Wij kunnen deze privacyverklaring aanpassen als onze website, leveranciers of wettelijke verplichtingen wijzigen. De actuele versie staat altijd op deze pagina, met vermelding van de datum van laatste wijziging.