TRUEINGS

Beveiliging & compliance

Waar de gegevens zich bevinden, en waar ze zich niet bevinden.

Geschreven voor inkoop, IT-beveiliging en juridische beoordelaars. Geen marketingverpakking, alleen feiten zoals ze er vandaag voorstaan, inclusief de dingen die we nog niet claimen.

Doorstuurbare URL. Als uw beveiligingsteam een leveranciersvragenlijst of een mede-ondertekende DPA nodig heeft, zie Contact onderaan.

Een kleine stenen burcht met één warm verlichte deuropening, bij dageraad in een rustige weide: bescherming door ontwerp in plaats van door kracht.

Subverwerkers

Waar uw gegevens worden verwerkt.

De volledige lijst van derden die gegevens van subjecten of respondenten aanraken, met regio en overdrachtsgrondslag. Anthropic bevindt zich in de Verenigde Staten en wordt gedekt door modelcontractbepalingen; al het andere bevindt zich in de EU.

DienstDoelRegioOverdrachtsgrondslag
Supabase
supabase.com/security
Beheerde Postgres (gegevens van subjecten + respondenten, afgedwongen met RLS), inloggen zonder wachtwoord.EUBinnen de EU.
Anthropic
trust.anthropic.com
LLM-inferentie voor de Criteria Designer, Interviewer en Synthesizer.Verenigde StatenEU → VS onder modelcontractbepalingen, ondertekende Anthropic-DPA. Alleen de Messages API, zonder Batch, Files of server Memory.
Resend
resend.com/legal/security
Transactionele e-mail (inloggen met magic link, uitnodigingen voor respondenten, herinneringen).EUBinnen de EU.
Stripe
stripe.com/privacy
Betalingsverwerking voor de $50 eenmalig- en $100/jaar-abonnementen en licentiepools voor teams.Verenigde Staten (wereldwijde Stripe-infrastructuur)EU → VS onder modelcontractbepalingen. Kaartgegevens worden rechtstreeks door Stripe verzameld; Trueings ziet of bewaart nooit kaartgegevens.
PostHog
posthog.com/handbook/company/security
Productanalyse (alleen aantallen gebeurtenissen: zonder cookies, geen sessieopname, geen autocapture, geen profiel per persoon).EU (eu.i.posthog.com)Binnen de EU.

Hosting: de applicatie zelf draait op beheerde serverless infrastructuur (Vercel). Er wordt geen feedbackinhoud van klanten opgeslagen in applicatielogs; de canonieke opslag is Supabase.

Bewaring

Wat we bewaren, hoe lang, en wat we niet bewaren.

Onbewerkte transcripties worden door een geplande databasetaak verwijderd, 30 dagen na de synthese van elke campagne. De taak draait dagelijks en is controleerbaar. Nadat hij is uitgevoerd, kan de campagne niet opnieuw worden gesynthetiseerd; alleen het geanonimiseerde rapport blijft over.

  • Onbewerkte respondenttranscripties

    30 dagen nadat de synthese van een campagne is afgerond

    Dagelijks verwijderd door een geplande databasetaak. Na verwijdering kan de campagne niet opnieuw worden gesynthetiseerd; alleen het geanonimiseerde rapport blijft over.

  • Gesynthetiseerd rapport (thema's, Johari-kaart, ontwikkelplan)

    Levensduur van het account van het subject

    Ontdaan van identificatoren door de verplichte Confidentiality Guard-stap. Het subject kan het op elk moment exporteren of verwijderen.

  • Account-, toestemmings- en factureringsregistraties

    Levensduur van het account + de periode vereist door EU-belasting- / consumentenrecht

    Gekoppeld aan het subject; verwijderd bij wissing van het account, behoudens wettelijke bewaring.

  • Geaggregeerde operationele logs (geen respondentinhoud)

    Tot 90 dagen

    Gebruikt voor incidentrespons en detectie van misbruik. Geen antwoorden van respondenten; geen feedbackinhoud.

Vertrouwelijkheid is architectuur

Afgedwongen in code, niet door beleid.

Het product kan geen feedback naar de verkeerde partij lekken, omdat de verkeerde partij niet in het gegevenspad zit. Dit zijn structurele garanties, geen toezeggingen.

  • Row-level security op elke gevoelige tabel. Standaard weigeren, smalle policies; de database zelf weigert reads over accounts heen.
  • De Synthesizer ziet nooit de identiteit van een respondent. Hij ontvangt alleen bewijstekst (geen namen, geen e-mailadressen, geen koppeling naar wie wat heeft gezegd), zodat zelfs een willekeurige prompt niet kan onttrekken wat niet in zijn context zit.
  • Een deterministische Confidentiality Guard draait voordat het subject iets te zien krijgt. Hij dwingt de minimumdrempel voor respondenten af, de detailvermindering bij de zachte drempel en een laatste opschoning van identificatoren. Het is geen oordeel van een LLM.
  • Voor teams: het portaal van het bedrijf is door ontwerp inhoudsblind. Het toont alleen het aantal inwisselingen en het voltooiingspercentage, nooit identiteit, inhoud of thema's.

Authenticatie & toegang

Zonder wachtwoord, afgebakend, gecontroleerd.

  • Subjecten loggen in via eenmalige magic links naar een geverifieerd e-mailadres. Er worden geen wachtwoorden opgeslagen of geaccepteerd. De uitgifte van magic links kent een snelheidslimiet en faalt stilzwijgend bij enumeratiepogingen.
  • Respondenten hebben geen account. Elke uitnodiging is een ondertekende, op publiek afgebakende, eenmalige JWT gebonden aan één specifieke reactie; het algoritme staat vast en tokens worden ongeldig gemaakt bij het indienen.
  • Bedrijfsbeheerders authenticeren op dezelfde manier als subjecten, via een magic link naar een geverifieerd e-mailadres, naar een afzonderlijk, inhoudsblind portaal.
  • Operatortoegang is beperkt tot een klein aantal met naam genoemde medewerkers via een door de omgeving afgeschermde adminomgeving. Medewerkers hebben tijdens de normale werking geen toegang tot feedbackinhoud; databasetoegang wordt gelogd.

Versleuteling & transport

Standaard, end-to-end.

  • Onderweg: TLS 1.2+ voor elke verbinding: browser ↔ applicatie, en applicatie ↔ elke subverwerker.
  • In rust: versleuteling wordt geleverd door elke subverwerker (gelinkt in de tabel hierboven): door Supabase beheerde Postgres, door Vercel beheerde runtime, Resend, Stripe, PostHog.
  • Kaartgegevens: rechtstreeks afgehandeld door Stripe via Checkout. Trueings ziet of bewaart nooit kaartnummers.
  • Geheimen: applicatiegeheimen bevinden zich in de versleutelde env-opslag van het platform; de service-role-databasesleutel bereikt nooit de browser.

Wat we niet claimen

De dingen die we liever hebben dat u hier leest dan helemaal niet leest.

Het tegenovergestelde van een marketing-beveiligingspagina. Als een maatregel of certificering hieronder niet staat, ga er dan van uit dat we hem nog niet hebben. Is het belangrijk voor uw beoordeling, laat het ons weten en we vertellen wat het plan is.

Geen SOC 2

We hebben geen SOC 2-audit afgerond. Type I is afgebakend voor de B2B2C-fase voor het mid-market segment; we publiceren het rapport wanneer het klaar is en niet eerder.

Geen ISO 27001

Niet nagestreefd voor de bèta. We heroverwegen dit wanneer de vraag van kopers het wezenlijk maakt.

Geen formele DPIA aanwezig

Een gegevensbeschermingseffectbeoordeling (DPIA) is gereserveerd voor uitbreiding naar de gezondheidszorg. Het huidige product is AVG-door-ontwerp (vertrouwelijkheid structureel afgedwongen, niet via beleid) en wordt als zodanig gedocumenteerd in de Privacyverklaring en DPA.

Nog geen anti-bot-CAPTCHA op het inlogformulier

Inloggen met magic link kent een snelheidslimiet en faalt stilzwijgend bij enumeratiepogingen; een CAPTCHA staat op de roadmap.

Anthropic Zero-Data-Retention: aangevraagd, verificatie in afwachting

Onze Anthropic-organisatie zit op de Commercial-tier en we hebben ZDR aangevraagd. De Privacyverklaring en DPA worden bijgewerkt, en bestaande subjecten opnieuw om toestemming gevraagd, zodra de ZDR-dekking is bevestigd.

Onafhankelijke beveiligingsbeoordeling

Beoordeeld op broncodeniveau vóór de lancering.

De codebase onderging op 2026-05-19 een beveiligingsbeoordeling op broncodeniveau. Er werden geen kritieke bevindingen vastgesteld. Alle items met hoge en gemiddelde ernst die door de beoordeling naar voren kwamen, zijn verholpen, met één uitzondering die is gedocumenteerd en aanvaard als een te bewaken restrisico in plaats van als voorkomen (een sock-puppet-randgeval tegen het anonimiteitsminimum).

De beoordeling richtte zich op authenticatie, de interviewengine, de Confidentiality Guard, facturering en oppervlakken die gevoelig zijn voor misbruik. We kunnen op verzoek de scope en de samenvatting van de oplossingen delen als onderdeel van een leveranciersvragenlijst.

Melding van datalekken

72 uur, schriftelijk, met wat we weten en wat we doen.

Als we ons bewust worden van een inbreuk in verband met persoonsgegevens die gegevens van subjecten of respondenten treft, stellen we de relevante verwerkingsverantwoordelijke zonder onnodige vertraging en binnen 72 uur op de hoogte wanneer de inbreuk waarschijnlijk een risico voor betrokkenen met zich meebrengt, in overeenstemming met artikel 33 van de AVG. De procedurele toezeggingen staan in de Verwerkersovereenkomst.

Juridische documenten

Het contract en de informatie, op één plek.

Privacyverklaring

Wat we verwerken, waarom, hoe lang en uw rechten, voor subjecten en respondenten.

Servicevoorwaarden

Het contract voor subjecten die Trueings rechtstreeks gebruiken.

Master Subscription Agreement

Het contract voor bedrijven die een licentiepool voor hun mensen kopen.

Verwerkersovereenkomst

Rollen, subverwerkers, bewaring, doorgiften, beveiligingsmaatregelen, melding van datalekken.

Contact

Voor uw beveiligingsteam.

Voor een leveranciersvragenlijst, een mede-ondertekende DPA, een abonnement op kennisgevingen van wijzigingen in subverwerkers, of elke vraag die deze pagina openlaat, e-mail teams@trueings.com. We reageren binnen twee werkdagen.

Voor betrokkenenverzoeken (inzage, verwijdering, overdraagbaarheid) gebruiken subjecten de privacybediening in het product; respondenten en derden kunnen e-mailen naar privacy@trueings.com.