Figma Weave (voorheen Weavy.ai) - GDPR & gegevensprivacy-overzicht voor Europese klanten

Versie: juni 2026 - opgesteld door WAIMAKERS B.V.

---

1 Doel

Dit overzicht legt uit hoe Figma Weave (voorheen Weavy.ai) omgaat met data in relatie tot GDPR/AVG, met focus op Europese klanten die AI gebruiken voor visuele content en social media-productie.

Figma nam Weavy in oktober 2025 over en presenteert het product nu als Figma Weave. Het product combineert toonaangevende beeld-, video- en editingmodellen in een node-based creative canvas. Het is nuttig voor campagne-ideatie, social content, productvisuals, merkvarianten en herbruikbare AI media-workflows.

De compliance-posture is verbeterd sinds de oorspronkelijke Weavy.ai-beoordeling, maar Figma Weave blijft plan-, contract- en modelafhankelijk voor zakelijk EU-gebruik.

---

2 Vergelijking van Figma Weave-opties (EU-focus)

Notities voor Europa

• ✅ Huidige productnaam: Figma Weave is de huidige productnaam en productlocatie. Oude Weavy.ai-only formulering is verouderd.
• ❌ Figma AI Terms gelden niet: Figma's AI Terms zeggen expliciet dat ze niet van toepassing zijn op Figma Weave.[1]
• ⚠️ Productscheiding: Figma Weave staat op dit moment los van het hoofdplatform van Figma, met aparte credits en abonnementen.[2][3]
• ✅ Geen platformtraining: Figma Weave zegt dat het afbeeldingen en prompts niet gebruikt om het platform te trainen.[3]
• ✅ Geverifieerde modellen: Een "Verified by Figma"-model betekent dat Figma een providercontract heeft, klantcontent alleen wordt gebruikt om de dienst te leveren, en content niet wordt gebruikt voor modeltraining of verbetering wanneer het via Weave wordt gebruikt.[4]
• ⚠️ Niet-geverifieerde modellen: Niet-geverifieerde modellen vallen onder de voorwaarden en privacy policies van de modelprovider. Dit is het belangrijkste workflow-risico.
• ✅ Enterprise controls: Enterprise-admins kunnen modellen goedkeuren of beperken, en geimporteerde modellen vanuit Fal of Replicate zijn standaard geblokkeerd tenzij ze worden aangezet en goedgekeurd.[5][6]
• ⚠️ Figma security baseline: Figma's securitypagina vermeldt SOC 2 Type II, SOC 3, ISO 27001/27018, EU Cloud Code of Conduct en andere securitymaterialen, maar klanten moeten bevestigen welke rapporten en verplichtingen gelden voor Figma Weave in hun overeenkomst.[7]

---

3 Is Figma Weave GDPR-compliant?

Kort antwoord: ⚠️ Gedeeltelijk / contractafhankelijk. Figma Weave heeft een duidelijk betere compliance-posture dan onze oorspronkelijke Weavy.ai-pagina suggereerde, maar het is niet automatisch goedgekeurd voor strikte EU-workflows met persoonsgegevens of vertrouwelijke data.

Wat is verbeterd:

• ✅ Figma Weave wordt nu ondersteund door Figma en heeft een duidelijkere product- en helpcenterlaag.
• ✅ Het product zegt niet te trainen op afbeeldingen of prompts.
• ✅ Enterprise Model Management geeft admins de mogelijkheid om te beperken welke modellen gebruikers kunnen draaien.
• ✅ Verified/unverified model labels maken third-party modelrisico zichtbaarder.
• ✅ Enterprise modelimports kunnen worden uitgezet of via admin approval lopen.

Wat plan- of contractafhankelijk blijft:

• ⚠️ Of de relevante Figma DPA en SCCs expliciet Figma Weave dekken voor de order van de klant.
• ⚠️ Welke subverwerkers en modelproviders klantinput en output verwerken.
• ❌ Of EU-only opslag of verwerking beschikbaar is voor de workspace van de klant is niet publiek bevestigd.
• ⚠️ De bewaartermijnen en verwijdermogelijkheden voor prompts, bronassets, gegenereerde output, workflowhistorie en metadata.
• ⚠️ Of de klant niet-geverifieerde of geimporteerde modellen toestaat.

Wat dit praktisch betekent:

• ✅ Voor niet-persoonlijke creatieve verkenning kan Figma Weave worden overwogen met normale business review.
• ⚠️ Voor social content met echte personen, medewerkers, klanten, vertrouwelijke producten of nog niet gepubliceerde campagnematerialen, gebruik alleen Enterprise en rond vendor due diligence af.
• ❌ Voor strikte compliance-klanten, upload geen persoonsgegevens of vertrouwelijke data totdat DPA, SCCs, subverwerkers, securityrapport, bewaartermijnen/verwijdering, residentie en model-allowlist schriftelijk zijn bevestigd.

Buyer note: Het juiste antwoord is niet "Weave is onveilig" of "Figma heeft het gekocht, dus het is goedgekeurd." Het juiste antwoord is dat Figma Weave bruikbaar is voor laag-risico creatief werk en pas geschikt wordt voor strikter werk met het juiste enterprise-contract en modelgovernance.

---

4 Details per aanbod

Free / Starter / Professional

• ✅ Use case: Individuele experimenten, concepting en laag-risico creatieve workflows.
• ✅ Training: Figma Weave zegt afbeeldingen en prompts niet te gebruiken om het platform te trainen.
• ⚠️ Modelrisico: Gebruikers kunnen toegang hebben tot een brede modelset; voorwaarden van niet-geverifieerde modellen kunnen verschillen.
• ⚠️ Admin-controls: Geen gepubliceerde enterprise-grade model-allowlist gevonden voor deze self-serve plannen.
• ❌ DPA: Ga niet uit van een verwerkersovereenkomst die geschikt is voor zakelijke EU-workloads.
• ✅ Wanneer gebruiken: Synthetische, stock- of al publieke creatieve input.
• ❌ Wanneer niet gebruiken: EU-persoonsgegevens, medewerker-/klantbeelden, vertrouwelijke campagnematerialen of gereguleerde data.

Team

• ✅ Use case: Kleine creatieve teams die gedeelde workflows en credits nodig hebben.
• ✅ Training: Zelfde platform no-training posture; modelprovider-voorwaarden blijven relevant.
• ⚠️ Controls: Teamcredits en collaboration controls, maar controleer of model-allowlisting beschikbaar is voor het plan.
• ⚠️ DPA: Contractroute moet worden gecontroleerd voordat het plan voor klantdata wordt gebruikt.
• ✅ Wanneer gebruiken: Laag-risico social content workflows waarbij alle input is goedgekeurd voor externe AI-verwerking.
• ❌ Wanneer niet gebruiken: Strikte klantomgevingen die auditable modelgovernance en ondertekende verwerkersvoorwaarden vereisen.

Enterprise

• ✅ Use case: Organisaties die governance, procurement review en gecontroleerd modelgebruik nodig hebben.
• ✅ Controls: Enterprise Model Management kan modellen goedkeuren of beperken; niet-geverifieerde modellen vereisen admin approval; geimporteerde modellen vanuit Fal of Replicate zijn standaard geblokkeerd tenzij geactiveerd.
• ✅ Geverifieerde modellen: Gebruik bij voorkeur geverifieerde modellen voor klantworkflows, omdat Figma hiervoor sterkere provider-termen documenteert.
• ⚠️ DPA: Vraag schriftelijke bevestiging dat DPA, SCCs, subverwerkerlijst, securityrapport, bewaartermijnen/verwijdering en residentie Figma Weave dekken.
• ✅ Wanneer gebruiken: Gecontroleerde social content productie na procurement approval en workspace-configuratie.
• ❌ Wanneer niet gebruiken: Als de klant EU-only verwerking vereist en Figma dit niet voor Weave kan bevestigen.

---

5 Dataverwerkingsflow

[Gebruiker maakt prompt, uploadt referenties of bewerkt visuele workflow in Figma Weave]
  ↓
[Figma Weave-workspace en backend verwerken workflow]
  ├─ Productstatus: apart Figma Weave-product, niet gedekt door Figma AI Terms
  ├─ Platformtraining: Figma Weave zegt afbeeldingen/prompts niet te gebruiken om het platform te trainen
  ├─ Bewaren/verwijderen: bevestigen in enterprise voorwaarden
  └─ Residentie: bevestigen voor specifieke workspace en contract
       ↓
[Workflow roept geselecteerd AI-model aan]
  ├─ Geverifieerd model: Figma zegt dat providercontract bestaat en geen training/verbetering plaatsvindt via Weave
  ├─ Niet-geverifieerd model: provider-voorwaarden en privacy policy bepalen verwerking
  └─ Geimporteerd model: Enterprise zou admin approval moeten vereisen of dit uit moeten laten
       ↓
[Gegenereerde output keert terug naar Figma Weave]
  ├─ Gebruiker kan editen, branchen, exporteren of hergebruiken in workflows
  ├─ Workflowhistorie en gegenereerde assets kunnen bewaard blijven
  └─ Verwijder-/exportverplichtingen moeten in procurement worden bevestigd

*Voor strikte klanten volgt het echte risico het gekozen model en het getekende contract, niet alleen het platformmerk.*

---

6 Aanbevelingen (GDPR-first)

• ✅ Voor basic social content met niet-persoonlijk bronmateriaal kan Figma Weave worden gebruikt na normale tool approval.
• ⚠️ Voor klantwerk met identificeerbare personen of vertrouwelijke data, gebruik alleen Enterprise en beperk de workspace tot goedgekeurde/gecontroleerde modellen.
• ❌ Voor strikte compliance-klanten, ga niet naar productie totdat DPA, SCCs, subverwerkerlijst, huidig securityrapport, bewaartermijnen/verwijdering en dataresidentie zijn bevestigd.
• ✅ Houd niet-geverifieerde modellen standaard uit, tenzij legal/privacy van de klant provider-voorwaarden goedkeurt.
• ✅ Houd geimporteerde modellen standaard uit voor Enterprise-workspaces tenzij er een gedocumenteerde approval-flow is.
• ✅ Houd intern bij welke modellen, inputcategorieen en verboden inputcategorieen gelden.
• ⚠️ Overweeg FLORA voor basic social content workflows wanneer een klant een eenvoudiger publiek privacy-/subprocessorverhaal en admin model-disabling controls wil. FLORA vereist nog steeds eigen DPA- en modelprovider-review.

---

7 EU-rollout checklist (praktisch)

• Kies het juiste plan - Enterprise voor elke strikte klant of elke workflow met persoonsgegevens of vertrouwelijke data.
• Bevestig contractdekking - Vraag Figma schriftelijk te bevestigen dat Figma Weave onder MSA/DPA/SCCs van de klant valt.
• Review subverwerkers en modelproviders - Documenteer welke providers prompts, referenties, bronassets en output kunnen ontvangen.
• Configureer model-controls - Sta alleen goedgekeurde/gecontroleerde modellen toe tenzij een uitzondering is vastgelegd.
• Zet geimporteerde modellen standaard uit - Houd Fal/Replicate imports uit tenzij de klant deze expliciet goedkeurt.
• Definieer toegestane inputcategorieen - Bijvoorbeeld synthetische beelden, stock imagery, goedgekeurde brand assets, publiek campagnemateriaal.
• Definieer verboden inputcategorieen - Bijvoorbeeld klantfoto's, medewerkerportretten, gevoelige persoonsgegevens, vertrouwelijke productontwerpen, nog niet gepubliceerde strategie.
• Verifieer bewaren en verwijderen - Bevestig hoe prompts, uploads, output, workflowhistorie en metadata kunnen worden verwijderd.
• Voer DPIA/TIA uit waar nodig - Vooral bij identificeerbare personen, biometrie-achtige beelden of grensoverschrijdende doorgifte.
• Train gebruikers - Maak duidelijk dat "approved tool" niet betekent dat alle data is toegestaan.

---

8 Procurement quick answers (EU)

Is Figma Weave hetzelfde als Weavy.ai?

✅ Figma heeft Weavy overgenomen en presenteert het nu als Figma Weave. Oude Weavy.ai-only formulering moet worden aangepast, maar het legacy help.weavy.ai helpcenter bevat nog steeds actuele Figma Weave-artikelen.

Gelden Figma's AI Terms voor Figma Weave?

❌ Nee. Figma's AI Terms zeggen expliciet dat ze niet van toepassing zijn op Figma Weave.[1]

Traint Figma Weave op klantbeelden of prompts?

✅ Figma Weave zegt dat het afbeeldingen en prompts niet gebruikt om het platform te trainen.[3] Voor geverifieerde modellen zegt Figma dat klantcontent niet wordt gebruikt voor modeltraining of verbetering wanneer het via Weave wordt gebruikt.[4] ⚠️ Voor niet-geverifieerde modellen gelden provider-voorwaarden.

Kunnen we Figma Weave gebruiken voor strikte EU-klanten?

⚠️ Alleen na enterprise due diligence. Bevestig DPA/SCC-dekking, subverwerkers, securityrapport, bewaartermijnen/verwijdering, residentie en model-allowlist voordat persoonsgegevens of vertrouwelijke data worden geupload.

Wat zijn verified en unverified models?

✅ Geverifieerde modellen hebben een Figma-providercontract en sterkere no-training en indemnity commitments via Weave. ⚠️ Niet-geverifieerde modellen vallen onder de eigen voorwaarden en privacy policies van de provider.[4]

Kunnen admins risicovolle modellen uitschakelen?

✅ Op Enterprise, ja. Admins kunnen modellen goedkeuren of beperken via Enterprise Model Management, en geimporteerde modellen vanuit Fal of Replicate zijn standaard uitgeschakeld tenzij ze worden aangezet en goedgekeurd.[5][6]

Is FLORA veiliger dan Figma Weave?

⚠️ Niet automatisch. FLORA heeft een duidelijkere publieke privacy notice, subprocessor-pagina, trust center en admin model-disabling statements, wat procurement voor basic social content makkelijker kan maken. Ook FLORA vereist contract-, DPA-, subprocessor- en modelprovider-review voor strikte klanten.

---

9 Notities & caveats

• ⚠️ Onderzoeksdatum: Bronnen zijn gecontroleerd op 23 juni 2026. Figma integreert Weave nog, dus contracttaal en productcontrols kunnen veranderen.
• ❌ Vertrouw niet op oud Weavy-only materiaal: Gebruik de huidige Figma Weave product-, helpcenter-, legal- en trustlinks voor procurement review.
• ⚠️ Modelkeuze bepaalt risico: Een compliant workspace kan risicovol worden als gebruikers niet-geverifieerde of geimporteerde modellen met vertrouwelijke input draaien.
• ⚠️ Social content kan persoonsgegevens bevatten: Gezichten, namen, medewerkerportretten, klantquotes en locatiebeelden kunnen een visuele workflow GDPR-relevant maken.
• ⚠️ EU AI Act: Synthetische media en bewerkte visuele content kunnen transparantie- of labelverplichtingen triggeren afhankelijk van de use case. Beoordeel dit los van GDPR.

---

10 Bronnen

• Figma announcement: Introducing Figma Weave
• Figma Weave product page
• Figma Weave pricing FAQ
• Weavy to Figma Weave FAQ
• Figma AI Terms
• Figma Data Processing Addendum
• Figma Security and Compliance
• Figma Weave Enterprise Model Management
• Figma Weave Verified and Unverified Models
• Figma Weave Enterprise Model Import Controls
• FLORA Privacy Notice
• FLORA Sub-Processors
• FLORA Privacy FAQ
• FLORA Trust Center

---

11 Disclaimer

Deze pagina is een praktisch procurement- en datarisico-overzicht, geen juridisch advies. GDPR/AVG-goedkeuring voor een specifieke klant hangt af van het getekende contract, de geconfigureerde workspace, gekozen modellen, datacategorieen en DPIA/TIA-uitkomst.

WAIMAKERS B.V. past intern strikte privacy- en security-due diligence toe. We gebruiken tools niet voor persoonsgegevens-workloads tenzij de verwerkersovereenkomst, het transfermechanisme, bewaartermijnen/verwijdering en modelprovider-controls voldoende duidelijk zijn voor de use case.