Enterprise

Compliance-documentatie en hoe je die verifieert

SOC 2 Type II-rapporten onder NDA, een AVG-verwerkersovereenkomst, en een duidelijk contractueel pad voor PDPA en CCPA — met verificatiestappen in plaats van badges.

De compliancepositie van Ciao rust op verifieerbare documenten: SOC 2 Type II-rapporten beschikbaar onder NDA, een AVG-verwerkersovereenkomst, en contractuele afspraken over gegevensverwerking — zero-retention modelcontracten en geen training op klantcode — die PDPA- en CCPA-verplichtingen ondersteunen. In tegenstelling tot leveranciers die een muur vol badges publiceren, leidt Ciao elke compliance-claim naar een document dat je juridische en security-teams daadwerkelijk kunnen lezen en verifiëren.

Ideaal voorCompliance- en privacyreviewVragenlijsten voor leveranciersrisicoJuridische en verwerkersovereenkomst-beoordeling

Gepubliceerd 2026-07-03 · Laatst bijgewerkt 2026-07-03

Compliance-claims zijn makkelijk te maken en duur om te vertrouwen

Elke leverancierspagina in deze categorie toont dezelfde rij logo's. Het verschil tussen een badge en een control is of je het kunt verifiëren: het auditrapport lezen, de verwerkersovereenkomst ondertekenen, een dataflow traceren, de scope van de auditor bevragen. Wanneer het platform in kwestie productiesoftware genereert en deployt, is de kostprijs van het vertrouwen op een ongeverifieerde claim niet abstract — het is je eigen auditbevinding een jaar later.

De positie van Ciao is simpel: compliance-documentatie bestaat om gelezen te worden. Deze pagina somt op wat vandaag beschikbaar is, welk pad elke regelgeving dekt die je review waarschijnlijk noemt, en de exacte stap die elk item verifieert. Waar iets contractueel wordt geregeld in plaats van door certificering, zegt de pagina dat gewoon.

Een nuttige test voor elke leverancier in deze categorie: vraag waar elke compliance-claim is vastgelegd, wie het heeft geauditeerd, en wat er gebeurt als het achteraf onjuist blijkt. Een claim onderbouwd door een auditrapport heeft een auteur en een methode. Een claim onderbouwd door een badge heeft een grafisch ontwerper. Je review verdient het eerste, en deze pagina is zo opgebouwd dat je daarom kunt vragen.

Wat vandaag beschikbaar is

Elk item hieronder is een document of control die je team kan opvragen en controleren:

  • SOC 2 Type II — SOC 2 Type II-rapporten zijn beschikbaar onder NDA — een onafhankelijke audit van controls die over een periode functioneren, geen zelfbeoordeling.
  • AVG-verwerkersovereenkomst — Een verwerkersovereenkomst die verwerkersverplichtingen, afspraken over gegevensverwerking en subverwerkersvoorwaarden dekt, beschikbaar voor juridische review tijdens inkoop.
  • Zero-retention modelcontracten — Inferentie draait onder zero-retention modelcontracten, en klantcode wordt niet gebruikt om modellen te trainen — de toezeggingen waar privacyreviews als eerste naar vragen.
  • Append-only audit trail — Prompts, merges, deploys en admin-acties worden append-only vastgelegd, wat interne audit een reconstrueerbare geschiedenis van elke wijziging geeft.
  • Toegangscontroles — SSO via SAML en OIDC, optionele MFA en rolgebaseerde toegangscontrole — de toegangsbeheercontrols die de meeste frameworks van een verwerker vereisen.
  • Deploymentkeuze — Deploy naar Ciao cloud, je eigen AWS-, Azure- of GCP-account, private VPC, of on-prem onder aparte voorwaarden — waardoor residentiegevoelige programma's data kunnen houden waar hun verplichtingen dat vereisen.

Het pad voor PDPA en CCPA

PDPA- en CCPA-verplichtingen worden ingevuld via dezelfde contractuele ruggengraat als de AVG: de afspraken over gegevensverwerking, retentie en subverwerkers in de verwerkersovereenkomst, plus de zero-retention modelcontracten van het platform en de toezegging dat klantcode niet voor training wordt gebruikt. Je juridisch team koppelt die toezeggingen aan de specifieke verplichtingen van je bedrijf — Ciao levert de artefacten en antwoorden, geen juridisch advies.

Als je programma meerdere jurisdicties overspant, breng dat dan tijdens inkoop ter sprake. Deployment in je eigen cloudaccount of private VPC vereenvoudigt de analyse vaak, omdat de applicatie en de data binnen infrastructuur blijven die je al zelf bestuurt.

Hoe je een compliancereview van Ciao uitvoert

  1. 1. Vraag de documentenset op

    Vraag het security pack aan via de contactpagina. Het is de index voor al het andere in deze lijst.

  2. 2. Onderteken de NDA, lees het SOC 2-rapport

    Het Type II-rapport toont welke controls zijn geauditeerd, over welke periode, en wat de auditor heeft gevonden. Lees eerst de scope-sectie.

  3. 3. Beoordeel de verwerkersovereenkomst

    Juridische zaken beoordeelt verwerkersverplichtingen, voorwaarden voor gegevensverwerking en subverwerkerstoezeggingen. Redlines en vragen gaan naar het enterprise-team.

  4. 4. Koppel controls aan je framework

    Match bewijs uit audit trail, toegangscontrole en gegevensverwerking aan de vereisten in je eigen complianceframework — de tabel hieronder is een startindex.

  5. 5. Bevestig de deploymentopstelling

    Bepaal of Ciao cloud, je eigen cloudaccount, private VPC of on-prem bij je verplichtingen past, en leg de beslissing vast bij je beoordeling.

Framework voor framework

FrameworkWat Ciao biedtHoe je het verifieert
SOC 2 Type IIOnafhankelijke auditrapportenOpvragen onder NDA via /contact
AVGVerwerkersovereenkomst, zero-retention modelcontracten, geen training op klantcodeJuridische review van de overeenkomst tijdens inkoop
CCPAContractuele afspraken over gegevensverwerking via de verwerkersovereenkomst en servicevoorwaardenKoppel de voorwaarden aan je CCPA-verplichtingen met je juridisch team
PDPAHetzelfde contractuele pad: afspraken uit de verwerkersovereenkomst plus voorwaarden voor gegevensverwerkingKoppel de voorwaarden aan je PDPA-verplichtingen met je juridisch team
HIPAANiet geclaimd. Zorgorganisaties gebruiken Ciao voor operationele workflowsBespreek je specifieke workload met het enterprise-team

Verificatienotities

Niets op deze pagina vereist vertrouwen in marketing. SOC 2 Type II-rapporten zijn beschikbaar onder NDA; het security pack en de verwerkersovereenkomst zijn op aanvraag beschikbaar via de contactpagina; en de controls die het platform beschrijft — audit trail, toegangscontrole, beheerde merges — kunnen live worden gedemonstreerd tijdens je evaluatie. Als een claim die je nodig hebt niet op deze pagina staat, vraag er schriftelijk om in plaats van iets aan te nemen.

Twee praktische suggesties van reviews die soepel verlopen. Onderteken ten eerste de NDA vroeg — het is de poort naar de nuttigste documenten, en die in week één passeren laat security en juridische zaken parallel werken. Stuur ten tweede je control-mapping-spreadsheet mee met de vragenlijst in plaats van erna, zodat antwoorden worden geschreven tegen het framework waarmee je commissie daadwerkelijk scoort.

Veelgestelde vragen

Is Ciao ISO 27001-gecertificeerd?

SOC 2 Type II is de onafhankelijke audit die Ciao vandaag levert, met rapporten beschikbaar onder NDA. Als je framework andere certificeringen of een control-mapping vereist, breng dat dan tijdens inkoop bij het enterprise-team ter sprake in plaats van gelijkwaardigheid aan te nemen.

Ondersteunt Ciao workloads die onder HIPAA vallen?

Ciao claimt geen HIPAA-compliance. Zorgorganisaties gebruiken Ciao voor operationele workflows, en workloads met gereguleerde gezondheidsgegevens moeten expliciet met het enterprise-team worden besproken vóór een build start.

Kunnen we het SOC 2-rapport delen met onze interne auditors?

Het rapport wordt onder NDA verstrekt, en de voorwaarden van de NDA bepalen wie het mag lezen. De meeste reviews dekken de security-, juridische en auditmedewerkers die het nodig hebben — bevestig de distributiescope wanneer je het rapport aanvraagt.

Ondertekent Ciao onze verwerkersovereenkomst in plaats van hun eigen versie?

Ciao levert een AVG-verwerkersovereenkomst ter beoordeling, en juridische vragen of redlines worden tijdens inkoop behandeld. Breng je eigen papierwerk naar het enterprise-team en zij vertellen je eerlijk wat onderhandelbaar is voor jouw contractomvang.

Waar zien we de huidige subverwerkerslijst?

Subverwerkersinformatie maakt deel uit van de verwerkersovereenkomst en de review van het security pack. Vraag de huidige lijst op via de contactpagina — het is een document om te lezen, geen claim om van een webpagina over te nemen die kan verouderen.

Gerelateerde pagina's

Vraag het security pack aan.

Compliance: SOC 2, AVG, PDPA, CCPA | Ciao