Enterprise
De AVG-verwerkersovereenkomst, uitgelegd
Verwerkingsomvang, subverwerkers, overdrachtsmechanismen en uitvoering — wat de verwerkersovereenkomst dekt en het exacte pad dat je privacyteam volgt om die ondertekend te krijgen.
De AVG-verwerkersovereenkomst van Ciao is het contract dat regelt hoe Ciao namens jou persoonsgegevens verwerkt: de omvang van de verwerking, de betrokken subverwerkers — inclusief modelleveranciers die onder zero-retention-contracten opereren — en de toepasselijke overdrachtsmechanismen. In tegenstelling tot leveranciers die de verwerkersovereenkomst als bijzaak behandelen, routeert Ciao het via een gedefinieerd inkooppad, zodat je juridisch team echte documenten beoordeelt en uitvoert, geen samenvattingen.
Gepubliceerd 2026-07-03 · Laatst bijgewerkt 2026-07-03
Waarom de verwerkersovereenkomst is waar AI-platforms vastlopen
Voor een Europees privacyteam — of elk team dat Europese gebruikers bedient — is de verwerkersovereenkomst geen papierwerk, het is de control. Het definieert wat de verwerker mag doen met persoonsgegevens, welke subverwerkers erbij komen, en op welke rechtsgrond data grenzen oversteekt. Een AI-ontwikkelplatform voegt een laag toe die oudere verwerkersovereenkomst-templates nooit hebben voorzien: modelleveranciers, die in de verwerkingsketen zitten, met hun eigen retentiegedrag.
Hier lopen veel AI-toolbeoordelingen vast. De productdemo gaat goed, dan vraagt het privacybureau om de subverwerkerslijst en de retentievoorwaarden van de modelleverancier, en het antwoord van de leverancier is een supportticket-draad. Weken gaan voorbij. Deals — en interne projecten — sterven in dat gat, niet omdat het antwoord slecht was, maar omdat niemand het had opgeschreven.
De aanpak van Ciao is om de verwerkersovereenkomst tot een volwaardig inkoopartefact te maken. De overeenkomst dekt de verwerking die Ciao uitvoert om het platform te bedienen, noemt de categorieën betrokken subverwerkers, en staat naast de toezeggingen die je reviewers ernaast willen zien: klantcode wordt niet gebruikt om modellen te trainen, inferentie draait onder zero-retention modelcontracten, en SOC 2 Type II-rapporten zijn beschikbaar onder NDA.
Wat de verwerkersovereenkomst dekt
- Verwerkingsomvang en rollen — Wat Ciao namens jou verwerkt om het platform te bedienen, in welke rol, en met welk doel — het verwerkingsverantwoordelijke-verwerkersfundament waarop je privacybeoordeling is gebouwd.
- Subverwerkers — De categorieën subverwerkers achter het platform — cloudinfrastructuur en modelleveranciers daaronder — met de huidige lijst onderhouden als onderdeel van de documentenset van de verwerkersovereenkomst die je team beoordeelt vóór ondertekening.
- Modelleveranciers binnen het kader — De modellaag wordt behandeld als onderdeel van de verwerkingsketen, geen uitzondering erop: inferentie draait onder zero-retention modelcontracten, en klantcode wordt niet gebruikt om modellen te trainen.
- Overdrachtsmechanismen — De juridische mechanismen die van toepassing zijn op eventuele grensoverschrijdende overdrachten staan gedocumenteerd in de overeenkomst, zodat je FG daadwerkelijke taal beoordeelt in plaats van geruststellingen.
- Deploymentopstellingen die de vraag verkleinen — Deployen naar je eigen AWS-, Azure- of GCP-account, een private VPC, of on-prem onder aparte voorwaarden houdt applicatiedata binnen infrastructuur die je zelf bestuurt, wat de residentie-analyse vereenvoudigt. Zie de dataresidentiepagina voor die dimensie.
- Beveiligingsmaatregelen met bewijs erachter — De technische en organisatorische maatregelen waarnaar de verwerkersovereenkomst verwijst, koppelen aan verifieerbare artefacten: SOC 2 Type II-rapporten onder NDA en het security pack op aanvraag.
Hoe je de verwerkersovereenkomst uitvoert
1. Vraag de documentenset op
Neem contact op met het enterprise-team via de contactpagina en vraag om de verwerkersovereenkomst naast het security pack — ze zijn ontworpen om samen te worden beoordeeld.
2. Beoordeel omvang en subverwerkers
Je privacyteam koppelt de verwerkingsbeschrijving en de subverwerkerslijst aan je verwerkingsregister en risicoframework.
3. Beoordeel de modellaag
Beoordeel de zero-retention- en geen-trainingstoezeggingen als onderdeel van dezelfde oefening; als je je eigen model-keys of endpoints meebrengt, sluiten je bestaande leveranciersvoorwaarden aan op de analyse.
4. Los vragen op met een aanspreekpunt
Vragen over de verwerkersovereenkomst gaan naar het enterprise-team als onderdeel van inkoop — een benoemd proces, geen communityforum.
5. Voer uit en archiveer
De ondertekende verwerkersovereenkomst wordt onderdeel van je leveranciersdossier samen met het SOC 2 Type II-rapport dat onder NDA is beoordeeld, wat je auditors één samenhangende bewijsset geeft.
Verificatie- en commerciële notities
Een pagina als deze kan de overeenkomst zelf niet vervangen, en probeert dat ook niet: de verwerkersovereenkomst, de subverwerkerslijst en de voorwaarden voor gegevensverwerking zijn documenten die je juridisch team tijdens inkoop volledig leest. Wat deze pagina toezegt, is het pad — aanvragen via de contactpagina, beoordelen met een benoemd enterprise-aanspreekpunt, uitvoeren als onderdeel van de samenwerking. Uitvoering van de verwerkersovereenkomst is inbegrepen in enterprise-inkoop in plaats van apart verkocht; serieuze productieprogramma's beginnen bij USD 10.000 per jaar. Niets hier is juridisch advies — het is een beschrijving van de workflow en de documenten, voor de mensen wier taak het is ze te beoordelen.
Eén praktische tip van teams die deze review snel hebben doorlopen: parallelliseer. Stuur de verwerkersovereenkomst naar privacy, het SOC 2 Type II-rapport naar security en de commerciële voorwaarden naar inkoop in dezelfde week — de documentenset is zo ontworpen dat de drie reviews elkaar niet blokkeren, en het enterprise-team kan alle drie de draden tegelijk bedienen.
De checklist van de verwerkersovereenkomst-reviewer, gekoppeld
| Reviewervraag | Waar het antwoord staat |
|---|---|
| Welke verwerking voert de leverancier uit? | Verwerkingsomvang in de verwerkersovereenkomst |
| Wie zijn de subverwerkers? | Subverwerkerslijst in de documentenset van de verwerkersovereenkomst |
| Bewaren of trainen modelleveranciers op onze data? | Zero-retention modelcontracten; geen training op klantcode — contractuele voorwaarden |
| Welke overdrachtsmechanismen zijn van toepassing? | Overdrachtsbepalingen in de verwerkersovereenkomst |
| Welke beveiligingsmaatregelen onderbouwen dit? | SOC 2 Type II-rapport onder NDA; security pack op aanvraag |
| Waar draait applicatiedata fysiek? | Deploymentopstelling: Ciao cloud, je cloudaccount, private VPC, of on-prem onder aparte voorwaarden |
Veelgestelde vragen
Hoe krijgen we de verwerkersovereenkomst?
Vraag hem op via de contactpagina als onderdeel van een enterprise-gesprek. Hij komt samen met het security pack en de voorwaarden voor gegevensverwerking, zodat je privacy- en securityreviews parallel kunnen lopen in plaats van na elkaar.
Staan modelleveranciers vermeld als subverwerkers?
De modellaag staat gedocumenteerd als onderdeel van de verwerkingsketen in de documentenset van de verwerkersovereenkomst, samen met de toezeggingen die er het meest toe doen: inferentie draait onder zero-retention modelcontracten, en klantcode wordt niet gebruikt om modellen te trainen.
Hoe worden wijzigingen in subverwerkers gecommuniceerd?
Het meldingsmechanisme staat gedefinieerd in de verwerkersovereenkomst zelf — je team beoordeelt de exacte voorwaarden tijdens inkoop in plaats van op een parafrase hier te vertrouwen. De huidige subverwerkerslijst maakt deel uit van de documentenset die je ontvangt.
Verandert deployen in onze eigen cloud de analyse van de verwerkersovereenkomst?
Het versmalt ze. Wanneer de applicatie draait in je eigen AWS-, Azure- of GCP-account, een private VPC, of on-prem onder aparte voorwaarden, blijft applicatiedata binnen infrastructuur die je zelf bestuurt, wat de residentie- en overdrachtsvragen van je FG vereenvoudigt.
Kan onze externe advocatuur beoordelen voordat we commercieel committeren?
Ja. De verwerkersovereenkomst en het security pack worden tijdens inkoop gedeeld, precies zodat juridische review vóór ondertekening plaatsvindt, naast het SOC 2 Type II-rapport onder NDA. Betrek je advocatuur zo vroeg als je wilt — de documenten liggen voor hen klaar.
Gerelateerde pagina's
Vraag het security pack aan.
AVG-verwerkersovereenkomst: scope, subverwerkers, ondertekenen | Ciao