Enterprise
Hoe inkoop werkt met Ciao
Eén vast aanspreekpunt, een documentenset op reviewer-niveau, en een voorspelbare volgorde van eerste gesprek tot ondertekend contract — gebouwd zodat security, juridische zaken en finance parallel kunnen werken.
Inkoop bij Ciao volgt een gedocumenteerd pad: NDA, security pack, SOC 2 Type II-rapport onder NDA, vragenlijstantwoorden, en dan review van verwerkersovereenkomst en MSA met juridische zaken vóór de commerciële voorwaarden. In tegenstelling tot selfservice-AI-tools die inkoopteams een creditcardproduct laten reverse-engineeren, wordt Ciao ingekocht zoals enterprise-software — met de artefacten die leveranciersrisico-, privacy- en juridische teams verwachten, op aanvraag beschikbaar via de contactpagina.
Gepubliceerd 2026-07-03 · Laatst bijgewerkt 2026-07-03
Waarom inkoop voor een AI-ontwikkelplatform anders is
Een AI-ontwikkelplatform kopen is niet hetzelfde als een SaaS-dashboard kopen. De leverancier genereert code die je bedrijf in productie draait, de modelleveranciers komen in je dataflow-diagram terecht, en de governance van AI-gemaakte wijzigingen wordt onderdeel van je eigen controleomgeving. Leveranciersrisicoteams doen er goed aan deze categorie zorgvuldig te behandelen — en de meeste tools erin zijn gebouwd voor individuele ontwikkelaars, niet voor een inkoopproces.
Ciao is gebouwd om ingekocht te worden. Er is een vast aanspreekpunt in plaats van een supportqueue, een documentenset voorbereid voor reviewers in plaats van ad hoc samengesteld, en een volgorde die security, privacy en juridische zaken parallel laat werken in plaats van op elkaar te wachten. Deze pagina beschrijft die volgorde zodat je team het eerste gesprek kan plannen.
De documentenset die je kunt opvragen
Vraag deze bij naam op in je eerste e-mail — ze zijn voorbereid voor reviewers, niet ad hoc samengesteld:
- Security pack — Architectuur, isolatie, encryptie en detail over gegevensverwerking, geschreven voor security-reviewers, op aanvraag beschikbaar via de contactpagina.
- SOC 2 Type II-rapport — Beschikbaar onder NDA — het onafhankelijke auditbewijs achter de claims van het security pack.
- Verwerkersovereenkomst — AVG-verwerkersovereenkomst die verwerkersverplichtingen, gegevensverwerking en subverwerkersvoorwaarden dekt, klaar voor juridische review.
- Master Service Agreement — Het commerciële contract, beoordeeld naast de verwerkersovereenkomst tijdens de juridische fase.
- Vragenlijstantwoorden — Stuur de vragenlijst die je proces daadwerkelijk gebruikt — standaardformaten of je eigen spreadsheet — en antwoorden komen terug, gebaseerd op dezelfde geauditeerde documentatie.
Een gebruikelijk inkooptraject
Volgordes verschillen per organisatie, maar een goed doorlopen review ziet er meestal zo uit — met security en juridische zaken parallel na de NDA:
1. Scopingsgesprek
Bepaal wat je bouwt, de deploymentopstelling — Ciao cloud, je eigen AWS-, Azure- of GCP-account, private VPC, of on-prem onder aparte voorwaarden — en wie elk reviewtraject aan jouw kant bezit.
2. NDA
Vroeg ondertekend zodat het SOC 2 Type II-rapport en het security pack kunnen bewegen zonder op commerciële gesprekken te wachten.
3. Security-review
Je team leest het pack en het rapport, stuurt de vragenlijst, en kan vragen om een live demonstratie van de controls — Guardrails-review, de audit trail, security-testing — in plaats van alleen schriftelijke antwoorden te accepteren.
4. Juridische review
Verwerkersovereenkomst en MSA gaan naar de advocatuur. Redlines en jurisdictievragen worden door het enterprise-team behandeld, parallel aan het securitytraject.
5. Commerciële voorwaarden
Serieuze productieprogramma's beginnen bij USD 10.000 per jaar. Scope, seats, deploymentopstelling en een eventuele pilotfase worden hier afgesproken.
6. Ondertekening en onboarding
Identiteitsinrichting — SSO, optionele MFA, rolgebaseerde toegangscontrole — en workspaceconfiguratie gebeuren aan het begin van onboarding, niet maanden later.
Hoe vragenlijsten worden afgehandeld
Vragenlijsten worden beantwoord vanuit dezelfde bronnen die je reviewers al hebben: het security pack, het SOC 2 Type II-rapport en de verwerkersovereenkomst. Dat houdt schriftelijke antwoorden consistent met het geauditeerde bewijs — als een antwoord en het rapport ooit lijken te verschillen, meld het, want het rapport wint. Lange of aangepaste vragenlijsten zijn normaal in deze categorie; stuur wat je proces vereist in plaats van het voor de leverancier in te korten.
Als je organisatie bewijsstukken vereist in plaats van schriftelijke beweringen, zeg dat dan vooraf. Het SOC 2 Type II-rapport onder NDA en het security pack zijn de bewijsstukken die de meeste frameworks accepteren, en ze vroeg koppelen aan je bewijsvelden voorkomt een tweede ronde door de vragenlijst.
Wat reviews vertraagt — en hoe je dat voorkomt
Drie vertragingen komen in deze categorie steeds terug, en alle drie zijn te vermijden. De eerste is volgorde: teams die wachten tot het securitytraject klaar is voordat ze juridische zaken starten, voegen weken toe zonder risico te verminderen — de NDA opent beide trajecten tegelijk. De tweede is onduidelijkheid over de deploymentopstelling: of het platform op Ciao cloud draait of binnen je eigen account verandert het dataflow-diagram, dus bepaal de opstelling vroeg en beoordeel de juiste. De derde is het AI-element als ongekend behandelen: modelleveranciers zijn subverwerkers met contracten — zero-retention-voorwaarden, en geen training op klantcode — en je bestaande subverwerkersreviewproces handelt ze af zodra het de documenten heeft.
Artefact, doel, en hoe je het krijgt
| Artefact | Wat het dekt | Hoe je het krijgt |
|---|---|---|
| Security pack | Architectuur, isolatie, encryptie, gegevensverwerking | Opvragen via /contact |
| SOC 2 Type II-rapport | Onafhankelijk geauditeerde controls over een periode | Onder NDA, na het scopingsgesprek |
| Verwerkersovereenkomst | AVG-verwerkersverplichtingen, subverwerkers, gegevensverwerking | Juridische review tijdens inkoop |
| MSA | Commerciële en contractuele voorwaarden | Juridische review tijdens inkoop |
| Vragenlijstantwoorden | Jouw formaat, beantwoord vanuit geauditeerde bronnen | Stuur de vragenlijst naar het enterprise-team |
Commerciële notities voor inkoopteams
De ondergrens van USD 10.000 per jaar voor productieprogramma's is een nuttige kwalificatielijn: het vertelt je dat de leverancier een echte relatie verwacht met support, review en onboarding, geen consumentenabonnement met een enterprise-label. Pilots en gefaseerde starts worden in de commerciële fase besproken — breng je voorkeursstructuur mee naar het gesprek in plaats van een vast pakket aan te nemen.
Veelgestelde vragen
Hoe lang duurt de leveranciersreview meestal?
Dat hangt af van jouw proces, niet dat van Ciao — het pack, het rapport en de vragenlijstantwoorden zijn klaar zodra de NDA getekend is. Teams die de security- en juridische trajecten parallel laten lopen, besteden hun tijd meestal aan interne review in plaats van te wachten op de leverancier.
Kan ons juridisch team de verwerkersovereenkomst en MSA redlinen?
Breng redlines naar het enterprise-team tijdens de juridische fase. Wat onderhandelbaar is, hangt af van contractomvang en deploymentopstelling, en je krijgt een duidelijk antwoord in plaats van een vastgelopen draad.
Ondersteunen jullie een pilot vóór volledige commitment?
Pilotstructuur wordt in de commerciële fase afgesproken. Productieprogramma's beginnen bij USD 10.000 per jaar, en een afgebakende pilot binnen dat kader is een normaal verzoek om bij sales neer te leggen.
Wie zijn de subverwerkers van Ciao, inclusief modelleveranciers?
Subverwerkersinformatie, inclusief modelleveranciers, maakt deel uit van de review van verwerkersovereenkomst en security pack. Inferentie draait onder zero-retention modelcontracten, en klantcode wordt niet gebruikt om modellen te trainen — de contractuele taal staat in de documenten, niet alleen op deze pagina.
Kunnen we met bestaande klanten spreken?
Ciao draait onder producten die wereldwijd door miljoenen worden gebruikt, waaronder Automo.AI, Desygner.com en WeBrand.com. Vraag het enterprise-team welke referentiegesprekken mogelijk zijn voor jouw segment en deploymentopstelling.