Enterprise

Hoe inkoop werkt met Ciao

Eén vast aanspreekpunt, een documentenset op reviewer-niveau, en een voorspelbare volgorde van eerste gesprek tot ondertekend contract — gebouwd zodat security, juridische zaken en finance parallel kunnen werken.

Inkoop bij Ciao volgt een gedocumenteerd pad: NDA, security pack, SOC 2 Type II-rapport onder NDA, vragenlijstantwoorden, en dan review van verwerkersovereenkomst en MSA met juridische zaken vóór de commerciële voorwaarden. In tegenstelling tot selfservice-AI-tools die inkoopteams een creditcardproduct laten reverse-engineeren, wordt Ciao ingekocht zoals enterprise-software — met de artefacten die leveranciersrisico-, privacy- en juridische teams verwachten, op aanvraag beschikbaar via de contactpagina.

Ideaal voorLeveranciersrisico- en inkoopteamsEigenaren van security-vragenlijstenJuridische review van verwerkersovereenkomst en MSA

Gepubliceerd 2026-07-03 · Laatst bijgewerkt 2026-07-03

Waarom inkoop voor een AI-ontwikkelplatform anders is

Een AI-ontwikkelplatform kopen is niet hetzelfde als een SaaS-dashboard kopen. De leverancier genereert code die je bedrijf in productie draait, de modelleveranciers komen in je dataflow-diagram terecht, en de governance van AI-gemaakte wijzigingen wordt onderdeel van je eigen controleomgeving. Leveranciersrisicoteams doen er goed aan deze categorie zorgvuldig te behandelen — en de meeste tools erin zijn gebouwd voor individuele ontwikkelaars, niet voor een inkoopproces.

Ciao is gebouwd om ingekocht te worden. Er is een vast aanspreekpunt in plaats van een supportqueue, een documentenset voorbereid voor reviewers in plaats van ad hoc samengesteld, en een volgorde die security, privacy en juridische zaken parallel laat werken in plaats van op elkaar te wachten. Deze pagina beschrijft die volgorde zodat je team het eerste gesprek kan plannen.

De documentenset die je kunt opvragen

Vraag deze bij naam op in je eerste e-mail — ze zijn voorbereid voor reviewers, niet ad hoc samengesteld:

  • Security pack — Architectuur, isolatie, encryptie en detail over gegevensverwerking, geschreven voor security-reviewers, op aanvraag beschikbaar via de contactpagina.
  • SOC 2 Type II-rapport — Beschikbaar onder NDA — het onafhankelijke auditbewijs achter de claims van het security pack.
  • Verwerkersovereenkomst — AVG-verwerkersovereenkomst die verwerkersverplichtingen, gegevensverwerking en subverwerkersvoorwaarden dekt, klaar voor juridische review.
  • Master Service Agreement — Het commerciële contract, beoordeeld naast de verwerkersovereenkomst tijdens de juridische fase.
  • Vragenlijstantwoorden — Stuur de vragenlijst die je proces daadwerkelijk gebruikt — standaardformaten of je eigen spreadsheet — en antwoorden komen terug, gebaseerd op dezelfde geauditeerde documentatie.

Een gebruikelijk inkooptraject

Volgordes verschillen per organisatie, maar een goed doorlopen review ziet er meestal zo uit — met security en juridische zaken parallel na de NDA:

  1. 1. Scopingsgesprek

    Bepaal wat je bouwt, de deploymentopstelling — Ciao cloud, je eigen AWS-, Azure- of GCP-account, private VPC, of on-prem onder aparte voorwaarden — en wie elk reviewtraject aan jouw kant bezit.

  2. 2. NDA

    Vroeg ondertekend zodat het SOC 2 Type II-rapport en het security pack kunnen bewegen zonder op commerciële gesprekken te wachten.

  3. 3. Security-review

    Je team leest het pack en het rapport, stuurt de vragenlijst, en kan vragen om een live demonstratie van de controls — Guardrails-review, de audit trail, security-testing — in plaats van alleen schriftelijke antwoorden te accepteren.

  4. 4. Juridische review

    Verwerkersovereenkomst en MSA gaan naar de advocatuur. Redlines en jurisdictievragen worden door het enterprise-team behandeld, parallel aan het securitytraject.

  5. 5. Commerciële voorwaarden

    Serieuze productieprogramma's beginnen bij USD 10.000 per jaar. Scope, seats, deploymentopstelling en een eventuele pilotfase worden hier afgesproken.

  6. 6. Ondertekening en onboarding

    Identiteitsinrichting — SSO, optionele MFA, rolgebaseerde toegangscontrole — en workspaceconfiguratie gebeuren aan het begin van onboarding, niet maanden later.

Hoe vragenlijsten worden afgehandeld

Vragenlijsten worden beantwoord vanuit dezelfde bronnen die je reviewers al hebben: het security pack, het SOC 2 Type II-rapport en de verwerkersovereenkomst. Dat houdt schriftelijke antwoorden consistent met het geauditeerde bewijs — als een antwoord en het rapport ooit lijken te verschillen, meld het, want het rapport wint. Lange of aangepaste vragenlijsten zijn normaal in deze categorie; stuur wat je proces vereist in plaats van het voor de leverancier in te korten.

Als je organisatie bewijsstukken vereist in plaats van schriftelijke beweringen, zeg dat dan vooraf. Het SOC 2 Type II-rapport onder NDA en het security pack zijn de bewijsstukken die de meeste frameworks accepteren, en ze vroeg koppelen aan je bewijsvelden voorkomt een tweede ronde door de vragenlijst.

Wat reviews vertraagt — en hoe je dat voorkomt

Drie vertragingen komen in deze categorie steeds terug, en alle drie zijn te vermijden. De eerste is volgorde: teams die wachten tot het securitytraject klaar is voordat ze juridische zaken starten, voegen weken toe zonder risico te verminderen — de NDA opent beide trajecten tegelijk. De tweede is onduidelijkheid over de deploymentopstelling: of het platform op Ciao cloud draait of binnen je eigen account verandert het dataflow-diagram, dus bepaal de opstelling vroeg en beoordeel de juiste. De derde is het AI-element als ongekend behandelen: modelleveranciers zijn subverwerkers met contracten — zero-retention-voorwaarden, en geen training op klantcode — en je bestaande subverwerkersreviewproces handelt ze af zodra het de documenten heeft.

Artefact, doel, en hoe je het krijgt

ArtefactWat het dektHoe je het krijgt
Security packArchitectuur, isolatie, encryptie, gegevensverwerkingOpvragen via /contact
SOC 2 Type II-rapportOnafhankelijk geauditeerde controls over een periodeOnder NDA, na het scopingsgesprek
VerwerkersovereenkomstAVG-verwerkersverplichtingen, subverwerkers, gegevensverwerkingJuridische review tijdens inkoop
MSACommerciële en contractuele voorwaardenJuridische review tijdens inkoop
VragenlijstantwoordenJouw formaat, beantwoord vanuit geauditeerde bronnenStuur de vragenlijst naar het enterprise-team

Commerciële notities voor inkoopteams

De ondergrens van USD 10.000 per jaar voor productieprogramma's is een nuttige kwalificatielijn: het vertelt je dat de leverancier een echte relatie verwacht met support, review en onboarding, geen consumentenabonnement met een enterprise-label. Pilots en gefaseerde starts worden in de commerciële fase besproken — breng je voorkeursstructuur mee naar het gesprek in plaats van een vast pakket aan te nemen.

Veelgestelde vragen

Hoe lang duurt de leveranciersreview meestal?

Dat hangt af van jouw proces, niet dat van Ciao — het pack, het rapport en de vragenlijstantwoorden zijn klaar zodra de NDA getekend is. Teams die de security- en juridische trajecten parallel laten lopen, besteden hun tijd meestal aan interne review in plaats van te wachten op de leverancier.

Kan ons juridisch team de verwerkersovereenkomst en MSA redlinen?

Breng redlines naar het enterprise-team tijdens de juridische fase. Wat onderhandelbaar is, hangt af van contractomvang en deploymentopstelling, en je krijgt een duidelijk antwoord in plaats van een vastgelopen draad.

Ondersteunen jullie een pilot vóór volledige commitment?

Pilotstructuur wordt in de commerciële fase afgesproken. Productieprogramma's beginnen bij USD 10.000 per jaar, en een afgebakende pilot binnen dat kader is een normaal verzoek om bij sales neer te leggen.

Wie zijn de subverwerkers van Ciao, inclusief modelleveranciers?

Subverwerkersinformatie, inclusief modelleveranciers, maakt deel uit van de review van verwerkersovereenkomst en security pack. Inferentie draait onder zero-retention modelcontracten, en klantcode wordt niet gebruikt om modellen te trainen — de contractuele taal staat in de documenten, niet alleen op deze pagina.

Kunnen we met bestaande klanten spreken?

Ciao draait onder producten die wereldwijd door miljoenen worden gebruikt, waaronder Automo.AI, Desygner.com en WeBrand.com. Vraag het enterprise-team welke referentiegesprekken mogelijk zijn voor jouw segment en deploymentopstelling.

Gerelateerde pagina's

Serieuze ontwikkeling begint met serieuze verantwoordelijkheid.

Inkoop & leveranciersbeoordeling | Ciao