Trust Center

Vertrouwen, zwart op wit.

Elido wordt standaard binnen de EU gehost, is AVG-vriendelijk en gebouwd met ingebakken audittrails. Alles hieronder is wat we al doen - niet wat we van plan zijn.

SOC 2 Type II
ISO 27001
AVG
HIPAA-bewust (Business)
EU-residentie
Workspace-regio · eenmalig vastpinnen
onomkeerbaar bij aanmaken
  • EU-regioEU
    EU-residentie · standaard

    Standaard voor elke workspace. Auditlog, kliks en back-ups blijven in de regio. Geen afhankelijkheid van DPF of Schrems II.

  • US EastUS
    Opt-in

    Alleen bij het aanmaken van de workspace. Onomkeerbaar. Voor Amerikaans gevestigde klanten die een Amerikaans gegevenspad willen.

  • Asia-PacificAPAC
    Business+ · opt-in

    Alleen bij het aanmaken van de workspace. Onomkeerbaar. APAC-residentie voor Business- en Enterprise-plannen.

Geen replicatie tussen regio's voor hot dataaudit · kliks · back-ups
5
Subverwerkers, openbare lijst
90d
Bewaartermijn auditlog Pro (7 jaar bij Business)
30d
SLA voor verzoeken van betrokkenen (5d versneld bij Business)
0
Overdrachten tussen regio's voor hot data

Wat "vertrouwen" in productterm betekent

Wat wij onder vertrouwen verstaan

Elke pijler correspondeert met iets concreets dat je kunt opzoeken in het auditlog, de verwerkersovereenkomst of onze openbare infra-repo. Geen marketingvaagheid.

Standaard EU-residentie

Alle operationele gegevens blijven binnen de EU-regio. Business-plannen kunnen vastpinnen op US East of Asia-Pacific. Free en Pro verlaten de EU nooit.

Audittrail op alles

Workspace-instellingen, rolwijzigingen, sleutelrotaties, aangemaakte links, verwijderingen, exports. Elke gebeurtenis heeft een wie, wanneer en wat - exporteerbaar.

Standaard alleen-lezen voor AI

AI-integraties krijgen afgebakende, roteerbare sleutels. Schrijf-/verwijdertoegang is een expliciete, geauditeerde workspace-instelling - geen standaard.

BYOK en klantbeheerde sleutels

Breng je eigen KMS mee voor encryptie-at-rest bij Business. Roteer sleutels zonder koude opslag opnieuw te versleutelen.

Antimisbruikpijplijn

Elke link doorloopt een samengestelde scanner (URLhaus + Google Safe Browsing + heuristiek) bij het aanmaken en opnieuw via een doorlopende herscan-worker.

Transparantie over subverwerkers

Volledige lijst, locatie en doel. We melden toevoegingen; voor sommige zijn opt-out-routes beschikbaar.

Alleen-toevoegen auditlog

Elke statuswijziging wordt vastgelegd.

Alleen-toevoegen wordt afgedwongen op databaseniveau: de audittabel geeft applicatierollen alleen INSERT- en SELECT-rechten, geen UPDATE of DELETE. Zelfs onze eigen beheerders kunnen de geschiedenis niet herschrijven zonder een migratie die in de change control opduikt. Bewaartermijn is 90 dagen bij Pro en 7 jaar bij Business - dat dekt SOX, MiFID II en HIPAA zonder add-on.

  • Identiteit van de actor
    Gebruikers-ID of service-principal, plus bron-IP en request-ID
  • Voor/na-diff
    Gestructureerde JSON-diff van de gewijzigde rij - niet slechts een tekstregel
  • SIEM-firehose
    HMAC-ondertekende webhook naar Splunk/Datadog/ELK in real time
  • Onvervalsbaar
    Afgedwongen via database-GRANT; geen UPDATE/DELETE voor applicatierollen
Beveiligingsoverzicht →
Auditvermelding · evt_8c41a7
domain.claim · ws_8a2f
Tijdstempel (UTC)
2026-05-08T11:42:18Z
Bron-IP
203.0.113.42 · DE
Bron
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Gebeurtenistype
domain.claim
Diff-regels
+3 / -2
Bewaartermijn
7 jaar (Business)
Alleen-toevoegen · afgedwongen via database-GRANTGestreamd naar SIEM

Verzoeken van betrokkenen

Rechten van betrokkenen via API.

Je ontvangt een verzoek van een betrokkene van jouw eindgebruiker. Je stuurt het door via het dashboard of de API als een verzoek namens de verwerkingsverantwoordelijke - Elido authenticeert de verwerkingsverantwoordelijke (jou), niet de betrokkene. Het pakket is een ondertekend zip-bestand: identiteitsgegevens, links, auditlogvermeldingen waarin de betrokkene de actor is, factuurbewijzen als de betrokkene workspace-eigenaar is. Standaard SLA is 30 dagen; de versnelde Business-route levert binnen 5 werkdagen.

  1. Stap 1

    Verzoek van de betrokkene

    Eindgebruiker → verwerkingsverantwoordelijke (jij)

    De betrokkene neemt contact met je op. Jij authenticeert hen in je eigen product, niet in Elido.

  2. Stap 2

    DSAR-API-aanroep

    POST /v1/dsar

    Stuur door als verzoek namens de verwerkingsverantwoordelijke met e-mailadres van de betrokkene + soort verzoek (export/wissen).

  3. Stap 3

    Workspace-pakket

    ondertekend zip · JSON + CSV

    Identiteit, links, auditlogvermeldingen waarin de betrokkene de actor is, facturering indien eigenaar, geanonimiseerde klikmetadata.

  4. Stap 4

    SLA

    30 dagen · 5 dagen versneld

    Standaard SLA op elk plan; de versnelde Business-tier levert binnen 5 werkdagen.

Vijf subverwerkers, openbaar vermeld

Vijf leveranciers. Openbaar vermeld.

De volledige lijst met leverancierslocatie, verwerkingsdoel, gegevenscategorieën en verwijzing naar de verwerkersovereenkomst staat op /legal/subprocessors. Het toevoegen of vervangen van een subverwerker triggert een melding van 30 dagen aan elke workspace-beheerder via een in-app-banner en e-mail voordat de verwerking begint, zodat klanten bezwaar kunnen maken.

Subverwerker-fan-out · gegevensstroom workspace
5 leveranciers · openbare lijst
Jouw workspace
ws_xxxx
EU-regio (standaard)
  • Compute & hostingISO 27001
    Primaire app- en edge-infrastructuur
    EU · Duitsland + Finland
  • Edge computeISO 27001 · SOC 2
    Regiopinning voor Business
    EU + APAC
  • E-mailbezorgingSOC 2 Type II
    Transactionele e-mail
    EU (opt-out voor alleen-EU)
  • BetalingenPCI DSS L1
    Kaartacceptatie
    EU
  • CDN + WAFISO 27001 · SOC 2
    Marketingproxy (niet het redirectpad)
    Wereldwijd · EU-routering
Het toevoegen van een leverancier triggert een melding van 30 dagen aan klanten/legal/subprocessors

Compliance-postuur

Waar we staan met de raamwerken waar klanten naar vragen.

Geen beweringen in de toekomende tijd. Elke rij toont wat vandaag geleverd is, wat in observatie is en wat als add-on onder contract beschikbaar is.

Behaald

ISO 27001

Managementsysteem voor informatiebeveiliging, gecertificeerde scope dekt het volledige Elido-platform.

In behandeling

SOC 2 Type II

Observatieperiode loopt tot en met H2 2026. Type I-rapport vandaag al beschikbaar onder NDA.

Standaard

AVG

Standaard EU-residentie, vooraf ondertekende verwerkersovereenkomst met standaard modelbepalingen, openbare subverwerkerslijst.

Beschikbaar

HIPAA-gereed

BAA bij Business+ met encryptie, audit-logging en toegangscontroles al ingebouwd.

Standaard

EU-residentie

Alle operationele gegevens blijven binnen de EU-regio. Geen afhankelijkheid van Schrems II/DPF.

Standaard

Encryptie

AES-256 at rest, TLS 1.3 in transit, KMS-gestuurde sleutelrotatie. BYOK bij Business.

Compliance-FAQ

De vragen die inkoopafdelingen ons blijven mailen.

Ondertekenen jullie een verwerkersovereenkomst?

Ja. Onze standaard verwerkersovereenkomst is vooraf ondertekend met EU-modelbepalingen en te downloaden via /legal/dpa. Geen onderhandeling nodig voor de standaardvoorwaarden - betaalde plannen krijgen deze automatisch tegengetekend. Aangepaste redlines zijn beschikbaar bij Business en Enterprise.

Hoeveel subverwerkers gebruiken jullie?

Vijf, grotendeels EU-gevestigd: compute + hosting (EU), edge compute voor regiopinning (EU + APAC), transactionele e-mail (EU), betalingen (EU) en een uitsluitend marketinggerichte proxy + WAF die het redirectpad nooit raakt. De volledige naamlijst met locatie, doel en verwijzing naar de verwerkersovereenkomst staat op /legal/subprocessors.

Is regiopinning op elk plan beschikbaar?

EU-residentie is de standaard voor elke workspace, op elk plan, en verandert nooit. Opt-in pinning naar US East of Asia-Pacific is alleen bij het aanmaken van de workspace mogelijk, onomkeerbaar en beperkt tot Business- en Enterprise-plannen.

Wat is de doorlooptijd voor DSAR's?

30 dagen standaard-SLA op elk plan. Business en Enterprise krijgen een versnelde route van 5 werkdagen. DSAR's worden ingediend via API of dashboard (POST /v1/dsar) - jij authenticeert de verwerkingsverantwoordelijke, wij authenticeren jou, en het pakket wordt geleverd als een ondertekend zip-bestand met identiteitsgegevens, links, auditlogvermeldingen en factuurgegevens.

Hoe werken BAA's voor HIPAA?

BAA alleen bij Business+. De technische waarborgen (encryptie, audit-logging, toegangscontrole, veilige back-up) zijn hetzelfde als bij de standaardtier - de BAA is papierwerk, geen functiebeperking. Mail [email protected] om te beginnen.

Is er een self-host-optie?

Ja. De redirect-tier en click-ingester zijn open source onder Apache 2.0 met een Helm-chart voor Kubernetes. Klanten draaien de redirect-tier in hun eigen VPC en wijzen het dashboard naar ons controlvlak, of draaien de volledige stack on-prem. De repo is dezelfde code die wij zelf draaien.

Hoe informeren jullie klanten over wijzigingen bij subverwerkers?

Het toevoegen of vervangen van een subverwerker triggert een melding van 30 dagen via een in-app-banner en e-mail aan elke workspace-beheerder. Klanten kunnen bezwaar maken voordat de verwerking begint. De lijst op /legal/subprocessors staat in een openbare git-repo, zodat wijzigingen in de versiegeschiedenis verschijnen.

Waar publiceren jullie incidenten en uptime?

Live uptime, recente incidenten en volledige post-mortems op /status. Incidenten die de beveiliging raken worden ook geplaatst naar abonnees van [email protected] en op de Trust Center-pagina, binnen het SLA-venster dat in de verwerkersovereenkomst is vastgelegd.

Contact

Een beveiligingsvraag?

[email protected] voor kwetsbaarheidsmeldingen (PGP beschikbaar). [email protected] voor SOC 2/ISO/verwerkersovereenkomst. We reageren binnen één werkdag.

Beveiliging

Kwetsbaarheidsmeldingen, security.txt, PGP-sleutel. We reageren binnen één werkdag.

[email protected]

Compliance

SOC 2/ISO-verzoeken, tegentekenen verwerkersovereenkomst, meldingen over subverwerkers, BAA-proces voor HIPAA.

[email protected]

Sales

Enterprise-inkoop, beveiligingsvragenlijsten en verzoeken om aangepaste voorwaarden.

[email protected]

Klaar wanneer inkoop dat is.

Vooraf ondertekende verwerkersovereenkomst, openbare subverwerkerslijst, auditlog op elk plan. Start gratis of praat met sales voor de snelkoppeling naar de beveiligingsvragenlijst.