Trust Center · Laatst bijgewerkt: July 7, 2026

Beveiliging, privacy en controleerbaar engineeringbewijs.

Bij Vorden is vertrouwen geen intentieverklaring — het is een direct resultaat van ons engineeringwerk. Elke bewering die u op deze pagina leest, is rechtstreeks gekoppeld aan een controlemechanisme of configuratiebestand in onze codebase. Geen abstracte marketingbeloften of holle woorden; alleen concreet, verifieerbaar technisch bewijs.

32
Actieve beveiligingsmaatregelen
7
Goedgekeurde infrastructuurpartners
EU
Primaire dataregio
GDPR
Ingebouwde volledige compliance
Compliance-roadmap

Waar we staan en waar we naartoe gaan

Geen vage, vrijblijvende bewoordingen zoals "we werken eraan." Voor Vorden heeft elk complianceframework een duidelijke status, een afgebakende technische scope en een concrete streefdatum voor lopende processen. Transparantie is de eerste stap naar beveiliging.

GDPR

Conform

Alle persoonsgegevens worden geïsoleerd verwerkt en opgeslagen binnen de grenzen van de Europese Unie (Frankfurt, Duitsland). Ons platform biedt end-to-end rechten van betrokkenen (inzage, rectificatie, wissing), houdt een actueel register van verwerkingsactiviteiten bij en past technische en organisatorische maatregelen toe, waaronder encryptie, granulaire toegangscontroles en auditlogs. Voor alle klanten is een specifieke verwerkersovereenkomst (DPA) beschikbaar.

EU AI Act

Gemonitord & conform

Vorden is onder de EU AI Act geclassificeerd als een "AI-systeem met beperkt risico". We implementeren elke transparantieverplichting volledig, waaronder de duidelijke vermelding dat eindgebruikers met autonome agents communiceren, en documentatie van de modelaanbieder. We volgen de regelgevende richtsnoeren van het EU AI Office in real time om continue compliance te waarborgen.

SOC 2 Type II

Auditklaar

We hebben elke technische maatregel die vereist is voor SOC 2 Type II in onze kernarchitectuur geïmplementeerd: granulaire toegangscontroles, onveranderlijke auditlogs, secret management en infrastructuur voor real-time incidentmonitoring. Deze infrastructuur hebben we met succes door meerdere rondes van interne review geleid. De formele samenwerking met een onafhankelijke auditor en het auditproces zelf staan gepland voor 2026.

Streefdatum 2026-Q4

ISO 27001

In voorbereiding

We doorlopen het ISO 27001-certificeringsproces parallel aan SOC 2 Type II — de overgrote meerderheid van de vereiste technische en organisatorische maatregelen overlapt tussen deze twee frameworks. Ons managementsysteem voor informatiebeveiliging (ISMS) is gebouwd op hetzelfde geïsoleerde fundament. Met de ISO 27001-certificering richten we ons specifiek op de markt van de Europese Unie, waar deze het meeste gewicht in de schaal legt.

Streefdatum 2026-Q4

HIPAA

In evaluatie

Om zorgklanten in de Verenigde Staten met vertrouwen te kunnen ondersteunen, evalueren we de architecturele vereisten voor HIPAA-compliance. Als onderdeel hiervan is een Business Associate Agreement (BAA)-kader dat het juridische proces afdekt in ontwikkeling.

Streefdatum 2027-Q1
Infrastructuur

Uw gegevens weten altijd waar ze zijn.

De Vorden-infrastructuur wordt gehost op Google Cloud Platform (GCP) binnen de grenzen van de Europese Unie. Om te voldoen aan de normen voor datasoevereiniteit en de bedrijfscontinuïteit te waarborgen, documenteren we hieronder in volledige transparantie onze primaire regio en failover-regio.

Frankfurt, Duitsland
Primair
St. Ghislain, België
Failover
Beveiligingsmaatregelen

Defense in Depth, van begin tot eind.

We publiceren hier niet elk van onze beveiligingsmaatregelen — dat zou een potentiële aanvaller een kaart van onze systeemarchitectuur in handen geven. Hieronder schetsen we onze belangrijkste verdedigingscategorieën en architectuurprincipes. Alle technische details over onze netwerktopologie en Defense-in-Depth-mechanismen delen we transparant met enterpriseklanten onder een ondertekende verwerkersovereenkomst (DPA) en geheimhoudingsovereenkomst (NDA).

32
Actieve beveiligingsmaatregelen geïntegreerd in de volledige architectuur
Gestructureerd in 8 kerncategorieën
  • Encryptie
  • Authenticatie
  • Autorisatie
  • Netwerkbeveiliging
  • Applicatiebeveiliging
  • Monitoring & auditing
  • Infrastructuur
  • Gegevensbescherming

Gedetailleerde technische beschrijvingen van de maatregelen, architectuurdiagrammen en auditartefacten delen we transparant uitsluitend met enterpriseklanten die een verwerkersovereenkomst (DPA) en geheimhoudingsovereenkomst (NDA) hebben ondertekend. Als onderdeel van formele Security Reviews bieden we op verzoek een live doorloop van hoe deze maatregelen in de productieomgeving functioneren.

Beveiligingsoperaties

Maatregelen zijn de startlijn, niet de finish.

Een lijst met beveiligingsmaatregelen alleen betekent niets tegen echte inbraakpogingen. Hieronder staat de methodologie waarmee we onze code en infrastructuur niet alleen op papier verdedigen, maar onder meedogenloze stresstests:

Externe penetratietests (pentest)

We schakelen regelmatig onafhankelijke cybersecurityspecialisten in om in te breken in onze productiesystemen. Elke bevinding wordt direct geprioriteerd, gepatcht en opnieuw getest ter verificatie. De Executive Summary van de meest recente pentest is beschikbaar voor klanten die een NDA/DPA hebben ondertekend.

Continue kwetsbaarheidsscanning (CI/CD)

Elke commit die naar onze repository wordt gepusht en elke container image die we bouwen, wordt automatisch gescand op bekende kwetsbaarheden (CVE's), gelekte secrets en bevindingen uit statische codeanalyse (SAST). Kwetsbaarheden in dependencies met een kritieke ernst activeren nog diezelfde dag een hotfixproces.

Responsible Disclosure

We geloven in het samen versterken van onze beveiliging. Onafhankelijke securityonderzoekers kunnen potentiële kwetsbaarheden rechtstreeks melden bij security@vorden.ai. We bevestigen binnenkomende meldingen uiterlijk binnen één werkdag en volgen het proces persoonlijk op tot aan de oplossing.

Subverwerkers

Infrastructuurpartners die met uw gegevens in aanraking komen.

Hieronder vindt u een volledig transparant overzicht van de belangrijkste infrastructuurpartners in onze verwerkingsketen waarop we vertrouwen. Aanvullende subverwerkers die op basis van operationele vereisten met het systeem worden geïntegreerd, delen we uitsluitend in detail met enterpriseklanten onder een ondertekende verwerkersovereenkomst (DPA).

Google Cloud Platform

Frankfurt, Duitsland
Vereist

Cloudhosting, managed database, objectopslag, serverless compute en hardware-ondersteund secretbeheer (KMS).

Gegevenscategorieën
  • Alle platformgegevens
  • Databaserecords
  • Gespreksopnames
  • Context-/kennisdocumenten
cloud.google.com

Cloudflare

Wereldwijde edge PoP-locaties
Vereist

Wereldwijd edge-netwerk dat het publieke HTTP-verkeer afschermt. Biedt DDoS-bescherming, een Web Application Firewall (WAF), geavanceerd botbeheer, rate limiting en een DNS/CDN-laag voordat verzoeken onze origin-infrastructuur bereiken.

Gegevenscategorieën
  • HTTP-metadata op edge-niveau
  • IP-adressen (voor misbruikdetectie)
cloudflare.com

Vorden Voice

Verenigde Staten (met EU-relaynodes)
Vereist

Onze real-time voice- en video-engine met lage latency die de gesprekken van autonome agents aandrijft. Verzorgt WebRTC-mediatransport en AI-orkestratie.

Gegevenscategorieën
  • Real-time audiostreams
  • Sessiemetadata
vorden.ai

Vorden Telephony

Verenigde Staten / wereldwijde PoP-locaties
Vereist

Inkomende/uitgaande gespreksrouting, SIP trunking en SMS-bezorginfrastructuur voor door Vorden geleverde nummers. Enterpriseklanten kunnen hun eigen trunks rechtstreeks op het systeem aansluiten via een "Custom SIP Bridge."

Gegevenscategorieën
  • Telefoonnummers
  • Gespreksmetadata
  • SMS-inhoud
  • Voice-audio (onderweg)
vorden.ai

Meta Platforms

Ierland, Verenigde Staten
Vereist

Integratie met het WhatsApp Business Platform. Enterprise-tenants koppelen hun WhatsApp Business-accounts rechtstreeks aan de Meta Cloud API — Vorden orkestreert de reacties van de agent autonoom via de autorisatie van de tenant.

Gegevenscategorieën
  • WhatsApp-berichtinhoud
  • Telefoonnummers
  • Bezorgmetadata
meta.com

Stripe

Verenigde Staten / Ierland (EU)
Vereist

Enterprise-betalingsverwerking en beheer van abonnementen (facturatie). Beveiligde checkout-sessies, workflows voor terugkerende facturatie en infrastructuur voor de opslag van getokeniseerde betaalmethoden.

Gegevenscategorieën
  • Factuurcontactgegevens
  • Tokens van betaalmethoden
  • Factuurgeschiedenis
stripe.com

Sentry

Verenigde Staten
Vereist

Real-time monitoring van applicatiefouten en prestatietracking. Persoonlijk identificeerbare informatie (PII) wordt automatisch bij de bron geredigeerd; het systeem ontvangt uitsluitend opgeschoonde telemetrie en foutrapporten.

Gegevenscategorieën
  • Opgeschoonde foutcontext
  • Prestatietraces (geen PII)
sentry.io
Gegevensbewaring

Wat we bewaren, hoe lang, en wie de controle heeft?

Onze bewaartermijnen zijn per tenant configureerbaar waar operationele flexibiliteit zinvol is, en vast waar wettelijke naleving en beveiliging dat vereisen. De grenzen van de controle zijn hieronder transparant gedefinieerd.

CategorieOpmerkingen
Gespreksopnames
90 dagen · configureerbaar
Audio-opnames worden opgeslagen in geïsoleerde GCS-buckets met toegang via signed URL. Tenants kunnen kortere bewaartermijnen instellen of opnames op verzoek permanent verwijderen.
Gesprekstranscripties
90 dagen · configureerbaar
Teksttranscripties volgen exact dezelfde levenscyclus als de bijbehorende audio-opname. Gegevens kunnen vóór permanente verwijdering worden geëxporteerd ten behoeve van compliance.
Chatgeschiedenis
Onbeperkt (zolang het account actief is) · configureerbaar
Logs van webchat, SMS, WhatsApp en Telegram worden bewaard totdat de tenant/het project wordt verwijderd of een betrokkene zijn AVG-recht "om vergeten te worden" uitoefent.
Accountgegevens
Contractduur + 30 dagen · vast
Gebruikersprofielen, facturatie- en configuratiegegevens worden bewaard voor de duur van het actieve contract plus 30 extra dagen voor een mogelijke heractivering.
Auditlogs
2 jaar · vast
Auditlogs van kritieke, wettelijk verplichte handelingen (gegevenstoegang, wijzigingen van machtigingen, administratieve instellingen) worden onveranderlijk bewaard voor minimaal 2 jaar om te voldoen aan de regelgevende normen.
Fouten & prestaties
90 dagen · vast
Sentry-foutrapporten en prestatietraces worden maximaal 90 dagen bewaard, opgeschoond en vrij van persoonlijk identificeerbare informatie (PII). Deze logs bevatten geen PII.
Enterprise-review

Beveiligingsvragenlijst, DPA of architectuurevaluatie?

Geen standaard documentpakketten. U voert de beveiligingsevaluatie rechtstreeks uit met de architect die het platform heeft gebouwd — stuur uw vragenlijst of compliancevereisten, en wij leggen concreet infrastructuurbewijs en de juridische kaders (DPA/NDA) op tafel.

Elk woord dat ik zeg, wordt gelogd en versleuteld en u kunt het volledig auditen.