Compliance die je kunt verifiëren, niet alleen claims om te lezen.
Elke garantie op deze pagina is een controle die een auditor kan toetsen.
Data gaat alleen waar je beleid het toestaat. De EU als standaard: afgedwongen, niet beloofd.
Elk verzoek wordt vóór verzending aan je beleid getoetst; voldoet niets, dan wordt het bij de deur geblokkeerd. De EU als standaard. Directe routering naar de VS en China is alleen beschikbaar wanneer je het toevoegt, elke bestemming openbaar gemaakt. Niets stroomt stilletjes weg.
Soevereine EU: EU-eigendom, in de EU gehost
Mistral en Scaleway zijn Franse bedrijven op Franse infrastructuur. Geen enkel toegangsregime van een buitenlandse overheid reikt tot hen. Dit is de standaardlaag, de enige die actief is totdat je het wijzigt.
VS of China direct: beschikbaar, opt-in, nooit verborgen
Directe providers uit de VS en China zijn vandaag beschikbaar. Ze routeren alleen wanneer je beleid het toestaat, elk gemarkeerd op jurisdictie en CLOUD Act-blootstelling, en pseudonimisering houdt PII en secrets van de lijn. De EU verlaten blijft jouw beslissing.
Je eigen endpoints, of je eigen ijzer
Sluit een privaat of self-hosted model aan: hetzelfde beleid, hetzelfde grootboek. Of draai het hele datavlak zelf met Sluis Edge, zodat prompts Sluis nooit passeren.
Precies wat we bewaren, precies wat we wissen.
Een verzoek tot gegevenswissing dat je bewijs vernietigt is geen compliance; het is een risico. Sluis trekt de grens precies: de content verdwijnt, het bewijs dat de content correct is behandeld blijft.
- Content van verzoeken en antwoorden: de prompts en completions die onder opt-in-retentie zijn bewaard.
- Cache-items: de exacte en semantische cacherijen van de tenant.
- Provider-credentials: opgeslagen upstream-API-keys, nergens ontsleuteld.
- Contentreferenties: elke content_ref-pointer wordt genuld.
- De auditmetadata-keten: audit_log + chain_heads blijven intact, dus verify-chain blijft slagen.
- Hashes, geen content: de SHA-256-schakels blijven; de inhoud die ze dekten is weg.
- Routeringsbeslissingen: welke regio en provider elke call hebben bediend.
- Token- & kostenmetadata: het micro-euro-grootboek in echt geld waar je budgetten op steunen.
Retentie-TTL-purge
Bewaarde content en cacherijen dragen een vervaldatum. Een geplande purge verwijdert alleen de rijen voorbij hun TTL: een cron-baar job, geen handmatige schoonmaak.
Contentretentie is opt-in
Standaard legt Sluis de metadata vast, niet het bericht. Het opslaan van prompt- en antwoordteksten is een keuze per tenant, uit totdat je het aanzet.
AEAD-versleuteld at rest
Alle bewaarde content, en de volledige response-cache (exact + semantisch), is verzegeld met geauthenticeerde encryptie. Geen contentsleutel, geen cache: de gateway valt terug op no-cache.
Strikte isolatie per tenant
Keys, beleid, auditketens en cache zijn begrensd tot één tenant, afgeleid van de key van het verzoek en afgedwongen op het hot path. De ene tenant kan nooit de data of het grootboek van een andere lezen.
Geef de auditor de keten. Die kan hem controleren zonder ons te vertrouwen.
Elke call wordt via hash aan de vorige geketend. Wijzig één veld en elke schakel erna breekt. Exporteer het als JSON Lines en verifieer het offline opnieuw: het bewijs reist met de data mee.
$ sluis audit verify-chain --tenant <id> → ok · 1,284,901 entries · genesis intact
De volledige lijst. Regio en eigendom, gewoon benoemd.
Dit zijn de enige derde partijen die ooit een verzoek kunnen aanraken, en alleen wanneer je beleid naar ze routeert. We noemen de juridische eigenaar naast de hostingregio, want onder de CLOUD Act zijn dat niet dezelfde vraag.
Gevoelige data wordt onderschept voordat die een model bereikt.
De eerste deur haalt 60 deterministische detectoren over elk verzoek, op zoek naar PII, medische gegevens en secrets, en labelt het voordat er ook maar één token verder stroomt. Ze zijn gebouwd voor Europese data: een pakket nationale ID's dat 12 landen via een checksum valideert (het Nederlandse BSN, PESEL, codice fiscale en meer), IBAN-controlegetallen, E.164-telefoonnummers. Geen op de VS gerichte bijzaak.
Namen verslaan patroonherkenning, dus naamdetectie bestaat uit vier lagen die je bewust aanzet, elk een afweging tussen false positives en latency die je zelf in de hand hebt: contextheuristieken, e-mailcorrelatie, een naamdirectory per tenant en Sluis' eigen meertalige herkenningsmodel. Dat model wordt meegeleverd en draait binnen je deployment, zodat een naam nooit naar een derde partij wordt gestuurd om gescand te worden.
Werk met persoonsgegevens en secrets. Het model ziet ze nooit.
Een controle die je auditor kan verifiëren: PII en secrets worden stabiele tokens voordat de prompt je netwerk verlaat, zodat de provider alleen tokens ziet. De echte waarden worden op de terugweg hersteld, en de toewijzing die ze koppelt wordt nooit naar schijf geschreven.
Alles waar je reviewers om vragen, klaar om te overhandigen.
Het papierwerk dat normaal drie weken heen-en-weer kost. Vraag het allemaal direct op; er is geen salesgesprek nodig om een verwerkersovereenkomst te lezen.
Verwerkersovereenkomst (DPA)
Onze standaard verwerkersovereenkomst, met de verplichtingen uit art. 28 en de EU-modelcontractbepalingen er al in.
Vraag de DPA aan→Datastromen & subverwerkers
Hoe een verzoek door de drie deuren beweegt, waar het naar buiten kan en welke subverwerker elk pad afhandelt.
Lees het document→Subverwerkerslijst
De openbaarmaking per tenant: elke provider die je keys en je beleid daadwerkelijk inschakelen, met regio en juridisch eigenaar, op verzoek geëxporteerd.
Exporteer voor je tenant→Auditexport
Het volledige hash-geketende grootboek als JSON Lines, offline opnieuw te verifiëren met verify-chain. Neem je eigen tooling mee.
Bekijk het formaat→Neem je auditors mee. Wij brengen de keten mee.
Residency afgedwongen bij elk verzoek, content die je kunt wissen zonder het bewijs te verliezen, en een grootboek dat iedereen offline kan controleren. De controles zijn echt. Kom ze testen.
Gereguleerde koper? Vraag naar Sluis Edge →