Privacy-First Architectuur

Vertrouwen & Naleving

Caiioo is lokaal uitgevoerde software. Wij verwerken, bewaren of bekijken je gegevens niet. Alle verwerking vindt plaats op je apparaat, in je browser, onder jouw controle.

Geen gegevensexport

Geen gegevensverwerker

Geen toegangspunt

Privacy by Design

ESOF-beveiliging gecertificeerd

Hoe het werkt

Caiioo is een lokale softwareapplicatie en een platformoverschrijdend systeem dat volledig op lokale apparaten draait. In tegenstelling tot SaaS-platforms heeft het bedrijf geen servers die je gesprekken, prompts, instellingen, outputs of bijlagen ontvangen, verwerken of opslaan. Alle verbindingen met AI-diensten van derden worden rechtstreeks vanaf je apparaat gemaakt met je eigen inloggegevens. Wij zijn een softwareleverancier, waarbij onze enige clouddiensten dienen voor licentieverlening en versleutelde privé-relay.

Gegevensverwerking & Privacy

AVG

Status als niet-verwerker

Caiioo is een lokaal uitgevoerde softwareapplicatie. In tegenstelling tot SaaS-platforms verwerkt of bewaart Caiioo als bedrijf geen gegevens die door de extensie worden afgehandeld, en heeft het er ook geen toegang toe. Alle gegevensverwerking vindt plaats binnen de lokale browseromgeving van de gebruiker.

Onder de AVG is Caiioo een softwareleverancier, geen gegevensverwerker, aangezien wij geen persoonsgegevens verwerken namens de klant.

Nul export

Geen gegevensexport

De extensie is ontworpen om te functioneren als een beveiligde envelop. Er worden nooit vertrouwelijke informatie, prompts of persoonsgegevens naar de servers van Caiioo verzonden.

De enige gegevens die naar onze systemen worden geëxporteerd, zijn beperkt tot niet-gevoelige metadata voor facturering en accountbeheer: e-mail, weergavenaam en avatar.

HIPAA & Regulerende Naleving

HIPAA

Geen zakelijke partner

Caiioo creëert, ontvangt, onderhoudt of verzendt geen beschermde gezondheidsinformatie (PHI) zoals gedefinieerd door HIPAA. De extensie functioneert als een lokale tool, vergelijkbaar met een lokale teksteditor of browser.

Omdat Caiioo (het bedrijf) nooit routinematige toegang heeft tot de gegevens die door de gebruiker worden verwerkt, kwalificeert het niet als een 'Business Associate' of onderaannemer.

Directe Verbinding

Door Gebruiker Beheerde Connectiviteit

Elke verbinding met LLM's van derden wordt rechtstreeks vanaf het apparaat van de gebruiker tot stand gebracht. Caiioo fungeert niet als proxy of tussenpersoon voor deze datastromen. Jouw API-sleutels, jouw inloggegevens, jouw directe verbinding.

Beveiligingsarchitectuur

SOC 2

SOC 2 Toepasbaarheid

Caiioo host, bewaart of beheert geen klantgegevens. Daarom is een SOC 2 Type II-audit — die zich richt op controles van clouddiensten — niet van toepassing op ons bedrijfsmodel. Onze focus op beveiliging ligt op:

Code-integriteit — cryptografisch ondertekende releases en een open audit-traject
Beveiligde Sandbox — de architectuur van de browserextensie dwingt strikte isolatie af

AVG

AVG-naleving

Wij voldoen volledig aan de AVG (GDPR) door middel van dataminimalisatie en Privacy by Design. Door ervoor te zorgen dat we nooit persoonlijke gegevens ontvangen, elimineren we de risico's die gepaard gaan met dataresidentie en internationale overdrachten.

Dataminimalisatie — we verzamelen alleen e-mail, naam en avatar voor accountidentificatie
Privacy by Design — de architectuur maakt het voor ons onmogelijk om toegang te krijgen tot uw gegevens

Zero-Entry-Point Architectuur

Caiioo is een 'Zero-Entry-Point' client-applicatie. Door volledig binnen de beveiligde sandbox van de browser te draaien en alleen uitgaande, door de gebruiker geautoriseerde verbindingen met bestaande SaaS-providers te initiëren, levert Caiioo AI-mogelijkheden zonder het externe aanvalsoppervlak van de organisatie te vergroten.

Architecturale Beveiligingsprincipes

De architectuur van Caiioo elimineert door het ontwerp volledige risicocategorieën.

Geen Toename van het Aanvalsoppervlak

Caiioo fungeert niet als server — het is een client-side agent. De extensie opent geen poorten op het apparaat van de gebruiker of de bedrijfsfirewall. Verbindingen met Google Workspace of Cloud LLM's worden uitgaand vanuit de browser geïnitieerd, met gebruik van dezelfde HTTPS/TLS-protocollen die al door de organisatie zijn goedgekeurd. Omdat er geen "Caiioo Cloud" als proxy fungeert, kan een aanvaller de infrastructuur van Caiioo niet hacken om toegang te krijgen tot het interne netwerk van de klant.

De Beveiligde Envelop

Caiioo werkt binnen de extensie-sandbox van Chrome/Edge. Dit biedt procesisolatie — de software heeft geen toegang tot het bestandssysteem van de gebruiker of andere applicaties buiten de browser — en machtigingsbeperking, waarbij de extensie alleen communiceert met de specifieke webpagina's en API's die expliciet door de gebruiker zijn toegestaan.

Niet-bewarende Gegevensstroom

Caiioo (het bedrijf) is nooit een partij bij de gegevensuitwisseling. In het standaardmodel stromen gegevens rechtstreeks van de browser naar de LLM-provider. In het lokale model verlaten gegevens het apparaat van de gebruiker nooit. In beide scenario's verwerken de servers van Caiioo alleen metadata met betrekking tot de abonnementsstatus — nooit de inhoud van prompts of documenten.

Implementatiemodellen

Standaard (Hybride Cloud)

Browser maakt rechtstreeks verbinding met cloud AI-providers en Google Workspace. caiioo-authenticatie ontvangt alleen facturatie-metadata.

Air-Gapped (Volledig Lokaal)

Alle AI-verwerking via lokale Ollama-server. De enige uitgaande verbinding is licentievalidatie. Geen gegevensexport.

Verifieer het zelf

De privacyclaims op deze pagina zijn structureel — ze houden stand vanwege de manier waarop de code is geschreven, niet vanwege wat we beloven. We hebben de beveiligingskritieke bestanden gepubliceerd in een openbare repository, zodat iedereen ze kan lezen, controleren of raadplegen.

Lees de beveiligingskritieke code op GitHub

Wat er in de openbare repository staat

De OAuth-verbindingsmodule — bewijst dat Workspace OAuth-tokens versleuteld op uw apparaat worden opgeslagen, niet op onze servers.
Het WebSocket Durable Object van de relay — bewijst dat de berichtenbus end-to-end versleuteld is; wij routeren cijfertekst maar kunnen deze niet lezen.
De OAuth code-exchange handler — bewijst dat het een stateless proxy is die geen tokens bewaart.
Het volledige databaseschema en de migraties — bewijst welke kolommen we hebben en, belangrijker nog, welke kolommen we niet hebben.
Een ARCHITECTURE.md narratief — koppelt elke privacyclaim terug naar een specifiek bestand en een specifieke regel.

Wat er niet in de openbare repository staat

De agentic orchestrator, de side-panel UI, de modi en prompts, interne beheertools en de implementatiescripts blijven eigendom van het bedrijf. Ze zijn niet dragend voor de privacyclaims, en het open-sourcen ervan is een afzonderlijke beslissing.

Bekijk het werkelijke netwerkverkeer

Als het lezen van code niet uw voorkeursmethode voor verificatie is, voer dan een netwerkmonitor uit (Little Snitch op macOS, GlassWire op Windows, Wireshark overal) terwijl u Caiioo gebruikt. Uw Workspace-gegevens gaan van uw apparaat naar Google, punt uit. Het verkeer naar onze infrastructuur beslaat een kleine, opsombare lijst van bewerkingen: OAuth code-exchange, licentievalidatie, het ophalen van inhoud, de versleutelde apparaat-naar-apparaat berichtenbus en opt-in messaging webhooks. Geen daarvan bevat uw Workspace-inhoud.

Bekijk de volledige verkeerstabel in onze blogpost →

Een beveiligingsprobleem gevonden?

We behandelen beveiligingsonderzoekers als samenwerkingspartners. E-mail naar [email protected], of lees het volledige openbaarmakingsbeleid in SECURITY.md in de transparency repo. We streven naar een bevestiging binnen twee werkdagen.

Architectuur van Gegevensstromen

Begrijp waar uw gegevens staan en wie er toegang toe heeft.

Uw Apparaat

Gesprekken & geschiedenis
API-sleutels & inloggegevens
Instellingen & voorkeuren
Bestanden & bijlagen

Directe Verbinding

Je apparaat maakt rechtstreeks verbinding met AI-providers (OpenRouter, Ollama, Google, etc.) met je eigen inloggegevens. Caiioo zit nooit tussen deze verbinding in.

caiioo-servers

Geen gespreksgegevens
Geen persoonlijke informatie
Alleen facturatie-metadata

Caiioo v. AI-clouddiensten

Minder tussenstappen, geen permanente externe kopieën, en lokale opslag en verwerking betekenen minder aanvalsoppervlakken.

Traditionele AI SaaS

U

Uw prompts, bestanden, gesprekken, gewoonten, voorkeuren, context

↓

Alles wordt naar hun servers verzonden

SaaS-platform (Gecentraliseerd)

Gegevens van alle gebruikers in ÉÉN database

Trainingspijplijn Uw data verbetert HUN model

Gedragsanalyse Gebruikersprofilering, advertentietargeting

Toegang voor medewerkers Personeel kan chats lezen

Externe partners Adverteerders, makelaars

Overheids- / juridische verzoeken Dagvaardingen, bevelschriften

↓

Alle data stroomt stroomafwaarts

Integratie-tussenpersoon

SaaS fungeert als proxy voor uw integraties Agenda, e-mail, bestanden stromen DOOR het platform

Ze zien alles Uw afspraken, contacten, documenten — gelogd en bewaard

↓

Interne AI-pijplijn (verborgen voor u)

Hun eigen AI-modellen Gegevens bewaard voor "serviceverbetering"

Subverwerkers Gegevens doorgestuurd naar externe AI zonder uw toestemming

Logretentie Prompts 30–90+ dagen opgeslagen

Geen ZDR-garanties Subverwerkers kunnen uw gegevens bewaren, loggen of erop trainen

Elke stap = een extra kopie van uw gegevens buiten uw controle

↓

DATALEKMiljoenen blootgesteld via één server

BEDRIJFSMISBRUIKBeleidswijzigingen, verkochte gegevens

LEK IN TOELEVERINGSKETENLek bij subverwerker legt uw gegevens bloot

OVERHEIDSSURVEILLANCEGrootschalige bevelen, massale verzameling

CRIMINELENIdentiteitsfraude, oplichting, afpersing

KWAADWILLENDE WERKNEMERSInterne toegang om gegevens te lezen, kopiëren of verkopen

6+kopieën van uw gegevens
op servers die u niet beheert

UW GEGEVENS BEVINDEN ZICH IN:

Hun centrale database
Hun trainingspijplijn
Hun analysesystemen
De logs van hun subverwerkers
De systemen van hun partners
Onbekende downstream-diensten

Caiioo (Privacy-First + Zero Data Retention)

U

Uw prompts, bestanden, gesprekken, gewoonten, voorkeuren, context

↓

Blijft op apparaat

UW APPARAAT — Alles blijft hier

Uw apparaat (Lokaal-Eerst)

Uw gegevens — ALLEEN van u

Contextbewustzijn Je gegevens verbeteren de nauwkeurigheid en de stijl waarin Caiioo op je reageert

AI-agent Draait lokaal

E2E versleutelde privé-synchronisatie Uw Durable Object

AI-model — Kies uw pad

Optie A: Lokaal (Ollama)

Volledig AI op het apparaat Model draait lokaal. Niets verlaat uw machine. Nul blootstelling aan het netwerk.

Blijft binnen de apparaatgrens

Optie B: OpenRouter (ZDR)

ZDR Afgedwongen Enterprise-contracten garanderen nul retentie

Geen logs, geen opslag Prompts worden niet bewaard door de provider

Geen training API-verkeer uitgesloten van training

Altijd overstappen Claude, GPT, Gemini — geen lock-in

Prompt in → Respons uit → Niets bewaard.
Alleen huidige prompt verzonden (stateless). Contractueel gegarandeerd.

Extern — overschrijdt apparaatgrens

Selectief bereik — alleen wat de prompt vereist, niets meer

Tool- & API-integraties (BYOA)

Uw inloggegevens, directe verbinding — zoals door u aangestuurd

BYOA — Bring Your Own Account

Uw OAuth, uw verbinding Google Calendar, e-mail, bestanden verbinden met UW inloggegevens rechtstreeks met de service-API

Geen SaaS-proxy Caiioo raakt je integratiegegevens nooit aan. Deze blijven tussen jou en de API.

Geen logging door tussenpersonen Agenda, contacten, bestanden — alles direct toegankelijk. Geen caching of retentie door caiioo.

0permanente kopieën van uw gegevens
op servers van anderen

UW GEGEVENS STAAN OP:

Uw apparaat

Dat is alles.

ZDR = Zero Data Retention
Geen logs. Geen opslag. Geen training.
Contractueel afgedwongen door OpenRouter.
Het ZDR-filter van Caiioo zorgt ervoor dat alleen
ZDR-conforme modellen worden getoond.

Concrete risicovergelijking: Aanvalsoppervlak per scenario

Risicoscenario	Traditionele SaaS	Caiioo	Aanvalsoppervlak
Gecentraliseerd datalek Aanvaller compromitteert serverinfrastructuur	✘ Chats, bestanden en persoonlijke gegevens van miljoenen gebruikers blootgesteld in één gebeurtenis. Gecentraliseerde DB = hoofdprijs voor aanvallers.	✔ Er bestaat geen gecentraliseerde opslag om te hacken. De gegevens van elke gebruiker staan alleen op hun eigen apparaat. Individueel apparaatrisico blijft bestaan, maar geen massale blootstelling.	● HOOGvs● MINIMAAL
Gegevensretentie in AI-pijplijn Uw prompts opgeslagen in logs van de provider	✘ SaaS bewaart prompts 30–90+ dagen voor "serviceverbetering". Subverwerkers kunnen deze ook bewaren.	✔ OpenRouter dwingt ZDR af — geen logretentie, geen opslag. Lokale modellen bewaren niets.*	● HOOGvs● MINIMAAL
Lek in toeleveringsketen / subverwerker Gegevens doorgestuurd naar externe AI zonder toestemming	✘ SaaS kan gegevens via onbekende subverwerkers routeren. Geen ZDR-garanties stroomafwaarts.	✔ De ZDR van OpenRouter dekt alle getoonde providers wanneer ZDR-filtering aan staat. Lokale modellen hebben geen netwerkblootstelling.	● HOOGvs● MINIMAAL
Model-training op uw gegevens Privégesprekken gebruikt om AI te trainen	✘ Opt-out verborgen in instellingen, vaak standaard ingeschakeld voor consumentenabonnementen. Subverwerkers kunnen trainen op bewaarde data.	✔ ZDR-providers hebben geen gegevens om op te trainen. API-verkeer is contractueel uitgesloten. Lokale modellen verlaten het apparaat nooit.	● HOOGvs● MINIMAAL
Spearphishing / identiteitsaanvallen Gelekte AI-gesprekken voeden gerichte aanvallen	✘ Gehackte chats onthullen interesses, schema's, contacten en schrijfstijl — ideaal voor gerichte phishing.	✔ Geen opslag aan de serverzijde = geen bulkgegevens voor aanvallers. Kortstondige verwerking tijdens transport bestaat, maar geen persistente gegevens om te stelen.	● HOOGvs● MINIMAAL
Gedrags- en gebruiksprofilering Gebruiksgegevens samengevoegd in profielen	✘ Privacybeleid staat doorgaans gebruiksstatistieken, het delen van gegevens met partners en gedragsprofilering toe.	✔ Geen analytics-pijplijn. Geen toegang voor partners. Geen bewaarde logs. Caiioo verwerkt lokaal; OpenRouter slaat geen gesprekken op.	● HOOGvs● MINIMAAL
Overheids- / juridische verzoeken Dagvaardingen, bevelschriften en bulkgegevensvorderingen	✘ Bedrijf moet meewerken. Bewaarde logs en records van subverwerkers kunnen allemaal worden opgevraagd.	✔ Geen gegevens aan de serverzijde om op te vragen — ZDR-providers bewaren niets. Private Sync is E2E versleuteld.	● HOOGvs● MINIMAAL
Eenzijdige wijzigingen in beleid / voorwaarden Bedrijf breidt datagebruik met terugwerkende kracht uit	✘ Zij bezitten uw gegevens. Voorwaarden met terugwerkende kracht kunnen het gebruik uitbreiden naar training, advertenties of delen.	✔ Caiioo bezit geen gegevens om te gelde te maken. ZDR-providers bewaren niets. Beleidswijzigingen hebben geen invloed op wat nooit is opgeslagen.	● HOOGvs● MINIMAAL

* Deze tabel gaat ervan uit dat het ZDR-filter van Caiioo is ingeschakeld. Wanneer de ZDR-modus aan staat, toont Caiioo alleen AI-modellen waarvoor OpenRouter contractueel nul gegevensretentie afdwingt — providers die geen ZDR bieden, worden automatisch uit de modellijst uitgesloten.

HET KERVERSCHIL

Traditionele SaaS creëert een gecentraliseerde honeypot van intieme gegevens en stuurt deze vervolgens door een ondoorzichtige keten van subverwerkers zonder garanties op zero data retention.

Caiioo bewaart gegevens op je apparaat, draait AI lokaal via Ollama of stuurt verzoeken via de ZDR-gateway van OpenRouter, en maakt rechtstreeks verbinding met tools met je eigen inloggegevens (BYOA) — wat garandeert dat er geen permanente kopieën van je gegevens op welke server dan ook bestaan.

Hoe beschermt Caiioo mijn privacy?

Caiioo is vanaf de basis ontworpen als een privacy-eerst agent-platform. Hier zijn de concrete beschermingen die in elke laag van het product zijn ingebouwd.

Privacy door expertise

Caiioo is ontworpen door Fellows of Information Privacy (FIP), CISSP-gecertificeerde beveiligingsexperts, CIPP-gecertificeerde privacyprofessionals en AIGP-gecertificeerde AI-governanceprofessionals, in overleg met adviseurs op het gebied van gegevensbescherming — wat het het eerste echte 'privacy-by-design' agentic platform maakt dat vanaf de basis is opgebouwd.

#	Privacyprincipe	Wat we hebben gebouwd	Hoe het werkt
1	Dataminimalisatie	Radicale dataminimalisatie	We verzamelen alleen uw e-mailadres en weergavenaam voor de facturering van uw account. Geen gebruiksgegevens, geen browsegeschiedenis, geen inhoud van gesprekken, geen analyses — niets anders. Nooit.
2	Kennisgeving & Toestemming	Just-in-time toestemming voor acties	Voordat de AI een impactvolle actie uitvoert of verbinding maakt met een externe derde partij, toont Caiioo een duidelijke melding met de intentie, actiedetails en het risiconiveau — waarvoor je expliciete goedkeuring vereist is.
3	Dataportabiliteit	Volledige dataportabiliteit	Uw gegevens zijn van u en kunnen op elk moment worden geëxporteerd via het ingebouwde back-up- en herstelsysteem. U zit nooit vast — neem uw gesprekken, instellingen en configuraties met u mee.
4	Vertrouwelijkheid & Integriteit	Zero-knowledge versleutelde privé-synchronisatie	AES-256-GCM versleuteling met PBKDF2-sleutelafleiding (100.000 iteraties). Gegevens opgeslagen in uw Google Drive, ingekapseld in versleuteling die zelfs Google niet kan lezen. Verliest u uw wachtwoordzin, dan kunnen zelfs wij deze niet herstellen.
5	Doelbinding	Geen analyse & telemetrie	Geen analysediensten, geen trackingpixels, geen verzameling van gebeurtenissen, geen foutrapportage die contact opneemt met de server. Wij hebben nul inzicht in hoe u het product gebruikt.
6	Toestemming & Transparantie	Incrementele toestemmingsverzoeken	OAuth-scopes worden pas aangevraagd wanneer u een specifieke functie voor het eerst gebruikt — niet vooraf. Elke keer een duidelijke uitleg over wat er wordt gevraagd en waarom.
7	Recht op gegevenswissing (Art. 17)	Recht op vergeten te worden	Uitgebreide tools voor gegevensverwijdering, van chirurgische precisie tot volledige verwijdering. Wis individuele gesprekken, maak caches leeg of verwijder alle gegevens volledig — u bepaalt wat er verdwijnt.
8	Opslagbeperking	Bewaar wat belangrijk is, gooi de rest weg	In tegenstelling tot platforms die 'alles-of-niets' verwijdering forceren, kun je met Caiioo markeren wat je wilt bewaren en automatisch de rest weggooien. Configureerbaar retentiebeleid schoont verzamelde gegevens in de loop van de tijd op.
9	Privacy by Design & Default	Local-first architectuur	Draai AI-modellen lokaal met Ollama, spraakherkenning op het apparaat (Whisper) en TTS (Kokoro), en sla alles lokaal op. Werkt volledig offline — er hoeven geen gegevens uw machine te verlaten.
10	Opslagbeperking	Selectie van model met Zero Data Retention	Filter en selecteer AI-modellen met ZDR-beleid — de provider verwerkt uw verzoek en verwijdert het onmiddellijk. Geen logging, geen training, geen retentie.
11	Rechten van betrokkenen	Gedetailleerde locatiecontrole	Kies tussen geen locatie delen, precisie op stadsniveau of volledige adresgegevens. Schakel uit met één klik — alle gecachte locatiegegevens worden onmiddellijk en permanent gewist.
12	Transparantie	Transparante AI-acties	Elke tool die gegevens kan schrijven, wijzigen, verzenden of verwijderen, vereist uw uitdrukkelijke goedkeuring. Alleen-lezen tools (zoeken, browsen, samenvatten) draaien zonder onderbreking. U ziet de intentie, actiedetails en het risiconiveau voordat er iets met neveneffecten wordt uitgevoerd. Niets belangrijks is verborgen of automatisch.

Vragen over ons beveiligingsbeleid?

Lees ons volledige privacybeleid voor gedetailleerde informatie over hoe gegevens door de extensie stromen, of ga vandaag nog aan de slag met caiioo.

Privacybeleid lezen Gratis aan de slag