Wij regelen de security zodat jouw team dat niet hoeft te doen

Ja. Photoroom heeft een SOC 2 Type 2-attestatie voor onze API-service. Het meest recente rapport (april 2026) en de huidige controles vind je in het Trust Center. Heeft jouw inkoopproces bewijs nodig voor een andere scope? Geef dit dan vroeg aan bij het sales team.

Ja, allebei. We werken volgens de GDPR-principes, met een gedocumenteerde lijst van subverwerkers, een duidelijk proces voor meldingen van datalekken en anonimisering van persoonsgegevens voordat er modeltraining plaatsvindt. Een Data Processing Agreement is beschikbaar voor Enterprise-klanten via je accountteam.

Dat hangt af van je contract.

• Enterprise-contracten: standaard niet. Training gebeurt alleen als dit expliciet schriftelijk is afgesproken.

• Self-serve API-abonnementen: standaard wel, met een opt-out die je zelf kunt instellen in je accountinstellingen.

• Alle abonnementen: trainingsdata en productiedata worden apart opgeslagen. Alleen leden van het ML-team hebben toegang tot trainingsdata, en elke toegang wordt gelogd.

Onze infrastructuur draait op Google Cloud Platform en Amazon Web Services in de VS. Gegevens die onderweg zijn, worden versleuteld met TLS 1.2 of hoger (beheerd via Cloudflare). Gegevens die opgeslagen zijn, worden op infrastructuurniveau versleuteld door GCP en AWS. Data-opslag uitsluitend binnen de EU is momenteel niet mogelijk. Als regionale opslag een contractvereiste is, geef dit dan vroegtijdig aan bij sales.

Sync API-afbeeldingen worden verwijderd zodra de response binnen is. Async API-afbeeldingen blijven kort bewaard terwijl de taak loopt en worden daarna verwijderd. Operationele logs worden na 15 dagen verwijderd. API-toegangslogs worden één jaar bewaard en zijn beschikbaar voor beveiligingsonderzoeken en auditverzoeken.

GCP en AWS voor hosting en opslag, Cloudflare voor CDN, beveiliging en DNS, Datadog voor event logging en API-parameterlogs, en Vercel voor hosting. De actuele lijst vind je in het Trust Center.

Eén incident geregistreerd (oktober 2024): een onderbreking van de service van 30 minuten. Er is geen klantdata in gevaar gekomen. Het incident is vastgelegd en geëvalueerd volgens ons incident response-proces.

Ja. App-gebruikers kunnen via een schakelaar in de accountinstellingen aangeven dat ze niet willen bijdragen aan modelverbetering. Als data wordt gebruikt voor training, wordt persoonlijke data eerst geanonimiseerd. Let op: dit staat los van de API-klantafspraken, waarbij de standaard afhankelijk is van het contract (Enterprise: standaard niet; self-serve: opt-out mogelijk).