Skip to content
Carsu – Software voor garages en bandenspecialisten

Algemene Voorwaarden

Effective Date: 3/10/2026
Last Updated: 3/13/2026

Bedrijf: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Nederland

Kamer van Koophandel (KvK): 92122167

Website: www.carsu.com

Laatst bijgewerkt: 10 maart 2026

1. Inleiding

Deze Algemene Voorwaarden ("Voorwaarden") zijn van toepassing op jouw toegang tot en gebruik van het software-as-a-service ("SaaS") platform dat wordt beheerd door Carsu B.V. ("Carsu", "Bedrijf", "wij", "ons" of "onze"), beschikbaar op https://www.carsu.com en via onze mobiele applicaties ("Platform").

Door je te registreren voor een account of door gebruik te maken van ons Platform, ga je akkoord met deze Voorwaarden, ons Privacy- & Cookiebeleid (beschikbaar op https://www.carsu.com/privacy) en eventuele toepasselijke bestelformulieren of abonnementsovereenkomsten. Als je niet akkoord gaat, gebruik dan onze diensten niet.

Deze Voorwaarden zijn van toepassing op alle dochterondernemingen, gelieerde ondernemingen of groepsmaatschappijen van Carsu B.V. die diensten verlenen onder het merk Carsu.

2. Definities

Account — Betekenis: Jouw unieke account om toegang te krijgen tot het Platform.

Verwerkingsverantwoordelijke — Betekenis: De entiteit die het doel en de middelen van de verwerking van persoonsgegevens vaststelt (zoals gedefinieerd in AVG art. 4(7)).

Credits — Betekenis: Vooruitbetaalde eenheden die worden aangeschaft om berichten- en communicatiediensten op het Platform te gebruiken.

Eindconsument — Betekenis: Een klant van een Gebruiker (bijv. een voertuigeigenaar) wiens gegevens via het Platform worden verwerkt.

Ingangsdatum — Betekenis: De datum waarop jouw abonnement begint, zoals vermeld in je bestelling of accountregistratie.

Platform — Betekenis: De Carsu-website, webapplicatie, mobiele applicaties, API's en alle gerelateerde diensten.

Verwerker — Betekenis: De entiteit die persoonsgegevens verwerkt namens een Verwerkingsverantwoordelijke (zoals gedefinieerd in AVG art. 4(8)).

Diensten — Betekenis: Alle diensten die Carsu via het Platform levert, waaronder SaaS, communicatie en ondersteuning.

Abonnement — Betekenis: Jouw gekozen dienstniveau (bijv. Gratis, Basis of andere betaalde abonnementen).

Gebruiker / Jij — Betekenis: Elk individu of bedrijf dat zich registreert voor en gebruikmaakt van het Platform.

3. Geleverde diensten

Carsu biedt een uitgebreid SaaS-platform ontworpen voor de automotive aftermarket, waaronder:

  • Werkplaatsbeheer: Klantrelatiebeheer (CRM), planning, facturatie en onderhoudshistorie.
  • Communicatiediensten: Geïntegreerd berichtenverkeer via WhatsApp Business, SMS en Viber, waarmee Gebruikers kunnen communiceren met hun Eindconsumenten.
  • Voertuig- en onderdeleninformatie: Toegang tot voertuiggegevens, onderdelencatalogi en reparatieprocedure-informatie.
  • Betalingsverwerking: Geïntegreerde betalingsverwerking via Stripe.
  • Klantenondersteuning: Ondersteuningsdiensten inclusief AI-ondersteunde functies zoals automatische berichtvertaling.

4. Accountregistratie en beveiliging

4.1 Registratie

Om toegang te krijgen tot het Platform moet je je registreren voor een Account. Je gaat ermee akkoord om nauwkeurige, actuele en volledige informatie te verstrekken tijdens de registratie en om deze informatie up-to-date te houden.

4.2 Accountbeveiliging

Je bent verantwoordelijk voor het vertrouwelijk houden van jouw inloggegevens en voor alle activiteiten die plaatsvinden onder jouw Account. Je moet ons onmiddellijk op de hoogte stellen via [email protected] als je op de hoogte raakt van enig ongeautoriseerd gebruik van jouw Account.

4.3 Accountgeschiktheid

Het Platform is bedoeld voor zakelijk gebruik (B2B). Door je te registreren verklaar je dat je bevoegd bent om te handelen namens de bedrijfsentiteit waarvoor je registreert, en dat je de juridische bevoegdheid hebt om deze Voorwaarden aan te gaan.

5. Gebruik van het Platform en communicatiediensten

5.1 Berichtenintegratie

Ons Platform integreert met WhatsApp Business, SMS-gateways en Viber. Gebruikers moeten voldoen aan de respectievelijke voorwaarden en beleidsregels van derden voor elk gebruikt communicatiekanaal. Carsu is niet verantwoordelijk voor wijzigingen in het beleid of de beschikbaarheid van platforms van derden.

5.2 Berichtentarieven

Tarieven voor het verzenden van berichten zijn variabel en afhankelijk van bestemming, berichttype en jouw Abonnementsniveau. Actuele tarieven zijn beschikbaar in het gedeelte Instellingen van je Account-dashboard. Carsu behoudt zich het recht voor om berichtentarieven aan te passen met een kennisgeving van 14 dagen via je Account-dashboard of e-mail.

5.3 Toestemming en naleving

Carsu biedt tools en begeleiding om Gebruikers te helpen bij het verkrijgen en beheren van toestemming voor communicatie met Eindconsumenten, in overeenstemming met de ePrivacy-richtlijn en toepasselijke nationale wetgeving. Als Verwerkingsverantwoordelijke van Eindconsumentgegevens ben jij echter uiteindelijk verantwoordelijk om te zorgen dat:

  • Geldige toestemming wordt verkregen voordat marketingberichten worden verzonden;
  • Berichten voldoen aan toepasselijke antispam- en elektronische communicatiewetgeving;
  • Opt-out-verzoeken van Eindconsumenten onmiddellijk worden gehonoreerd.

6. Prepaid Credits en gebruik

6.1 Prepaid Credit-model

Carsu werkt op basis van prepaid credits voor communicatiediensten. Credits moeten vooraf worden aangeschaft om berichtenfuncties te gebruiken.

6.2 Creditvervaldatum — Gratis niveau

Voor Gebruikers op het Gratis niveau zijn gekochte Credits geldig voor twaalf (12) maanden vanaf de aankoopdatum. Ongebruikte Credits vervallen automatisch na deze periode zonder restitutie.

6.3 Creditgeldigheid — Betaalde niveaus

Voor Gebruikers op het Basis-niveau of enig ander betaald Abonnement vervallen gekochte Credits niet zolang het Abonnement actief is en in goede staat verkeert. Als een betaald Abonnement eindigt (om welke reden dan ook), worden de resterende Credits onderworpen aan de vervaltermijn van 12 maanden vanaf de datum waarop het Abonnement is beëindigd.

6.4 Proefcredits

Carsu kan nieuwe Gebruikers gratis proefcredits verstrekken voor testdoeleinden. Proefcredits:

  • Vervallen automatisch drie (3) maanden na uitgifte;
  • Kunnen op elk moment worden ingetrokken als wij misbruik of schending van ons Beleid voor aanvaardbaar gebruik (Artikel 11) vermoeden;
  • Hebben geen geldwaarde en zijn niet overdraagbaar.

7. Kosten, betaling en facturatie

7.1 Prijzen

Actuele prijzen voor Credits en Abonnementsniveaus zijn beschikbaar op onze Website en in jouw Accountinstellingen. Alle kosten zijn exclusief toepasselijke belastingen, tenzij anders vermeld.

7.2 Betalingsverwerking

Betalingen worden verwerkt via Stripe. Door een aankoop te doen, ga je akkoord met de servicevoorwaarden van Stripe. Carsu slaat jouw creditcardgegevens niet op.

7.3 Facturatie en btw

Facturen worden uitgereikt op het moment van Creditaankoop of Abonnementsbetaling.

  • Nederlandse klanten (B2B): 21% Nederlandse btw is van toepassing.
  • EU-klanten buiten Nederland (B2B): Het btw-verleggingsmechanisme is van toepassing. Facturen bevatten de vermelding "btw verlegd". Je moet een geldig EU-btw-nummer opgeven.
  • VK-klanten (B2B): Nultarief voor btw wanneer een geldig VK-btw-nummer is verstrekt.
  • Niet-EU/VK-klanten: Geen btw in rekening gebracht; lokale belastingverplichtingen zijn de verantwoordelijkheid van de klant.

7.4 Prijswijzigingen

Carsu kan Abonnementsprijzen of Credittarieven aanpassen met een schriftelijke kennisgeving van ten minste 30 dagen via e-mail. Voortgezet gebruik na de ingangsdatum houdt aanvaarding in. Als je niet akkoord gaat met een prijswijziging, kun je jouw Abonnement beëindigen voordat de nieuwe prijzen ingaan.

7.5 Restitutiebeleid

Alle Creditaankopen en Abonnementskosten zijn niet-restitueerbaar, behalve wanneer Carsu haar dienstverplichtingen onder deze Voorwaarden wezenlijk heeft geschonden of toepasselijk recht anders vereist.

8. Serviceniveaus

8.1 Platformbeschikbaarheid

Carsu zal commercieel redelijke inspanningen leveren om een Platformbeschikbaarheid van ten minste 99,5% per kalendermaand te handhaven, gemeten exclusief geplande onderhoudsvensters.

8.2 Gepland onderhoud

Wij geven ten minste 48 uur van tevoren kennisgeving van gepland onderhoud dat de beschikbaarheid kan beïnvloeden, behalve in gevallen van urgente beveiligingspatches waarbij een kortere kennisgeving noodzakelijk kan zijn.

8.3 Remedies

Als de Platformbeschikbaarheid in enige kalendermaand onder 99,5% daalt (exclusief gepland onderhoud en overmachtsituaties), kunnen getroffen Gebruikers met betaalde Abonnementen een pro-rata servicetegoed aanvragen voor de getroffen periode. Servicetegoeden worden verrekend met toekomstige facturen en vormen geen restitutie in geld. Claims moeten binnen 30 dagen na de getroffen maand worden ingediend.

8.4 Afhankelijkheden van derden

Onze communicatiediensten zijn afhankelijk van platforms van derden (WhatsApp, Viber, SMS-gateways). Carsu is niet verantwoordelijk voor storingen of beperkingen opgelegd door deze externe aanbieders. Downtime van derden wordt uitgesloten van SLA-berekeningen.

9. Gegevensbescherming

9.1 Privacy- & Cookiebeleid

Carsu verwerkt persoonsgegevens in overeenstemming met ons Privacy- & Cookiebeleid, beschikbaar op https://www.carsu.com/privacy. Door het Platform te gebruiken, erken je dat je ons Privacy- & Cookiebeleid hebt gelezen en begrepen.

9.2 Verwerkersovereenkomst

Wanneer Carsu persoonsgegevens namens jou verwerkt (d.w.z. Eindconsumentgegevens), treedt Carsu op als Verwerker en jij als de Verwerkingsverantwoordelijke. De Verwerkersovereenkomst ("VO") opgenomen in Bijlage A van deze Voorwaarden, of zoals afzonderlijk overeengekomen, regelt deze verwerkingsrelatie in overeenstemming met artikel 28 van de AVG.

9.3 Jouw verplichtingen als Verwerkingsverantwoordelijke

Als Verwerkingsverantwoordelijke van Eindconsumentgegevens die via ons Platform worden verwerkt, ben je verantwoordelijk voor:

  • Het waarborgen dat je een geldige rechtsgrondslag hebt voor de verwerking van Eindconsumentgegevens;
  • Het verkrijgen van de vereiste toestemmingen voor elektronische communicatie (naleving ePrivacy-richtlijn);
  • Het beantwoorden van verzoeken van betrokkenen van jouw Eindconsumenten (Carsu zal op verzoek assisteren);
  • Het onmiddellijk informeren van Carsu over verzoeken van betrokkenen waarvoor de assistentie van Carsu nodig is;
  • Het bijhouden van je eigen privacybeleid dat betrekking heeft op jouw gebruik van ons Platform voor de verwerking van Eindconsumentgegevens.

9.4 Gegevensportabiliteit en overstaprechten

In overeenstemming met artikel 20 van de AVG en de EU-Dataverordening (Verordening (EU) 2023/2854) heb je recht op gegevensportabiliteit en overstap:

  • Zelfbedieningsexport: Je kunt je gegevens op elk moment exporteren vanuit je Accountinstellingen in CSV- of JSON-formaat.
  • Handmatig exportverzoek: Je kunt ook een volledige gegevensexport aanvragen door een e-mail te sturen naar [email protected]. Exportverzoeken worden binnen 30 dagen afgehandeld.
  • Export na beëindiging: Je kunt een gegevensexport aanvragen binnen 12 maanden na beëindiging van je Abonnement.
  • Gegevensverwijdering: Gegevens worden permanent verwijderd binnen 60 dagen na het exportvenster van 12 maanden na beëindiging, tenzij langere bewaring wettelijk verplicht is.
  • Overstaphulp: Op grond van de EU-Dataverordening, als je wilt overstappen naar een alternatieve dienstverlener, zal Carsu redelijke technische ondersteuning bieden gedurende een periode van 30 dagen nadat je het overstapproces hebt geïnitieerd. Overstapkosten, indien van toepassing, zullen niet hoger zijn dan de kosten die Carsu rechtstreeks heeft gemaakt voor het verlenen van de overstaphulp.

Carsu zal geen contractuele, technische of commerciële barrières opwerpen die overstap of gegevensportabiliteit belemmeren, behalve wat strikt noodzakelijk is voor beveiligings- en gegevensintegriteitsdoeleinden.

10. Intellectueel eigendom

10.1 Intellectueel eigendom van Carsu

Alle inhoud, software, technologie, ontwerpen, handelsmerken en materialen op ons Platform zijn eigendom van Carsu B.V. of haar licentiegevers en worden beschermd door intellectuele-eigendomswetten. Je krijgt een beperkte, niet-exclusieve, niet-overdraagbare, herroepbare licentie om het Platform te gebruiken voor het beoogde doel gedurende jouw Abonnement.

10.2 Jouw gegevens en geaggregeerde analyses

Je behoudt alle rechten op de gegevens die je naar het Platform uploadt. Door gegevens te uploaden, verleen je Carsu een beperkte licentie om die gegevens uitsluitend te verwerken ten behoeve van het leveren van de Diensten.

Carsu mag geanonimiseerde, geaggregeerde gegevens gebruiken en delen (die jou, jouw Eindconsumenten of individuele transacties niet kunnen identificeren) voor dienstverbetering, sectoranalyses, marktinzichten, onderzoek en innovatiedoeleinden. Dergelijke gegevens worden geaggregeerd op een niveau dat waarborgt dat geen individuele werkplaats, eindconsument of transactie kan worden geïdentificeerd.

Omdat de gegevens onomkeerbaar zijn geanonimiseerd vóór extern gebruik of delen, vallen ze buiten de reikwijdte van de AVG (Overweging 26). Ontvangers van geaggregeerde inzichten zijn gebonden aan schriftelijke voorwaarden die heridentificatie verbieden. Zie voor volledige details Artikel 7.5 van ons Privacy- & Cookiebeleid.

11. Beleid voor aanvaardbaar gebruik

Je stemt ermee in het Platform niet te gebruiken om:

  • Ongevraagde marketingberichten (spam) of berichten zonder geldige toestemming van de ontvanger te verzenden;
  • Inhoud te verzenden die illegaal, lasterlijk, bedreigend, intimiderend of discriminerend is;
  • Malware, virussen of andere schadelijke code te verspreiden;
  • Ongeautoriseerde toegang te proberen te verkrijgen tot het Platform, andere accounts of verbonden systemen;
  • Enig deel van het Platform te reverse-engineeren, decompileren of disassembleren;
  • Het Platform te gebruiken voor enig doel dat in strijd is met toepasselijk recht, waaronder gegevensbeschermings- en antispamregelgeving;
  • Je voor te doen als een andere persoon of entiteit, of jouw connectie onjuist voor te stellen;
  • Gebruikslimieten, snelheidsbeperkingen of andere technische restricties te omzeilen.

Carsu behoudt zich het recht voor om de toegang op te schorten of te beëindigen voor Gebruikers die dit Beleid voor aanvaardbaar gebruik schenden, in overeenstemming met Artikel 13.

12. Vrijwaring

Je stemt ermee in Carsu, haar functionarissen, bestuurders, werknemers en vertegenwoordigers te vrijwaren van en schadeloos te stellen voor alle claims, schade, verliezen, aansprakelijkheden en kosten (inclusief redelijke juridische kosten) die voortvloeien uit:

  • Jouw schending van deze Voorwaarden of het Beleid voor aanvaardbaar gebruik;
  • Jouw gebruik van het Platform in strijd met toepasselijk recht;
  • Berichten die namens jou via het Platform zijn verzonden, inclusief claims van Eindconsumenten of derden met betrekking tot toestemming, inhoud of naleving;
  • Elke claim dat de gegevens die je hebt verstrekt inbreuk maken op intellectuele-eigendomsrechten of privacyrechten van derden.

13. Looptijd, opschorting en beëindiging

13.1 Looptijd

Jouw Abonnement begint op de Ingangsdatum en loopt voor de overeengekomen termijn (maandelijks of jaarlijks, al naar gelang van toepassing), en wordt automatisch verlengd tenzij je vóór het einde van de lopende periode opzegt.

13.2 Opzegging door jou

Je kunt je Abonnement op elk moment opzeggen via je Accountinstellingen. De opzegging gaat in aan het einde van de lopende factureringsperiode. Er wordt geen pro-rata restitutie verleend voor ongebruikte delen van een factureringsperiode.

13.2a Overstap naar alternatieve aanbieder (EU-Dataverordening)

In overeenstemming met de EU-Dataverordening kun je je Abonnement beëindigen met het doel over te stappen naar een alternatieve dienstverlener door ten minste 2 maanden schriftelijke kennisgeving te sturen naar [email protected]. Gedurende de opzegtermijn en 30 dagen na beëindiging zal Carsu redelijke technische ondersteuning bieden om de overgang te faciliteren, inclusief gegevensexport in standaardformaten (CSV, JSON) en documentatie van gegevensstructuren. Overstapkosten, indien van toepassing, worden beperkt tot rechtstreeks gemaakte kosten en vooraf bekendgemaakt.

13.3 Opschorting door Carsu

Carsu kan jouw toegang tot het Platform onmiddellijk opschorten als:

  • Wij redelijkerwijs geloven dat je het Beleid voor aanvaardbaar gebruik schendt;
  • Jouw Account betrokken is bij vermoedelijke frauduleuze activiteiten;
  • Het noodzakelijk is om te voldoen aan een wettelijke verplichting of gerechtelijk bevel;
  • Jouw betaling meer dan 14 dagen achterstallig is.

Wij stellen je zo spoedig als praktisch mogelijk op de hoogte van elke opschorting en de reden daarvoor. Opschorting beëindigt deze Voorwaarden niet; wij herstellen de toegang zodra het probleem is opgelost.

13.4 Beëindiging om gegronde reden door Carsu

Carsu kan jouw Account en deze Voorwaarden beëindigen als:

  • Een wezenlijke schending onhersteld blijft gedurende 30 dagen na schriftelijke kennisgeving;
  • Je herhaaldelijk het Beleid voor aanvaardbaar gebruik schendt;
  • Je insolvent wordt of een faillissementsprocedure ingaat.

13.5 Na beëindiging

Bij beëindiging:

  • Alle ongebruikte proefcredits vervallen onmiddellijk;
  • Gekochte Credits voor betaalde niveaus zijn onderworpen aan de vervalregels in Artikel 6;
  • Je kunt een gegevensexport aanvragen binnen 12 maanden na beëindiging (zie Artikel 9.4);
  • Na de periode van 12 maanden na beëindiging worden al je gegevens permanent verwijderd, tenzij bewaring wettelijk verplicht is.

14. Beperking van aansprakelijkheid

14.1 Uitsluiting van indirecte schade

Voor zover maximaal toegestaan door toepasselijk recht, is geen van beide partijen aansprakelijk voor enige indirecte, incidentele, bijzondere, gevolgschade of punitieve schade, met inbegrip van maar niet beperkt tot verlies van winst, gegevens, bedrijfsvoering of goodwill, ongeacht de oorzaak van de vordering of de aansprakelijkheidstheorie.

14.2 Aansprakelijkheidsplafond

De totale cumulatieve aansprakelijkheid van Carsu onder of in verband met deze Voorwaarden zal niet hoger zijn dan de totale vergoedingen die je aan Carsu hebt betaald in de twaalf (12) maanden direct voorafgaand aan de gebeurtenis die aanleiding geeft tot de claim.

14.3 Uitzonderingen

Niets in deze Voorwaarden sluit de aansprakelijkheid uit of beperkt deze voor:

  • Overlijden of persoonlijk letsel veroorzaakt door nalatigheid;
  • Fraude of frauduleuze voorstelling van zaken;
  • Elke aansprakelijkheid die niet kan worden uitgesloten of beperkt onder toepasselijk recht, waaronder AVG-verplichtingen.

15. Overmacht

Geen van beide partijen is aansprakelijk voor enig verzuim of vertraging in de nakoming van haar verplichtingen onder deze Voorwaarden wanneer een dergelijk verzuim of vertraging het gevolg is van gebeurtenissen buiten haar redelijke controle, met inbegrip van maar niet beperkt tot: natuurrampen, pandemieën, overheidsmaatregelen, oorlog, terrorisme, stroomuitval, internetstoringen, storingen bij platforms van derden (WhatsApp, Viber, SMS-gateways, Stripe) en cyberaanvallen.

De getroffen partij moet de andere partij onmiddellijk op de hoogte stellen en redelijke inspanningen leveren om de impact te beperken. Als een overmachtssituatie langer dan 60 dagen voortduurt, kan elke partij de getroffen Diensten beëindigen na schriftelijke kennisgeving.

16. Garanties en disclaimers

16.1 Garanties van Carsu

Carsu garandeert dat:

  • Het Platform in hoofdlijnen zal functioneren in overeenstemming met de documentatie;
  • Diensten zullen worden geleverd met redelijke vakkundigheid en zorgvuldigheid;
  • Carsu zal voldoen aan toepasselijke gegevensbeschermingswetgeving in haar rol als Verwerkingsverantwoordelijke of Verwerker.

16.2 Beveiliging en melding van kwetsbaarheden

Carsu hanteert een beleid voor verantwoorde melding van kwetsbaarheden in overeenstemming met de Cyber Resilience Act en best practices in de sector. Beveiligingsonderzoekers en Gebruikers kunnen kwetsbaarheden melden via ons security.txt-bestand op https://www.carsu.com/.well-known/security.txt of door te e-mailen naar [email protected]. Carsu verbindt zich ertoe meldingen binnen 5 werkdagen te bevestigen en binnen 30 dagen een oplossingstijdlijn te verstrekken.

16.3 Disclaimer

Behalve zoals uitdrukkelijk vermeld in deze Voorwaarden, wordt het Platform geleverd "zoals het is" en "zoals beschikbaar." Carsu geeft geen aanvullende garanties, expliciet of impliciet, met inbegrip van garanties van verkoopbaarheid, geschiktheid voor een bepaald doel of niet-inbreuk. Carsu garandeert niet dat het Platform ononderbroken, foutvrij zal zijn of dat alle gebreken zullen worden verholpen.

17. Toepasselijk recht en geschillenbeslechting

17.1 Toepasselijk recht

Deze Voorwaarden worden beheerst door en uitgelegd in overeenstemming met het recht van Nederland, zonder inachtneming van beginselen van conflicterend recht.

17.2 Geschillenbeslechting

De partijen zullen eerst proberen elk geschil op te lossen door middel van onderhandelingen te goeder trouw gedurende een periode van 30 dagen. Indien niet opgelost, worden geschillen voorgelegd aan de exclusieve bevoegdheid van de bevoegde rechtbank in Amsterdam, Nederland.

17.3 Klachten bij toezichthouders

Niets in deze Voorwaarden belet je om je rechten onder de AVG uit te oefenen of klachten in te dienen bij de relevante toezichthoudende autoriteit (zie ons Privacy- & Cookiebeleid voor details).

18. Algemene bepalingen

18.1 Volledige overeenkomst

Deze Voorwaarden vormen, samen met het Privacy- & Cookiebeleid en eventuele toepasselijke bestelformulieren of VO's, de volledige overeenkomst tussen jou en Carsu met betrekking tot het gebruik van het Platform. Zij vervangen alle eerdere overeenkomsten, verklaringen en afspraken.

18.2 Scheidbaarheid

Indien enige bepaling van deze Voorwaarden ongeldig of niet-afdwingbaar wordt bevonden, blijven de overige bepalingen volledig van kracht. De ongeldige bepaling wordt in de minimaal noodzakelijke mate gewijzigd om deze geldig en afdwingbaar te maken.

18.3 Overdracht

Je mag deze Voorwaarden niet overdragen of cederen zonder voorafgaande schriftelijke toestemming van Carsu. Carsu mag deze Voorwaarden overdragen in verband met een fusie, overname, reorganisatie of verkoop van nagenoeg al haar activa, mits de verkrijger ermee instemt gebonden te zijn aan deze Voorwaarden.

18.4 Afstand van recht

Het niet of vertraagd uitoefenen van enig recht onder deze Voorwaarden door een van beide partijen vormt geen afstand van dat recht.

18.5 Kennisgevingen

Kennisgevingen aan Carsu moeten worden verzonden naar [email protected] of per post naar ons geregistreerde adres. Kennisgevingen aan jou worden verzonden naar het e-mailadres dat aan jouw Account is gekoppeld. Kennisgevingen worden geacht te zijn ontvangen bij aflevering (e-mail) of 5 werkdagen na verzending (post).

18.6 Wijzigingen

Carsu kan deze Voorwaarden wijzigen met een schriftelijke kennisgeving van ten minste 30 dagen via e-mail of Platformnotificatie. Wezenlijke wijzigingen worden uitgelicht. Voortgezet gebruik na de ingangsdatum houdt aanvaarding in. Als je niet akkoord gaat met een wijziging, kun je je Abonnement beëindigen voordat de wijziging van kracht wordt.

19. Contact

Juridische vragen: [email protected]

Algemene vragen: [email protected]

Functionaris voor gegevensbescherming: [email protected]

Beveiligingszaken: [email protected]

Postadres: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Nederland

Door ons Platform te gebruiken, erken je dat je deze Algemene Voorwaarden hebt gelezen, begrepen en ermee akkoord gaat gebonden te zijn.

BIJLAGE A

VERWERKERSOVEREENKOMST

Deze Verwerkersovereenkomst ("VO") vormt een integraal onderdeel van de Algemene Voorwaarden van Carsu ("Overeenkomst") tussen Carsu B.V. ("Verwerker") en de Gebruiker ("Verwerkingsverantwoordelijke") en regelt de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke in verband met de Diensten.

Deze VO is aangegaan op grond van artikel 28 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG") en, waar van toepassing, de UK General Data Protection Regulation ("UK GDPR").

A1. Definities

Begrippen die niet in deze VO zijn gedefinieerd, hebben de betekenis die eraan is gegeven in de Overeenkomst en in de AVG. In deze VO:

  • "Persoonsgegevens van de Verwerkingsverantwoordelijke" betekent persoonsgegevens die de Verwerker verwerkt namens de Verwerkingsverantwoordelijke in verband met de Diensten.
  • "Gegevensbeschermingswetgeving" betekent de AVG, UK GDPR, de ePrivacy-richtlijn 2002/58/EG, de Italiaanse Codice Privacy (D.Lgs. 196/2003 zoals gewijzigd), de Nederlandse UAVG en alle andere toepasselijke gegevensbeschermingswetgeving.
  • "Sub-verwerker" betekent elke derde partij die door de Verwerker is ingeschakeld om Persoonsgegevens van de Verwerkingsverantwoordelijke te verwerken namens de Verwerkingsverantwoordelijke.

A2. Reikwijdte en doel van verwerking

A2.1 Onderwerp

De Verwerker verwerkt Persoonsgegevens van de Verwerkingsverantwoordelijke uitsluitend ten behoeve van het leveren van de Diensten onder de Overeenkomst, waaronder werkplaatsbeheer, klantcommunicatie (WhatsApp, SMS, Viber), betalingsverwerking en klantenondersteuning.

A2.2 Duur

De verwerking duurt voort gedurende de looptijd van de Overeenkomst en voor de aanvullende periode die nodig is om verplichtingen na beëindiging na te komen (gegevensexport, verwijdering) zoals vastgelegd in de Overeenkomst.

A2.3 Categorieën betrokkenen

  • Eindconsumenten (klanten van de Verwerkingsverantwoordelijke/werkplaats);
  • Werknemers en medewerkers van de Verwerkingsverantwoordelijke (voor zover relevant voor platformgebruik).

A2.4 Soorten persoonsgegevens

  • Contactgegevens (namen, telefoonnummers, e-mailadressen);
  • Voertuiggegevens (kentekens, merk, model, type);
  • Service- en onderhoudsgegevens;
  • Afspraakgegevens;
  • Communicatie-inhoud (berichten verzonden via het Platform);
  • Betalingstransactie-identificatoren (kaartgegevens worden verwerkt door Stripe, niet bewaard door Carsu).

A2.5 Aard van verwerking

Verzameling, opslag, ophaling, gebruik, verzending (berichtenverkeer), ordening, structurering en verwijdering van Persoonsgegevens van de Verwerkingsverantwoordelijke voor zover noodzakelijk voor het leveren van de Diensten.

A2.6 Geanonimiseerde en geaggregeerde gegevens

De Verwerker mag Persoonsgegevens van de Verwerkingsverantwoordelijke verwerken om geanonimiseerde, geaggregeerde inzichten te genereren voor deling met derden. Deze verwerking vindt uitsluitend plaats nadat gegevens onomkeerbaar zijn geanonimiseerd en geaggregeerd op een niveau dat waarborgt dat geen individuele werkplaats, eindconsument of transactie kan worden geïdentificeerd of uit de uitvoer kan worden herleid.

Zodra onomkeerbaar geanonimiseerd, vallen de resulterende gegevens buiten de reikwijdte van de AVG (Overweging 26) en deze VO. Deze verwerking wordt ondersteund door het gerechtvaardigde belang van de Verwerker (art. 6(1)(f)) en breidt de dienstverleningsdoeleinden vermeld in A2.1 niet uit en wijzigt deze niet, maar vertegenwoordigt een afzonderlijk gebruik van de onderliggende gegevens na anonimisering. Ontvangers zijn gebonden aan schriftelijke voorwaarden die heridentificatie verbieden.

A3. Verplichtingen van de Verwerker

De Verwerker zal:

  • Persoonsgegevens van de Verwerkingsverantwoordelijke uitsluitend verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, ook met betrekking tot doorgifte van persoonsgegevens buiten de EER of het VK, tenzij verplicht op grond van EU- of lidstaatwetgeving (in welk geval de Verwerker de Verwerkingsverantwoordelijke daarvan op de hoogte stelt vóór de verwerking, tenzij dit wettelijk verboden is);
  • Waarborgen dat personen die bevoegd zijn om Persoonsgegevens van de Verwerkingsverantwoordelijke te verwerken zich tot geheimhouding hebben verbonden of onder een passende wettelijke geheimhoudingsplicht vallen;
  • Passende technische en organisatorische maatregelen treffen om een beveiligingsniveau te waarborgen dat past bij het risico, waaronder in voorkomend geval: pseudonimisering en versleuteling van persoonsgegevens, het vermogen om de doorlopende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen te waarborgen, het vermogen om de toegang tot persoonsgegevens tijdig te herstellen na een incident, en een proces voor het regelmatig testen en evalueren van de doeltreffendheid van dergelijke maatregelen;
  • De voorwaarden voor het inschakelen van Sub-verwerkers respecteren zoals vastgelegd in Artikel A5;
  • Rekening houdend met de aard van de verwerking, de Verwerkingsverantwoordelijke bijstaan door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bij de nakoming van de verplichting van de Verwerkingsverantwoordelijke om te reageren op verzoeken van betrokkenen;
  • De Verwerkingsverantwoordelijke bijstaan bij het waarborgen van naleving van meldingsverplichtingen bij datalekken (artikelen 33 en 34 AVG), gegevensbeschermingseffectbeoordelingen (artikel 35 AVG) en voorafgaande raadpleging van toezichthoudende autoriteiten (artikel 36 AVG), rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt;
  • Naar keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens van de Verwerkingsverantwoordelijke verwijderen of aan de Verwerkingsverantwoordelijke retourneren na het einde van de dienstverlening, en bestaande kopieën verwijderen tenzij EU- of lidstaatwetgeving opslag van de persoonsgegevens vereist;
  • Aan de Verwerkingsverantwoordelijke alle informatie beschikbaar stellen die nodig is om naleving van deze VO aan te tonen en audits, waaronder inspecties, mogelijk maken en eraan bijdragen, uitgevoerd door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke aangewezen auditor.

A4. Verplichtingen van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke zal:

  • Waarborgen dat zij een geldige rechtsgrondslag heeft onder de Gegevensbeschermingswetgeving voor de verwerking van Persoonsgegevens van de Verwerkingsverantwoordelijke, waaronder het verkrijgen van alle noodzakelijke toestemmingen van betrokkenen waar vereist;
  • Gedocumenteerde verwerkingsinstructies aan de Verwerker verstrekken;
  • Verantwoordelijk zijn voor de juistheid, kwaliteit en rechtmatigheid van de aan de Verwerker verstrekte Persoonsgegevens van de Verwerkingsverantwoordelijke;
  • Voldoen aan haar verplichtingen onder de Gegevensbeschermingswetgeving, waaronder het bijhouden van een eigen privacybeleid, het reageren op verzoeken van betrokkenen (met bijstand van de Verwerker) en het melden van datalekken aan toezichthoudende autoriteiten waar vereist;
  • Waarborgen dat berichten die via het Platform aan Eindconsumenten worden verzonden voldoen aan de ePrivacy-richtlijn en toepasselijke nationale wetgeving voor elektronische communicatie, waaronder het verkrijgen van geldige toestemming voor marketingberichten.

A5. Sub-verwerkers

A5.1 Algemene autorisatie

De Verwerkingsverantwoordelijke verleent de Verwerker een algemene schriftelijke autorisatie om Sub-verwerkers in te schakelen voor de verwerking van Persoonsgegevens van de Verwerkingsverantwoordelijke, onder de voorwaarden in dit Artikel A5.

A5.2 Huidige Sub-verwerkers

De huidige lijst van Sub-verwerkers is opgenomen in Artikel 7.1 van het Privacy- & Cookiebeleid (beschikbaar op https://www.carsu.com/privacy). Op de datum van deze VO zijn de goedgekeurde Sub-verwerkers:

Microsoft Azure — Doel: Cloudinfrastructuur en hosting — Locatie: EU (West-Europa)

Stripe — Doel: Betalingsverwerking — Locatie: EU / VS (SCC)

WhatsApp Business API (Meta) — Doel: Klantberichten — Locatie: EU / VS (SCC)

Viber (Rakuten) — Doel: Klantberichten — Locatie: EU / Internationaal (SCC)

Twilio — Doel: SMS-gateway — Locatie: EU / VS (SCC)

Intercom — Doel: Klantenondersteuning en AI-vertaling — Locatie: VS (SCC)

Anthropic — Doel: AI-diensten — Locatie: VS (SCC)

Mailchimp (Intuit) — Doel: E-mailmarketing — Locatie: VS (SCC)

Mixpanel — Doel: Productanalyse — Locatie: VS (SCC)

A5.3 Wijzigingen in Sub-verwerkers

De Verwerker stelt de Verwerkingsverantwoordelijke ten minste 30 dagen voorafgaand per e-mail of Platformnotificatie op de hoogte voordat een nieuwe Sub-verwerker wordt ingeschakeld of een bestaande wordt vervangen. Verwerkingsverantwoordelijken met betaalde Abonnementen kunnen zich via hun Accountinstellingen abonneren op automatische meldingen over wijzigingen in sub-verwerkers.

De melding bevat de identiteit en locatie van de voorgestelde Sub-verwerker, de aard van de verwerking en de categorieën betrokken persoonsgegevens. De Verwerkingsverantwoordelijke kan binnen 14 dagen na ontvangst van de kennisgeving bezwaar maken tegen de wijziging, onder opgave van schriftelijke redenen op grond van gegevensbescherming. Indien de Verwerkingsverantwoordelijke bezwaar maakt en de partijen het bezwaar niet binnen 30 dagen in onderling overleg kunnen oplossen, kan de Verwerkingsverantwoordelijke de getroffen Diensten zonder boete beëindigen.

A5.4 Verplichtingen van Sub-verwerkers

De Verwerker waarborgt dat elke Sub-verwerker gebonden is aan gegevensbeschermingsverplichtingen die niet minder streng zijn dan die in deze VO, waaronder met name het bieden van voldoende waarborgen voor het treffen van passende technische en organisatorische maatregelen. De Verwerker blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van elke Sub-verwerker.

A6. Internationale doorgiften

De Verwerker draagt Persoonsgegevens van de Verwerkingsverantwoordelijke niet over buiten de EER of het VK tenzij:

  • De doorgifte plaatsvindt naar een land dat door de Europese Commissie of de UK Secretary of State (al naar gelang van toepassing) is erkend als een land dat een passend beschermingsniveau biedt; of
  • Passende waarborgen aanwezig zijn, waaronder Standaardcontractbepalingen (SCC's) aangenomen door de Europese Commissie (Besluit 2021/914) of, voor VK-doorgiften, de UK International Data Transfer Agreement (IDTA) of UK Addendum bij de EU SCC's, aangevuld met aanvullende technische maatregelen waar vereist door een doorgifte-effectbeoordeling.

Wanneer doorgiften naar de Verenigde Staten plaatsvinden, baseert de Verwerker zich op SCC's (of UK IDTA waar van toepassing) aangevuld met technische maatregelen waaronder versleuteling tijdens transport (TLS 1.2+) en in rust (AES-256), toegangscontroles en contractuele beperkingen op verzoeken om toegang door overheden. De Verwerker voert een doorgifte-effectbeoordeling uit en onderhoudt deze voor elke doorgifte naar een land waarvoor geen adequaatheidsbesluit geldt, en stelt deze beoordeling op verzoek beschikbaar aan de Verwerkingsverantwoordelijke.

A7. Gegevensbeveiliging

Onverminderd Artikel A3 implementeert en onderhoudt de Verwerker de volgende minimale beveiligingsmaatregelen:

  • Versleuteling van persoonsgegevens tijdens transport (TLS 1.2 of hoger) en in rust (AES-256);
  • Op rollen gebaseerde toegangscontroles met het principe van minste privileges;
  • Meervoudige authenticatie voor alle administratieve en platformtoegang;
  • Regelmatige kwetsbaarheidsbeoordelingen en penetratietests;
  • Logging en monitoring van toegang tot Persoonsgegevens van de Verwerkingsverantwoordelijke;
  • Incidentresponsprocedures met gedefinieerde escalatiepaden;
  • Training van personeel op het gebied van gegevensbescherming en informatiebeveiliging, ten minste jaarlijks uitgevoerd;
  • Bedrijfscontinuïteits- en noodherstelprocedures.

A8. Melding van datalekken

De Verwerker stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging (en in ieder geval binnen 72 uur, in overeenstemming met artikel 33 AVG) op de hoogte zodra hij kennis krijgt van een inbreuk op persoonsgegevens die betrekking heeft op Persoonsgegevens van de Verwerkingsverantwoordelijke. Een dergelijke melding omvat:

  • Een beschrijving van de aard van de inbreuk, waaronder, waar mogelijk, de categorieën en het geschatte aantal betrokken betrokkenen en gegevens;
  • De naam en contactgegevens van de Functionaris voor gegevensbescherming van de Verwerker of een ander contactpunt;
  • Een beschrijving van de waarschijnlijke gevolgen van de inbreuk;
  • Een beschrijving van de genomen of voorgestelde maatregelen om de inbreuk aan te pakken, inclusief maatregelen om de mogelijke nadelige gevolgen te beperken.

De Verwerker werkt samen met de Verwerkingsverantwoordelijke en neemt redelijke commerciële stappen om te helpen bij het onderzoek, de beperking en het herstel van elke dergelijke inbreuk.

A9. Rechten van betrokkenen

De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk (en in ieder geval binnen 5 werkdagen) op de hoogte als hij een verzoek ontvangt van een betrokkene om enig recht uit te oefenen onder de Gegevensbeschermingswetgeving met betrekking tot Persoonsgegevens van de Verwerkingsverantwoordelijke. De Verwerker reageert niet rechtstreeks op de betrokkene, tenzij daartoe gemachtigd door de Verwerkingsverantwoordelijke of verplicht op grond van de wet.

De Verwerker biedt redelijke bijstand aan de Verwerkingsverantwoordelijke bij het nakomen van diens verplichtingen om te reageren op verzoeken van betrokkenen, rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt.

A10. Auditrechten

De Verwerker stelt op redelijk verzoek (en niet vaker dan eenmaal per kalenderjaar, tenzij vereist door een toezichthoudende autoriteit of datalek) alle informatie die redelijkerwijs nodig is om naleving van deze VO aan te tonen beschikbaar aan de Verwerkingsverantwoordelijke.

De Verwerker maakt audits, waaronder inspecties, mogelijk en draagt eraan bij, uitgevoerd door de Verwerkingsverantwoordelijke of een onafhankelijke auditor die door de Verwerkingsverantwoordelijke is aangewezen, onder voorbehoud van:

  • Ten minste 30 dagen schriftelijke kennisgeving (tenzij vereist door een toezichthoudende autoriteit);
  • Redelijke reikwijdte en duur;
  • Geheimhoudingsverplichtingen met betrekking tot bedrijfseigen informatie van de Verwerker;
  • Naleving door de auditor van toepasselijke beveiligingsbeleidsregels.

Indien een audit een wezenlijk gebrek aan het licht brengt, zal de Verwerker dit binnen een redelijke termijn, overeengekomen met de Verwerkingsverantwoordelijke, op kosten van de Verwerker verhelpen.

A11. Gegevensverwijdering en -retournering

Bij beëindiging of afloop van de Overeenkomst zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke:

  • Alle Persoonsgegevens van de Verwerkingsverantwoordelijke retourneren in een gestructureerd, gangbaar, machineleesbaar formaat (CSV of JSON) binnen 30 dagen na verzoek; of
  • Alle Persoonsgegevens van de Verwerkingsverantwoordelijke veilig verwijderen binnen 60 dagen na het einde van het exportvenster van 12 maanden na beëindiging zoals vastgelegd in de Overeenkomst.

De Verwerker bevestigt de verwijdering schriftelijk op verzoek van de Verwerkingsverantwoordelijke. De Verwerker mag Persoonsgegevens van de Verwerkingsverantwoordelijke uitsluitend bewaren voor zover vereist door toepasselijk recht, en stelt de Verwerkingsverantwoordelijke op de hoogte van een dergelijke bewaarplicht, inclusief de rechtsgrondslag en de duur van de vereiste bewaring.

A12. Aansprakelijkheid

De aansprakelijkheid van elke partij onder deze VO is onderworpen aan de aansprakelijkheidsbeperkingen in de Overeenkomst (Artikel 14). Niets in deze VO sluit de aansprakelijkheid van een van beide partijen uit of beperkt deze voor verplichtingen onder de Gegevensbeschermingswetgeving die contractueel niet kunnen worden beperkt.

A13. Toepasselijk recht

Deze VO wordt beheerst door het recht van Nederland, in overeenstemming met de Overeenkomst. Voor kwesties met betrekking tot de Gegevensbeschermingswetgeving heeft de toezichthoudende autoriteit van de vestigingsplaats van de Verwerkingsverantwoordelijke (of, wanneer de Verwerkingsverantwoordelijke buiten de EER is gevestigd, de Nederlandse Autoriteit Persoonsgegevens) rechtsmacht.

A14. Voorrang

In geval van een conflict tussen deze VO en de Overeenkomst prevaleren de bepalingen van deze VO met betrekking tot de verwerking van Persoonsgegevens van de Verwerkingsverantwoordelijke. In alle andere opzichten is de Overeenkomst leidend.

Deze VO treedt in werking op de datum waarop de Verwerkingsverantwoordelijke de Overeenkomst aanvaardt en blijft van kracht zolang de Verwerker Persoonsgegevens van de Verwerkingsverantwoordelijke verwerkt.

Contact Information

Address:
Harderwijkerweg 145 3852 AB Ermelo The Netherlands
Carsu Technologies - Algemene Voorwaarden | Carsu