Onderneming: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Nederland

Kamer van Koophandel (KvK): 92122167

Website: www.carsu.com

Laatst bijgewerkt: 14 mei 2026

1. Inleiding

Deze Algemene Voorwaarden ("Voorwaarden") regelen uw toegang tot en gebruik van het software-as-a-service ("SaaS") platform dat wordt geëxploiteerd door Carsu B.V. ("Carsu", "Onderneming", "wij", "ons" of "onze"), beschikbaar op https://www.carsu.com en via onze mobiele applicaties ("Platform").

Door een account te registreren of ons Platform te gebruiken, gaat u ermee akkoord gebonden te zijn aan deze Voorwaarden, ons Privacy- en Cookiebeleid (beschikbaar op https://www.carsu.com/privacy) en elk toepasselijk orderformulier of abonnementscontract. Als u niet akkoord gaat, maak dan geen gebruik van onze diensten.

Deze Voorwaarden zijn van toepassing op alle dochterondernemingen, gelieerde ondernemingen of groepsmaatschappijen van Carsu B.V. die diensten leveren onder het merk Carsu.

2. Definities

3. Geleverde diensten

Carsu levert een uitgebreid SaaS-platform ontworpen voor de automotive aftermarket, waaronder:

• Werkplaatsbeheer: Customer relationship management (CRM), planning, facturering en tracking van servicehistorie.
• Communicatiediensten: Geïntegreerde berichten via WhatsApp Business, SMS en Viber, waarmee Gebruikers kunnen communiceren met hun Eindklanten.
• Voertuig- en onderdeleninformatie: Toegang tot voertuiggegevens, onderdelencatalogi en informatie over reparatieprocedures.
• Betalingsverwerking: Geïntegreerde betalingsverwerking via Stripe.
• Integraties met Derden: Optionele synchronisatie van afspraakgegevens met externe agendadiensten (zoals Google Calendar) op uw initiatief, zoals beschreven in Sectie 5.4.
• Klantenondersteuning: Ondersteuningsdiensten waaronder AI-ondersteunde functies zoals automatische berichtvertaling.

4. Accountregistratie en beveiliging

4.1 Registratie

Om toegang te krijgen tot het Platform, dient u een Account te registreren. U gaat ermee akkoord nauwkeurige, actuele en volledige informatie te verstrekken tijdens de registratie en deze informatie bijgewerkt te houden.

4.2 Accountbeveiliging

U bent verantwoordelijk voor het vertrouwelijk houden van uw inloggegevens en voor alle activiteiten die plaatsvinden onder uw Account. U dient ons onmiddellijk op de hoogte te stellen via hello@carsu.com als u zich bewust wordt van ongeautoriseerd gebruik van uw Account.

4.3 Geschiktheid voor het Account

Het Platform is bedoeld voor zakelijk gebruik (B2B). Door zich te registreren verklaart u dat u bevoegd bent om te handelen namens de zakelijke entiteit die u registreert en dat u juridisch bekwaam bent om deze Voorwaarden aan te gaan.

5. Gebruik van het Platform en communicatiediensten

5.1 Integratie van berichten

Ons Platform integreert met WhatsApp Business, SMS-gateways en Viber. Gebruikers moeten voldoen aan de respectievelijke voorwaarden en beleidsregels van derden voor elk gebruikt communicatiekanaal. Carsu is niet verantwoordelijk voor wijzigingen in het beleid of de beschikbaarheid van platforms van derden.

5.2 Berichttarieven

Tarieven voor het verzenden van berichten variëren en zijn afhankelijk van de bestemming, het berichttype en uw Abonnementsniveau. De actuele tarieven zijn beschikbaar in het gedeelte Instellingen van uw Account-dashboard. Carsu behoudt zich het recht voor om berichttarieven aan te passen met een opzegtermijn van 14 dagen via uw Account-dashboard of e-mail.

5.3 Toestemming en naleving

Carsu biedt tools en richtlijnen om Gebruikers te helpen bij het verkrijgen en beheren van toestemming voor communicatie met Eindklanten, in overeenstemming met de ePrivacy-richtlijn en toepasselijke nationale wetgeving. Echter, als Verwerkingsverantwoordelijke van Eindklantgegevens is de Gebruiker uiteindelijk verantwoordelijk voor het waarborgen dat:

• Geldige toestemming wordt verkregen voordat marketingberichten worden verzonden;
• Berichten voldoen aan toepasselijke anti-spam- en elektronische-communicatiewetgeving;
• Opt-outverzoeken van Eindklanten onmiddellijk worden gehonoreerd.

5.4 Integraties met Derden

Het Platform biedt optionele Integraties met Derden, waaronder synchronisatie met Google Calendar.

• Autorisatie. Het gebruik van een Integratie met Derden gebeurt uitsluitend op uw initiatief en vereist dat u de verbinding autoriseert via de authenticatieflow van de derde partij (bijv. Google OAuth). U autoriseert Carsu om toegang te krijgen tot, te verzenden en te verwerken gegevens van de gekoppelde dienst uitsluitend voor de doeleinden beschreven in ons Privacy- en Cookiebeleid.
• Reikwijdte. De Google Calendar-integratie maakt gebruik van de scope calendar.events.readonly. Carsu importeert agenda-items alleen voor weergave op de Carsu-agendapagina; Carsu schrijft, wijzigt of verwijdert geen items in uw Google Calendar.
• Limited Use. Het gebruik door Carsu van gegevens die zijn ontvangen via Google API's voldoet aan het Google API Services User Data Policy, inclusief de Limited Use-vereisten. Wij gebruiken gegevens van Google API's niet voor advertenties, verkopen deze niet en gebruiken deze niet om AI- of machine-learning-modellen te trainen. Zie §5a van het Privacy- en Cookiebeleid voor de volledige verklaring.
• Intrekking. U kunt de autorisatie op elk moment intrekken vanuit de instellingen van uw Carsu-Account of rechtstreeks via de accountbedieningselementen van de derde aanbieder (voor Google: myaccount.google.com/permissions). Carsu stopt onmiddellijk de toegang en verwijdert gecachete gegevens conform de bewaartermijnen in het Privacy- en Cookiebeleid.
• Voorwaarden van Derden. Uw gebruik van een Integratie met Derden is ook onderworpen aan de voorwaarden en beleidsregels van de derde aanbieder. Carsu is niet verantwoordelijk voor wijzigingen in, opschorting van of beëindiging van API's van derden, noch voor kosten of beperkingen die door de derde aanbieder worden opgelegd.
• Geen Aansprakelijkheid voor Storingen door Derden. Storingen, fouten, vertragingen of niet-beschikbaarheid van gegevens veroorzaakt door de derde aanbieder zijn uitgesloten van de service-level verplichtingen van Carsu onder Sectie 8.

6. Vooruitbetaalde Credits en gebruik

6.1 Vooruitbetaald Credit-model

Carsu werkt op basis van vooruitbetaalde Credits voor communicatiediensten. Credits dienen vooraf te worden aangeschaft om berichtenfuncties te gebruiken.

6.2 Verloop van Credits — Free-niveau

Voor Gebruikers in het Free-niveau zijn aangeschafte Credits twaalf (12) maanden geldig vanaf de aankoopdatum. Ongebruikte Credits verlopen automatisch na deze periode zonder restitutie.

6.3 Geldigheid van Credits — Betaalde niveaus

Voor Gebruikers in het Basic-niveau of enig ander betaald Abonnement verlopen aangeschafte Credits niet zolang het Abonnement actief en in goede staat blijft. Als een betaald Abonnement eindigt (om welke reden dan ook), worden resterende Credits onderworpen aan de regel van 12 maanden verloop vanaf de datum waarop het Abonnement eindigde.

6.4 Proefcredits

Carsu kan nieuwe Gebruikers complimentaire proefcredits aanbieden voor testdoeleinden. Proefcredits:

• Verlopen automatisch drie (3) maanden na uitgifte;
• Kunnen op elk moment worden ingetrokken als wij misbruik of een schending van ons Acceptabel Gebruik Beleid (Sectie 11) vermoeden;
• Hebben geen geldwaarde en zijn niet overdraagbaar.

7. Tarieven, betaling en facturatie

7.1 Prijzen

Actuele prijzen voor Credits en Abonnementsniveaus zijn beschikbaar op onze Website en in uw Accountinstellingen. Alle tarieven zijn exclusief toepasselijke belastingen, tenzij anders aangegeven.

7.2 Betalingsverwerking

Betalingen worden verwerkt via Stripe. Door een aankoop te doen, gaat u akkoord met de servicevoorwaarden van Stripe. Carsu slaat uw creditcardgegevens niet op.

7.3 Facturatie en btw

Facturen worden uitgegeven op het moment van Credit-aankoop of Abonnementsbetaling.

• Nederlandse klanten (B2B): 21% Nederlandse btw is van toepassing.
• EU-klanten buiten Nederland (B2B): Het btw-verleggingsmechanisme is van toepassing. Facturen bevatten de vermelding "VAT reverse-charged". U dient een geldig EU-btw-nummer te verstrekken.
• VK-klanten (B2B): Nultarief voor btw indien een geldig VK-btw-nummer wordt verstrekt.
• Klanten buiten EU/VK: Geen btw in rekening gebracht; lokale belastingverplichtingen zijn de verantwoordelijkheid van de klant.

7.4 Prijswijzigingen

Carsu kan de prijzen voor Abonnementen of Credit-tarieven aanpassen met ten minste 30 dagen schriftelijke kennisgeving per e-mail. Voortgezet gebruik na de ingangsdatum vormt aanvaarding. Als u niet akkoord gaat met een prijswijziging, kunt u uw Abonnement beëindigen voordat de nieuwe prijzen van kracht worden.

7.5 Restitutiebeleid

Alle aankopen van Credits en Abonnementsvergoedingen zijn niet-restitueerbaar, behalve wanneer Carsu zijn serviceverplichtingen onder deze Voorwaarden wezenlijk heeft geschonden of de toepasselijke wet anders vereist.

8. Serviceniveaus

8.1 Beschikbaarheid van het Platform

Carsu zal commercieel redelijke inspanningen leveren om de beschikbaarheid van het Platform op ten minste 99,5% per kalendermaand te houden, gemeten met uitsluiting van geplande onderhoudsvensters.

8.2 Gepland onderhoud

Wij geven ten minste 48 uur kennisgeving van gepland onderhoud dat de beschikbaarheid kan beïnvloeden, behalve in gevallen van urgente beveiligingspatches waar een kortere kennisgeving noodzakelijk kan zijn.

8.3 Verhaal

Als de beschikbaarheid van het Platform in een kalendermaand onder 99,5% komt (met uitsluiting van gepland onderhoud en overmacht), kunnen getroffen Gebruikers met betaalde Abonnementen een pro-rata servicekrediet aanvragen voor de getroffen periode. Servicekredieten worden toegepast op toekomstige facturen en vormen geen restitutie in contanten. Vorderingen moeten binnen 30 dagen na de getroffen maand worden ingediend.

8.4 Afhankelijkheden van Derden

Onze communicatiediensten en Integraties met Derden zijn afhankelijk van platforms van derden (WhatsApp, Viber, SMS-gateways, Google APIs, etc.). Carsu is niet verantwoordelijk voor storingen of beperkingen die door deze externe aanbieders worden opgelegd. Downtime van derden wordt uitgesloten van SLA-berekeningen.

9. Gegevensbescherming

9.1 Privacy- en Cookiebeleid

Carsu verwerkt persoonsgegevens in overeenstemming met ons Privacy- en Cookiebeleid, beschikbaar op https://www.carsu.com/privacy. Door het gebruik van het Platform erkent u dat u ons Privacy- en Cookiebeleid heeft gelezen en begrepen.

9.2 Verwerkersovereenkomst

Wanneer Carsu persoonsgegevens namens u verwerkt (d.w.z. Eindklantgegevens), treedt Carsu op als Verwerker en u als Verwerkingsverantwoordelijke. De Verwerkersovereenkomst ("DPA") zoals uiteengezet in Bijlage A van deze Voorwaarden, of zoals afzonderlijk uitgevoerd, regelt deze verwerkingsrelatie in overeenstemming met artikel 28 AVG.

9.3 Uw verplichtingen als Verwerkingsverantwoordelijke

Als Verwerkingsverantwoordelijke van Eindklantgegevens die via ons Platform worden verwerkt, bent u verantwoordelijk voor:

• Het waarborgen dat u een geldige rechtsgrondslag heeft voor het verwerken van Eindklantgegevens;
• Het verkrijgen van de vereiste toestemmingen voor elektronische communicatie (naleving van de ePrivacy-richtlijn);
• Het reageren op verzoeken van betrokkenen van uw Eindklanten (Carsu zal op verzoek bijstaan);
• Het tijdig op de hoogte stellen van Carsu van verzoeken van betrokkenen die de bijstand van Carsu vereisen;
• Het bijhouden van uw eigen privacybeleid dat uw gebruik van ons Platform voor het verwerken van Eindklantgegevens dekt.

9.4 Gegevensportabiliteit en overstaprechten

In overeenstemming met artikel 20 AVG en de EU Data Act (Verordening (EU) 2023/2854) heeft u recht op gegevensportabiliteit en overstap:

• Self-Service Export: U kunt uw gegevens op elk moment exporteren vanuit uw Accountinstellingen in CSV- of JSON-formaat.
• Verzoek om handmatige export: U kunt ook een volledige gegevensexport aanvragen door een e-mail te sturen naar legal@carsu.com. Exportverzoeken worden binnen 30 dagen vervuld.
• Export na beëindiging: U kunt een gegevensexport aanvragen binnen 12 maanden na beëindiging van uw Abonnement.
• Gegevensverwijdering: Gegevens worden permanent verwijderd binnen 60 dagen na het exportvenster van 12 maanden na beëindiging, tenzij langere bewaring wettelijk verplicht is.
• Overstapondersteuning: Onder de EU Data Act, als u wenst over te stappen naar een alternatieve dienstverlener, zal Carsu redelijke technische ondersteuning bieden gedurende een periode van 30 dagen nadat u het overstapproces heeft gestart. Eventuele overstapkosten zullen niet hoger zijn dan de kosten die Carsu direct maakt bij het verlenen van de overstapondersteuning.

Carsu zal geen contractuele, technische of commerciële barrières opleggen die overstap of gegevensportabiliteit belemmeren, behalve voor zover strikt noodzakelijk voor veiligheid en gegevensintegriteit.

9.5 Gegevens uit Integraties met Derden

Wanneer u Carsu autoriseert om toegang te krijgen tot gegevens van een externe dienst (bijv. Google Calendar), treedt Carsu op als Verwerkingsverantwoordelijke voor die gegevens op basis van de rechtsgronden toestemming (art. 6(1)(a) AVG) en overeenkomst (art. 6(1)(b) AVG), en verwerkt deze strikt volgens het Privacy- en Cookiebeleid en de API-voorwaarden van de derde aanbieder. U behoudt eigendom van al deze gegevens. De Verwerkersovereenkomst in Bijlage A is niet van toepassing op gegevens die zijn verkregen uit Integraties met Derden die u autoriseert voor uw eigen gebruik, aangezien dergelijke gegevens geen Eindklantgegevens zijn die Carsu namens u verwerkt.

10. Intellectueel eigendom

10.1 Het IP van Carsu

Alle inhoud, software, technologie, ontwerpen, handelsmerken en materialen op ons Platform zijn eigendom van Carsu B.V. of haar licentiegevers en worden beschermd door de wetten inzake intellectueel eigendom. U krijgt een beperkte, niet-exclusieve, niet-overdraagbare, herroepbare licentie om het Platform te gebruiken voor zijn beoogde doel gedurende uw Abonnement.

10.2 Uw gegevens en geaggregeerde analyses

U behoudt alle rechten op de gegevens die u uploadt naar het Platform. Door gegevens te uploaden, verleent u Carsu een beperkte licentie om die gegevens uitsluitend te verwerken voor het doel van het leveren van de Diensten.

Carsu kan geanonimiseerde, geaggregeerde gegevens (die u, uw Eindklanten of individuele transacties niet kunnen identificeren) gebruiken en delen voor dienstverbetering, branche-analyses, marktinzichten, onderzoek en innovatiedoeleinden. Dergelijke gegevens worden geaggregeerd op een niveau dat verzekert dat geen enkele individuele werkplaats, eindklant of transactie kan worden geïdentificeerd.

Omdat de gegevens onomkeerbaar zijn geanonimiseerd voor enig extern gebruik of delen, vallen ze buiten het toepassingsgebied van de AVG (Overweging 26). Ontvangers van geaggregeerde inzichten zijn gebonden aan schriftelijke voorwaarden die heridentificatie verbieden. Voor volledige details, zie Sectie 7.5 van ons Privacy- en Cookiebeleid.

Gegevens verkregen via Google API's worden uitgesloten van dit geaggregeerde analytische gebruik, in lijn met de Limited Use-verplichtingen beschreven in het Privacy- en Cookiebeleid (§5a).

11. Acceptabel Gebruik Beleid

U gaat ermee akkoord het Platform niet te gebruiken om:

• Ongevraagde marketingberichten (spam) te verzenden of berichten zonder geldige toestemming van de ontvanger;
• Inhoud te verzenden die illegaal, lasterlijk, bedreigend, intimiderend of discriminerend is;
• Malware, virussen of andere schadelijke code te verspreiden;
• Te proberen ongeautoriseerde toegang te krijgen tot het Platform, andere accounts of verbonden systemen;
• Enige onderdelen van het Platform te reverse-engineeren, decompileren of disassembleren;
• Het Platform te gebruiken voor enig doel dat de toepasselijke wetgeving schendt, inclusief gegevensbescherming en anti-spamregelgeving;
• Zich voor te doen als een persoon of entiteit, of uw aansluiting te misrepresenteren;
• Gebruikslimieten, snelheidslimieten of andere technische beperkingen te omzeilen.

Carsu behoudt zich het recht voor om de toegang van Gebruikers die dit Acceptabel Gebruik Beleid schenden op te schorten of te beëindigen, in overeenstemming met Sectie 13.

12. Vrijwaring

U gaat ermee akkoord Carsu, haar functionarissen, directeuren, werknemers en agenten te vrijwaren en schadeloos te stellen voor alle claims, schade, verliezen, aansprakelijkheden en kosten (inclusief redelijke advocaatkosten) die voortvloeien uit:

• Uw schending van deze Voorwaarden of het Acceptabel Gebruik Beleid;
• Uw gebruik van het Platform in strijd met de toepasselijke wetgeving;
• Berichten verzonden via het Platform namens u, inclusief claims van Eindklanten of derden met betrekking tot toestemming, inhoud of naleving;
• Elke claim dat door u verstrekte gegevens inbreuk maken op de intellectuele eigendoms- of privacyrechten van derden.

13. Termijn, opschorting en beëindiging

13.1 Termijn

Uw Abonnement begint op de Ingangsdatum en loopt voor de overeengekomen termijn (maandelijks of jaarlijks, indien van toepassing), automatisch verlengd tenzij geannuleerd voor het einde van de huidige periode.

13.2 Annulering door u

U kunt uw Abonnement op elk moment annuleren via uw Accountinstellingen. Annulering wordt van kracht aan het einde van de huidige factureringsperiode. Er worden geen pro-rata restituties verstrekt voor ongebruikte delen van een factureringsperiode.

13.2a Overstap naar alternatieve aanbieder (EU Data Act)

In overeenstemming met de EU Data Act kunt u uw Abonnement beëindigen met het oog op het overstappen naar een alternatieve dienstverlener, met inachtneming van ten minste 2 maanden schriftelijke opzegging aan legal@carsu.com. Gedurende de opzegtermijn en 30 dagen na beëindiging zal Carsu redelijke technische ondersteuning bieden om de overgang te vergemakkelijken, inclusief gegevensexport in standaardformaten (CSV, JSON) en documentatie van gegevensstructuren. Eventuele overstapkosten zijn beperkt tot direct gemaakte kosten en worden vooraf bekendgemaakt.

13.3 Opschorting door Carsu

Carsu kan uw toegang tot het Platform onmiddellijk opschorten als:

• Wij redelijkerwijs vermoeden dat u het Acceptabel Gebruik Beleid schendt;
• Uw Account betrokken is bij vermoedelijke frauduleuze activiteiten;
• Vereist om te voldoen aan een wettelijke verplichting of gerechtelijk bevel;
• Uw betaling meer dan 14 dagen achterstallig is.

Wij zullen u zo spoedig als praktisch mogelijk op de hoogte stellen van elke opschorting en de reden daarvoor. Opschorting beëindigt deze Voorwaarden niet; wij herstellen de toegang zodra het probleem is opgelost.

13.4 Beëindiging om gegronde reden door Carsu

Carsu kan uw Account en deze Voorwaarden beëindigen als:

• Een wezenlijke schending niet binnen 30 dagen na schriftelijke kennisgeving wordt verholpen;
• U herhaaldelijk het Acceptabel Gebruik Beleid schendt;
• U insolvent wordt of in faillissementsprocedures terechtkomt.

13.5 Na beëindiging

Bij beëindiging:

• Worden alle ongebruikte proefcredits onmiddellijk verbeurd;
• Zijn aangeschafte Credits voor betaalde niveaus onderworpen aan de verloopregels in Sectie 6;
• Kunt u binnen 12 maanden na beëindiging een gegevensexport aanvragen (zie Sectie 9.4);
• Worden na de periode van 12 maanden na beëindiging al uw gegevens permanent verwijderd, behalve waar bewaring wettelijk verplicht is;
• Worden gegevens uit Integraties met Derden (waaronder Google Calendar) verwijderd binnen 30 dagen na beëindiging of eerdere loskoppeling, in overeenstemming met de bewaartermijnen van het Privacy- en Cookiebeleid.

14. Beperking van aansprakelijkheid

14.1 Uitsluiting van indirecte schade

In de maximale mate die door de toepasselijke wet is toegestaan, is geen van beide partijen aansprakelijk voor enige indirecte, incidentele, bijzondere, gevolg- of punitieve schade, met inbegrip van maar niet beperkt tot verlies van winst, gegevens, bedrijf of goodwill, ongeacht de oorzaak van de actie of de theorie van aansprakelijkheid.

14.2 Aansprakelijkheidsplafond

De totale geaggregeerde aansprakelijkheid van Carsu onder of in verband met deze Voorwaarden zal niet hoger zijn dan de totale vergoedingen die door u aan Carsu zijn betaald in de twaalf (12) maanden onmiddellijk voorafgaand aan de gebeurtenis die de claim heeft veroorzaakt.

14.3 Uitzonderingen

Niets in deze Voorwaarden sluit of beperkt aansprakelijkheid uit voor:

• Overlijden of persoonlijk letsel veroorzaakt door nalatigheid;
• Fraude of frauduleuze misleiding;
• Enige aansprakelijkheid die niet kan worden uitgesloten of beperkt onder de toepasselijke wetgeving, inclusief AVG-verplichtingen.

15. Overmacht

Geen van beide partijen is aansprakelijk voor enig falen of vertraging in het uitvoeren van haar verplichtingen onder deze Voorwaarden waarbij een dergelijk falen of vertraging het gevolg is van gebeurtenissen buiten haar redelijke controle, inclusief maar niet beperkt tot: natuurrampen, pandemieën, overheidshandelingen, oorlog, terrorisme, stroomuitval, internetstoringen, storingen in platforms van derden (WhatsApp, Viber, SMS-gateways, Stripe, Google APIs) en cyberaanvallen.

De getroffen partij dient de andere partij onmiddellijk op de hoogte te stellen en redelijke inspanningen te leveren om de impact te beperken. Indien een overmachtgebeurtenis langer dan 60 dagen duurt, kan elke partij de getroffen Diensten beëindigen met schriftelijke kennisgeving.

16. Garanties en uitsluitingen

16.1 Carsu-garanties

Carsu garandeert dat:

• Het Platform zal substantieel in overeenstemming met zijn documentatie presteren;
• Diensten zullen worden geleverd met redelijke vaardigheid en zorg;
• Carsu zal voldoen aan de toepasselijke gegevensbeschermingswetgeving in zijn rol als Verwerkingsverantwoordelijke of Verwerker.

16.2 Beveiliging en kwetsbaarheidsmelding

Carsu hanteert een verantwoord kwetsbaarheidsmeldingsbeleid in overeenstemming met de Cyber Resilience Act en best practices uit de sector. Beveiligingsonderzoekers en Gebruikers kunnen kwetsbaarheden melden via ons security.txt-bestand op https://www.carsu.com/.well-known/security.txt of door een e-mail te sturen naar security@carsu.com. Carsu verbindt zich ertoe meldingen te bevestigen binnen 5 werkdagen en binnen 30 dagen een resolutietijdlijn te bieden.

16.3 Uitsluiting

Behalve zoals uitdrukkelijk vermeld in deze Voorwaarden, wordt het Platform geleverd "in de huidige staat" en "zoals beschikbaar". Carsu geeft geen aanvullende garanties, uitdrukkelijk of impliciet, inclusief garanties van verkoopbaarheid, geschiktheid voor een bepaald doel of niet-inbreuk. Carsu garandeert niet dat het Platform ononderbroken zal zijn, foutloos zal zijn of dat alle gebreken zullen worden gecorrigeerd.

17. Toepasselijk recht en geschillenbeslechting

17.1 Toepasselijk recht

Deze Voorwaarden worden beheerst door en geïnterpreteerd in overeenstemming met de wetten van Nederland, zonder rekening te houden met beginselen van conflictenrecht.

17.2 Geschillenbeslechting

De partijen zullen eerst proberen elk geschil op te lossen door middel van onderhandeling te goeder trouw gedurende een periode van 30 dagen. Indien niet opgelost, worden geschillen voorgelegd aan de exclusieve jurisdictie van de bevoegde rechtbanken van Amsterdam, Nederland.

17.3 Klachten bij toezichthouders

Niets in deze Voorwaarden belet u om uw rechten onder de AVG uit te oefenen of klachten in te dienen bij de relevante toezichthoudende autoriteit (zie ons Privacy- en Cookiebeleid voor details).

18. Algemene bepalingen

18.1 Volledige overeenkomst

Deze Voorwaarden, samen met het Privacy- en Cookiebeleid en elk toepasselijk orderformulier of DPA, vormen de volledige overeenkomst tussen u en Carsu met betrekking tot het gebruik van het Platform. Zij vervangen alle eerdere overeenkomsten, verklaringen en afspraken.

18.2 Scheidbaarheid

Indien een bepaling van deze Voorwaarden ongeldig of onafdwingbaar wordt geacht, blijven de overige bepalingen volledig van kracht. De ongeldige bepaling zal worden gewijzigd in de minimaal noodzakelijke mate om deze geldig en afdwingbaar te maken.

18.3 Overdracht

U kunt deze Voorwaarden niet overdragen zonder voorafgaande schriftelijke toestemming van Carsu. Carsu kan deze Voorwaarden overdragen in verband met een fusie, overname, reorganisatie of verkoop van vrijwel al haar activa, op voorwaarde dat de overnemer ermee instemt gebonden te zijn aan deze Voorwaarden.

18.4 Afstand

Het niet of vertraagd uitoefenen door een partij van enig recht onder deze Voorwaarden vormt geen afstand van dat recht.

18.5 Kennisgevingen

Kennisgevingen aan Carsu dienen te worden verzonden naar legal@carsu.com of per post naar ons geregistreerde adres. Kennisgevingen aan u zullen worden verzonden naar het e-mailadres dat is gekoppeld aan uw Account. Kennisgevingen worden geacht ontvangen te zijn bij aflevering (e-mail) of 5 werkdagen na verzending (post).

18.6 Wijzigingen

Carsu kan deze Voorwaarden wijzigen met ten minste 30 dagen schriftelijke kennisgeving per e-mail of platformnotificatie. Wezenlijke wijzigingen worden uitgelicht. Voortgezet gebruik na de ingangsdatum vormt aanvaarding. Als u niet akkoord gaat met een wijziging, kunt u uw Abonnement beëindigen voordat de wijziging van kracht wordt.

19. Contact

Juridische vragen: legal@carsu.com

Algemene vragen: hello@carsu.com

Functionaris voor Gegevensbescherming: privacy@carsu.com

Beveiligingszaken: security@carsu.com

Postadres: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Nederland

Door gebruik te maken van ons Platform erkent u dat u deze Algemene Voorwaarden heeft gelezen, begrepen en hieraan gebonden bent.

BIJLAGE A

VERWERKERSOVEREENKOMST

Deze Verwerkersovereenkomst ("DPA") vormt een integraal onderdeel van de Algemene Voorwaarden van Carsu ("Overeenkomst") tussen Carsu B.V. ("Verwerker") en de Gebruiker ("Verwerkingsverantwoordelijke") en regelt de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke in verband met de Diensten.

Deze DPA wordt aangegaan op grond van artikel 28 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG") en, waar van toepassing, de UK General Data Protection Regulation ("UK GDPR").

A1. Definities

Termen die niet in deze DPA zijn gedefinieerd, hebben de betekenis die eraan wordt gegeven in de Overeenkomst en in de AVG. In deze DPA:

• "Persoonsgegevens van de Verwerkingsverantwoordelijke" betekent persoonsgegevens die de Verwerker verwerkt namens de Verwerkingsverantwoordelijke in verband met de Diensten.
• "Gegevensbeschermingswetten" betekent de AVG, UK GDPR, de ePrivacy-richtlijn 2002/58/EG, de Italiaanse Codice Privacy (D.Lgs. 196/2003 zoals gewijzigd), de Nederlandse UAVG en alle andere toepasselijke gegevensbeschermingswetgeving.
• "Sub-Verwerker" betekent elke derde partij die door de Verwerker is aangesteld om Persoonsgegevens van de Verwerkingsverantwoordelijke namens de Verwerkingsverantwoordelijke te verwerken.

A2. Reikwijdte en doel van de verwerking

A2.1 Onderwerp

De Verwerker verwerkt Persoonsgegevens van de Verwerkingsverantwoordelijke uitsluitend ten behoeve van het leveren van de Diensten onder de Overeenkomst, waaronder werkplaatsbeheer, klantcommunicatie (WhatsApp, SMS, Viber), betalingsverwerking en klantenondersteuning.

Uitsluiting — Gegevens uit Integraties met Derden. Gegevens waartoe de Verwerkingsverantwoordelijke Carsu autoriseert om toegang te krijgen vanuit een externe dienst voor eigen gebruik van de Verwerkingsverantwoordelijke (bijv. Google Calendar-items van het personeel van de Verwerkingsverantwoordelijke) zijn geen Persoonsgegevens van de Verwerkingsverantwoordelijke in de zin van deze DPA. Dergelijke gegevens worden door Carsu verwerkt als Verwerkingsverantwoordelijke onder de Overeenkomst (Sectie 9.5) en het Privacy- en Cookiebeleid.

A2.2 Duur

De verwerking duurt voort gedurende de looptijd van de Overeenkomst en voor een aanvullende periode die nodig is om aan post-beëindigingsverplichtingen (gegevensexport, verwijdering) te voldoen zoals uiteengezet in de Overeenkomst.

A2.3 Categorieën van betrokkenen

• Eindklanten (klanten van de Verwerkingsverantwoordelijke/werkplaats);
• Werknemers en personeel van de Verwerkingsverantwoordelijke (waar relevant voor platformgebruik).

A2.4 Soorten persoonsgegevens

• Contactgegevens (namen, telefoonnummers, e-mailadressen);
• Voertuiggegevens (kentekens, merk, model, type);
• Service- en onderhoudsrecords;
• Afspraakgegevens;
• Communicatie-inhoud (berichten verzonden via het Platform);
• Identificatoren voor betalingstransacties (kaartgegevens worden verwerkt door Stripe, niet bewaard door Carsu).

A2.5 Aard van de verwerking

Verzameling, opslag, opvraging, gebruik, verzending (berichten), organisatie, structurering en wissing van Persoonsgegevens van de Verwerkingsverantwoordelijke zoals nodig om de Diensten te leveren.

A2.6 Geanonimiseerde en geaggregeerde gegevens

De Verwerker kan Persoonsgegevens van de Verwerkingsverantwoordelijke verwerken om geanonimiseerde, geaggregeerde inzichten te genereren voor het delen met derden. Een dergelijke verwerking vindt alleen plaats nadat gegevens onomkeerbaar zijn geanonimiseerd en geaggregeerd op een niveau dat verzekert dat geen enkele individuele werkplaats, eindklant of transactie kan worden geïdentificeerd of teruggehaald uit de uitvoer.

Eenmaal onomkeerbaar geanonimiseerd, vallen de resulterende gegevens buiten het toepassingsgebied van de AVG (Overweging 26) en deze DPA. Deze verwerking wordt ondersteund door het gerechtvaardigde belang van de Verwerker (art. 6(1)(f)) en breidt de in A2.1 vermelde dienstleveringsdoeleinden niet uit of wijzigt deze niet, maar vertegenwoordigt een afzonderlijk gebruik van de onderliggende gegevens na anonimisering. Ontvangers zijn gebonden aan schriftelijke voorwaarden die heridentificatie verbieden.

A3. Verplichtingen van de Verwerker

De Verwerker zal:

• Persoonsgegevens van de Verwerkingsverantwoordelijke uitsluitend verwerken op gedocumenteerde instructies van de Verwerkingsverantwoordelijke, ook met betrekking tot doorgiften van persoonsgegevens buiten de EER of het VK, tenzij vereist door EU- of nationaal recht van een lidstaat (in welk geval de Verwerker de Verwerkingsverantwoordelijke vóór de verwerking op de hoogte stelt van deze wettelijke vereiste, tenzij hem dat verboden is);
• Ervoor zorgen dat personen die zijn gemachtigd om Persoonsgegevens van de Verwerkingsverantwoordelijke te verwerken zich hebben verbonden tot vertrouwelijkheid of onder een passende wettelijke verplichting tot vertrouwelijkheid staan;
• Passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te garanderen, met name waar passend: pseudonimisering en versleuteling van persoonsgegevens, het vermogen om de doorlopende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen te garanderen, het vermogen om de toegang tot persoonsgegevens tijdig te herstellen na een incident en een proces om de doeltreffendheid van dergelijke maatregelen regelmatig te testen en te evalueren;
• De voorwaarden voor het inschakelen van Sub-Verwerkers zoals uiteengezet in Sectie A5 in acht nemen;
• Rekening houdend met de aard van de verwerking, de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstaan bij het vervullen van zijn verplichting om te reageren op verzoeken van betrokkenen;
• De Verwerkingsverantwoordelijke bijstaan bij het waarborgen van naleving van de meldingsverplichtingen bij datalekken (Art. 33 en 34 AVG), gegevensbeschermingseffectbeoordelingen (Art. 35 AVG) en voorafgaande raadpleging van toezichthoudende autoriteiten (Art. 36 AVG), rekening houdend met de aard van de verwerking en de informatie die voor de Verwerker beschikbaar is;
• Naar keuze van de Verwerkingsverantwoordelijke alle Persoonsgegevens van de Verwerkingsverantwoordelijke verwijderen of teruggeven na het einde van de levering van de Diensten en bestaande kopieën verwijderen, tenzij EU- of nationaal recht van een lidstaat opslag van de persoonsgegevens vereist;
• Aan de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om naleving van deze DPA aan te tonen en audits, met inbegrip van inspecties uitgevoerd door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemandateerde auditor, mogelijk maken en daaraan bijdragen.

A4. Verplichtingen van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke zal:

• Ervoor zorgen dat hij beschikt over een geldige rechtsgrondslag onder de Gegevensbeschermingswetten voor de verwerking van Persoonsgegevens van de Verwerkingsverantwoordelijke, met inbegrip van het verkrijgen van alle vereiste toestemmingen van betrokkenen waar nodig;
• Gedocumenteerde verwerkingsinstructies aan de Verwerker verstrekken;
• Verantwoordelijk zijn voor de nauwkeurigheid, kwaliteit en wettigheid van Persoonsgegevens van de Verwerkingsverantwoordelijke die aan de Verwerker worden verstrekt;
• Voldoen aan zijn verplichtingen onder de Gegevensbeschermingswetten, met inbegrip van het onderhouden van zijn eigen privacybeleid, het reageren op verzoeken van betrokkenen (met bijstand van de Verwerker) en het melden van datalekken aan toezichthoudende autoriteiten waar nodig;
• Ervoor zorgen dat berichten die via het Platform naar Eindklanten worden verzonden, voldoen aan de ePrivacy-richtlijn en toepasselijke nationale wetgeving inzake elektronische communicatie, met inbegrip van het verkrijgen van geldige toestemming voor marketingberichten.

A5. Sub-Verwerkers

A5.1 Algemene autorisatie

De Verwerkingsverantwoordelijke verleent de Verwerker een algemene schriftelijke autorisatie om Sub-Verwerkers in te schakelen voor de verwerking van Persoonsgegevens van de Verwerkingsverantwoordelijke, onder voorbehoud van de voorwaarden in deze Sectie A5.

A5.2 Huidige Sub-Verwerkers

De huidige lijst van Sub-Verwerkers is opgenomen in Sectie 7.1 van het Privacy- en Cookiebeleid (beschikbaar op https://www.carsu.com/privacy). Op de datum van deze DPA zijn de goedgekeurde Sub-Verwerkers:

A5.3 Wijzigingen aan Sub-Verwerkers

De Verwerker zal de Verwerkingsverantwoordelijke per e-mail of platformnotificatie ten minste 30 dagen vooraf informeren over het inschakelen van een nieuwe Sub-Verwerker of het vervangen van een bestaande. Verwerkingsverantwoordelijken met betaalde Abonnementen kunnen zich abonneren op automatische meldingen van sub-verwerkerwijzigingen via hun Accountinstellingen.

De kennisgeving omvat de identiteit en locatie van de voorgestelde Sub-Verwerker, de aard van de verwerking en de categorieën van betrokken persoonsgegevens. De Verwerkingsverantwoordelijke kan binnen 14 dagen na ontvangst van de kennisgeving bezwaar maken tegen de wijziging, met opgave van schriftelijke redenen op gegevensbeschermingsgronden. Indien de Verwerkingsverantwoordelijke bezwaar maakt en de partijen het bezwaar niet binnen 30 dagen via gesprekken te goeder trouw kunnen oplossen, kan de Verwerkingsverantwoordelijke de betrokken Diensten zonder boete beëindigen.

A5.4 Verplichtingen van Sub-Verwerkers

De Verwerker zal ervoor zorgen dat elke Sub-Verwerker gebonden is aan gegevensbeschermingsverplichtingen die niet minder zwaar zijn dan die welke in deze DPA zijn uiteengezet, met name het verstrekken van voldoende garanties om passende technische en organisatorische maatregelen te implementeren. De Verwerker blijft volledig aansprakelijk ten opzichte van de Verwerkingsverantwoordelijke voor het nakomen van de verplichtingen van elke Sub-Verwerker.

A6. Internationale doorgiften

De Verwerker zal Persoonsgegevens van de Verwerkingsverantwoordelijke niet buiten de EER of het VK doorgeven tenzij:

• De doorgifte plaatsvindt naar een land dat door de Europese Commissie of de Britse Secretary of State (indien van toepassing) wordt erkend als een land dat een passend niveau van gegevensbescherming biedt; of
• Passende waarborgen aanwezig zijn, waaronder de door de Europese Commissie vastgestelde Standaardcontractbepalingen (SCC) (Besluit 2021/914) of, voor doorgiften naar het VK, de UK International Data Transfer Agreement (IDTA) of het UK-Addendum bij de EU-SCC, aangevuld met aanvullende technische maatregelen waar vereist door een doorgifte-effectbeoordeling.

Wanneer doorgiften naar de Verenigde Staten plaatsvinden, baseert de Verwerker zich op SCC (of UK IDTA waar van toepassing) aangevuld met technische maatregelen waaronder versleuteling tijdens verzending (TLS 1.2+) en bij opslag (AES-256), toegangscontroles en contractuele beperkingen op verzoeken om overheidstoegang. De Verwerker zal voor elke doorgifte naar een land dat niet onder een adequaatheidsbesluit valt een doorgifte-effectbeoordeling uitvoeren en bijhouden, en deze beoordeling op verzoek beschikbaar stellen aan de Verwerkingsverantwoordelijke.

A7. Gegevensbeveiliging

Onverminderd Sectie A3 implementeert en handhaaft de Verwerker de volgende minimale beveiligingsmaatregelen:

• Versleuteling van persoonsgegevens tijdens verzending (TLS 1.2 of hoger) en bij opslag (AES-256);
• Rolgebaseerde toegangscontroles met het principe van minimale privileges;
• Multifactor-authenticatie voor alle administratieve en platformtoegang;
• Regelmatige kwetsbaarheidsbeoordelingen en penetratietests;
• Logging en monitoring van toegang tot Persoonsgegevens van de Verwerkingsverantwoordelijke;
• Procedures voor incidentrespons met gedefinieerde escalatiepaden;
• Personeelstraining over gegevensbescherming en informatiebeveiliging, ten minste jaarlijks uitgevoerd;
• Bedrijfscontinuïteits- en rampherstelprocedures.

A8. Melding van datalekken

De Verwerker zal de Verwerkingsverantwoordelijke zonder onnodige vertraging (en in elk geval binnen 72 uur, in lijn met Art. 33 AVG) op de hoogte stellen zodra hij zich bewust wordt van een inbreuk op persoonsgegevens die Persoonsgegevens van de Verwerkingsverantwoordelijke betreft. Een dergelijke kennisgeving omvat:

• Een beschrijving van de aard van de inbreuk, met inbegrip van, indien mogelijk, de categorieën en het bij benadering aantal betrokkenen en records;
• De naam en contactgegevens van de Functionaris voor Gegevensbescherming van de Verwerker of een ander contactpunt;
• Een beschrijving van de waarschijnlijke gevolgen van de inbreuk;
• Een beschrijving van de getroffen of voorgestelde maatregelen om de inbreuk aan te pakken, met inbegrip van maatregelen om mogelijke nadelige gevolgen te beperken.

De Verwerker zal samenwerken met de Verwerkingsverantwoordelijke en redelijke commerciële stappen ondernemen om bij te dragen aan onderzoek, beperking en herstel van elke dergelijke inbreuk.

A9. Rechten van betrokkenen

De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk (en in elk geval binnen 5 werkdagen) op de hoogte stellen als hij een verzoek ontvangt van een betrokkene om zijn of haar rechten onder de Gegevensbeschermingswetten met betrekking tot Persoonsgegevens van de Verwerkingsverantwoordelijke uit te oefenen. De Verwerker zal niet rechtstreeks reageren op de betrokkene tenzij hij daartoe is gemachtigd door de Verwerkingsverantwoordelijke of door de wet daartoe wordt verplicht.

De Verwerker zal redelijke bijstand verlenen aan de Verwerkingsverantwoordelijke bij het vervullen van zijn verplichtingen om te reageren op verzoeken van betrokkenen, rekening houdend met de aard van de verwerking en de informatie die voor de Verwerker beschikbaar is.

A10. Auditrechten

De Verwerker zal aan de Verwerkingsverantwoordelijke, op redelijk verzoek (en niet meer dan eenmaal per kalenderjaar tenzij vereist door een toezichthoudende autoriteit of bij een datalek), alle informatie ter beschikking stellen die redelijkerwijs nodig is om naleving van deze DPA aan te tonen.

De Verwerker zal audits, met inbegrip van inspecties, uitgevoerd door de Verwerkingsverantwoordelijke of een onafhankelijke door de Verwerkingsverantwoordelijke gemandateerde auditor mogelijk maken en daaraan bijdragen, onder voorbehoud van:

• Ten minste 30 dagen schriftelijke kennisgeving vooraf (tenzij vereist door een toezichthoudende autoriteit);
• Redelijke reikwijdte en duur;
• Vertrouwelijkheidsverplichtingen met betrekking tot eigendomsinformatie van de Verwerker;
• Naleving door de auditor van het toepasselijke beveiligingsbeleid.

Als een audit een wezenlijke tekortkoming aan het licht brengt, zal de Verwerker deze binnen een redelijk met de Verwerkingsverantwoordelijke afgesproken termijn op kosten van de Verwerker verhelpen.

A11. Verwijdering en teruggave van gegevens

Bij beëindiging of afloop van de Overeenkomst zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke:

• Alle Persoonsgegevens van de Verwerkingsverantwoordelijke retourneren in een gestructureerd, gangbaar en machineleesbaar formaat (CSV of JSON) binnen 30 dagen na het verzoek; of
• Alle Persoonsgegevens van de Verwerkingsverantwoordelijke veilig verwijderen binnen 60 dagen na het einde van het 12-maands exportvenster na beëindiging zoals uiteengezet in de Overeenkomst.

De Verwerker zal op verzoek van de Verwerkingsverantwoordelijke de verwijdering schriftelijk certificeren. De Verwerker mag Persoonsgegevens van de Verwerkingsverantwoordelijke alleen bewaren voor zover vereist door de toepasselijke wetgeving, en zal de Verwerkingsverantwoordelijke informeren over een dergelijke bewaarverplichting, met inbegrip van de rechtsgrondslag en de duur van de vereiste bewaring.

A12. Aansprakelijkheid

De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de aansprakelijkheidsbeperkingen die zijn uiteengezet in de Overeenkomst (Sectie 14). Niets in deze DPA sluit of beperkt de aansprakelijkheid van een partij uit voor verplichtingen onder de Gegevensbeschermingswetten die niet door contract kunnen worden beperkt.

A13. Toepasselijk recht

Deze DPA wordt beheerst door het recht van Nederland, in overeenstemming met de Overeenkomst. Voor aangelegenheden met betrekking tot de Gegevensbeschermingswetten heeft de toezichthoudende autoriteit van de vestiging van de Verwerkingsverantwoordelijke jurisdictie (of, waar de Verwerkingsverantwoordelijke buiten de EER is gevestigd, de Nederlandse Autoriteit Persoonsgegevens).

A14. Voorrang

In het geval van een conflict tussen deze DPA en de Overeenkomst, prevaleren de voorwaarden van deze DPA met betrekking tot de verwerking van Persoonsgegevens van de Verwerkingsverantwoordelijke. Voor alle andere aspecten beheerst de Overeenkomst.

Deze DPA wordt van kracht op de datum waarop de Verwerkingsverantwoordelijke de Overeenkomst aanvaardt en blijft van kracht zolang de Verwerker Persoonsgegevens van de Verwerkingsverantwoordelijke verwerkt.