Privacybeleid
Ingangsdatum: 2026-04-20
Laatst bijgewerkt: 2026-04-20
Versie: 3.0
Verwerkingsverantwoordelijke: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, The Netherlands (KvK 92122167).
Contact voor privacy: [email protected]
1. Op wie dit beleid van toepassing is
Carsu B.V. ("Carsu", "wij") exploiteert een SaaS-platform voor de automotive aftermarket. Dit beleid legt uit hoe wij persoonsgegevens verwerken, in overeenstemming met de AVG (GDPR), de UK GDPR, de ePrivacy-richtlijn en de toepasselijke nationale wetgeving inzake gegevensbescherming. Het is van toepassing op:
- Platformgebruikers (werkplaatseigenaren en hun medewerkers);
- Eindklanten van die werkplaatsen van wie gegevens via ons platform worden verwerkt;
- Websitebezoekers op www.carsu.com en app.carsu.com.
Eventuele dochterondernemingen, gelieerde ondernemingen of groepsmaatschappijen van Carsu B.V. die persoonsgegevens verwerken in verband met onze diensten, houden zich aan dit beleid.
2. Onze rol
| Activiteit | Rol van Carsu | Rechtsgrondslag |
|---|---|---|
| Platformaccount, facturering, betalingen | Verwerkingsverantwoordelijke | Uitvoering van een overeenkomst (Art. 6(1)(b)) |
| Eindklantgegevens verwerkt via het platform | Verwerker (werkplaats is Verwerkingsverantwoordelijke) | Rechtsgrondslag van de werkplaats |
| Berichten verzonden aan eindklanten (WhatsApp, SMS, Viber) | Verwerker | Rechtsgrondslag van de werkplaats |
| Website-analytics en cookies | Verwerkingsverantwoordelijke | Toestemming / gerechtvaardigd belang |
Wanneer Carsu optreedt als Verwerker, blijft de werkplaats verantwoordelijk voor de rechtmatigheid van haar verwerking, waaronder het verkrijgen van eventueel vereiste toestemmingen.
3. Gegevens die wij verwerken
Van u of de werkplaats: naam, e-mail, telefoon, bedrijfsnaam, btw-nummer, factuuradres, kenteken, voertuiggegevens, servicehistorie, afspraken, berichten, betaalidentificatoren (kaartgegevens gaan rechtstreeks naar Stripe — wij slaan deze niet op).
Automatisch verzameld: IP-adres, apparaat- en browsergegevens, bezochte pagina's, functiegebruik, sessieduur, cookies (zie §10).
4. Rechtsgrondslagen
Wij baseren ons op de uitvoering van een overeenkomst (Art. 6(1)(b)) om de dienst te leveren, gerechtvaardigd belang (Art. 6(1)(f)) voor beveiliging, fraudepreventie, productverbetering en servicecommunicatie, toestemming (Art. 6(1)(a)) voor marketing en niet-essentiële cookies, en een wettelijke verplichting (Art. 6(1)(c)) voor belasting-, boekhoud- en rechtshandhavingsverzoeken.
5. Hoe wij gegevens gebruiken
Om het platform te exploiteren en te verbeteren; om betalingen te verwerken; om berichten te verzenden namens werkplaatsen; om ondersteuning te bieden (waaronder AI-ondersteunde vertaling via Intercom — Intercom gebruikt uw gegevens niet om zijn modellen te trainen); om geanonimiseerde geaggregeerde inzichten te genereren (§7.4); om beveiliging te waarborgen en fraude te voorkomen; om aan wettelijke verplichtingen te voldoen; en — alleen met uw toestemming — voor marketing.
Gebruik van AI. Onze AI-functies (Intercom-vertaling; Anthropic voor gede-identificeerd operationeel gebruik) leveren geen juridische of vergelijkbare aanzienlijke gevolgen voor u op en zijn geen geautomatiseerde besluitvorming in de zin van Art. 22 AVG. Wij classificeren ons AI-gebruik als minimaal risico onder de EU AI Act. U kunt zich afmelden voor AI-ondersteunde vertaling door een e-mail te sturen naar [email protected].
6. Communicatie
Dienstgerelateerde berichten (beveiligingswaarschuwingen, facturering, wijzigingen in de voorwaarden) worden verzonden op basis van de overeenkomst of gerechtvaardigd belang en kunnen niet worden uitgeschakeld. Marketingcommunicatie wordt alleen met toestemming verzonden en kan te allen tijde worden ingetrokken via de afmeldlink of door een e-mail te sturen naar [email protected].
7. Gegevensdeling
7.1 Subverwerkers
Wij maken gebruik van de volgende subverwerkers onder Verwerkersovereenkomsten conform Art. 28 AVG:
| Aanbieder | Doel | Locatie |
|---|---|---|
| Microsoft Azure | Cloudinfrastructuur | EU (West-Europa) |
| Stripe | Betalingen | EU / VS (SCC) |
| WhatsApp Business API (Meta) | Berichtenverkeer | EU / VS (SCC) |
| Viber (Rakuten) | Berichtenverkeer | EU / Internationaal (SCC) |
| Twilio | SMS-gateway | EU / VS (SCC) |
| Intercom | Support en AI-vertaling | VS (SCC) |
| Anthropic | AI-diensten (gede-identificeerde gegevens) | VS (SCC) |
| Mailchimp (Intuit) | E-mailmarketing | VS (SCC) |
| Mixpanel | In-app productanalytics | VS (SCC) |
| Cloudflare | CDN, botmitigatie | EU / Wereldwijde edge (SCC) |
| Google Ireland Ltd. | Website-analytics (GA4, GTM) | EU / VS (SCC) |
| Microsoft Ireland Operations Ltd. | Website UX-analytics (Clarity) | EU / VS (SCC) |
| Meta Platforms Ireland Ltd. | Advertentiemeting (Meta Pixel) | EU / VS (SCC) |
| LinkedIn Ireland Unlimited Company | Advertentiemeting (LinkedIn Insight Tag) | EU / VS (SCC) |
7.2 Wijzigingen van subverwerkers
Wij informeren platformgebruikers ten minste 30 dagen voordat wij een subverwerker inschakelen of vervangen. Bezwaarrechten zijn vastgelegd in de Verwerkersovereenkomst in onze Algemene Voorwaarden (Bijlage A, §A5).
7.3 Overige ontvangers
Wij kunnen persoonsgegevens delen met professionele adviseurs onder geheimhoudingsverplichtingen, met rechtshandhavingsinstanties wanneer dit wettelijk vereist is, en in verband met een fusie of overname (met voorafgaande kennisgeving).
7.4 Geanonimiseerde inzichten
Wij kunnen onomkeerbaar geanonimiseerde, geaggregeerde inzichten delen met branchepartners. Ontvangers zijn contractueel verboden om heridentificatie te proberen. Omdat dergelijke gegevens buiten het toepassingsgebied van de AVG vallen (Overweging 26), is dit geen doorgifte van persoonsgegevens.
Wij verkopen geen persoonsgegevens.
8. Uw rechten
U heeft het recht op inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar en om uw toestemming te allen tijde in te trekken — zonder dat dit afbreuk doet aan de rechtmatigheid van eerdere verwerking. Stuur een e-mail naar [email protected] om deze rechten uit te oefenen. Wij verifiëren uw identiteit en reageren binnen 30 dagen (met twee maanden verlengbaar voor complexe verzoeken).
Als een werkplaats uw gegevens via ons platform verwerkt, is uw primaire contactpersoon de werkplaats (als Verwerkingsverantwoordelijke). Wij zullen hen bijstaan bij de afhandeling van uw verzoek.
9. Internationale doorgiften
Onze primaire infrastructuur bevindt zich in de EER. Wanneer gegevens buiten de EER of het VK worden doorgegeven, baseren wij ons op de Standaardcontractbepalingen (Besluit 2021/914) of de UK IDTA/Addendum, aangevuld met versleuteling (TLS 1.2+ tijdens verzending, AES-256 bij opslag) en doorgifte-effectbeoordelingen. Doorgiften tussen EU en VK zijn gebaseerd op het adequaatheidsbesluit voor het VK (vernieuwd in juli 2025). U kunt een kopie van de toepasselijke SCC's opvragen via [email protected].
10. Cookies
Website. Cookies op www.carsu.com worden beschreven in ons Cookiebeleid.
In-app. Wanneer u bent ingelogd op het Carsu-platform gebruiken wij een sessiecookie, een CSRF-beveiligingscookie en een taalvoorkeurcookie (allemaal strikt noodzakelijk). Wij gebruiken Mixpanel voor productanalytics op basis van gerechtvaardigd belang (Art. 6(1)(f)); u kunt bezwaar maken door een e-mail te sturen naar [email protected], waarna wij de verzameling van gebeurtenissen stopzetten en bijbehorende records binnen 30 dagen verwijderen. Een in-app opt-out-schakelaar staat op de roadmap.
11. Bewaartermijnen
| Gegevens | Bewaartermijn | Reden |
|---|---|---|
| Account- en profielgegevens | Abonnement + 12 maanden | Dienstverlening en exportperiode |
| Facturering en facturen | 7 jaar | Nederlands / Italiaans belastingrecht |
| Voertuig- en servicegegevens | Abonnement + 12 maanden | Dienstverlening |
| Communicatielogs | 24 maanden | Dienstverlening, geschillen |
| Supporttickets | 36 maanden | Kwaliteitsborging |
| Analytics-cookies | Tot 13 maanden | Websiteverbetering |
| Marketingcookies | Tot 12 maanden | Advertentiemeting |
| Bewijs van marketingtoestemming | Toestemming + 3 jaar | Bewijs van toestemming |
Na afloop van de bewaartermijn verwijderen wij de gegevens of anonimiseren wij deze onomkeerbaar.
12. Beveiliging
Wij passen technische en organisatorische maatregelen toe conform Art. 32 AVG, waaronder versleuteling tijdens verzending en bij opslag, rolgebaseerde toegangscontrole met least-privilege-principe, MFA voor alle admin- en platformtoegang, periodieke kwetsbaarheidsbeoordelingen, toegangslogging en gedocumenteerde incidentrespons. Wij werken toe naar SOC 2 Type II en ISO 27001. Verantwoorde melding van kwetsbaarheden: security.txt of [email protected].
13. Datalekken
Wanneer een inbreuk waarschijnlijk een risico voor uw rechten oplevert, melden wij dit binnen 72 uur aan de toezichthoudende autoriteit (Art. 33) en, waar het risico hoog is, rechtstreeks aan u zonder onnodige vertraging (Art. 34). Wanneer Carsu optreedt als Verwerker, stellen wij de Verwerkingsverantwoordelijke (werkplaats) zonder onnodige vertraging op de hoogte.
14. Inwoners van het Verenigd Koninkrijk
Inwoners van het VK hebben dezelfde rechten als beschreven in §8. Doorgiften tussen de EU en het VK zijn gebaseerd op het EU-adequaatheidsbesluit voor het VK (vernieuwd in juli 2025, geldig tot 2031). Wanneer de Britse wetgeving inzake gegevensbescherming voor inwoners van het VK strijdig is met dit beleid, prevaleert de Britse wetgeving.
15. Kinderen
Onze diensten zijn B2B en zijn niet gericht op kinderen. Wij verzamelen niet bewust gegevens van personen jonger dan 16 jaar (of jonger dan 14 jaar in Italië, conform D.Lgs. 101/2018). Als wij dergelijke gegevens ontdekken, verwijderen wij deze onmiddellijk.
16. Wijzigingen
Wij werken dit beleid bij wanneer onze werkwijzen, technologie of wettelijke verplichtingen veranderen. Materiële wijzigingen worden ten minste 30 dagen van tevoren per e-mail of in het platform aangekondigd.
17. Klachten
U kunt een klacht indienen bij de Nederlandse Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) — onze leidende toezichthoudende autoriteit onder het AVG-éénloketsysteem — of bij de gegevensbeschermingsautoriteit in uw EU-land van verblijf. Wij verzoeken u eerst contact met ons op te nemen via [email protected], zodat wij uw zorgen rechtstreeks kunnen proberen op te lossen.
18. Gerelateerde documenten
Dit beleid moet worden gelezen in samenhang met onze Algemene Voorwaarden (met inbegrip van de Verwerkersovereenkomst in Bijlage A) en ons Cookiebeleid.
19. Contact
Privacy: [email protected]
Juridisch: [email protected]
Beveiliging: [email protected]
Algemeen: [email protected]
Post: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, The Netherlands