Garazo Verwerkersovereenkomst
Bijgewerkt: maart 2026
Deze verwerkersovereenkomst maakt onderdeel uit van de overeenkomst tussen de Gebruiker en Garazo. Door gebruik te maken van de Dienst gaat de Gebruiker akkoord met deze verwerkersovereenkomst.
1. Definities
- Verwerkingsverantwoordelijke: de Gebruiker (het garagebedrijf) die bepaalt welke persoonsgegevens van zijn klanten worden verwerkt en voor welk doel.
- Verwerker: Garazo, die persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke.
- Betrokkenen: de klanten, medewerkers en andere natuurlijke personen van wie de Verwerkingsverantwoordelijke gegevens in de Dienst opslaat.
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
- AVG: Algemene verordening gegevensbescherming (EU 2016/679).
2. Onderwerp en aard van de verwerking
Garazo verwerkt persoonsgegevens namens de Verwerkingsverantwoordelijke voor het verlenen van de Dienst. Het gaat om de volgende categorieën gegevens:
- Naam, adres, telefoonnummer en e-mailadres van klanten
- Voertuiggegevens (kenteken, merk, model, bouwjaar, APK-datum)
- Werkbon- en factuurgegevens inclusief bedragen
- Kilometerstand-registraties
De verwerking vindt uitsluitend plaats in het kader van het verlenen van de Dienst.
3. Verplichtingen van de Verwerker (Garazo)
Garazo verplicht zich:
- Persoonsgegevens uitsluitend te verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke (dit document en de Algemene voorwaarden)
- De persoonsgegevens niet te gebruiken voor eigen doeleinden of te verstrekken aan derden, tenzij wettelijk verplicht
- Passende technische en organisatorische maatregelen te treffen ter beveiliging van persoonsgegevens
- Medewerkers die toegang hebben tot persoonsgegevens te binden aan geheimhouding
- De Verwerkingsverantwoordelijke te ondersteunen bij het nakomen van diens AVG-verplichtingen
- Na beëindiging van de overeenkomst alle persoonsgegevens te verwijderen of terug te geven, naar keuze van de Verwerkingsverantwoordelijke
4. Beveiligingsmaatregelen
Garazo heeft de volgende technische en organisatorische maatregelen getroffen:
- Versleutelde verbindingen (HTTPS/TLS) voor alle dataoverdracht
- Wachtwoordopslag als bcrypt-hash
- Scheiding van klantdata per tenant via aparte databaseschema's
- Toegang tot productieomgevingen beperkt tot geautoriseerde personen
- Regelmatige back-ups opgeslagen op Nederlandse/EU-servers
- Monitoring op verdachte toegang en fouten
5. Subverwerkers
Garazo maakt gebruik van de volgende subverwerkers. Door akkoord te gaan met deze verwerkersovereenkomst geeft de Verwerkingsverantwoordelijke toestemming voor het inschakelen van deze subverwerkers:
| Subverwerker | Doel | Locatie |
|---|---|---|
| DigitalOcean | Hosting en dataopslag | EU (Amsterdam) |
| Mollie | Betalingsverwerking | Nederland |
| Mailgun of Postmark | Verzenden van e-mails | EU |
| Sentry / Glitchtip | Foutmonitoring | EU |
Garazo informeert de Verwerkingsverantwoordelijke bij het toevoegen van nieuwe subverwerkers met een vooraankondiging van minimaal 14 dagen.
6. Datalekken
Garazo stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging — en waar mogelijk binnen 48 uur — op de hoogte van een inbreuk in verband met persoonsgegevens, zodra Garazo hiervan kennis neemt. De melding bevat ten minste:
- Een beschrijving van de aard van het datalek
- De categorieën en het geschatte aantal betrokkenen
- De waarschijnlijke gevolgen
- De maatregelen die Garazo heeft genomen of voorstelt te nemen
De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor het beoordelen of melding aan de Autoriteit Persoonsgegevens of betrokkenen vereist is.
7. Rechten van betrokkenen
Garazo ondersteunt de Verwerkingsverantwoordelijke bij het afhandelen van verzoeken van betrokkenen (inzage, correctie, verwijdering, overdraagbaarheid). Verzoeken die rechtstreeks bij Garazo binnenkomen worden doorgestuurd naar de Verwerkingsverantwoordelijke.
8. Audit en toezicht
De Verwerkingsverantwoordelijke heeft het recht Garazo te verzoeken aantoonbaar te maken dat de beveiligingsmaatregelen worden nageleefd. Garazo verstrekt hiertoe op verzoek relevante informatie of stelt een (externe) audit mogelijk, met een opzegtermijn van 30 dagen en voor rekening van de Verwerkingsverantwoordelijke.
9. Beëindiging
Bij beëindiging van de overeenkomst verwijdert Garazo alle persoonsgegevens van de Verwerkingsverantwoordelijke binnen 30 dagen na de einddatum, tenzij wettelijke bewaarplichten van toepassing zijn. Op verzoek stelt Garazo de data vóór verwijdering beschikbaar als export.
10. Toepasselijk recht
Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
Vragen over deze overeenkomst? Stuur een e-mail naar garazo@forrust.com.