Verwerkersovereenkomst
Versie 1.0 — Automatisch van toepassing op alle Torqoo-abonnementen — maart 2026
Hoe te gebruiken
Deze verwerkersovereenkomst is automatisch van toepassing op alle Torqoo-abonnementen. U hoeft niets te ondertekenen — door gebruik te maken van Torqoo als verwerkingsverantwoordelijke gaat u akkoord met deze voorwaarden. Een ondertekend exemplaar is op verzoek beschikbaar via legal@torqoo.nl.
Artikel 1 — Partijen
Verwerkingsverantwoordelijke: de Klant — de onderneming (garage of werkplaats) die gebruik maakt van het Torqoo-platform en persoonsgegevens van zijn eindklanten (voertuigeigenaren) in het platform verwerkt.
Verwerker: Torqoo B.V., gevestigd te De Grift 11 A, 7711 EP Nieuwleusen, ingeschreven in het Handelsregister onder KvK-nummer 86170600, die het Torqoo-platform aanbiedt en in opdracht van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Artikel 2 — Onderwerp en Duur
Torqoo verwerkt persoonsgegevens ten behoeve van het leveren van garagebeheer-software aan de Klant. De verwerkersovereenkomst treedt in werking op het moment dat de Klant een account aanmaakt en is van kracht zolang de Klant een actief abonnement heeft bij Torqoo.
Na beëindiging van het abonnement verwerkt Torqoo uitsluitend de gegevens die noodzakelijk zijn voor een ordelijke afwikkeling, gedurende de in artikel 12 beschreven overgangsperiode.
Artikel 3 — Aard en Doel van de Verwerking
Torqoo verwerkt persoonsgegevens uitsluitend voor de volgende doeleinden, in opdracht van en ten behoeve van de Verwerkingsverantwoordelijke:
- Opslag en weergave van klantgegevens van de garage
- Werkorderbeheer en onderhoudsregistratie per voertuig
- Aanmaken, verzenden en archiveren van facturen en offertes
- Voertuigbeheer en onderhoudshistorie
- Klantcommunicatie vanuit het platform (e-mails)
- Exporteren van gegevens door de Verwerkingsverantwoordelijke
Artikel 4 — Categorieën Persoonsgegevens
In het kader van deze overeenkomst worden de volgende categorieën persoonsgegevens verwerkt:
- Contactgegevens: naam, e-mailadres, telefoonnummer, adresgegevens
- Voertuiggegevens: kenteken, merk, model, bouwjaar, kilometerstand, chassisnummer
- Financiële gegevens: facturen, offertes, betalingsinformatie, btw-nummers
- Communicatiegeschiedenis: verzonden e-mails en berichten vanuit het platform
- Technische gegevens: IP-adressen en activiteitenlogboeken (uitsluitend voor beveiligingsdoeleinden)
Torqoo verwerkt geen bijzondere categorieën persoonsgegevens in de zin van artikel 9 AVG (zoals gezondheidsgegevens of biometrische gegevens).
Artikel 5 — Categorieën Betrokkenen
De persoonsgegevens die worden verwerkt hebben betrekking op de volgende categorieën betrokkenen:
- Eindklanten van de Verwerkingsverantwoordelijke (voertuigeigenaren en contactpersonen bij bedrijven)
Artikel 6 — Verplichtingen van de Verwerker (Torqoo)
Torqoo verplicht zich tot het volgende:
- Persoonsgegevens uitsluitend te verwerken op gedocumenteerde instructie van de Verwerkingsverantwoordelijke, behalve wanneer een wettelijke verplichting anders vereist.
- Passende technische en organisatorische maatregelen te treffen ter beveiliging van persoonsgegevens (zie artikel 9).
- Te waarborgen dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan een wettelijke of contractuele geheimhoudingsplicht.
- De Verwerkingsverantwoordelijke te informeren alvorens nieuwe sub-verwerkers in te schakelen, zodat de Verwerkingsverantwoordelijke bezwaar kan maken.
- De Verwerkingsverantwoordelijke bij te staan bij het nakomen van verzoeken van betrokkenen (inzage, rectificatie, wissing, etc.) voor zover dit technisch mogelijk is.
- De Verwerkingsverantwoordelijke bij te staan bij het nakomen van verplichtingen op grond van artikelen 32–36 AVG (beveiliging, datalekken, DPIA's).
- Inbreuken op de beveiliging van persoonsgegevens te melden binnen 48 uur na ontdekking (zie artikel 11).
- Na beëindiging van de dienstverlening alle persoonsgegevens te retourneren of te vernietigen conform artikel 12.
- De Verwerkingsverantwoordelijke alle informatie te verstrekken die noodzakelijk is om naleving van deze overeenkomst aan te tonen.
Artikel 7 — Verplichtingen van de Verwerkingsverantwoordelijke (Klant)
De Verwerkingsverantwoordelijke (de Klant) verplicht zich tot het volgende:
- Te zorgen voor een rechtmatige grondslag voor de verwerking van persoonsgegevens van eindklanten (toestemming, overeenkomst of gerechtvaardigd belang conform de AVG).
- Eindklanten te informeren over de verwerking van hun persoonsgegevens, inclusief de rol van Torqoo als verwerker, conform artikelen 13 en 14 AVG.
- Torqoo uitsluitend de persoonsgegevens te verstrekken die strikt noodzakelijk zijn voor de dienstverlening en geen bijzondere categorieën persoonsgegevens in te voeren in het platform.
- Torqoo tijdig te informeren over eventuele inbreuken op de persoonsgegevens waar de Verwerkingsverantwoordelijke kennis van krijgt.
Artikel 8 — Sub-verwerkers (Bijlage A)
Torqoo maakt gebruik van de volgende sub-verwerkers. De Verwerkingsverantwoordelijke geeft algemene toestemming voor het inschakelen van sub-verwerkers conform de onderstaande lijst. Torqoo informeert de Verwerkingsverantwoordelijke minimaal 30 dagen vooraf over wijzigingen in de lijst van sub-verwerkers.
| Sub-verwerker | Land | Doel | Grondslag doorgifte |
|---|---|---|---|
| Supabase Inc. | VS (EU-servers, Frankfurt) | Database en authenticatie | SCCs (art. 46 AVG) |
| Brevo SAS | Frankrijk (EU) | E-mailverzending | Adequaatheidsbesluit EER |
| Sentry Inc. | VS | Foutregistratie (geanonimiseerd) | SCCs (art. 46 AVG) |
Kopieën van de met sub-verwerkers gesloten verwerkersovereenkomsten en SCCs zijn op verzoek beschikbaar via legal@torqoo.nl.
Artikel 9 — Beveiliging
Torqoo treft de volgende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens:
- Row Level Security (RLS) — op alle databasetabellen geïmplementeerd, zodat elke garage uitsluitend toegang heeft tot eigen data.
- Versleuteling in transit — TLS 1.2 of hoger voor alle datatransport tussen client en server.
- Versleuteling in opslag — AES-256 encryptie voor data at rest.
- Toegangscontrole — rolgebaseerde toegang (owner, admin, medewerker) en het principe van minimale bevoegdheden.
- Penetratietesten — jaarlijkse beveiligingstests door een onafhankelijke partij.
- Incidentrespons — gedocumenteerde procedure met een initiële reactietijd van maximaal 4 uur na ontdekking van een incident.
- Wachtwoordbeveiliging — wachtwoorden worden nooit opgeslagen in plaintext; authenticatie verloopt via Supabase Auth met industry-standaard hashingmethoden.
- Medewerkerstraining — medewerkers met toegang tot productiesystemen zijn getraind op informatiebeveiliging en privacy.
Artikel 10 — Auditrechten
De Verwerkingsverantwoordelijke heeft het recht om, maximaal 1 keer per kalenderjaar en met een voorafgaande schriftelijke kennisgeving van minimaal 30 dagen, een audit of inspectie uit te voeren (of te laten uitvoeren door een onafhankelijke derde) om de naleving van deze verwerkersovereenkomst te verifiëren.
In plaats van een volledige audit kan de Verwerkingsverantwoordelijke ook verzoeken om verstrekking van een recent ISO 27001-certificaat, SOC 2-rapport of vergelijkbaar beveiligingscertificaat, voor zover beschikbaar. Torqoo zal dit verzoek honoreren indien dergelijke certificaten beschikbaar zijn.
De kosten van een audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit een wezenlijke tekortkoming aan de zijde van Torqoo aantoont.
Artikel 11 — Datalekken
Torqoo meldt een inbreuk op de beveiliging van persoonsgegevens (datalek) zo spoedig mogelijk, doch uiterlijk binnen 48 uur na ontdekking, via het e-mailadres van de accounthouder van de Verwerkingsverantwoordelijke.
De melding bevat ten minste:
- De aard van de inbreuk, voor zover bekend
- De (vermoedelijke) categorieën en aantallen betrokkenen
- De (vermoedelijke) categorieën en hoeveelheden gegevensrecords
- De (waarschijnlijke) gevolgen van de inbreuk
- De maatregelen die Torqoo heeft getroffen of voorstelt te treffen
De Verwerkingsverantwoordelijke blijft te allen tijde verantwoordelijk voor de melding van datalekken bij de Autoriteit Persoonsgegevens en bij betrokkenen, conform artikel 33 en 34 AVG.
Artikel 12 — Verwijdering van Gegevens
Na beëindiging van het abonnement heeft de Verwerkingsverantwoordelijke 30 dagen om alle gegevens via de exportfunctie van het platform te downloaden. Na het verstrijken van deze termijn worden alle persoonsgegevens binnen 30 dagen definitief en onomkeerbaar verwijderd uit alle systemen van Torqoo en haar sub-verwerkers.
Gegevens die op grond van een wettelijke verplichting bewaard moeten blijven (zoals factuurgegevens met een fiscale bewaarplicht van 7 jaar) worden bewaard in een afgesloten omgeving zonder actieve toegang, en worden na afloop van de wettelijke bewaartermijn alsnog verwijderd.
Op verzoek verstrekt Torqoo een schriftelijke bevestiging van de verwijdering.
Artikel 13 — Toepasselijk Recht
Op deze verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing. Geschillen die voortvloeien uit of verband houden met deze overeenkomst worden bij uitsluiting voorgelegd aan de bevoegde rechter in de rechtbank van Zwolle.
Artikel 14 — Contactgegevens
Voor vragen over deze verwerkersovereenkomst of voor het opvragen van een ondertekend exemplaar kunt u contact opnemen via: legal@torqoo.nl.
Torqoo B.V.
De Grift 11 A, 7711 EP Nieuwleusen
KvK: 86170600