A. Verwerker exploiteert onder de handelsnaam ModbusCloud een B2B SaaS IoT portaal waarmee installateurs (de Verwerkingsverantwoordelijke) Modbus apparatuur van hun eindklanten op afstand kunnen monitoren, analyseren en aansturen via de zogenoemde MCG-1 gateway (het "Platform").
B. Verwerkingsverantwoordelijke heeft met Verwerker een overeenkomst gesloten waarin de toegang tot en het gebruik van het Platform is geregeld, inclusief de toepasselijke algemene voorwaarden (hierna: de "Hoofdovereenkomst").
C. In het kader van de uitvoering van de Hoofdovereenkomst verwerkt Verwerker persoonsgegevens namens en in opdracht van Verwerkingsverantwoordelijke, waardoor Verwerkingsverantwoordelijke kwalificeert als "verwerkingsverantwoordelijke" en Verwerker als "verwerker" in de zin van artikel 4 van de Algemene verordening gegevensbescherming (hierna: "AVG").
D. Partijen zijn op grond van artikel 28 lid 3 AVG gehouden de onderlinge rechten en verplichtingen met betrekking tot de verwerking van persoonsgegevens schriftelijk vast te leggen in een verwerkersovereenkomst.
E. Deze verwerkersovereenkomst (hierna: "Verwerkersovereenkomst" of "DPA") beoogt een zorgvuldige, rechtmatige en transparante verwerking van persoonsgegevens door Verwerker te waarborgen, passend binnen de systematiek van de AVG en de relevante richtsnoeren van de Europese Toezichthouder voor gegevensbescherming (EDPB Guidelines 07/2020 en Opinion 22/2024).
F. Voor zover sprake is van doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) waarvoor geen adequaatheidsbesluit geldt, hanteren Partijen de Standaardcontractbepalingen van de Europese Commissie (Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021) als passende waarborg in de zin van artikel 46 AVG.
G. Deze Verwerkersovereenkomst treedt, tenzij uit de Hoofdovereenkomst anders blijkt, in werking op de ingangsdatum van de Hoofdovereenkomst en is integraal onderdeel daarvan.
H. Partijen beogen deze Verwerkersovereenkomst zelfstandig ondertekenbaar te maken, met dien verstande dat de Hoofdovereenkomst onverminderd van toepassing blijft.
De begrippen die in deze Verwerkersovereenkomst met een hoofdletter zijn geschreven hebben de volgende betekenis. Niet gedefinieerde begrippen hebben de betekenis zoals omschreven in de AVG.
1.1 AVG: de Algemene verordening gegevensbescherming, Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016.
1.2 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die Verwerker in het kader van de Hoofdovereenkomst namens Verwerkingsverantwoordelijke verwerkt, zoals nader gespecificeerd in Bijlage 1.
1.3 Bijzondere Persoonsgegevens: persoonsgegevens als bedoeld in artikel 9 AVG (bijzondere categorieën) en artikel 10 AVG (strafrechtelijke gegevens).
1.4 Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
1.5 Verwerking: elke bewerking of elk geheel van bewerkingen van Persoonsgegevens als bedoeld in artikel 4 lid 2 AVG.
1.6 Verwerkingsverantwoordelijke: de partij die, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt, zijnde in deze Verwerkersovereenkomst de installateur.
1.7 Verwerker: de partij die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zijnde Avanta Systems (h.o.d.n. ModbusCloud).
1.8 Subverwerker: iedere door Verwerker ingeschakelde derde die in opdracht van Verwerker Persoonsgegevens verwerkt namens Verwerkingsverantwoordelijke.
1.9 Datalek: een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 lid 12 AVG, zijnde een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot verwerkte Persoonsgegevens.
1.10 SCC: de Standaardcontractbepalingen opgenomen in de bijlage bij Uitvoeringsbesluit (EU) 2021/914 van de Europese Commissie van 4 juni 2021, inclusief de Modules 2 en 3 voor doorgifte van gegevens naar derde landen.
1.11 Hoofdovereenkomst: de tussen Partijen gesloten overeenkomst betreffende de levering en het gebruik van het Platform (ModbusCloud SaaS), inclusief de daarop van toepassing zijnde algemene voorwaarden (de "AV").
1.12 Platform: het ModbusCloud SaaS portaal (toegankelijk via onder meer modbuscloud.com en portal.modbuscloud.com), inclusief de bijbehorende backendsystemen, API's en de MCG-1 gateway.
1.13 TOM: de technische en organisatorische maatregelen in de zin van artikel 32 AVG, zoals nader omschreven in Bijlage 2.
1.14 Doorgifte: iedere doorgifte van Persoonsgegevens aan een partij buiten de EER in de zin van hoofdstuk V AVG.
1.15 EER: de Europese Economische Ruimte, zijnde de lidstaten van de Europese Unie aangevuld met Noorwegen, IJsland en Liechtenstein.
1.16 DPF: het EU-US Data Privacy Framework, vastgesteld bij Uitvoeringsbesluit (EU) 2023/1795 van de Europese Commissie van 10 juli 2023, op basis waarvan doorgifte naar onder het DPF gecertificeerde Amerikaanse organisaties is toegestaan zonder aanvullende waarborgen.
2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Verwerker in het kader van de levering van het Platform aan Verwerkingsverantwoordelijke op grond van de Hoofdovereenkomst.
2.2 Het onderwerp, de aard, het doel, de duur van de Verwerking, de categorieën Betrokkenen en de categorieën Persoonsgegevens zijn gespecificeerd in Bijlage 1 (Specificatie verwerking).
2.3 Verwerker verwerkt Persoonsgegevens uitsluitend ten behoeve van de uitvoering van de Hoofdovereenkomst en deze Verwerkersovereenkomst, en uitsluitend voor zover nodig om haar verplichtingen jegens Verwerkingsverantwoordelijke na te komen.
3.1 Partijen erkennen en bevestigen dat Verwerkingsverantwoordelijke met betrekking tot de Verwerking van Persoonsgegevens in het kader van de Hoofdovereenkomst optreedt als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG, en dat Verwerker ten aanzien van deze Verwerking optreedt als verwerker in de zin van artikel 4 lid 8 AVG.
3.2 Deze rolverdeling sluit aan bij de EDPB Guidelines 07/2020 inzake de begrippen verwerkingsverantwoordelijke en verwerker, waarbij Verwerkingsverantwoordelijke de doeleinden (het "waarom") en de wezenlijke middelen (het "hoe") van de Verwerking vaststelt, en Verwerker uitsluitend op basis van de instructies van Verwerkingsverantwoordelijke handelt.
3.3 Deze Verwerkersovereenkomst vormt een nadere uitwerking van artikel 10 (of het overeenkomstige privacy artikel) van de AV bij de Hoofdovereenkomst.
3.4 Voor eigen verwerkingen van Verwerker (waaronder facturering, debiteurenbeheer, accountbeheer van de installateur, marketing met gebruikers van het Platform en wettelijke fiscale bewaarplichten) treedt Verwerker op als zelfstandig verwerkingsverantwoordelijke. Op deze verwerkingen is niet deze Verwerkersovereenkomst van toepassing, maar de privacyverklaring van Verwerker, beschikbaar via modbuscloud.com.
4.1 Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke (waaronder elektronische) instructies van Verwerkingsverantwoordelijke, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling haar tot Verwerking verplicht. In dat geval stelt Verwerker Verwerkingsverantwoordelijke voorafgaand aan de Verwerking van die wettelijke verplichting in kennis, tenzij het betreffende recht deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
4.2 De Hoofdovereenkomst, de AV, deze Verwerkersovereenkomst en de configuratie van het Platform (waaronder accountinstellingen, toegangsrechten en API-configuratie) gelden als de schriftelijke instructies van Verwerkingsverantwoordelijke. Aanvullende instructies dienen schriftelijk (waaronder per e-mail aan privacy@modbuscloud.com) te worden verstrekt.
4.3 Indien Verwerker van mening is dat een instructie van Verwerkingsverantwoordelijke in strijd is met de AVG of andere toepasselijke wetgeving inzake gegevensbescherming, stelt Verwerker Verwerkingsverantwoordelijke hiervan onverwijld in kennis en mag Verwerker de uitvoering van de desbetreffende instructie opschorten totdat Verwerkingsverantwoordelijke deze heeft bevestigd, aangepast of ingetrokken.
4.4 Verwerker waarborgt dat haar Verwerking in overeenstemming is met de AVG en andere toepasselijke wet en regelgeving inzake de bescherming van Persoonsgegevens.
5.1 Verwerker verplicht zich tot geheimhouding van de Persoonsgegevens die zij ten behoeve van Verwerkingsverantwoordelijke verwerkt.
5.2 Verwerker zorgt ervoor dat de personen die onder haar verantwoordelijkheid Persoonsgegevens verwerken (waaronder werknemers, ingehuurde krachten en Subverwerkers), gebonden zijn aan een contractuele of wettelijke geheimhoudingsplicht.
5.3 De geheimhoudingsplicht blijft ook na beëindiging van deze Verwerkersovereenkomst van kracht voor zover de betrokken Persoonsgegevens hun vertrouwelijke karakter behouden.
6.1 Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen in de zin van artikel 32 AVG. Deze maatregelen zijn nader uitgewerkt in Bijlage 2 (TOM).
6.2 Bij de beoordeling van het passende beveiligingsniveau houdt Verwerker rekening met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en doeleinden van de Verwerking en met de waarschijnlijkheid en ernst van de uiteenlopende risico's voor de rechten en vrijheden van Betrokkenen.
6.3 Verwerker evalueert de maatregelen periodiek (ten minste eenmaal per jaar) en past deze waar nodig aan ontwikkelingen in de stand van de techniek, het dreigingslandschap en de aard van de Verwerking aan. Verwerker zal de maatregelen niet op zodanige wijze aanpassen dat het beveiligingsniveau substantieel lager komt te liggen dan op het moment van totstandkoming van deze Verwerkersovereenkomst.
6.4 Verwerkingsverantwoordelijke stemt ermee in dat de in Bijlage 2 beschreven maatregelen passend zijn voor de in Bijlage 1 omschreven Verwerking.
7.1 Verwerkingsverantwoordelijke verleent Verwerker hierbij een algemene schriftelijke toestemming (in de zin van artikel 28 lid 2 AVG) voor het inschakelen van Subverwerkers voor de uitvoering van de Hoofdovereenkomst. De op de ingangsdatum van deze Verwerkersovereenkomst bekende Subverwerkers zijn opgenomen in Bijlage 3 (Subverwerkers).
7.2 Verwerker houdt een actuele lijst van Subverwerkers bij, gepubliceerd op modbuscloud.com/dpa/subverwerkers. Verwerker zal Verwerkingsverantwoordelijke ten minste 30 dagen voorafgaand aan de ingebruikname van een nieuwe Subverwerker of de vervanging van een bestaande Subverwerker hiervan op de hoogte stellen, door middel van publicatie op de vermelde webpagina en, op verzoek van Verwerkingsverantwoordelijke, aanvullend per e-mail op het door Verwerkingsverantwoordelijke opgegeven contactadres.
7.3 Verwerkingsverantwoordelijke heeft het recht binnen 30 dagen na ontvangst van de aankondiging op gemotiveerde gronden bezwaar te maken tegen de inschakeling van een nieuwe Subverwerker, indien en voor zover de voorgenomen Subverwerking niet in overeenstemming is met de AVG. Partijen treden in dat geval in goed overleg om tot een passende oplossing te komen. Indien Partijen er niet in slagen tot overeenstemming te komen, is Verwerkingsverantwoordelijke gerechtigd de Hoofdovereenkomst en deze Verwerkersovereenkomst te beëindigen voor het deel dat betrekking heeft op de betwiste Subverwerking, zonder aansprakelijk te zijn voor vervolgschade.
7.4 Indien Verwerker een Subverwerker inschakelt, legt zij aan die Subverwerker bij schriftelijke overeenkomst (zogenoemde flowdown) dezelfde verplichtingen op inzake gegevensbescherming als die welke voor Verwerker uit deze Verwerkersovereenkomst en de AVG voortvloeien, met name met betrekking tot de passende technische en organisatorische maatregelen en de doorgifte van Persoonsgegevens buiten de EER.
7.5 Verwerker blijft tegenover Verwerkingsverantwoordelijke volledig verantwoordelijk voor het nakomen van de verplichtingen door de Subverwerker, conform artikel 28 lid 4 AVG.
7.6 Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker in redelijkheid informatie ter onderbouwing van de voldoende garanties die de Subverwerker biedt, zulks in lijn met EDPB Opinion 22/2024.
8.1 Indien een Betrokkene zich rechtstreeks tot Verwerker wendt met een verzoek tot uitoefening van zijn rechten op grond van de artikelen 15 tot en met 22 AVG (onder meer inzage, rectificatie, wissing, beperking, dataportabiliteit en bezwaar), zal Verwerker dit verzoek niet zelfstandig inhoudelijk behandelen, maar onverwijld doorsturen naar Verwerkingsverantwoordelijke, tenzij Verwerker op grond van de AVG gehouden is zelfstandig te handelen.
8.2 Verwerker verleent, rekening houdend met de aard van de Verwerking, door middel van passende technische en organisatorische maatregelen, redelijke bijstand aan Verwerkingsverantwoordelijke bij het vervullen van haar plicht om verzoeken van Betrokkenen te beantwoorden.
8.3 Standaardfunctionaliteit in het Platform (waaronder export, inzage in accountgegevens, verwijdering van gebruikersaccounts) is onderdeel van de reguliere dienstverlening. Voor uitzonderlijke, bewerkelijke of individuele verzoeken die aanzienlijke inspanning van Verwerker vergen, is Verwerker gerechtigd de redelijke kosten bij Verwerkingsverantwoordelijke in rekening te brengen tegen haar alsdan geldende tarieven, na voorafgaande kostenindicatie.
9.1 Verwerker verleent op verzoek van Verwerkingsverantwoordelijke redelijke bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) als bedoeld in artikel 35 AVG, voor zover deze betrekking heeft op de Verwerking in het kader van deze Verwerkersovereenkomst.
9.2 Verwerker verleent tevens redelijke bijstand bij een eventuele voorafgaande raadpleging van de toezichthoudende autoriteit als bedoeld in artikel 36 AVG.
9.3 De bijstand omvat onder meer het verstrekken van documentatie over het Platform, de beveiligingsmaatregelen en de ingeschakelde Subverwerkers, voor zover deze informatie redelijkerwijs nodig is voor de DPIA of voorafgaande raadpleging en Verwerker deze ook in haar bezit heeft.
9.4 Artikel 8.3 is van overeenkomstige toepassing op de kosten van bijstand die de reguliere dienstverlening substantieel te boven gaat.
10.1 Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, en in elk geval binnen 48 uur na het moment waarop Verwerker kennis heeft genomen van een Datalek, onder opgave van alle dan bekende relevante informatie.
10.2 De melding bevat ten minste de volgende elementen, voor zover op dat moment bekend:
de aard van het Datalek, waaronder waar mogelijk de categorieën en het (geschatte) aantal betrokken Betrokkenen en Persoonsgegevensrecords;
de waarschijnlijke gevolgen van het Datalek;
de maatregelen die Verwerker heeft genomen of voorstelt te nemen om het Datalek aan te pakken, waaronder, in voorkomend geval, maatregelen ter beperking van eventuele negatieve gevolgen;
de contactgegevens van de functionaris of contactpersoon bij wie Verwerkingsverantwoordelijke nadere informatie kan verkrijgen.
10.3 Indien niet alle informatie tegelijkertijd kan worden verstrekt, verstrekt Verwerker deze in fasen zonder onredelijke vertraging.
10.4 Verwerker verleent Verwerkingsverantwoordelijke redelijke bijstand bij het nakomen van haar verplichtingen uit de artikelen 33 en 34 AVG, waaronder de (eventuele) melding aan de Autoriteit Persoonsgegevens en de communicatie met de Betrokkenen.
10.5 Verwerker is niet bevoegd zelfstandig Datalekken aan de toezichthoudende autoriteit of aan Betrokkenen te melden namens Verwerkingsverantwoordelijke, tenzij Verwerkingsverantwoordelijke daartoe uitdrukkelijk schriftelijk opdracht heeft gegeven.
10.6 Verwerker documenteert alle Datalekken, de feiten, de gevolgen en de genomen corrigerende maatregelen in een intern datalekregister.
11.1 Verwerker stelt Verwerkingsverantwoordelijke in staat de naleving van deze Verwerkersovereenkomst te controleren door middel van een audit, en werkt daaraan in redelijkheid mee, conform artikel 28 lid 3 sub h AVG.
11.2 Verwerkingsverantwoordelijke is gerechtigd ten hoogste eenmaal per kalenderjaar een audit uit te voeren of te laten uitvoeren door een onafhankelijke, gekwalificeerde derde (niet zijnde een directe concurrent van Verwerker), mits deze derde is gebonden aan een passende geheimhoudingsplicht (NDA) ten behoeve van Verwerker.
11.3 De audit wordt ten minste 30 dagen van tevoren schriftelijk aangekondigd, vindt plaats tijdens reguliere kantooruren en wordt zodanig uitgevoerd dat de bedrijfsvoering van Verwerker niet onnodig wordt verstoord. Audits zijn niet gericht op andere klanten van Verwerker en niet op de achterliggende broncode van Verwerker.
11.4 De kosten van de audit komen voor rekening van Verwerkingsverantwoordelijke. Indien uit de audit blijkt dat Verwerker in materiële mate tekortschiet in de nakoming van deze Verwerkersovereenkomst, komen de redelijke kosten van de audit voor rekening van Verwerker en zal Verwerker op eigen kosten corrigerende maatregelen treffen.
11.5 Ter beperking van de administratieve lasten is Verwerker bevoegd in redelijke mate te voldoen aan haar auditverplichtingen door te verwijzen naar recente (niet ouder dan 24 maanden) externe auditrapporten, certificeringen of assurance rapporten van ingeschakelde leveranciers of van Verwerker zelf, zoals ISO 27001, SOC 2 Type II of gelijkwaardig. Indien deze rapporten de materie in voldoende mate afdekken, wordt de in lid 1 genoemde auditverplichting daarmee geacht te zijn nagekomen.
11.6 Een aanvullende (on-site) audit is mogelijk indien Verwerkingsverantwoordelijke gemotiveerd kan aantonen dat de in lid 5 bedoelde rapporten onvoldoende zijn om de naleving vast te stellen, of indien daartoe aanleiding bestaat naar aanleiding van een Datalek.
11.7 De bevindingen van de audit worden in een concept rapport aan Verwerker voorgelegd, waarop Verwerker in redelijkheid gelegenheid krijgt te reageren alvorens het rapport wordt vastgesteld.
12.1 Verwerker zal Persoonsgegevens uitsluitend buiten de EER (doen) verwerken voor zover daarvoor een geldige overdrachtsgrond bestaat op grond van hoofdstuk V AVG, waaronder in voorkomend geval een adequaatheidsbesluit (waaronder het DPF), de Standaardcontractbepalingen (SCC) of Bindende Bedrijfsvoorschriften.
12.2 De concrete doorgiftewaarborgen per Subverwerker zijn opgenomen in Bijlage 3. De nadere voorwaarden voor doorgifte op basis van SCC zijn opgenomen in Bijlage 4 (SCC overdracht), die integraal deel uitmaakt van deze Verwerkersovereenkomst.
12.3 Voor doorgiften aan onder het DPF gecertificeerde Amerikaanse ontvangers baseert Verwerker zich primair op het adequaatheidsbesluit van de Europese Commissie van 10 juli 2023 (Uitvoeringsbesluit (EU) 2023/1795). Uit voorzorg, en om een aanvullende waarborg te bieden bij eventuele wijzigingen in het DPF, sluiten Partijen tevens de SCC Module 2 en Module 3 zoals opgenomen in Bijlage 4.
12.4 Verwerker voert waar nodig een Transfer Impact Assessment uit en treft in voorkomend geval aanvullende maatregelen (zoals encryptie en pseudonimisering) om een in wezen gelijkwaardig beschermingsniveau te borgen.
13.1 Na beëindiging van de Hoofdovereenkomst of deze Verwerkersovereenkomst, en op eerste verzoek van Verwerkingsverantwoordelijke, zal Verwerker ter keuze van Verwerkingsverantwoordelijke alle Persoonsgegevens:
terugbezorgen aan Verwerkingsverantwoordelijke in een gangbaar en machineleesbaar formaat; of
vernietigen, tenzij opslag van de Persoonsgegevens op grond van Unierechtelijke of lidstaatrechtelijke bepalingen is voorgeschreven.
13.2 De keuze als bedoeld in lid 1 dient door Verwerkingsverantwoordelijke binnen 30 dagen na beëindiging schriftelijk kenbaar te worden gemaakt. Indien Verwerkingsverantwoordelijke binnen die termijn geen keuze maakt, zal Verwerker na een redelijke extra termijn (in beginsel nog eens 30 dagen) overgaan tot wissing, onder verzending van een voorafgaande herinnering.
13.3 Verwerker verstrekt op verzoek een schriftelijke bevestiging van de teruggave respectievelijk de vernietiging, onder vermelding van de datum en de reikwijdte daarvan.
13.4 Back ups worden volgens het reguliere retentieschema van de ingeschakelde hostingleveranciers (zoals Supabase PITR) uit roulatie genomen. Tot aan dat moment blijven de Persoonsgegevens in de back ups beveiligd en ontoegankelijk voor actief gebruik.
13.5 De aan Verwerker opgelegde wettelijke bewaartermijnen (zoals de fiscale bewaarplicht voor factuur en boekhoudgegevens) gaan voor op dit artikel, waarbij de betreffende Persoonsgegevens uitsluitend voor dat wettelijke doel worden bewaard.
14.1 De aansprakelijkheid van Partijen uit hoofde van deze Verwerkersovereenkomst is beperkt conform de aansprakelijkheidsregeling in de AV bij de Hoofdovereenkomst (waaronder de aansprakelijkheidsplafonds en uitsluitingen), voor zover dwingendrechtelijk is toegestaan.
14.2 Onverminderd het in lid 1 bepaalde blijft artikel 82 AVG onverkort van toepassing. Dat betekent dat Partijen ten opzichte van Betrokkenen hoofdelijk aansprakelijk kunnen zijn voor de gehele schade, teneinde een doeltreffende schadevergoeding voor de Betrokkene te waarborgen.
14.3 Een Partij die meer heeft betaald dan overeenkomt met haar deel van de verantwoordelijkheid voor de schade, heeft overeenkomstig artikel 82 lid 5 AVG een regresrecht op de andere Partij voor het deel dat die andere Partij verschuldigd is.
14.4 In de onderlinge verhouding tussen Partijen geldt dat iedere Partij aansprakelijk is voor de schade voor zover deze het gevolg is van haar eigen handelen of nalaten in strijd met de AVG of deze Verwerkersovereenkomst.
14.5 Boetes die door de toezichthoudende autoriteit worden opgelegd aan een specifieke Partij voor overtredingen die uitsluitend aan die Partij zijn toe te rekenen, komen voor rekening van die Partij, onverminderd een eventueel regresrecht.
15.1 Bij een ernstige, toerekenbare schending van de kernverplichtingen uit deze Verwerkersovereenkomst door Verwerker (waaronder in het bijzonder de verplichtingen uit de artikelen 4, 6, 7, 10 en 12), die niet binnen 30 dagen na schriftelijke ingebrekestelling is hersteld, verbeurt Verwerker een direct opeisbare boete van EUR 5.000 per schending, vermeerderd met EUR 500 per dag dat de schending voortduurt, met een maximum van EUR 25.000 per schending en een totaalmaximum van EUR 50.000 per kalenderjaar.
15.2 Deze boete laat het recht van Verwerkingsverantwoordelijke onverlet om daarnaast nakoming, ontbinding of aanvullende of vervangende schadevergoeding te vorderen, met dien verstande dat de boete in mindering wordt gebracht op eventuele toegewezen schadevergoeding.
15.3 De totale financiële aansprakelijkheid van Verwerker (inclusief de boete uit dit artikel en de schadevergoeding uit artikel 14) is maximaal beperkt tot het in de AV opgenomen aansprakelijkheidsplafond, behoudens de gevallen waarin dwingendrechtelijk geen beroep op beperking kan worden gedaan (zoals opzet of bewuste roekeloosheid van de bedrijfsleiding van Verwerker).
16.1 Deze Verwerkersovereenkomst treedt in werking op de ingangsdatum van de Hoofdovereenkomst (dan wel, indien deze Verwerkersovereenkomst op een later moment wordt ondertekend, op de datum van laatste ondertekening) en loopt door zolang de Hoofdovereenkomst van kracht is.
16.2 Beëindiging van de Hoofdovereenkomst, om welke reden dan ook, leidt van rechtswege tot beëindiging van deze Verwerkersovereenkomst, met uitzondering van die bepalingen die naar hun aard bestemd zijn om na beëindiging voort te duren (waaronder geheimhouding, teruggave of wissen van data, aansprakelijkheid en toepasselijk recht).
16.3 Beëindiging van deze Verwerkersovereenkomst laat de verplichtingen van Verwerker tot het retourneren of wissen van Persoonsgegevens (artikel 13) onverlet.
16.4 Partijen kunnen deze Verwerkersovereenkomst zonder rechterlijke tussenkomst met onmiddellijke ingang schriftelijk (geheel of gedeeltelijk) ontbinden, indien de andere Partij toerekenbaar tekortschiet in de nakoming van een of meer kernverplichtingen uit deze Verwerkersovereenkomst en de tekortkoming, na schriftelijke ingebrekestelling en een redelijke termijn voor herstel (van ten minste 30 dagen), niet is hersteld.
17.1 Bij tegenstrijdigheid tussen de documenten die tussen Partijen van kracht zijn, geldt de volgende rangorde, waarbij het hoger geplaatste document prevaleert:
voor zover het gaat om doorgifte van Persoonsgegevens naar derde landen zonder adequaatheidsbesluit: de SCC (Bijlage 4);
deze Verwerkersovereenkomst (inclusief Bijlagen 1 tot en met 3 en 5);
de AV behorende bij de Hoofdovereenkomst;
de privacyverklaring van Verwerker, uitsluitend voor zover die op de verwerkingen in het kader van deze Verwerkersovereenkomst van toepassing is, en nooit in afwijking van de AVG.
17.2 Wijzigingen en aanvullingen op deze Verwerkersovereenkomst zijn slechts geldig indien schriftelijk overeengekomen door beide Partijen. Verwerker is evenwel gerechtigd deze Verwerkersovereenkomst eenzijdig aan te passen indien dat noodzakelijk is op grond van dwingend recht, een uitspraak van een bevoegde toezichthoudende autoriteit of rechter, of een wijziging in de door de Europese Commissie vastgestelde SCC. Verwerker zal Verwerkingsverantwoordelijke daarvan tijdig (ten minste 30 dagen van tevoren) op de hoogte stellen.
17.3 Rechten en verplichtingen uit deze Verwerkersovereenkomst kunnen niet zonder voorafgaande schriftelijke toestemming van de andere Partij aan een derde worden overgedragen, behoudens in het kader van een reorganisatie, fusie of overname binnen de groep van Verwerker, mits het beschermingsniveau voor Betrokkenen daarmee niet vermindert.
17.4 Indien enige bepaling van deze Verwerkersovereenkomst nietig of vernietigbaar is of blijkt te worden, blijven de overige bepalingen onverkort van kracht. Partijen zullen in dat geval in goed overleg een vervangende bepaling overeenkomen die zoveel mogelijk aansluit bij de strekking van de nietige of vernietigde bepaling.
17.5 Kennisgevingen uit hoofde van deze Verwerkersovereenkomst vinden schriftelijk (waaronder per e-mail) plaats aan de contactpersonen genoemd in Bijlage 5 (Contactpersonen), dan wel aan een later door een Partij schriftelijk opgegeven adres.
18.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
18.2 Alle geschillen die tussen Partijen ontstaan in verband met deze Verwerkersovereenkomst zullen bij uitsluiting worden voorgelegd aan de bevoegde rechter van de Rechtbank Midden Nederland, locatie Utrecht, onverminderd het recht van Partijen om een voorlopige voorziening te vragen.
18.3 Dit laat het recht van een Betrokkene onverlet om, in overeenstemming met artikel 79 AVG, een vordering in te stellen bij een andere bevoegde rechter (waaronder die van de woonplaats van de Betrokkene).
Het onderwerp van de Verwerking is de levering van de ModbusCloud SaaS dienst door Verwerker aan Verwerkingsverantwoordelijke op grond van de Hoofdovereenkomst. Het Platform stelt Verwerkingsverantwoordelijke (de installateur) in staat om, in opdracht van zijn eindklanten, aangesloten Modbus apparatuur op afstand te monitoren, te analyseren en (binnen vooraf bepaalde grenzen) aan te sturen.
monitoring en visualisatie van Modbus device data;
alarmering (bij over of onderschrijding van drempelwaarden);
automatisering en regelstrategieën;
rapportage en data analyse;
commandosturing naar geautoriseerde apparatuur;
service en beheer door Verwerkingsverantwoordelijke in zijn rol als installateur;
facturering, support, beveiliging en naleving van wettelijke verplichtingen voor zover dat als zelfstandige verwerking door Verwerker plaatsvindt (zie artikel 3.4 van de DPA).
Het Platform is niet bedoeld voor het verwerken van Bijzondere Persoonsgegevens in de zin van artikel 9 AVG (waaronder gezondheidsgegevens, biometrie, politieke of levensbeschouwelijke gegevens) of van strafrechtelijke gegevens in de zin van artikel 10 AVG.
Verwerkingsverantwoordelijke:
voert geen Bijzondere Persoonsgegevens en geen artikel 10 gegevens in het Platform in, noch in vrije tekstvelden, namen van apparaten, rapportages of anderszins;
voert geen gegevens in van Betrokkenen jonger dan 16 jaar zonder geldige rechtsgrond;
is ervoor verantwoordelijk dat de door of namens hem ingevoerde gegevens rechtmatig zijn verkregen en mogen worden verwerkt via het Platform.
Deze bijlage beschrijft de technische en organisatorische maatregelen die Verwerker heeft getroffen in de zin van artikel 32 AVG. Verwerker kan de maatregelen aanpassen op grond van de stand van de techniek, mits het beveiligingsniveau daarbij niet substantieel afneemt.
Verwerker voorkomt ongeautoriseerde toegang tot Persoonsgegevens door middel van een samenhangend stelsel van technische maatregelen.
Versleuteling in transit: alle verkeer tussen het Platform, de MCG-1 gateway en de gebruiker verloopt via TLS 1.2 of hoger, met moderne ciphersuites en HSTS op de webportalen.
Versleuteling at rest: gegevens worden versleuteld opgeslagen met AES-256, zowel in de Supabase productie database als in de back ups bij de hostingleverancier.
Row Level Security (RLS): in de PostgreSQL database wordt tenant isolatie afgedwongen via Row Level Security policies, zodat gegevens van verschillende Verwerkingsverantwoordelijken strikt gescheiden blijven.
Role Based Access Control (RBAC): toegang tot (productie) systemen wordt verleend op basis van het least privilege principe, uitgesplitst naar rol (eindklant, installateur, beheerder, ontwikkelaar).
Verplichte 2FA: voor alle productietoegang door medewerkers en beheerders van Verwerker geldt verplicht tweefactorauthenticatie.
Wachtwoordbeveiliging: wachtwoorden worden uitsluitend opgeslagen als hash met gebruikmaking van bcrypt of Argon2, met een passende workfactor.
Federatieve authenticatie: eindgebruikers kunnen inloggen via OAuth 2.0 koppelingen met Google of Microsoft (Entra ID), waarbij de federatieve identiteit wordt gekoppeld aan een platformaccount.
Audittrail: kritieke handelingen (zoals inlogpogingen, rolwijzigingen, device commando's en configuratiewijzigingen) worden vastgelegd in een onveranderbaar logbestand met gebruiker, tijdstempel en actie.
Verwerker past waar mogelijk pseudonimiseringstechnieken toe om directe herleidbaarheid te beperken.
Veldversleuteling: gevoelige velden (waaronder OAuth refresh tokens, API sleutels en externe tokens) worden daarnaast op applicatieniveau versleuteld voordat zij in de database worden opgeslagen.
IP pseudonimisering: waar mogelijk worden IP adressen in logs en analytics gemaskeerd of verkort.
Segregatie van omgevingen: de productieomgeving is strikt gescheiden van test en ontwikkelomgevingen. In test en ontwikkelomgevingen worden in beginsel geen productiegegevens gebruikt, en indien dit uitzonderlijk nodig is, wordt gebruikgemaakt van geanonimiseerde of gepseudonimiseerde datasets.
Verwerker zorgt voor een passend niveau van beschikbaarheid en herstel na incidenten.
Back ups: er vinden dagelijks back ups plaats, aangevuld met Point In Time Recovery (PITR) via Supabase of gelijkwaardige voorzieningen.
Geografische spreiding: back ups en productiegegevens blijven opgeslagen binnen de EER.
Oproepbaarheid: Verwerker houdt een oproepbare ontwikkelaar of operationele medewerker beschikbaar voor ernstige incidenten.
Monitoring en alerting: het Platform wordt 24/7 geautomatiseerd gemonitord op beschikbaarheid, foutpercentages en beveiligingsindicatoren, met alerting naar verantwoordelijke medewerkers.
RPO en RTO: de Recovery Point Objective bedraagt maximaal 24 uur en de Recovery Time Objective maximaal 72 uur voor het volledige herstel na een ernstige verstoring.
Verwerker heeft organisatorische waarborgen die de technische maatregelen ondersteunen.
Geheimhouding: medewerkers en toeleveranciers zijn gebonden aan een geheimhoudingsverklaring (NDA) die ook na beëindiging van de arbeidsrelatie of opdracht blijft gelden.
Security awareness training: alle medewerkers volgen bij indiensttreding een security awareness programma, dat jaarlijks wordt herhaald en waar nodig wordt bijgewerkt.
Incident response plan: Verwerker beschikt over een gedocumenteerd incident response plan met duidelijke rollen, escalatiepaden en communicatielijnen.
Periodieke toegangsreview: ten minste tweemaal per jaar wordt beoordeeld of toegewezen toegangsrechten nog passend zijn (principle of least privilege).
Onboarding en offboarding: bij in en uitdiensttreding worden accounts tijdig aangemaakt respectievelijk ingetrokken, conform een vast protocol.
DPA register: Verwerker houdt een register bij van verwerkingsactiviteiten in de zin van artikel 30 AVG.
Geen productiedata op persoonlijke devices: productiegegevens mogen niet worden opgeslagen op privé apparatuur. Gebruik van door Verwerker beheerde apparatuur is het uitgangspunt.
Clean desk en clear screen: op kantoor geldt een clean desk policy en een automatisch vergrendelende schermbeveiliging op werkstations.
Verwerker exploiteert zelf geen fysieke datacenters.
Gecertificeerde datacenters: de gegevens worden gehost bij leveranciers die hun onderliggende datacenters ISO 27001 en SOC 2 gecertificeerd hebben, waaronder Vercel, Supabase, Railway en EMQX Cloud.
Controle op leveranciers: Verwerker controleert voorafgaand aan ingebruikname of deze leveranciers passende fysieke beveiliging bieden (waaronder toegangscontrole, brandpreventie, redundant energie en netwerkvoorzieningen), en evalueert dit periodiek.
Secure coding: richtlijnen gebaseerd op OWASP Top 10, inclusief bescherming tegen injectie, cross site scripting, onveilige deserialisatie en onvoldoende logging.
Dependency scanning: afhankelijkheden worden geautomatiseerd gecontroleerd op bekende kwetsbaarheden (via Dependabot, Snyk of gelijkwaardig), met remediatie binnen een risico afhankelijke termijn.
Verplichte code review: iedere wijziging aan productiecode doorloopt een code review door een tweede ontwikkelaar vóór merge naar de hoofdtak.
Geen hardcoded credentials: geheimen worden niet in broncode opgeslagen, maar beheerd via een geheimenbeheerder en per omgeving gescheiden environment variables.
Scheiding van omgevingen: ontwikkel, test, acceptatie en productieomgevingen zijn strikt gescheiden qua credentials en netwerktoegang.
Verwerker onderwerpt haar omgeving periodiek aan onafhankelijke controle.
Jaarlijkse penetratietest of security review: Verwerker laat jaarlijks een penetratietest of gelijkwaardige security review uitvoeren op het Platform.
Externe vulnerability scanning: de externe aanvalsoppervlakken worden periodiek geautomatiseerd gescand, met opvolging van bevindingen conform een interne SLA.
Auditmedewerking: Verwerker werkt mee aan audits door Verwerkingsverantwoordelijke conform artikel 11 van de DPA, met een maximum van eenmaal per jaar (behalve bij gegronde reden zoals een Datalek).
Verwerker heeft een formeel proces voor detectie, beheersing en melding van beveiligingsincidenten.
Meldtermijn van 48 uur: binnen 48 uur na ontdekking wordt Verwerkingsverantwoordelijke geïnformeerd, conform artikel 10 van de DPA.
Vast meldformat: de melding bevat in elk geval de aard, de omvang, de categorieën Betrokkenen en Persoonsgegevens, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen.
Logging en forensiek: relevante logs worden veiliggesteld om onderzoek mogelijk te maken.
Post incident review: na afronding van een incident vindt een interne evaluatie plaats om structurele verbetermaatregelen te identificeren en vast te leggen.
Verwerker bereidt zich voor op de verplichtingen uit de Europese Cyber Resilience Act, met het oog op de verplichting per 11 september 2026.
Vulnerability disclosure policy: Verwerker hanteert een publiek vindbare responsible disclosure procedure, zodat kwetsbaarheden veilig kunnen worden gemeld.
SBOM: voor de firmware van de MCG-1 gateway wordt een Software Bill of Materials bijgehouden.
Security patches: Verwerker zegt toe gedurende een verwachte levensduur van ten minste 5 jaar beveiligingsupdates voor de MCG-1 firmware beschikbaar te stellen.
Meldingsplicht ENISA: Verwerker bereidt zich voor op de uit de CRA voortvloeiende meldingsplicht aan ENISA respectievelijk het CSIRT per 11 september 2026 voor actief misbruikte kwetsbaarheden en ernstige incidenten in producten met digitale elementen.
Onderstaande tabel geeft een overzicht van de op de datum van inwerkingtreding van deze Verwerkersovereenkomst door Verwerker ingeschakelde Subverwerkers.
Nr
Subverwerker
Vestiging
Rol
Gegevens
Doorgiftewaarborg
1
Vercel Inc.
VS, met uitvoering in EU Frankfurt
Hosting frontend en marketingsite
Accountgegevens, sessiedata, technische logs
EU-US DPF + SCC Module 3 (back up)
2
Supabase Inc.
VS, met uitvoering in EU (Ierland)
Database, authenticatie, storage
Alle categorieën persoonsgegevens uit Bijlage 1
EU-US DPF + SCC Module 3 (back up)
3
Railway Corp.
VS, met uitvoering in EU
Backend workers, cron jobs
Alle categorieën persoonsgegevens uit Bijlage 1
SCC Module 3
4
EMQ Technologies Inc. (EMQX Cloud)
VS, met uitvoering in EU Central 1 Frankfurt
MQTT broker voor MCG-1 communicatie
Device serienummers, telemetrie, IP adres gateway
SCC Module 3
5
Stripe Payments Europe Ltd.
Ierland (EER)
Betalingsverwerking
Betaal en factuurgegevens
Binnen EER
6
Google Ireland Ltd.
Ierland (EER)
OAuth 2.0 authenticatie en Analytics
Login ID, sessiedata, analytics
Binnen EER; eventuele subverwerkers van Google in de VS via EU-US DPF
7
Microsoft Ireland Operations Ltd.
Ierland (EER)
OAuth 2.0 authenticatie via Entra ID
Login ID, sessiedata
Binnen EER; eventuele subverwerkers van Microsoft in de VS via EU-US DPF
8
Resend B.V.
Ierland (EER)
Transactionele e-mailverzending
E-mailadres en inhoud systeeme mail
Binnen EER
9
Moneybird B.V.
Nederland
Boekhouding en facturering
Factuurgegevens (KvK, BTW nummer, bedrijfsnaam)
Binnen EER
10
PostHog Inc.
VS, met uitvoering in EU Frankfurt
Productanalytics (bij expliciete consent)
Sessie, events, geanonimiseerd IP
SCC Module 3
Actualisatie: Verwerker publiceert de actuele lijst van Subverwerkers op modbuscloud.com/dpa/subverwerkers. Nieuwe of vervangende Subverwerkers worden ten minste 30 dagen voorafgaand aan ingebruikname aangekondigd, waarbij Verwerkingsverantwoordelijke conform artikel 7 van de Verwerkersovereenkomst het recht heeft gemotiveerd bezwaar te maken.
Deze bijlage regelt de toepassing van de Standaardcontractbepalingen uit Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021 (hierna: "SCC") op doorgiften van Persoonsgegevens aan Subverwerkers of andere ontvangers buiten de EER zonder adequaatheidsbesluit. De SCC worden door verwijzing integraal in deze Verwerkersovereenkomst opgenomen.
Module 2 (Controller to Processor): van toepassing op doorgiften door Verwerkingsverantwoordelijke, als exporteur, aan Verwerker, als importeur, voor zover Verwerker optreedt als rechtstreekse ontvanger buiten de EER.
Module 3 (Processor to Processor): van toepassing op doorgiften door Verwerker, als exporteur namens Verwerkingsverantwoordelijke, aan Subverwerkers, als importeur, buiten de EER.
Clausule 7 (Docking clause): Partijen komen overeen dat deze clausule van toepassing is. Derden kunnen, met instemming van alle bestaande partijen, op een later moment tot de SCC toetreden door ondertekening van de bijlagen.
Clausule 9 (Sub processors), Optie 2 "Algemene schriftelijke toestemming": Verwerkingsverantwoordelijke verleent Verwerker de algemene toestemming voor het inschakelen van Subverwerkers van de in Bijlage 3 opgenomen lijst. De termijn van voorafgaande kennisgeving voor wijziging of vervanging bedraagt 30 dagen.
Clausule 11 (Redress): Partijen kiezen er niet voor om geschillen te laten beslechten door een onafhankelijk geschillenbeslechtingsorgaan. De optionele passage onder Clausule 11(a) is niet van toepassing. De rechten van Betrokkenen op grond van Clausule 11 blijven onverkort gelden.
Clausule 17 (Governing law), Optie 1: op de SCC is Nederlands recht van toepassing.
Clausule 18 (Choice of forum and jurisdiction): geschillen die voortvloeien uit de SCC worden bij uitsluiting beslecht door de Rechtbank Midden Nederland, locatie Utrecht. Dit laat de bevoegdheden van Betrokkenen op grond van Clausule 18(c) en artikel 79 AVG onverlet.
Data exporter: de Verwerkingsverantwoordelijke zoals aangeduid op de voorzijde van de Verwerkersovereenkomst en in Bijlage 5.
Data importer: Avanta Systems (h.o.d.n. ModbusCloud), Ceintuurbaan 15, 8022 AW Zwolle, Nederland, alsmede de in Bijlage 3 genoemde Subverwerkers buiten de EER.
Contactgegevens staan vermeld in Bijlage 5.
Activiteiten die relevant zijn voor de doorgifte: zoals beschreven in Bijlage 1.
Rol onder de SCC: voor Module 2 fungeert Verwerkingsverantwoordelijke als exporteur en Verwerker als importeur. Voor Module 3 fungeert Verwerker als exporteur en de betreffende Subverwerker als importeur.
Annex I.B, Beschrijving van de doorgifte
Voor de categorieën Betrokkenen, categorieën Persoonsgegevens, eventuele bijzondere categorieën (niet van toepassing, zie Bijlage 1 artikel 1.7), frequentie, aard, doel, bewaartermijnen en verdere verwerking door Subverwerkers, wordt verwezen naar Bijlage 1 (Specificatie verwerking).
Annex I.C, Bevoegde toezichthoudende autoriteit
De bevoegde toezichthoudende autoriteit is de Nederlandse Autoriteit Persoonsgegevens (AP), gevestigd te Den Haag.
Voor de beschrijving van de technische en organisatorische maatregelen in de zin van Annex II bij de SCC wordt verwezen naar Bijlage 2 (TOM) van deze Verwerkersovereenkomst.
In geval van tegenstrijdigheid tussen de SCC en andere onderdelen van deze Verwerkersovereenkomst of de Hoofdovereenkomst, prevaleren de SCC voor zover het de doorgifte buiten de EER betreft, in lijn met Clausule 5 van de SCC.
DPO Verwerkingsverantwoordelijke: indien aangesteld: [contactpersoon verantwoordelijke], [e-mail verantwoordelijke], [telefoon verantwoordelijke]. Indien niet aangesteld: niet van toepassing.
DPO Verwerker: Verwerker heeft op grond van artikel 37 AVG geen wettelijke verplichting tot aanstelling van een functionaris voor gegevensbescherming en heeft er thans ook niet vrijwillig voor gekozen er een aan te stellen. Contact inzake gegevensbescherming verloopt via privacy@modbuscloud.com.
Door de klant (Verwerkingsverantwoordelijke) aan te vullen:
Alle placeholders in het partijenblok, ondertekeningsblok en Bijlage 5 invullen (naam, KvK, adres, e-mail, telefoon van de installateur).
Aanwijzen van een vaste contactpersoon voor privacyvraagstukken en datalekmeldingen (mag dezelfde persoon zijn als het algemene contact).
Indien een functionaris voor gegevensbescherming (DPO) is aangesteld: naam en contactgegevens invullen in Bijlage 5.3, of expliciet "niet aangesteld" noteren.
Door een jurist aanvullend te laten controleren:
Afstemming van het aansprakelijkheidsplafond en de boeteregeling uit artikelen 14 en 15 op de daadwerkelijke aansprakelijkheidscap in de AV van de Hoofdovereenkomst, en afstemming met eventuele sectorspecifieke eisen (bijvoorbeeld NIS2, CRA, energiesector) en de auditaanpak onder artikel 11 (met name de praktische werking van certificeringen als alternatief voor on site audits).
