Deze privacyverklaring beschrijft hoe Avanta Systems ("wij", "ons", "ModbusCloud") persoonsgegevens verwerkt bij het aanbieden van het ModbusCloud platform en de bijbehorende webshop. Wij nemen uw privacy serieus en verwerken persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG en de Telecommunicatiewet.
ModbusCloud is een B2B cloudportaal waarmee zakelijke installateurs industriële Modbus apparatuur (omvormers, warmtepompen, energiemeters, HVAC systemen) op afstand kunnen monitoren, uitlezen en aansturen via de MCG-1 gateway. Deze verklaring is van toepassing op alle verwerkingen via modbuscloud.com en portal.modbuscloud.com.
De verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG is:
Avanta Systems
Statutair gevestigd te Zwolle, Nederland
Vestigingsadres: Ceintuurbaan 15, 8022 AW Zwolle
KvK nummer: 97761362
BTW nummer: NL005287244B70
Omzetbelastingnummer: 228173425B02
Telefoon: +31 85 333 2576
Algemeen e mailadres: info@modbuscloud.com
Privacycontact: privacy@modbuscloud.com
Wij hebben geen wettelijke verplichting om een Functionaris voor Gegevensbescherming aan te stellen (artikel 37 AVG), maar u kunt voor alle privacygerelateerde vragen terecht bij bovenstaand privacycontact. Reacties worden afgehandeld door de privacyverantwoordelijke binnen Avanta Systems.
3.1 Accountgegevens van de installateur (Klant). Voor de persoonsgegevens die wij verwerken over de installateur en zijn medewerkers (accountgegevens, betaalgegevens, supportcorrespondentie, gebruiksstatistieken van het portaal) is ModbusCloud zelf verwerkingsverantwoordelijke.
3.2 Device- en eindklantgegevens. Voor persoonsgegevens die de installateur via het portaal verwerkt over zijn eigen eindklanten (adresgegevens locatie, sitenaam, eventuele contactpersonen, device- en meetdata voor zover herleidbaar naar een natuurlijke persoon) is de installateur zelf verwerkingsverantwoordelijke. ModbusCloud treedt daarbij op als verwerker. Waar de installateur voor zijn eindklant optreedt als verwerker, treedt ModbusCloud op als subverwerker.
Voor deze verwerking sluiten wij met elke installateur een verwerkersovereenkomst (Data Processing Agreement, DPA) conform artikel 28 AVG. De DPA maakt integraal onderdeel uit van de overeenkomst en wordt beschikbaar gesteld bij het aanmaken van een zakelijk account.
Voor- en achternaam, zakelijk e mailadres, bedrijfsnaam, functie of rol binnen het bedrijf, taalvoorkeur, gehashte wachtwoorden (bcrypt of vergelijkbaar) of OAuth tokens bij inlog via Google of Microsoft, tweefactor authenticatie seed of backupcodes (indien geactiveerd).
Factuuradres, bedrijfsnaam, KvK nummer, BTW nummer, bestelhistorie, betaalstatus, laatste vier cijfers van de betaalmethode. Volledige kaartgegevens of IBAN worden uitsluitend door Stripe verwerkt, wij ontvangen of bewaren deze niet.
Serienummers van gateways, Modbus registerwaarden (bijvoorbeeld stroom, spanning, temperatuur, COP, debiet, setpoints), timestamps, connectiviteitsstatus, firmwareversies. Voor zover deze data herleidbaar is tot een natuurlijke persoon (bijvoorbeeld omdat de gateway op een woonadres staat) kwalificeert dit als persoonsgegevens.
Inloggegevens (tijdstip, IP adres, user agent), bekeken pagina's, uitgevoerde API calls, en (belangrijk) de volledige audittrail van schrijfcommando's naar Modbus registers: wie heeft op welk tijdstip welke waarde naar welk register van welk apparaat geschreven. Deze audittrail is wettelijk noodzakelijk voor aansprakelijkheidsdoeleinden en beveiliging.
Wij maken geen gebruik van volledig geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare wezenlijke gevolgen voor de betrokkene in de zin van artikel 22 AVG. Alarmregels, drempelwaarden en automatiseringsscripts die de Klant in het portaal configureert vormen geen geautomatiseerde besluitvorming over natuurlijke personen, maar technische bedrijfsvoering over apparatuur.
Wij schakelen zorgvuldig geselecteerde verwerkers in voor hosting, authenticatie, betaling, communicatie en analyse. Met elke verwerker sluiten wij een verwerkersovereenkomst conform artikel 28 AVG.
Verwerker
Rol
Vestiging en regio
Grondslag doorgifte buiten EER
Vercel Inc.
Hosting frontend portaal en marketingsite
Moederentiteit VS, uitvoering in EU regio Frankfurt (fra1)
EU US Data Privacy Framework (DPF) en Standaard Contractbepalingen (EU) 2021/914 als aanvullende waarborg
Supabase Inc.
PostgreSQL database, authenticatie, opslag
Moederentiteit VS, uitvoering in EU West 1 (Ierland)
EU US DPF en SCC 2021/914
Railway Corp.
Backend workers, cronjobs
Moederentiteit VS, uitvoering in EU regio
EU US DPF indien gecertificeerd, anders SCC 2021/914
Binnen EER, subverwerkers deels VS onder EU US DPF
Resend B.V.
Transactionele e mail (facturen, accountmeldingen, wachtwoord reset)
EU regio Ierland
Binnen EER
Moneybird B.V.
Boekhouding en facturatie
Nederland
Binnen EER
PostHog Inc.
Productanalytics (uitsluitend bij consent)
EU Cloud, Frankfurt (Duitsland)
Moederentiteit VS, SCC 2021/914
Een actuele subverwerkerslijst wordt gepubliceerd als bijlage bij onze DPA. Wijzigingen worden minimaal 30 dagen vooraf aangekondigd aan de Klant, die tegen een nieuwe subverwerker gemotiveerd bezwaar kan maken.
Voor websitestatistieken kunnen wij gebruik maken van Google Analytics 4, geleverd door Google Ireland Ltd. Wij configureren deze dienst in overeenstemming met de "Handleiding privacyvriendelijk instellen Google Analytics" van de Autoriteit Persoonsgegevens:
Er is een verwerkersovereenkomst met Google (Google Ads Data Processing Terms) gesloten.
IP adressen worden niet volledig opgeslagen, Google Analytics 4 verwerkt IP adressen uitsluitend tijdelijk voor geografische benadering.
Gegevens worden niet gedeeld met Google voor eigen doeleinden. "Google signals", gepersonaliseerde advertenties en data sharing met andere Google producten zijn uitgeschakeld.
De bewaartermijn in Google Analytics is ingesteld op de minimale instelling van 2 maanden.
Google Analytics cookies worden uitsluitend geplaatst na expliciete toestemming via onze cookiebanner.
Voor productanalytics in het portaal gebruiken wij PostHog op de EU Cloud omgeving in Frankfurt, waardoor data de EER niet verlaat. PostHog is geconfigureerd met autocapture in uitgeschakelde of beperkte modus, sessierecording alleen bij expliciete toestemming, en IP anonimisering. PostHog cookies worden uitsluitend geplaatst na expliciete toestemming.
Sommige van onze verwerkers hebben een moederentiteit in de Verenigde Staten. Voor doorgifte van persoonsgegevens naar deze derde landen baseren wij ons op:
Het EU US Data Privacy Framework (Adequaatheidsbesluit van de Europese Commissie van 10 juli 2023), voor zover de betrokken ontvanger op de actuele DPF lijst staat.
De Standaard Contractbepalingen (Module 2 of Module 3, Uitvoeringsbesluit (EU) 2021/914) als aanvullende of alternatieve waarborg.
Aanvullende technische en organisatorische maatregelen in lijn met de EDPB Aanbevelingen 01/2020 over aanvullende maatregelen, waaronder versleuteling in rust en in transit, strikte toegangsrechten, en logging van exportverzoeken.
Op verzoek verstrekken wij een kopie of samenvatting van de toepasselijke waarborgen.
Wij bewaren persoonsgegevens niet langer dan noodzakelijk. Concrete termijnen:
Type gegevens
Bewaartermijn
Accountgegevens (profiel, inloggegevens)
Duur van het abonnement plus 90 dagen na beëindiging
Factuur- en boekhoudgegevens
7 jaar na afloop boekjaar (art. 52 AWR, fiscale bewaarplicht)
Device- en telemetriedata
Duur van het abonnement, daarna 90 dagen exportvenster, volledige verwijdering binnen 30 dagen daarna, backups rollen binnen 35 dagen daarna uit
Audittrail commando's en beveiligingslogs
24 maanden, langer indien noodzakelijk voor incidentonderzoek of juridische claim
Supportcorrespondentie
Maximaal 24 maanden na afsluiting ticket
Marketing e mails en nieuwsbrief
Tot uitschrijving, daarna uitsluitend een minimale uitschrijflijst
Cookies (niet essentieel)
Sessie of maximaal 12 maanden
Toestemmingsregistratie
Duur van de verwerking plus 5 jaar voor bewijs
Google Analytics gebeurtenisdata
Maximaal 2 maanden (kortste mogelijke instelling)
PostHog sessie- en gebeurtenisdata
Maximaal 6 maanden na laatste activiteit
Na afloop worden gegevens verwijderd of onomkeerbaar geanonimiseerd. Geaggregeerde of geanonimiseerde productstatistieken kunnen langer worden bewaard, omdat deze geen persoonsgegevens meer bevatten.
Wij plaatsen cookies op basis van artikel 11.7a Telecommunicatiewet. Er zijn drie categorieën.
10.1 Functionele en strikt noodzakelijke cookies. Zonder toestemming geplaatst. Denk aan sessiecookies, CSRF tokens, taalvoorkeur, cookiebanner keuze, en authenticatie tokens. Zonder deze cookies werkt het portaal niet.
10.2 Analytische cookies met geringe privacyimpact. Waar mogelijk geconfigureerd zonder unieke gebruikersidentificatie, met IP anonimisering en zonder data delen met derden. Afhankelijk van configuratie zonder toestemming of met toestemming.
10.3 Overige analytische, profilerings of marketingcookies. Uitsluitend na expliciete toestemming via onze cookiebanner. Hieronder vallen Google Analytics 4 en PostHog. U kunt uw keuze op elk moment wijzigen via de cookie instellingen in de footer van onze websites.
Een actueel overzicht van specifieke cookies, hun doel, leverancier en bewaartermijn treft u aan in de cookieverklaring op modbuscloud.com/cookies.
U heeft onder hoofdstuk III AVG (artikelen 15 tot en met 22) de volgende rechten, voor zover de grondslag en de context dat toelaten.
Recht op inzage (art. 15).
Recht op rectificatie (art. 16).
Recht op gegevenswissing of "recht op vergetelheid" (art. 17).
Recht op beperking van de verwerking (art. 18).
Recht op overdraagbaarheid van gegevens (art. 20).
Recht van bezwaar (art. 21), in het bijzonder tegen verwerkingen op basis van gerechtvaardigd belang.
Recht niet onderworpen te worden aan volledig geautomatiseerde besluitvorming (art. 22). Wij passen dit niet toe, zie artikel 6.
Recht om een gegeven toestemming op elk moment in te trekken (art. 7 lid 3). Intrekking werkt voor de toekomst en tast de rechtmatigheid van eerdere verwerking niet aan.
Voor een verzoek stuurt u een e mail naar privacy@modbuscloud.com. Wij reageren binnen een maand, eventueel verlengd met twee maanden bij complexe verzoeken (art. 12 lid 3 AVG). Voor verzoeken die betrekking hebben op eindklantgegevens waarvan uw installateur verantwoordelijke is, verwijzen wij u naar de betreffende installateur. Wij ondersteunen de installateur bij het afhandelen van dergelijke verzoeken op grond van onze DPA.
U heeft te allen tijde het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.
Wij hanteren een datalekprocedure conform artikel 33 en 34 AVG. Bij een datalek met een risico voor betrokkenen melden wij dit binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens. Bij een hoog risico informeren wij de betrokkenen rechtstreeks. In gevallen waarin ModbusCloud optreedt als (sub)verwerker melden wij het lek onverwijld aan de betreffende verwerkingsverantwoordelijke, met de informatie die nodig is om zelf aan de meldplicht te voldoen.
Per 11 september 2026 gelden aanvullende meldverplichtingen bij actief misbruikte kwetsbaarheden en ernstige incidenten op grond van de Cyber Resilience Act (Verordening (EU) 2024/2847). Wij zullen deze meldingen doen via het single reporting platform van ENISA zodra beschikbaar.
Onze dienst richt zich uitsluitend op zakelijke klanten en is niet bedoeld voor natuurlijke personen jonger dan 16 jaar. Wij verzamelen niet bewust gegevens van minderjarigen.
Wij kunnen deze privacyverklaring aanpassen. Materiële wijzigingen kondigen wij minimaal 30 dagen vooraf aan via het portaal of per e mail aan het bij ons bekende accountcontact. De actuele versie is altijd beschikbaar op modbuscloud.com/privacy met vermelding van de versiedatum.
Klachten over de verwerking van uw persoonsgegevens kunt u ook indienen bij de Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ Den Haag, autoriteitpersoonsgegevens.nl.
