Privacyverklaring ModbusCloud

1. Inleiding

Deze privacyverklaring beschrijft hoe Avanta Systems ("wij", "ons", "ModbusCloud") persoonsgegevens verwerkt bij het aanbieden van het ModbusCloud platform en de bijbehorende webshop. Wij nemen uw privacy serieus en verwerken persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG en de Telecommunicatiewet.

ModbusCloud is een B2B cloudportaal waarmee zakelijke installateurs industriële Modbus apparatuur (omvormers, warmtepompen, energiemeters, HVAC systemen) op afstand kunnen monitoren, uitlezen en aansturen via de MCG-1 gateway. Deze verklaring is van toepassing op alle verwerkingen via modbuscloud.com en portal.modbuscloud.com.

2. Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG is:

Avanta Systems Statutair gevestigd te Zwolle, Nederland Vestigingsadres: Ceintuurbaan 15, 8022 AW Zwolle KvK nummer: 97761362 BTW nummer: NL005287244B70 Omzetbelastingnummer: 228173425B02 Telefoon: +31 85 333 2576 Algemeen e mailadres: info@modbuscloud.com Privacycontact: privacy@modbuscloud.com

Wij hebben geen wettelijke verplichting om een Functionaris voor Gegevensbescherming aan te stellen (artikel 37 AVG), maar u kunt voor alle privacygerelateerde vragen terecht bij bovenstaand privacycontact. Reacties worden afgehandeld door de privacyverantwoordelijke binnen Avanta Systems.

3. Rolverdeling: verantwoordelijke en (sub)verwerker

De rolverdeling onder de AVG is als volgt.

3.1 Accountgegevens van de installateur (Klant). Voor de persoonsgegevens die wij verwerken over de installateur en zijn medewerkers (accountgegevens, betaalgegevens, supportcorrespondentie, gebruiksstatistieken van het portaal) is ModbusCloud zelf verwerkingsverantwoordelijke.

3.2 Device- en eindklantgegevens. Voor persoonsgegevens die de installateur via het portaal verwerkt over zijn eigen eindklanten (adresgegevens locatie, sitenaam, eventuele contactpersonen, device- en meetdata voor zover herleidbaar naar een natuurlijke persoon) is de installateur zelf verwerkingsverantwoordelijke. ModbusCloud treedt daarbij op als verwerker. Waar de installateur voor zijn eindklant optreedt als verwerker, treedt ModbusCloud op als subverwerker.

Voor deze verwerking sluiten wij met elke installateur een verwerkersovereenkomst (Data Processing Agreement, DPA) conform artikel 28 AVG. De DPA maakt integraal onderdeel uit van de overeenkomst en wordt beschikbaar gesteld bij het aanmaken van een zakelijk account.

4. Welke persoonsgegevens wij verwerken

Wij verwerken de volgende categorieën persoonsgegevens.

4.1 Accountgegevens

Voor- en achternaam, zakelijk e mailadres, bedrijfsnaam, functie of rol binnen het bedrijf, taalvoorkeur, gehashte wachtwoorden (bcrypt of vergelijkbaar) of OAuth tokens bij inlog via Google of Microsoft, tweefactor authenticatie seed of backupcodes (indien geactiveerd).

4.2 Betaal- en factuurgegevens

Factuuradres, bedrijfsnaam, KvK nummer, BTW nummer, bestelhistorie, betaalstatus, laatste vier cijfers van de betaalmethode. Volledige kaartgegevens of IBAN worden uitsluitend door Stripe verwerkt, wij ontvangen of bewaren deze niet.

4.3 Device- en telemetriedata

Serienummers van gateways, Modbus registerwaarden (bijvoorbeeld stroom, spanning, temperatuur, COP, debiet, setpoints), timestamps, connectiviteitsstatus, firmwareversies. Voor zover deze data herleidbaar is tot een natuurlijke persoon (bijvoorbeeld omdat de gateway op een woonadres staat) kwalificeert dit als persoonsgegevens.

4.4 Locatie- en eindklantmetadata

Adres van de installatielocatie, sitenaam, optionele contactpersoon bij de eindklant, notitievelden.

4.5 Log- en audittrailgegevens

Inloggegevens (tijdstip, IP adres, user agent), bekeken pagina's, uitgevoerde API calls, en (belangrijk) de volledige audittrail van schrijfcommando's naar Modbus registers: wie heeft op welk tijdstip welke waarde naar welk register van welk apparaat geschreven. Deze audittrail is wettelijk noodzakelijk voor aansprakelijkheidsdoeleinden en beveiliging.

4.6 Supportcommunicatie

E mails, chatberichten en ticketinhoud bij supportverzoeken.

4.7 Cookies en vergelijkbare technieken

Zie artikel 10 voor een uitgebreide toelichting.

5. Doeleinden en grondslagen

Wij verwerken persoonsgegevens uitsluitend voor de hieronder beschreven doelen en op basis van de vermelde grondslag uit artikel 6 AVG.

6. Geautomatiseerde besluitvorming en profilering

Wij maken geen gebruik van volledig geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare wezenlijke gevolgen voor de betrokkene in de zin van artikel 22 AVG. Alarmregels, drempelwaarden en automatiseringsscripts die de Klant in het portaal configureert vormen geen geautomatiseerde besluitvorming over natuurlijke personen, maar technische bedrijfsvoering over apparatuur.

7. Ontvangers en verwerkers

Wij schakelen zorgvuldig geselecteerde verwerkers in voor hosting, authenticatie, betaling, communicatie en analyse. Met elke verwerker sluiten wij een verwerkersovereenkomst conform artikel 28 AVG.

Een actuele subverwerkerslijst wordt gepubliceerd als bijlage bij onze DPA. Wijzigingen worden minimaal 30 dagen vooraf aangekondigd aan de Klant, die tegen een nieuwe subverwerker gemotiveerd bezwaar kan maken.

7.1 Specifieke toelichting Google Analytics

Voor websitestatistieken kunnen wij gebruik maken van Google Analytics 4, geleverd door Google Ireland Ltd. Wij configureren deze dienst in overeenstemming met de "Handleiding privacyvriendelijk instellen Google Analytics" van de Autoriteit Persoonsgegevens:

Er is een verwerkersovereenkomst met Google (Google Ads Data Processing Terms) gesloten.
IP adressen worden niet volledig opgeslagen, Google Analytics 4 verwerkt IP adressen uitsluitend tijdelijk voor geografische benadering.
Gegevens worden niet gedeeld met Google voor eigen doeleinden. "Google signals", gepersonaliseerde advertenties en data sharing met andere Google producten zijn uitgeschakeld.
De bewaartermijn in Google Analytics is ingesteld op de minimale instelling van 2 maanden.
Google Analytics cookies worden uitsluitend geplaatst na expliciete toestemming via onze cookiebanner.

7.2 Specifieke toelichting PostHog

Voor productanalytics in het portaal gebruiken wij PostHog op de EU Cloud omgeving in Frankfurt, waardoor data de EER niet verlaat. PostHog is geconfigureerd met autocapture in uitgeschakelde of beperkte modus, sessierecording alleen bij expliciete toestemming, en IP anonimisering. PostHog cookies worden uitsluitend geplaatst na expliciete toestemming.

8. Doorgifte buiten de Europese Economische Ruimte

Sommige van onze verwerkers hebben een moederentiteit in de Verenigde Staten. Voor doorgifte van persoonsgegevens naar deze derde landen baseren wij ons op:

Het EU US Data Privacy Framework (Adequaatheidsbesluit van de Europese Commissie van 10 juli 2023), voor zover de betrokken ontvanger op de actuele DPF lijst staat.
De Standaard Contractbepalingen (Module 2 of Module 3, Uitvoeringsbesluit (EU) 2021/914) als aanvullende of alternatieve waarborg.
Aanvullende technische en organisatorische maatregelen in lijn met de EDPB Aanbevelingen 01/2020 over aanvullende maatregelen, waaronder versleuteling in rust en in transit, strikte toegangsrechten, en logging van exportverzoeken.

Op verzoek verstrekken wij een kopie of samenvatting van de toepasselijke waarborgen.

9. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan noodzakelijk. Concrete termijnen:

Na afloop worden gegevens verwijderd of onomkeerbaar geanonimiseerd. Geaggregeerde of geanonimiseerde productstatistieken kunnen langer worden bewaard, omdat deze geen persoonsgegevens meer bevatten.

10. Cookies en vergelijkbare technieken

Wij plaatsen cookies op basis van artikel 11.7a Telecommunicatiewet. Er zijn drie categorieën.

10.1 Functionele en strikt noodzakelijke cookies. Zonder toestemming geplaatst. Denk aan sessiecookies, CSRF tokens, taalvoorkeur, cookiebanner keuze, en authenticatie tokens. Zonder deze cookies werkt het portaal niet.

10.2 Analytische cookies met geringe privacyimpact. Waar mogelijk geconfigureerd zonder unieke gebruikersidentificatie, met IP anonimisering en zonder data delen met derden. Afhankelijk van configuratie zonder toestemming of met toestemming.

10.3 Overige analytische, profilerings of marketingcookies. Uitsluitend na expliciete toestemming via onze cookiebanner. Hieronder vallen Google Analytics 4 en PostHog. U kunt uw keuze op elk moment wijzigen via de cookie instellingen in de footer van onze websites.

Een actueel overzicht van specifieke cookies, hun doel, leverancier en bewaartermijn treft u aan in de cookieverklaring op modbuscloud.com/cookies.

11. Uw rechten

U heeft onder hoofdstuk III AVG (artikelen 15 tot en met 22) de volgende rechten, voor zover de grondslag en de context dat toelaten.

Recht op inzage (art. 15).
Recht op rectificatie (art. 16).
Recht op gegevenswissing of "recht op vergetelheid" (art. 17).
Recht op beperking van de verwerking (art. 18).
Recht op overdraagbaarheid van gegevens (art. 20).
Recht van bezwaar (art. 21), in het bijzonder tegen verwerkingen op basis van gerechtvaardigd belang.
Recht niet onderworpen te worden aan volledig geautomatiseerde besluitvorming (art. 22). Wij passen dit niet toe, zie artikel 6.
Recht om een gegeven toestemming op elk moment in te trekken (art. 7 lid 3). Intrekking werkt voor de toekomst en tast de rechtmatigheid van eerdere verwerking niet aan.

Voor een verzoek stuurt u een e mail naar privacy@modbuscloud.com. Wij reageren binnen een maand, eventueel verlengd met twee maanden bij complexe verzoeken (art. 12 lid 3 AVG). Voor verzoeken die betrekking hebben op eindklantgegevens waarvan uw installateur verantwoordelijke is, verwijzen wij u naar de betreffende installateur. Wij ondersteunen de installateur bij het afhandelen van dergelijke verzoeken op grond van onze DPA.

U heeft te allen tijde het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

12. Beveiliging

Wij treffen passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG, waaronder:

Versleuteling in transit (TLS 1.2 of hoger) en versleuteling in rust (AES 256 of gelijkwaardig via hostingproviders).
Row Level Security en strikte tenantisolatie op databaseniveau (Supabase PostgreSQL).
Rolgebaseerde toegangscontrole, principe van minimale rechten, verplichte tweefactor authenticatie voor medewerkers met productietoegang.
Centrale logging, monitoring en alerting op ongebruikelijke activiteit.
Regelmatige back ups met geografische redundantie binnen de EER.
Periodieke beveiligingstests, waaronder afhankelijkheidsscans, code reviews en, naar redelijkheid, penetratietesten.
Een gedocumenteerd incident responseproces.
Geheimhoudingsverplichtingen voor medewerkers en verwerkers.
Versleutelde MQTT communicatie (TLS 1.2 of hoger) tussen gateway en EMQX broker.
Hardware securityfeatures op de MCG-1 gateway in lijn met de Cyber Resilience Act.

13. Datalekken

Wij hanteren een datalekprocedure conform artikel 33 en 34 AVG. Bij een datalek met een risico voor betrokkenen melden wij dit binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens. Bij een hoog risico informeren wij de betrokkenen rechtstreeks. In gevallen waarin ModbusCloud optreedt als (sub)verwerker melden wij het lek onverwijld aan de betreffende verwerkingsverantwoordelijke, met de informatie die nodig is om zelf aan de meldplicht te voldoen.

Per 11 september 2026 gelden aanvullende meldverplichtingen bij actief misbruikte kwetsbaarheden en ernstige incidenten op grond van de Cyber Resilience Act (Verordening (EU) 2024/2847). Wij zullen deze meldingen doen via het single reporting platform van ENISA zodra beschikbaar.

14. Minderjarigen

Onze dienst richt zich uitsluitend op zakelijke klanten en is niet bedoeld voor natuurlijke personen jonger dan 16 jaar. Wij verzamelen niet bewust gegevens van minderjarigen.

15. Wijzigingen

Wij kunnen deze privacyverklaring aanpassen. Materiële wijzigingen kondigen wij minimaal 30 dagen vooraf aan via het portaal of per e mail aan het bij ons bekende accountcontact. De actuele versie is altijd beschikbaar op modbuscloud.com/privacy met vermelding van de versiedatum.

16. Contact

Voor vragen over deze verklaring of uw privacyrechten:

E mail privacy: privacy@modbuscloud.com Algemeen: info@modbuscloud.com Telefoon: +31 85 333 2576 Post: Avanta Systems, Ceintuurbaan 15, 8022 AW Zwolle

Klachten over de verwerking van uw persoonsgegevens kunt u ook indienen bij de Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ Den Haag, autoriteitpersoonsgegevens.nl.

Aanbieden van het portaal en de gateway (accountbeheer, authenticatie, technische werking)	Account, devices, logs	Uitvoering van de overeenkomst, art. 6 lid 1 sub b AVG
Facturering en debiteurenbeheer	Betaal- en factuurgegevens	Uitvoering overeenkomst, art. 6 lid 1 sub b AVG, en wettelijke verplichting, art. 6 lid 1 sub c AVG (art. 52 AWR)
Klantenservice en incidentafhandeling	Account, supportcommunicatie	Uitvoering overeenkomst, art. 6 lid 1 sub b AVG
Beveiliging, fraudepreventie, audittrail	Logs, audittrail, IP adressen	Gerechtvaardigd belang, art. 6 lid 1 sub f AVG (continuïteit, veiligheid, bewijsvoering)
Productverbetering op basis van geanonimiseerde of geaggregeerde data	Device- en gebruiksstatistieken na anonimisatie	Gerechtvaardigd belang, art. 6 lid 1 sub f AVG
Servicemededelingen (storingen, releases, wijzigingen voorwaarden)	Accountgegevens	Uitvoering overeenkomst, art. 6 lid 1 sub b AVG
Commerciële e mails over vergelijkbare producten aan bestaande klanten (soft opt in)	E mailadres	Gerechtvaardigd belang, art. 6 lid 1 sub f AVG, binnen de kaders van art. 11.7 Telecommunicatiewet
Nieuwsbrief of marketing aan prospects	E mailadres	Toestemming, art. 6 lid 1 sub a AVG
Analytics en productgebruiksmetingen (PostHog en Google Analytics)	Cookies, gebeurtenisdata, geanonimiseerd IP adres	Toestemming, art. 6 lid 1 sub a AVG en art. 11.7a Telecommunicatiewet
Nakomen wettelijke verplichtingen (belastingen, informatieverzoeken bevoegde autoriteiten)	Alle relevante categorieën	Wettelijke verplichting, art. 6 lid 1 sub c AVG

Vercel Inc.	Hosting frontend portaal en marketingsite	Moederentiteit VS, uitvoering in EU regio Frankfurt (fra1)	EU US Data Privacy Framework (DPF) en Standaard Contractbepalingen (EU) 2021/914 als aanvullende waarborg
Supabase Inc.	PostgreSQL database, authenticatie, opslag	Moederentiteit VS, uitvoering in EU West 1 (Ierland)	EU US DPF en SCC 2021/914
Railway Corp.	Backend workers, cronjobs	Moederentiteit VS, uitvoering in EU regio	EU US DPF indien gecertificeerd, anders SCC 2021/914
EMQX Cloud (EMQ Technologies Inc.)	MQTT broker voor gatewaycommunicatie	Serverless deployment in EU Central 1 (Frankfurt)	SCC 2021/914
Stripe Payments Europe Ltd.	Betalingsverwerking	Ierland (EER)	Geen doorgifte vereist, binnen EER
Google Ireland Ltd.	OAuth login (Google Sign in) en, mits geconfigureerd, Google Analytics 4	Ierland (EER), subverwerkers in VS	EU US DPF en SCC 2021/914
Microsoft Ireland Operations Ltd.	OAuth login (Microsoft Entra ID)	Ierland (EER)	Binnen EER, subverwerkers deels VS onder EU US DPF
Resend B.V.	Transactionele e mail (facturen, accountmeldingen, wachtwoord reset)	EU regio Ierland	Binnen EER
Moneybird B.V.	Boekhouding en facturatie	Nederland	Binnen EER
PostHog Inc.	Productanalytics (uitsluitend bij consent)	EU Cloud, Frankfurt (Duitsland)	Moederentiteit VS, SCC 2021/914

Accountgegevens (profiel, inloggegevens)	Duur van het abonnement plus 90 dagen na beëindiging
Factuur- en boekhoudgegevens	7 jaar na afloop boekjaar (art. 52 AWR, fiscale bewaarplicht)
Device- en telemetriedata	Duur van het abonnement, daarna 90 dagen exportvenster, volledige verwijdering binnen 30 dagen daarna, backups rollen binnen 35 dagen daarna uit
Audittrail commando's en beveiligingslogs	24 maanden, langer indien noodzakelijk voor incidentonderzoek of juridische claim
Supportcorrespondentie	Maximaal 24 maanden na afsluiting ticket
Marketing e mails en nieuwsbrief	Tot uitschrijving, daarna uitsluitend een minimale uitschrijflijst
Cookies (niet essentieel)	Sessie of maximaal 12 maanden
Toestemmingsregistratie	Duur van de verwerking plus 5 jaar voor bewijs
Google Analytics gebeurtenisdata	Maximaal 2 maanden (kortste mogelijke instelling)
PostHog sessie- en gebeurtenisdata	Maximaal 6 maanden na laatste activiteit