Privacyvoorwaarden voor adverteerders

Last Update: November 14, 2025

Ingangsdatum:  Augustus 14, 2023

Deze privacyvoorwaarden voor adverteerders van Taboola (“Privacyvoorwaarden voor adverteerders“) zijn van toepassing op de digitale advertentiediensten van Taboola, zoals wanneer Taboola content van Adverteerders distribueert via haar distributieplatform, op grond van een overeenkomst tussen Taboola en een Adverteerder (“Overeenkomst“), en deze Privacyvoorwaarden van de Adverteerder worden geacht te zijn opgenomen in en vormen een integraal onderdeel van een dergelijke Overeenkomst.  Deze Privacyvoorwaarden voor Adverteerders identificeren de rollen en verantwoordelijkheden van Taboola en de Adverteerder met betrekking tot Persoonsgegevens.

Mocht er een conflict zijn tussen de Privacyvoorwaarden van de Adverteerder en de Overeenkomst, dan zijn de Privacyvoorwaarden van de Adverteerder van toepassing voor zover dat conflict reikt, tenzij de conflicterende bepaling in de Overeenkomst uitdrukkelijk verwijst naar de tegenstrijdige bepaling van deze Privacyvoorwaarden van de Adverteerder en specificeert dat deze prevaleert boven die strijdige bepaling.

Termen die in dit artikel worden gedefinieerd, hebben de betekenis die hieronder wordt uiteengezet, en verwante termen worden dienovereenkomstig geïnterpreteerd. Termen met een hoofdletter die worden gebruikt maar niet zijn gedefinieerd in de Privacyvoorwaarden van de Adverteerder, hebben de betekenis die is gedefinieerd in de Overeenkomst.

      1. Toepasselijke wetgeving inzake gegevensbescherming” betekent alle federale, nationale, staats- of andere privacy- en gegevensbeschermingswetten die van toepassing zijn op de Verwerking die het onderwerp is van de Overeenkomst en deze Adverteerdersvoorwaarden, die van tijd tot tijd kunnen worden gewijzigd of vervangen.
      2. Verzamelde gegevens” betekent de Persoonsgegevens die elke partij verzamelt van Betrokkenen op of via hun servers of netwerken (met inbegrip van alle passief verzamelde of machineleesbare gegevens, zoals gegevens op basis van browsertype en apparaat-ID’s) in verband met de levering of ontvangst van de Diensten.
      3. Controleur” betekent: (i) een entiteit die de doeleinden en middelen van de Verwerking van Persoonsgegevens bepaalt, en (ii) elke persoon die valt onder het toepassingsgebied van de term “verwerkingsverantwoordelijke” (of een in wezen vergelijkbare term) zoals gedefinieerd in de Toepasselijke wetgeving inzake gegevensbescherming.
      4. Californische privacywetgeving” betekent California Consumer Privacy Act van 2018, Cal. Burgerlijk Wetboek § 1798.100 e.v. (“CCPA“), zoals gewijzigd (inclusief door de California Privacy Rights Act), en alle ondergeschikte wetgeving en uitvoeringsvoorschriften.
      5. Betrokkene” betekent: (i) een geïdentificeerde of identificeerbare natuurlijke persoon (en voor deze doeleinden is een identificeerbare natuurlijke persoon iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon), en (ii) elke persoon die valt onder het toepassingsgebied van de term “betrokkene”, “consument” (of een in wezen vergelijkbare term) zoals gedefinieerd in de wetgeving inzake gegevensbescherming.
      6. EU-wetgeving inzake gegevensbescherming” betekent: (i) de algemene verordening gegevensbescherming van de EU (Verordening 2016/679) (“EU AVG”); (ii) de EU-richtlijn inzake e-privacy (Richtlijn 2002/58/EG); en (iii) alle nationale wetten inzake gegevensbescherming die zijn vastgesteld op grond van of op grond van (i) of (ii), elk zoals van tijd tot tijd kan worden gewijzigd of vervangen.
      7. Toegestane doeleinden” heeft de betekenis die wordt gegeven in sectie 3.
      8. Persoonsgegevens” betekent alle informatie met betrekking tot een Betrokkene (met inbegrip van, indien vereist door de Toepasselijke wetgeving inzake gegevensbescherming, unieke browser- of apparaat-ID’s), zoals uiteengezet in Bijlage A, Deel B.
      9. Proces” betekent elke bewerking of elk geheel van bewerkingen die worden uitgevoerd met betrekking tot Persoonsgegevens of op sets van Persoonsgegevens, al dan niet via geautomatiseerde procedés, zoals het verzamelen, ontvangen, vastleggen, ordenen, structureren, gebruiken, doorgeven, openen, delen, openbaar maken, overdragen, opslaan, bijwerken of wijzigen, opvragen, raadplegen, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, aggregeren, afleiden, afleiden, analyseren; beperking, verwijdering, vernietiging of verwijdering of andere verwerking van Persoonsgegevens, inclusief de manier waarop een dergelijke term is gedefinieerd in de Toepasselijke wetgeving inzake gegevensbescherming.
      10. Processor” betekent: (i) een entiteit die Persoonsgegevens verwerkt namens een Verwerkingsverantwoordelijke, en (ii) elke persoon die valt onder het toepassingsgebied van de term “verwerker” (of een in wezen vergelijkbare term) zoals gedefinieerd in de Toepasselijke wetgeving inzake gegevensbescherming.
      11. Beperkte overdracht” betekent: (i) waar de EU AVG van toepassing is, een overdracht van Persoonsgegevens van de EER naar een land buiten de EER dat niet onderworpen is aan een adequaatheidsbepaling door de Europese Commissie (een “Beperkte overdracht in de EU“); en (ii) wanneer de Britse AVG van toepassing is, een overdracht van persoonsgegevens van het Verenigd Koninkrijk naar een ander land dat niet onderworpen is aan of gebaseerd is op adequaatheidsvoorschriften op grond van sectie 17A van de Data Protection Act 2018 van het Verenigd Koninkrijk (a “Beperkte overdracht in het VK“).
      12. Verkoop” en “Verkopen” betekent het uitwisselen van Persoonsgegevens voor een geldelijke of andere waardevolle vergoeding, en omvatten de manier waarop dergelijke termen worden gedefinieerd in de Toepasselijke wetgeving inzake gegevensbescherming.
      13. Diensten” betekent diensten die door Taboola worden geleverd in het kader van de Overeenkomst met Adverteerder.
      14. Beveiligingsincident” betekent een inbreuk op de beveiliging die leidt tot de onopzettelijke of onwettige vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking van of de ongeoorloofde toegang tot Persoonsgegevens.
      15. Standaard contractuele clausules” betekent: (i) waar de EU AVG van toepassing is, de contractbepalingen die zijn gehecht aan Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen op grond van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (“SCC’s van de EU”); en (ii) waar de Britse AVG van toepassing is, het “International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” uitgegeven door de Information Commissioner onder s.119A(1) van de DPA 2018 (“Addendum VK”).
      16. Derde” betekent een bedrijf dat optreedt als Verwerkingsverantwoordelijke met betrekking tot Persoonsgegevens, en dat niet het bedrijf is waarmee de Betrokkene wiens Persoonsgegevens worden verwerkt, opzettelijk interactie heeft gehad; de term omvat de manier waarop een dergelijke term wordt gedefinieerd in de Toepasselijke wetgeving inzake gegevensbescherming.
      17. Britse wetgeving inzake gegevensbescherming” betekent: (i) de UK Data Protection Act 2018, (ii) de UK GDPR (zoals gedefinieerd in s.3(10) van de UK Data Protection Act 2018) (“Verenigd Koninkrijk AVG“), (iii) de UK Privacy and Electronic Communications (EC Directive) Regulations 2003), en (iv) alle andere Britse wetten die zijn gemaakt op grond van of op grond van (i), (ii) of (iii), elk zoals van tijd tot tijd kan worden gewijzigd of vervangen.

Elke partij verwerkt verzamelde gegevens die zij verzamelt of ontvangt van de andere partij voor de doeleinden die zijn uiteengezet in bijlage A, deel B (de “Toegestane doeleinden”).  Adverteerder gaat ermee akkoord dat Taboola de Verzamelde gegevens zal Verwerken zoals toegestaan door het Privacybeleid van Taboola (dat, voor alle duidelijkheid, ook een Toegestaan Doel voor Taboola zal zijn).

Voor zover de Verzamelde gegevens kwalificeren als, of bevatten, Persoonsgegevens onder de Toepasselijke Gegevensbeschermingswetgeving, zal elke partij Verzamelde Gegevens verwerken die zij verzamelt of ontvangt van de andere partij als Verwerkingsverantwoordelijke (waaronder, indien de Californische privacywetgeving van toepassing is, als een Derde partij, indien van toepassing).  Openbaarmakingen (hetzij een overdracht, hetzij via een partij die gegevens ter beschikking stelt aan de andere partij) van Verzamelde gegevens of Persoonsgegevens van de ene partij naar de andere, zijn openbaarmakingen aan Derden.

      1. Als de Amerikaanse of Amerikaanse wetgeving inzake gegevensbescherming van toepassing is op Verzamelde gegevens, met inbegrip van, maar niet beperkt tot, de Californische privacywetgeving, voor zover Realize Pixels (voorheen “Taboola Pixels” genoemd) die worden gebruikt in verband met de Diensten Persoonsgegevens over een Bezoeker verwerken, treedt Taboola op als een derde partij voor de Adverteerder voor dergelijke Persoonsgegevens. Taboola zal dergelijke Persoonsgegevens verwerken voor de Toegestane Doeleinden. Dergelijke Persoonsgegevens worden alleen aan Taboola ter beschikking gesteld voor de Toegestane Doeleinden.  Taboola zal hetzelfde niveau van privacybescherming bieden als vereist van bedrijven door de toepasselijke Amerikaanse wetgeving inzake gegevensbescherming, inclusief, indien van toepassing, de privacywetgeving van Californië. Taboola zal de Adverteerder binnen de door de Toepasselijke Gegevensbeschermingswetgeving vereiste termijn op de hoogte stellen als Taboola vaststelt dat het niet langer in staat is om te voldoen aan zijn verplichtingen onder de Toepasselijke Gegevensbeschermingswetgeving. Na kennisgeving aan Taboola heeft de Adverteerder het recht om redelijke en passende maatregelen te nemen om ongeoorloofd gebruik van Persoonsgegevens die hij aan Taboola ter beschikking stelt, te stoppen en te herstellen.

De partijen erkennen dat sommige of alle Verzamelde gegevens kunnen worden aangemerkt als of betrekking kunnen hebben op Persoonsgegevens en dat daarom de Toepasselijke wetgeving inzake gegevensbescherming van toepassing kan zijn op de Verwerking van Verzamelde gegevens door elke partij.  Wanneer dit het geval is, en met inachtneming van sectie 7, is elke partij individueel verantwoordelijk voor haar eigen naleving van de Toepasselijke wetgeving inzake gegevensbescherming, met inbegrip van alle toepasselijke vereisten om: (i) transparantie te bieden aan Betrokkenen, (ii) toestemming of een andere wettelijke basis voor Verwerking te hebben, en (iii) een contactpunt ter beschikking te stellen waar Betrokkenen hun rechten op het gebied van gegevensbescherming kunnen uitoefenen.

In het geval dat een van de partijen een Beperkte overdracht van Verzamelde gegevens naar de andere partij uitvoert, zijn de bepalingen van Bijlage C van toepassing.

Taboola maakt gebruik van Realize Pixels om de Diensten te leveren.  Niettegenstaande sectie 5, voor zover Taboola Verzamelde Gegevens verzamelt van digitale eigendommen van Adverteerders (zoals websites, mobiele applicaties of anderszins) met behulp van Realize Pixels, zal Adverteerder: (i) alle vereiste transparantiekennisgevingen verstrekken aan Betrokkenen over het gebruik van Realize Pixels door Taboola om Verzamelde Gegevens van digitale eigendommen van Adverteerder te verzamelen voor de Toegestane Doeleinden, en (ii) verkrijgen (en, op verzoek op elk moment door Taboola passend bewijs te leveren van) Toestemming van de Betrokkene voor dergelijk gebruik van Realiseer Pixels voor de Toegestane Doeleinden, in elk geval in overeenstemming met de vereisten van de Toepasselijke Gegevensbeschermingswetten.  De verplichtingen van de Adverteerder in dit verband omvatten het identificeren van Taboola en het gebruik van Realize Pixels voor de Toegestane Doeleinden, uitdrukkelijk in de transparantiekennisgevingen en de toestemmingsprompts die de Adverteerder aan Betrokkenen verstrekt, evenals alle andere informatie die vereist is door de Toepasselijke Gegevensbeschermingswetten, zodat Taboola haar Diensten rechtmatig kan leveren via dergelijke digitale eigendommen en Verzamelde Gegevens en Persoonsgegevens kan Verwerken voor de Toegestane Doeleinden.  Op schriftelijk verzoek zal Taboola de Adverteerder voorzien van de informatie die nodig is over de Realisatie van Pixels en de Verwerking van Verzamelde Gegevens door Taboola via de digitale eigendommen van de Adverteerder voor de Adverteerder om ervoor te zorgen dat zijn kennisgevings- en toestemmingsmechanismen voldoen aan de Toepasselijke wetgeving inzake gegevensbescherming.  De Adverteerder zal geen Realiseer Pixels activeren, tenzij en totdat de nodige transparantie is geboden en de benodigde toestemmingen zijn verkregen die vereist zijn onder de Toepasselijke Gegevensbeschermingswetten. De Adverteerder zal Betrokkenen verder informatie verstrekken over hoe zij hun rechten op het gebied van gegevensbescherming kunnen uitoefenen op grond van de Toepasselijke wetgeving inzake gegevensbescherming, en een contactpunt bieden waarmee Betrokkenen contact kunnen opnemen om hun rechten uit te oefenen. De Adverteerder zal Taboola onmiddellijk op de hoogte stellen indien en voor zover het een verzoek om gegevensbeschermingsrechten ontvangt met betrekking tot de Verwerking van Verzamelde Gegevens door Taboola als Verwerkingsverantwoordelijke, zodat Taboola aan het verzoek kan voldoen in overeenstemming met haar verplichtingen onder de Toepasselijke wetgeving inzake gegevensbescherming.

Indien Taboola, op verzoek van Adverteerder, Persoonsgegevens doorgeeft aan de attributiepartner van Adverteerder of aan Adverteerder voor attributiedoeleinden, verklaart en garandeert Adverteerder dat: (i) haar attributiepartner een Verwerker is namens Adverteerder; (ii) tenzij anderszins onafhankelijk verzameld, zullen de Adverteerder en de attributiepartner dergelijke Persoonsgegevens uitsluitend gebruiken voor attributiedoeleinden; en (iii) attributiepartner en Adverteerder alle doorgegeven Persoonsgegevens zullen verwijderen binnen dertig (30) dagen nadat de Bezoeker voor het laatst is geïdentificeerd als afkomstig van Taboola.

Elke partij zal passende technische en organisatorische beveiligingsmaatregelen implementeren om de Verzamelde gegevens en/of Persoonsgegevens die zij Verwerkt te beschermen tegen en tegen een Beveiligingsincident.  Deze maatregelen omvatten de in bijlage B vermelde maatregelen.

Als een van de Partijen te maken krijgt met een Beveiligingsincident met betrekking tot Verzamelde Gegevens en/of Persoonsgegevens die zij Verwerkt en die het onderwerp zijn van de Overeenkomst en deze Privacyvoorwaarden van Adverteerders, zal die Partij: (i) verantwoordelijk zijn voor het nakomen (op eigen kosten) van alle rapportageverplichtingen die op haar van toepassing zijn onder de Toepasselijke Gegevensbeschermingswetgeving aan gegevensbeschermingsautoriteiten en/of betrokken Betrokkenen, (ii) de andere Partij onverwijld op de hoogte te stellen en de informatie over het Beveiligingsincident te verstrekken die redelijkerwijs door de andere Partij kan worden gevraagd of zoals anderszins vereist is voor de andere Partij om te bepalen of zij ook rapportageverplichtingen heeft op grond van de Toepasselijke Gegevensbeschermingswetgeving met betrekking tot het Beveiligingsincident, en (iii) al dergelijke acties en maatregelen te ondernemen, zonder onnodige vertraging, voor zover dit passend is om de gevolgen van het Beveiligingsincident te verhelpen en/of te beperken

Waar en voor zover vereist door de Toepasselijke Gegevensbeschermingswetgeving waaraan elke partij is onderworpen, zal elke partij een gegevensbeschermingseffectbeoordeling uitvoeren met betrekking tot de Verwerking van Verzamelde gegevens en/of Persoonsgegevens voor de Toegestane Doeleinden en/of waar nodig overleggen met de toepasselijke gegevensbeschermingsautoriteiten.  Elke partij zal alle redelijke medewerking en informatie verstrekken die redelijkerwijs door de andere partij wordt gevraagd, wanneer dit nodig is om de andere partij in staat te stellen een gegevensbeschermingseffectbeoordeling uit te voeren en/of te overleggen met de toepasselijke gegevensbeschermingsautoriteiten in overeenstemming met de verplichtingen van die andere partij op grond van dit artikel 11.

 

A. LIJST VAN PARTIJEN

Elke partij is:

      • een verwerkingsverantwoordelijke (en gegevensexporteur) van Verzamelde gegevens die hij aan de andere partij bekendmaakt of ter beschikking stelt, en
      • een gegevensbeheerder (en gegevensimporteur) van Verzamelde gegevens die hij ontvangt van of waartoe toegang wordt verleend door de andere partij.

De gegevens van elke partij worden hieronder gegeven.

Naam: Zie de gegevens van de Adverteerder zoals uiteengezet in de Overeenkomst.

Adres: Zie de gegevens van de Adverteerder zoals uiteengezet in de Overeenkomst.

naam, functie en contactgegevens van de contactpersoon: Zie de gegevens van Adverteerder zoals vastgelegd in de Overeenkomst of anderszins schriftelijk tussen partijen is overeengekomen.

Activiteiten die relevant zijn voor de gegevens die op grond van deze bepalingen worden doorgegeven: De ontvangst van de Diensten, zoals uiteengezet in de Overeenkomst.

Handtekening en datum: Deze Bijlage A wordt geacht te zijn uitgevoerd na aanvaarding door de Adverteerder van deze Privacyvoorwaarden van de Adverteerder.

Rol (verwerkingsverantwoordelijke/verwerker): Verwerkingsverantwoordelijke (wanneer het een gegevensexporteur is) en Verwerkingsverantwoordelijke (wanneer het een gegevensimporteur is)

 

Naam: Zie de details van Taboola in de inleiding van de overeenkomst.

Adres: Zie de details van Taboola in de inleiding van de overeenkomst.

naam, functie en contactgegevens van de contactpersoon: Het privacyteam van Taboola, privacy@taboola.com.

Activiteiten die relevant zijn voor de gegevens die op grond van deze bepalingen worden doorgegeven: De levering van de Diensten, zoals uiteengezet in de Overeenkomst.

Handtekening en datum: Deze Bijlage A wordt geacht te zijn uitgevoerd na acceptatie door Taboola van deze Privacyvoorwaarden voor adverteerders.

Rol (verwerkingsverantwoordelijke/verwerker): Verwerkingsverantwoordelijke (wanneer het een gegevensexporteur is) en Verwerkingsverantwoordelijke (wanneer het een gegevensimporteur is)

 

B. BESCHRIJVING VAN DE VERWERKING EN OVERDRACHT

Categorieën van betrokkenen van wie persoonsgegevens worden verwerkt en/of overgedragen: Gebruikers

Categorieën van verwerkte en/of overgedragen persoonsgegevens:

Gegevens apparaat: Besturingssysteem, browsertype, browserversie, IP-adres (ingekort binnen 30 dagen) na verzameling, postcode (afgeleid van IP-adres), gehashte Taboola-gebruikers-ID, gehashte e-mails, eerste en volgende paginabezoeken op de website van de Adverteerder, geslacht van de gebruiker (afgeleid uit interesses), betrokkenheidssignalen (tijd op de site, scrolldiepte, sessiediepte), conversiegegevens.

Gegevens over digitale eigendommen die door de gebruiker zijn bezocht: De URL van de bezochte pagina, de verwijzende website

Doorgegeven gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of waarborgen die ten volle rekening houden met de aard van de gegevens en de risico’s die ermee gepaard gaan, zoals bijvoorbeeld strikte doelbinding, toegangsbeperkingen (inclusief alleen toegang voor personeel dat een gespecialiseerde opleiding heeft gevolgd), het bijhouden van een register van toegang tot de gegevens, beperkingen voor verdere doorgifte of aanvullende beveiligingsmaatregelen: Niet van toepassing.

De frequentie van de verwerking en/of overdracht (bv. of de gegevens eenmalig of doorlopend worden verwerkt en/of overgedragen): Doorlopend voor de duur van de Overeenkomst.

Aard van de verwerking: Verwerking van Persoonsgegevens die noodzakelijk zijn voor het leveren van de Diensten, zoals uiteengezet in de Overeenkomst.

Doel(en) van de gegevensverwerking/overdracht en verdere verwerking: De levering van de Diensten, zoals uiteengezet in de Overeenkomst. Voor alle duidelijkheid: de Toegestane Doeleinden omvatten: (i) het opslaan en/of openen van informatie op een apparaat; (ii) het selecteren van basisadvertenties; (iii) het maken van een gepersonaliseerd advertentieprofiel; (iv) het selecteren van gepersonaliseerde advertenties; (v) het maken van een gepersonaliseerd inhoudsprofiel; (vi) het selecteren van gepersonaliseerde inhoud; (vii) het meten van de prestaties van advertenties; (viii) het meten van de prestaties van de inhoud; ix) het ontwikkelen en verbeteren van producten; (x) het waarborgen van beveiliging, het voorkomen van fraude en foutopsporing; (xi) het technisch leveren van advertenties of inhoud; xii) het matchen en combineren van offline gegevensbronnen; (xiii) het koppelen van verschillende apparaten; (xiv) het ontvangen en gebruiken van automatisch verzonden apparaatkenmerken voor identificatie; (xv) het gebruik van beperkte gegevens om inhoud te selecteren, en (xvi) uDoelgroepen bereiken door middel van statistieken.

De periode gedurende welke de persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen:

      • Taboola: Ruwe data wordt maximaal 13 maanden bewaard.
      • Advertiser: Zo lang als nodig is om de Diensten te ontvangen of zoals anderszins gespecificeerd in de Overeenkomst.

Vermeld bij doorgiften aan (sub)verwerkers ook het onderwerp, de aard en de duur van de verwerking: Niet van toepassing.

 

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

Bevoegde toezichthoudende autoriteit waar de EU AVG van toepassing is: De bevoegde toezichthoudende autoriteit voor elke partij is als volgt:

      • Taboola: De bevoegde toezichthoudende autoriteit wordt bepaald in overeenstemming met clausule 13 van de modelcontractbepalingen van de EU.
      • Advertiser: De bevoegde toezichthoudende autoriteit wordt bepaald in overeenstemming met clausule 13 van de modelcontractbepalingen van de EU.

Bevoegde toezichthoudende autoriteit waar de Britse AVG van toepassing is: Het Information Commissioner’s Office

 

Beschrijving van de technische en organisatorische maatregelen die door elke partij zijn genomen (met inbegrip van eventuele relevante certificeringen) om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking, en de risico’s voor de rechten en vrijheden van natuurlijke personen.

Maatregelen voor pseudonimisering en versleuteling van persoonsgegevens: Taboola verzamelt alleen gepseudonimiseerde gegevens, wat betekent dat we niet weten wie je bent omdat we de naam, het e-mailadres of andere identificeerbare gegevens van de gebruiker niet kennen of verwerken. Gebruikersinformatie die we verzamelen, omvat, maar is niet beperkt tot, informatie over het apparaat en besturingssysteem van een gebruiker, het IP-adres, de webpagina’s die door gebruikers worden geopend op de websites van onze klanten, de link die een gebruiker naar de website van een klant heeft geleid, de datums en tijden waarop een gebruiker de website van een klant bezoekt en andere browsegegevens. De CookieID wordt geanonimiseerd met behulp van Bcrypt en het IP-adres wordt ingekort.

Maatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen: Taboola maakt gebruik van meerdere niveaus van elektronische beveiliging (bijvoorbeeld: eindpuntbeveiliging, serverbeveiliging, het volgen van detecties, periodieke penetratietests en diepgaande inlichtingenverzameling om post-mortem gebeurtenissen te beoordelen).

Maatregelen om ervoor te zorgen dat de beschikbaarheid van en toegang tot persoonsgegevens tijdig kan worden hersteld in geval van een fysiek of technisch incident: Taboola onderhoudt 9 datacenters over de hele wereld. Elk datacenter wordt gebruikt als een replicatie van elkaar, dus als er een uitvalt, kunnen de gegevens uit een ander datacenter worden geëxtraheerd.

Processen voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen: Taboola handhaaft strikte processen voor het testen van de effectiviteit van haar controles (zowel technisch als organisatorisch). We hebben systeemlogging en -monitoring, maandelijkse (minstens) DR-tests, driemaandelijkse penetratietests, firewalls die het web beschermen en honeypots verspreid over het netwerk om kwaadaardige activiteiten op te sporen. Bovendien hebben we een bounty-programma dat ons helpt om ons netwerk constant te monitoren.

Maatregelen voor de identificatie en autorisatie van de gebruiker: Elke gebruiker in Taboola is gekoppeld aan een speciale gebruikersnaam en wachtwoord. Elke toegang tot het interne netwerk van Taboola gebeurt met 2FA met behulp van Google-authenticatie. Gebruikers worden alleen aangemaakt door de IT-afdeling, tijdens het onboardingproces en pas na ontvangst van alle details en het ondertekende contract van de HR-afdeling.

Maatregelen voor de bescherming van gegevens tijdens de overdracht: Taboola ondersteunt elke gegevensoverdracht via beveiligde transmissieprotocollen (minimaal HTTPS en TLS v1.2). Bovendien worden systemen die PII kunnen bevatten beveiligd en worden gegevens gehasht en geanonimiseerd bewaard.

Maatregelen voor de bescherming van gegevens tijdens de opslag: Gegevens die in onze databases worden opgeslagen, worden geanonimiseerd en gehasht met behulp van Bcrypt. De toegang tot de DB is geminimaliseerd en gebaseerd op het ‘business need to know’-principe.

Maatregelen ter waarborging van de fysieke beveiliging van locaties waar persoonsgegevens worden verwerkt: Elk van de wereldwijde datacenters van Taboola (in de VS, Europa en Azië) heeft al zijn servers in afgesloten kasten die exclusief voor gebruik door Taboola worden onderhouden. Deze kasten worden onderhouden door bedrijven die SOC2-gecertificeerd zijn of Taboola hun beveiligingsmaatregelen heeft herzien. Verder is voor toegang tot de servers schriftelijke, gelogde toestemming vereist. Alle Taboola-kantoren worden ook gecontroleerd en vereisen dat werknemers toegangskaarten gebruiken om binnen te komen. Verder heeft slechts een beperkt aantal medewerkers toegang tot de servers van Taboola en is voor elke toegang ook schriftelijke, gelogde toestemming vereist.

Maatregelen om ervoor te zorgen dat gebeurtenissen worden geregistreerd: Taboola implementeert monitoringtools en logboeken worden verzameld in ons SIEM-systeem dat ons waarschuwt bij elke verdachte gebeurtenis en ook wordt gecontroleerd door het NOC-team.

Maatregelen om de systeemconfiguratie te waarborgen, inclusief standaardconfiguratie: Servers worden gescand op zowel configuratiedrift als patchniveau. Rapportage en/of waarschuwingen worden op beide ingesteld en het relevante patchniveau wordt bevestigd. Nieuwe patches worden gedistribueerd met behulp van Puppet. Alle technische beoordelingen worden beheerd via de R&D-applicatie en verkregen via een formeel proces van beoordeling (QA) nadat ook coderings- en CI/CD-processen zijn geïmplementeerd.

Maatregelen voor interne IT en IT-security governance en management: Taboola is ISO 27001:2013 en 27701 gecertificeerd. Taboola heeft een informatiebeveiligingsbeleid waarin staat dat de Raad van Bestuur en het management van Taboola zich inzetten voor het behoud van de vertrouwelijkheid, integriteit en beschikbaarheid van alle fysieke en elektronische informatiemiddelen in hun hele organisatie. Taboola organiseert beveiligingstrainingen voor alle nieuwe medewerkers, phishing-trainingen voor alle medewerkers wereldwijd, en regelmatige beveiligingstrainingen voor alle medewerkers en ook sessies voor R&D-groepen.

Maatregelen voor certificering/borging van processen en producten: Driemaandelijkse / halfjaarlijkse / jaarlijkse interne audit op meerdere processen en systemen om te valideren dat Taboola voldoet aan de gedefinieerde beveiligingsdoelen en -maatregelen.

Maatregelen om gegevensminimalisatie te waarborgen: Taboola beperkt opzettelijk de gegevens die we verzamelen als onderdeel van Taboola’s wereldwijde gegevensminimalisatieprincipes om alleen de beperkte gegevens te verwerken die nodig zijn voor onze specifieke zakelijke doeleinden. Bovendien heeft Taboola niet de mogelijkheid, noch enige zakelijke behoefte, om een van de datapunten die in ons algoritme worden gebruikt om onze diensten te leveren, te “reverse-engineeren”. Meer specifiek zijn de gegevenspunten die Taboola verzamelt nooit een indicatie van de identiteit van een gebruiker, aangezien Taboola geen informatie verzamelt of verwerkt zoals de naam, het telefoonnummer, het e-mailadres of fysieke adressen van de gebruiker. In plaats daarvan verzamelt Taboola alleen pseudonieme identificatiegegevens, die alleen kenmerken van het apparaat van een gebruiker identificeren. Dit omvat IP-adressen (die bij het verzamelen worden afgekapt en alleen de algemene postcodelocatie van het apparaat kunnen identificeren, maar nooit een precieze geolocatie) en, in sommige beperkte gevallen, gehashte e-mailadressen (die inherent onomkeerbaar zijn en niet kunnen worden gedecodeerd om het oorspronkelijke e-mailadres te onthullen). Bovendien kunnen de gegevens die we verzamelen, zelfs wanneer ze gezamenlijk worden gebruikt, nooit de naam, het telefoonnummer, het e-mailadres of het fysieke adres van een persoon opleveren, en onze technici werken op geen enkele manier om dit doel te bereiken. Daarnaast maakt en registreert Taboola privacy-impactbeoordelingen in een poging om de privacyrisico’s van onze diensten, processen en beleid te minimaliseren.

Maatregelen om de kwaliteit van de gegevens te waarborgen: De gegevens worden rechtstreeks van de gebruiker verzameld en de gebruiker krijgt de mogelijkheid om alle gegevens die verband houden met zijn CookieID te corrigeren via het Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access

Maatregelen om de bewaring van gegevens te beperken: We bewaren Gebruikersgegevens, die rechtstreeks worden verzameld met het oog op het weergeven van advertenties, gedurende ten hoogste dertien (13) maanden vanaf de laatste interactie van de Gebruiker met onze Diensten (vaak voor een kortere periode), waarna we de gegevens anonimiseren door unieke ID’s te verwijderen of de gegevens samen te voegen. Dit proces wordt automatisch uitgevoerd.

Maatregelen om de verantwoordingsplicht te waarborgen: Taboola doet meerdere beveiligingsaudits en penetratietesten (maar niet voor alle systemen). Taboola maakt ook gebruik van cloudproviders die ISO-gecertificeerd zijn en die voldoen aan andere cloud-relevante certificeringen voor het handhaven van de fysieke beveiligingen van een server.

Maatregelen om de overdraagbaarheid van gegevens mogelijk te maken en de verwijdering ervan te waarborgen: Taboola met betrekking tot het weggooien van media, hetzelfde voor alle soorten media, omdat het PII kan bevatten. Alle media moeten volledig worden gewist voordat ze opnieuw worden gebruikt of weggegooid. Elke verwijdering van media wordt gedocumenteerd. Medewerkers worden geïnstrueerd om geen papier af te drukken dat persoonlijke informatie kan bevatten.

  1. Voor zover een partij een Beperkte overdracht van Verzamelde gegevens naar de andere partij doet, worden de Standaardcontractbepalingen opgenomen in deze Privacyvoorwaarden van de Adverteerder en zijn ze als volgt van toepassing:
    1. indien de Beperkte Doorgifte een Beperkte Doorgifte in de EU is, zijn de EU-SCC’s als volgt van toepassing tussen de partijen:
      1. Module één is van toepassing;
      2. in clausule 7 is de optionele dockingclausule van toepassing;
      3. in clausule 11 is de optionele taal niet van toepassing;
      4. in clausule 17 is optie 1 van toepassing en worden de EU-SCC’s beheerst door Iers recht;
      5. in clausule 18(b) worden geschillen beslecht voor de rechtbanken van Ierland;
      6. Deel A, B en C van Bijlage I worden geacht te zijn ingevuld met de informatie die is uiteengezet in Deel A, B en C van Bijlage A bij deze Privacyvoorwaarden voor adverteerders; en
      7. Bijlage II wordt geacht te zijn voltooid met de beveiligingsmaatregelen die zijn uiteengezet in Bijlage B bij deze Privacyvoorwaarden voor adverteerders;
    2. wanneer de Beperkte overdracht een Beperkte overdracht in het VK is, is het Addendum voor het VK als volgt van toepassing tussen de partijen:
      1. de EU-SCC’s, aangevuld zoals hierboven uiteengezet, zijn van toepassing tussen de partijen en worden gewijzigd door het addendum van het VK (aangevuld zoals uiteengezet in subclausule (ii) hieronder); en
      2. de tabellen 1 tot en met 3 van het Addendum van het VK worden geacht te zijn ingevuld met relevante informatie uit de modelcontractbepalingen van de EU, ingevuld zoals hierboven uiteengezet, en de opties “Exporteur” en “Importeur” worden geacht in tabel 4 te zijn aangevinkt. De ingangsdatum van het Addendum Verenigd Koninkrijk (zoals uiteengezet in tabel 1) is de Ingangsdatum van deze Privacyvoorwaarden voor adverteerders.
  2. Verdere beperkte overdrachten:  Geen van de partijen zal geen verdere Beperkte Overdracht uitvoeren van Verzamelde gegevens die zij van de andere partij ontvangen, tenzij zij alle handelingen en dingen heeft gedaan die nodig zijn om ervoor te zorgen dat de dergelijke verdere Beperkte Overdracht in overeenstemming is met de Toepasselijke Gegevensbeschermingswetgeving en eventuele Standaardcontractbepalingen die zij met de andere partij is overeengekomen.