Privacyvoorwaarden voor adverteerders

Last Update: November 14, 2025

Ingangsdatum:  14 augustus 2023

Deze privacyvoorwaarden voor adverteerders van Taboola (“Privacyvoorwaarden voor adverteerders”) zijn van toepassing op de digitale advertentiediensten van Taboola, bijvoorbeeld wanneer Taboola content van adverteerders verspreidt via haar distributieplatform, Taboola Dynamic Creative Optimization (DCO), of GenAI Landing Page op basis van een overeenkomst tussen Taboola en een adverteerder (“Overeenkomst”). Deze Privacyvoorwaarden voor adverteerders worden geacht te zijn opgenomen in, en een integraal onderdeel te vormen van, een dergelijke Overeenkomst.  Deze privacyvoorwaarden voor adverteerders beschrijven de rollen en verantwoordelijkheden van Taboola en de adverteerder met betrekking tot persoonsgegevens.

Indien er een conflict bestaat tussen de Privacyvoorwaarden voor Adverteerders en de Overeenkomst, prevaleren de Privacyvoorwaarden voor Adverteerders voor zover dat conflict zich voordoet, tenzij de tegenstrijdige bepaling in de Overeenkomst uitdrukkelijk verwijst naar de tegenstrijdige bepaling in deze Privacyvoorwaarden voor Adverteerders en bepaalt dat deze voorrang heeft boven die tegenstrijdige bepaling.

De in dit gedeelte gedefinieerde termen hebben de hieronder vermelde betekenissen, en verwante termen dienen dienovereenkomstig te worden uitgelegd. Termen met een hoofdletter die in de Privacyvoorwaarden voor Adverteerders worden gebruikt maar niet zijn gedefinieerd, hebben de betekenis zoals gedefinieerd in de Overeenkomst.

      1. Toepasselijke wetgeving inzake gegevensbescherming” betekent alle federale, nationale, staats- of andere wetten inzake privacy en gegevensbescherming die van toepassing zijn op de verwerking die het onderwerp is van de overeenkomst en deze adverteerdersvoorwaarden, zoals deze van tijd tot tijd kunnen worden gewijzigd of vervangen.
      2. Verzamelde gegevens” betekent de persoonsgegevens die elke partij verzamelt van betrokkenen op of via hun servers of netwerken (inclusief alle passief verzamelde of machineleesbare gegevens, zoals gegevens gebaseerd op browsertype en apparaatidentificaties) in verband met de levering of ontvangst van de diensten.
      3. Verantwoordelijke” betekent: (i) een entiteit die de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt, en (ii) elke persoon die valt onder de definitie van “verantwoordelijke” (of een wezenlijk vergelijkbare term) zoals gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming.
      4. Californische privacywetgeving” betekent de California Consumer Privacy Act van 2018, Cal. Artikel 1798.100 e.v. van het Burgerlijk Wetboek (“CCPA”), zoals gewijzigd (inclusief door de California Privacy Rights Act), en alle ondergeschikte wetgeving en uitvoeringsvoorschriften.
      5. Betrokkene” betekent: (i) een geïdentificeerde of identificeerbare natuurlijke persoon (en voor deze doeleinden is een identificeerbare natuurlijke persoon iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of aan de hand van een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon), en (ii) elke persoon die valt onder de definitie van de term “betrokkene”, “consument” (of een vergelijkbare term) zoals gedefinieerd in de wetgeving inzake gegevensbescherming.
      6. “EU EU” betekent: (i) de Algemene Verordening Gegevensbescherming van de EU (Verordening 2016/679) (“EU ”); (ii) de e-Privacyrichtlijn van de EU (Richtlijn 2002/58/EG); en (iii) alle nationale gegevensbeschermingswetten die zijn vastgesteld op grond van of overeenkomstig (i) of (ii), zoals deze van tijd tot tijd kunnen worden gewijzigd of vervangen.
      7. Toegestane doeleinden” heeft de betekenis zoals omschreven in artikel 3.
      8. Persoonsgegevens” betekent alle informatie die betrekking heeft op een betrokkene (inclusief, waar vereist door de toepasselijke wetgeving inzake gegevensbescherming, unieke browser- of apparaatidentificaties), zoals uiteengezet in Bijlage A, Deel B.
      9. Verwerking” betekent elke handeling of reeks handelingen die wordt uitgevoerd op persoonsgegevens of sets persoonsgegevens, al dan niet met behulp van geautomatiseerde middelen, zoals het verzamelen, ontvangen, registreren, organiseren, structureren, gebruiken, verzenden, inzien, delen, openbaar maken, overdragen, opslaan, aanpassen of wijzigen, opvragen, raadplegen, verspreiden of anderszins beschikbaar stellen, afstemmen of combineren, aggregeren, afleiden, analyseren, beperken, wissen, vernietigen of verwijderen of andere handelingen met persoonsgegevens, inclusief de manier waarop deze term is gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming.
      10. Verwerker” betekent: (i) een entiteit die persoonsgegevens verwerkt namens een verwerkingsverantwoordelijke, en (ii) elke persoon die valt onder de definitie van “verwerker” (of een wezenlijk vergelijkbare term) zoals gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming.
      11. Beperkte overdracht” betekent: (i) wanneer de EU GDPR van toepassing is, een overdracht van persoonsgegevens van de EER naar een land buiten de EER dat niet onderworpen is aan een adequaatheidsbesluit van de Europese Commissie (een “beperkte overdracht van de EU”); en (ii) wanneer de UK GDPR van toepassing is, een overdracht van persoonsgegevens van het Verenigd Koninkrijk naar een ander land dat niet onderworpen is aan of gebaseerd is op adequaatheidsvoorschriften op grond van artikel 17A van de Britse Data Protection Act 2018 (een “beperkte overdracht van het UK”).
      12. Verkoop” en “Verkopen” betekenen het uitwisselen van persoonsgegevens voor geld of een andere waardevolle tegenprestatie, en omvatten de definities van deze termen zoals vastgelegd in de toepasselijke wetgeving inzake gegevensbescherming.
      13. Diensten” betekent diensten die door Taboola worden geleverd krachtens de overeenkomst met de adverteerder.
      14. Beveiligingsincident” betekent een inbreuk op de beveiliging die leidt tot de accidentele of onrechtmatige vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking van of de toegang tot persoonsgegevens.
      15. Standard Contractual Clauses” betekent: (i) waar de EU GDPR van toepassing is, de contractbepalingen die zijn bijgevoegd bij het uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021 betreffende standard contractual clauses voor de overdracht van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad (“EU SCCs”); en (ii) waar de UK GDPR van toepassing is, het “International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” uitgegeven door de Information Commissioner op grond van artikel 119A(1) van de DPA 2018 (“UK Addendum”).
      16. Derde partij” betekent een onderneming die optreedt als verwerkingsverantwoordelijke met betrekking tot persoonsgegevens, en die niet de onderneming is waarmee de betrokkene wiens persoonsgegevens worden verwerkt, opzettelijk contact heeft gehad; de term omvat de definitie zoals die is vastgelegd in de toepasselijke wetgeving inzake gegevensbescherming.
      17. UK wetgeving inzake gegevensbescherming” betekent: (i) de UK Data Protection Act 2018, (ii) de UK GDPR (zoals gedefinieerd in artikel 3(10) van de UK Data Protection Act 2018) (“UK GDPR”), (iii) de UK Privacy and Electronic Communications (EC Directive) Regulations 2003), en (iv) alle andere UK wetten die zijn vastgesteld op grond van of overeenkomstig (i), (ii) of (iii), zoals deze van tijd tot tijd kunnen worden gewijzigd of vervangen.

Elke partij verwerkt de verzamelde gegevens die zij van de andere partij verzamelt of ontvangt voor de doeleinden zoals uiteengezet in Bijlage A, Deel B (de “Toegestane Doeleinden“).  De adverteerder stemt ermee in dat Taboola de verzamelde gegevens verwerkt zoals toegestaan ​​door het privacybeleid van Taboola (wat, ter voorkoming van misverstanden, tevens een toegestaan ​​doel voor Taboola is).

Voor zover de verzamelde gegevens kwalificeren als, of persoonsgegevens bevatten, in de zin van de toepasselijke wetgeving inzake gegevensbescherming, zal elke partij de verzamelde gegevens die zij van de andere partij verzamelt of ontvangt verwerken als verwerkingsverantwoordelijke (wat, waar de Californische privacywetgeving van toepassing is, ook kan inhouden dat zij als derde partij optreedt).  Openbaarmaking (hetzij door overdracht, hetzij doordat een partij gegevens ter beschikking stelt aan de andere partij) van verzamelde gegevens of persoonsgegevens van de ene partij aan de andere, wordt beschouwd als openbaarmaking aan derden.

      1. Indien de Amerikaanse of een Amerikaanse staatswetgeving inzake gegevensbescherming van toepassing is op de verzamelde gegevens, inclusief maar niet beperkt tot de Californische privacywetgeving, en voor zover Realize Pixels (voorheen “Taboola Pixels” genaamd) die in verband met de Diensten worden gebruikt om persoonsgegevens van een Bezoeker te verwerken, treedt Taboola op als derde partij voor de Adverteerder met betrekking tot dergelijke persoonsgegevens. Taboola zal deze persoonsgegevens verwerken voor de toegestane doeleinden. Dergelijke persoonsgegevens worden alleen aan Taboola verstrekt voor de toegestane doeleinden.  Taboola biedt hetzelfde niveau van privacybescherming als vereist is van bedrijven door de toepasselijke Amerikaanse wetgeving inzake gegevensbescherming, inclusief, indien van toepassing, de privacywetgeving van Californië. Taboola zal de adverteerder binnen de door de toepasselijke wetgeving inzake gegevensbescherming vereiste termijn informeren indien Taboola vaststelt dat zij niet langer aan haar verplichtingen onder de toepasselijke wetgeving inzake gegevensbescherming kan voldoen. Na kennisgeving aan Taboola heeft de adverteerder het recht om redelijke en passende maatregelen te nemen om ongeoorloofd gebruik van persoonsgegevens die aan Taboola ter beschikking worden gesteld, te stoppen en te herstellen.

De partijen erkennen dat sommige of alle verzamelde gegevens als persoonsgegevens kunnen worden aangemerkt of deze kunnen bevatten, en dat derhalve de toepasselijke wetgeving inzake gegevensbescherming van toepassing kan zijn op de verwerking van de verzamelde gegevens door elke partij.  In dat geval, en met inachtneming van artikel 7, is elke partij individueel verantwoordelijk voor haar eigen naleving van de toepasselijke wetgeving inzake gegevensbescherming, inclusief eventuele vereisten om: (i) transparantie te bieden aan betrokkenen, (ii) toestemming of een andere wettelijke grondslag voor de verwerking te verkrijgen, en (iii) een contactpunt beschikbaar te stellen waar betrokkenen hun rechten inzake gegevensbescherming kunnen uitoefenen.

Indien een van beide partijen de verzamelde gegevens beperkt overdraagt ​​aan de andere partij, zijn de bepalingen van bijlage C van toepassing.

a. Taboola maakt gebruik van Realize Pixels om de diensten te leveren.  Niettegenstaande artikel 5, geldt voor zover Taboola gegevens verzamelt van de digitale eigendommen van de adverteerder (zoals websites, mobiele applicaties of anderszins) met behulp van Realize Pixels: (i) dat de adverteerder alle vereiste transparantiekennisgevingen aan de betrokkenen verstrekt over het gebruik van Realize Pixels door Taboola om gegevens te verzamelen van de digitale eigendommen van de adverteerder voor de toegestane doeleinden, en (ii) dat de betrokkene toestemming verkrijgt (en op elk moment op verzoek van Taboola passend bewijs daarvan levert) voor dergelijk gebruik van Realize Pixels voor de toegestane doeleinden, in elk geval in overeenstemming met de vereisten van de toepasselijke wetgeving inzake gegevensbescherming.  De verplichtingen van de adverteerder in dit verband omvatten onder meer het expliciet vermelden van Taboola en het gebruik van Realize Pixels voor de toegestane doeleinden in de transparantieverklaringen en de toestemmingsverzoeken die de adverteerder aan betrokkenen verstrekt, evenals alle andere informatie die vereist is door de toepasselijke wetgeving inzake gegevensbescherming, zodat Taboola haar diensten rechtmatig via dergelijke digitale platforms kan aanbieden en verzamelde gegevens en persoonsgegevens kan verwerken voor de toegestane doeleinden. Indien de adverteerder gebruikmaakt van Taboola’s Gen AI Landing Page-service, zal Taboola een transparante kennisgeving verstrekken en toestemming van de gebruiker verkrijgen.

b. Op schriftelijk verzoek zal Taboola de adverteerder de informatie verstrekken die nodig is met betrekking tot de Realize Pixels en de verwerking door Taboola van verzamelde gegevens via de digitale platforms van de adverteerder, zodat de adverteerder kan waarborgen dat zijn kennisgevings- en toestemmingsmechanismen voldoen aan de toepasselijke wetgeving inzake gegevensbescherming.  Adverteerders mogen geen Realize Pixels activeren, tenzij en totdat de noodzakelijke transparantie is geboden en alle vereiste toestemmingen volgens de toepasselijke wetgeving inzake gegevensbescherming zijn verkregen.

c. De adverteerder dient de betrokkenen tevens te informeren over hoe zij hun rechten inzake gegevensbescherming kunnen uitoefenen op grond van de toepasselijke wetgeving inzake gegevensbescherming, en een contactpunt te verstrekken waar betrokkenen terecht kunnen om hun rechten uit te oefenen. De adverteerder dient Taboola onmiddellijk op de hoogte te stellen indien en voor zover hij een verzoek ontvangt met betrekking tot de verwerking van verzamelde gegevens door Taboola als verwerkingsverantwoordelijke, zodat Taboola aan het verzoek kan voldoen in overeenstemming met zijn verplichtingen onder de toepasselijke wetgeving inzake gegevensbescherming.

Indien Taboola, op verzoek van de adverteerder, persoonsgegevens doorgeeft aan de attributiepartner van de adverteerder of aan de adverteerder zelf voor attributiedoeleinden, verklaart en garandeert de adverteerder dat: (i) de attributiepartner een verwerker is namens de adverteerder; (ii) tenzij deze gegevens onafhankelijk zijn verzameld, de adverteerder en de attributiepartner deze persoonsgegevens uitsluitend zullen gebruiken voor attributiedoeleinden; en (iii) de attributiepartner en de adverteerder alle doorgegeven persoonsgegevens zullen verwijderen binnen dertig (30) dagen nadat de bezoeker voor het laatst is geïdentificeerd als afkomstig van Taboola.

Elke partij dient passende technische en organisatorische beveiligingsmaatregelen te treffen om de verzamelde gegevens en/of persoonsgegevens die zij verwerkt te beschermen tegen een beveiligingsincident.  Deze maatregelen omvatten de maatregelen die zijn opgenomen in bijlage B.

Indien een van beide partijen een beveiligingsincident ondervindt met betrekking tot verzamelde gegevens en/of persoonsgegevens die zij verwerkt en die het onderwerp zijn van de overeenkomst en deze privacyvoorwaarden voor adverteerders, is die partij verplicht: (i) (op eigen kosten) te voldoen aan alle meldingsverplichtingen die op haar van toepassing zijn krachtens de toepasselijke wetgeving inzake gegevensbescherming jegens gegevensbeschermingsautoriteiten en/of betrokkenen, (ii) de andere partij onverwijld op de hoogte te stellen en daarbij alle informatie over het beveiligingsincident te verstrekken die redelijkerwijs door de andere partij kan worden gevraagd of die anderszins nodig is om de andere partij in staat te stellen te bepalen of zij ook meldingsverplichtingen heeft krachtens de toepasselijke wetgeving inzake gegevensbescherming met betrekking tot het beveiligingsincident, en (iii) onverwijld alle passende maatregelen te nemen om de gevolgen van het beveiligingsincident te verhelpen en/of te beperken.

Waar en voor zover vereist door de toepasselijke wetgeving inzake gegevensbescherming waaraan elke partij is onderworpen, zal elke partij een gegevensbeschermingseffectbeoordeling uitvoeren met betrekking tot de verwerking van verzamelde gegevens en/of persoonsgegevens voor de toegestane doeleinden en/of, indien nodig, overleg plegen met de toepasselijke gegevensbeschermingsautoriteiten.  Elke partij zal alle redelijke medewerking en informatie verstrekken die redelijkerwijs door de andere partij wordt gevraagd, voor zover dit nodig is om de andere partij in staat te stellen een gegevensbeschermingseffectbeoordeling uit te voeren en/of overleg te plegen met de relevante gegevensbeschermingsautoriteiten in overeenstemming met de verplichtingen van die andere partij onder dit artikel 11.

 

A. LIJST VAN PARTIJEN

Elke partij zal zijn:

      • een gegevensbeheerder (en gegevensexporteur) van verzamelde gegevens die hij aan de andere partij openbaar maakt of ter beschikking stelt, en
      • een gegevensbeheerder (en gegevensimporteur) van verzamelde gegevens die het ontvangt van, of waartoe toegang wordt verleend door, de andere partij.

De details van elke partij worden hieronder vermeld.

Naam: Zie de gegevens van de adverteerder zoals vermeld in de overeenkomst.

Adres: Zie de gegevens van de adverteerder zoals vermeld in de overeenkomst.

Naam, functie en contactgegevens van de contactpersoon: Zie de gegevens van de adverteerder zoals vermeld in de overeenkomst of zoals anders schriftelijk tussen de partijen is overeengekomen.

Activiteiten die relevant zijn voor de gegevens die onder deze bepalingen worden overgedragen: De ontvangst van de diensten, zoals beschreven in de overeenkomst.

Handtekening en datum: Deze Bijlage A wordt geacht te zijn ondertekend zodra de Adverteerder deze Privacyvoorwaarden voor Adverteerders accepteert.

Rol (controller/processor): Controller (indien het een gegevensexporteur is) en Controller (indien het een gegevensimporteur is)

 

Naam: Zie de gegevens van Taboola in de inleiding van de overeenkomst.

Adres: Zie de gegevens van Taboola in de inleiding van de overeenkomst.

Naam, functie en contactgegevens van de contactpersoon: Het privacyteam van Taboola is bereikbaar via taboola.com.

Activiteiten die relevant zijn voor de gegevens die onder deze bepalingen worden overgedragen: De levering van de diensten, zoals uiteengezet in de overeenkomst.

Handtekening en datum: Deze Bijlage A wordt geacht te zijn ondertekend zodra Taboola deze Privacyvoorwaarden voor Adverteerders accepteert.

Rol (controller/processor): Controller (indien het een gegevensexporteur is) en Controller (indien het een gegevensimporteur is)

 

B. BESCHRIJVING VAN DE VERWERKING EN OVERDRACHT

Categorieën van betrokkenen van wie de persoonsgegevens worden verwerkt en/of overgedragen: Gebruikers

Categorieën persoonsgegevens die worden verwerkt en/of overgedragen:

Apparaatgegevens: Besturingssysteem, browsertype, browserversie, IP-adres (ingekort tot 30 dagen oud) van verzameling, postcode (afgeleid van IP-adres), gehashte Taboola gebruikers-ID, gehashte e-mailadressen, eerste en volgende paginabezoeken op de website van de adverteerder, geslacht van de gebruiker (afgeleid uit interesses), engagement-signalen (tijd op de site, scrolldiepte, sessiediepte), conversiegegevens.

Gegevens over de digitale eigendommen die door de gebruiker zijn bezocht: De URL van de bezochte pagina, de verwijzende website

  • Voor zover DCO deel uitmaakt van de diensten, verwerkt Taboola ook de volgende gegevens:

Apparaatgegevens: Taboola cookie-ID of apparaat-ID (afhankelijk van het platform), gemaskeerd IP-adres, Taboola klik-ID, user agent-string, land, gebruikerstype, inclusief informatie over nieuwe/terugkerende gebruikers (indien gedeeld door de adverteerder), productinformatie (gekoppeld aan de specifieke URL), inclusief prijs en beschikbaarheid van productpagina’s.

Gebeurtenisgegevens: valuta, product-ID’s, order-ID, categorie-ID, categorie, zoekterm, winkelwagengegevens, waarde en campagne-ID’s.

Gevoelige gegevens die worden overgedragen (indien van toepassing) en de toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de daaraan verbonden risico’s, zoals bijvoorbeeld strikte doelbinding, toegangsbeperkingen (waaronder toegang alleen voor personeel dat een gespecialiseerde training heeft gevolgd), het bijhouden van een register van toegang tot de gegevens, beperkingen voor verdere overdracht of aanvullende beveiligingsmaatregelen: Niet van toepassing.

De frequentie van de verwerking en/of overdracht (bijvoorbeeld of de gegevens eenmalig of continu worden verwerkt en/of overgedragen): Doorlopend gedurende de looptijd van de overeenkomst.

Aard van de verwerking: Verwerking van persoonsgegevens die noodzakelijk zijn voor de levering van de diensten, zoals uiteengezet in de overeenkomst.

Doel(en) van de gegevensverwerking/overdracht en verdere verwerking: De levering van de diensten, zoals uiteengezet in de overeenkomst. Om misverstanden te voorkomen, omvatten de Toegestane Doeleinden: (i) het opslaan en/of openen van informatie op een apparaat; (ii) het selecteren van basisadvertenties; (iii) het creëren van een gepersonaliseerd advertentieprofiel; (iv) het selecteren van gepersonaliseerde advertenties; (v) het creëren van een gepersonaliseerd contentprofiel; (vi) het selecteren van gepersonaliseerde content; (vii) het meten van advertentieprestaties; (viii) het meten van contentprestaties; (ix) het ontwikkelen en verbeteren van producten; (x) het waarborgen van de beveiliging, het voorkomen van fraude en het opsporen van fouten; (xi) het technisch leveren van advertenties of content; (xii) het matchen en combineren van offline gegevensbronnen; (xiii) het koppelen van verschillende apparaten; (xiv) het ontvangen en gebruiken van automatisch verzonden apparaatkenmerken voor identificatie; (xv) het gebruiken van beperkte gegevens om content te selecteren; en (xvi) hetbegrijpen van doelgroepen door middel van statistieken.

De periode gedurende welke de persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen:

      • Taboola: Ruwe data wordt maximaal 13 maanden bewaard.
      • Adverteerder: Zolang als nodig is om de diensten te ontvangen of zoals anderszins in de overeenkomst is bepaald.

Bij overdrachten aan (sub)verwerkers dient u ook het onderwerp, de aard en de duur van de verwerking te specificeren: Niet van toepassing.

 

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

Bevoegde toezichthoudende autoriteit waar de EU GDPR van toepassing is: De bevoegde toezichthoudende autoriteit voor elke partij is als volgt:

      • Taboola: De bevoegde toezichthoudende autoriteit wordt bepaald overeenkomstig artikel 13 van de EU SCCs.
      • Adverteerder: De bevoegde toezichthoudende autoriteit wordt bepaald overeenkomstig artikel 13 van de EU SCCs.

Bevoegde toezichthoudende autoriteit waar de UK GDPR van toepassing is: Het Bureau van de Informatiecommissaris

 

Beschrijving van de technische en organisatorische maatregelen die door elke partij zijn getroffen (inclusief eventuele relevante certificeringen) om een ​​passend beveiligingsniveau te waarborgen, rekening houdend met de aard, omvang, context en het doel van de verwerking, en de risico’s voor de rechten en vrijheden van natuurlijke personen.

Maatregelen voor pseudonimisering en versleuteling van persoonsgegevens: Taboola verzamelt alleen gepseudonimiseerde gegevens. Dit betekent dat we niet weten wie u bent, omdat we uw naam, e-mailadres of andere identificeerbare gegevens niet kennen of verwerken. De gebruikersinformatie die we verzamelen omvat onder andere informatie over het apparaat en besturingssysteem van een gebruiker, het IP-adres, de webpagina’s die gebruikers bezoeken op de websites van onze klanten, de link die een gebruiker naar de website van een klant heeft geleid, de data en tijden waarop een gebruiker de website van een klant bezoekt en andere browsegegevens. De CookieID wordt geanonimiseerd met behulp van Bcrypt en het IP-adres wordt ingekort.

Maatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen: Taboola maakt gebruik van meerdere lagen elektronische beveiliging (bijv. endpointbeveiliging, serverbeveiliging, detectietracking, periodieke penetratietests en diepgaande inlichtingenverzameling om incidenten achteraf te analyseren).

Maatregelen om te waarborgen dat de beschikbaarheid van en toegang tot persoonsgegevens tijdig kan worden hersteld in geval van een fysiek of technisch incident: Taboola heeft 9 datacenters die wereldwijd in gebruik zijn. Elk datacenter fungeert als replica van de andere, zodat als er één uitvalt, de gegevens vanuit een ander datacenter kunnen worden overgezet.

Procedures voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen: Taboola hanteert strikte procedures voor het testen van de effectiviteit van haar controles (zowel technische als organisatorische). We hebben systeemregistratie en -monitoring geïmplementeerd, voeren maandelijks (minstens) noodhersteltests uit, doen driemaandelijks penetratietests, hebben firewalls die het internet beschermen en honeypots verspreid over het netwerk om kwaadwillige activiteiten op te sporen. Bovendien hebben we een beloningsprogramma waarmee we ons netwerk continu kunnen monitoren.

Maatregelen voor gebruikersidentificatie en -autorisatie: Elke gebruiker in Taboola heeft een eigen gebruikersnaam en wachtwoord. Elke toegang tot het interne netwerk van Taboola gebeurt met tweefactorauthenticatie (2FA) via Google-authenticatie. Gebruikers worden uitsluitend door de IT-afdeling aangemaakt, tijdens het onboardingproces en pas nadat alle gegevens en het getekende contract door de HR-afdeling zijn ontvangen.

Maatregelen ter bescherming van gegevens tijdens de overdracht: Taboola ondersteunt alle gegevensoverdracht via beveiligde transmissieprotocollen (minimaal HTTPS en TLS v1.2). Bovendien zijn systemen die mogelijk persoonsgegevens bevatten beveiligd en worden gegevens gehasht en geanonimiseerd.

Maatregelen ter bescherming van gegevens tijdens opslag: De gegevens die in onze databases zijn opgeslagen, worden geanonimiseerd en gehasht met behulp van Bcrypt. De toegang tot de database is geminimaliseerd en gebaseerd op het principe van ‘noodzakelijke kennis’.

Maatregelen ter waarborging van de fysieke beveiliging van locaties waar persoonsgegevens worden verwerkt: Elk van Taboola’s wereldwijde datacenters (in de VS, Europa en Azië) heeft zijn servers in afgesloten kasten die uitsluitend voor Taboola-gebruik bestemd zijn. Deze kasten worden onderhouden door bedrijven die SOC2-certified zijn of waarvan de beveiligingsmaatregelen Taboola zijn beoordeeld. Bovendien is voor elke toegang tot de servers schriftelijke, vastgelegde toestemming vereist. Alle kantoren van Taboola zijn ook beveiligd en vereisen dat medewerkers een toegangskaart gebruiken om binnen te komen. Bovendien heeft slechts een beperkt aantal medewerkers toegang tot de servers van Taboola en is voor elke toegang schriftelijke, geregistreerde toestemming vereist.

Maatregelen om ervoor te zorgen dat gebeurtenissen worden vastgelegd: Taboola implementeert monitoringtools en de logbestanden worden verzameld in ons SIEM systeem, dat ons waarschuwt voor verdachte gebeurtenissen. Deze gegevens worden tevens gemonitord door het NOC team.

Maatregelen om de systeemconfiguratie te waarborgen, inclusief de standaardconfiguratie: Servers worden gescand op zowel configuratieafwijkingen als patchniveaus. Rapportage en/of waarschuwingen zijn voor beide ingesteld en het relevante patchniveau is bevestigd. Nieuwe patches worden via Puppet verspreid. Alle technische beoordelingen worden beheerd via de R&D-applicatie en verkregen via een formeel beoordelingsproces (QA) nadat de codeer- en CI/CD processes zijn geïmplementeerd.

Maatregelen voor intern IT- en IT-beveiligingsbeheer en -governance: Taboola is ISO 27001:2013 en 27701 gecertificeerd. Taboola heeft een informatiebeveiligingsbeleid opgesteld waarin staat dat de raad van bestuur en het management van Taboola zich ertoe verbinden de vertrouwelijkheid, integriteit en beschikbaarheid van alle fysieke en elektronische informatieactiva binnen de organisatie te waarborgen. Taboola verzorgt beveiligingstrainingen voor alle nieuwe medewerkers, phishingtrainingen voor alle medewerkers wereldwijd, en regelmatige beveiligingstrainingen voor alle medewerkers, inclusief speciale sessies voor R&D-groepen.

Maatregelen voor certificering/borging van processen en producten: Een interne audit, die elk kwartaal, halfjaarlijks of jaarlijks wordt uitgevoerd, van meerdere processen en systemen om te controleren of Taboola voldoet aan de vastgestelde beveiligingsdoelstellingen en -maatregelen.

Maatregelen om dataminimalisatie te waarborgen: Taboola beperkt bewust de gegevens die we verzamelen als onderdeel van Taboola’s wereldwijde principes van gegevensminimalisatie, waarbij we alleen de beperkte gegevens verwerken die nodig zijn voor onze specifieke bedrijfsdoeleinden. Bovendien heeft Taboola niet de mogelijkheid, noch de zakelijke noodzaak, om de gegevenspunten die in ons algoritme worden gebruikt om onze diensten te leveren, te “reverse engineeren”. Meer specifiek zijn de gegevens die Taboola verzamelt nooit indicatief voor de identiteit van een gebruiker, aangezien Taboola geen informatie verzamelt of verwerkt zoals de naam, het telefoonnummer, het e-mailadres of het fysieke adres van de gebruiker. Taboola verzamelt daarentegen alleen pseudonieme identificatoren, die slechts kenmerken van het apparaat van een gebruiker weergeven. Dit omvat IP-adressen (die bij het verzamelen worden ingekort en alleen de algemene postcode van het apparaat kunnen identificeren, maar nooit een precieze geolocatie) en, in sommige beperkte gevallen, gehashte e-mailadressen (die inherent onomkeerbaar zijn en niet kunnen worden gedecodeerd om het oorspronkelijke e-mailadres te achterhalen). Bovendien kunnen de gegevens die we verzamelen, zelfs wanneer ze gezamenlijk worden gebruikt, nooit de naam, het telefoonnummer, het e-mailadres of het fysieke adres van een individu achterhalen, en onze technici werken er op geen enkele manier aan om dit doel te bereiken. Daarnaast voert Taboola privacy-impactbeoordelingen uit en legt deze vast om de privacyrisico’s van onze diensten, processen en beleidsmaatregelen te minimaliseren.

Maatregelen ter waarborging van de datakwaliteit: De gegevens worden rechtstreeks van de gebruiker verzameld en de gebruiker krijgt de mogelijkheid om eventuele gegevens die aan hun CookieID zijn gekoppeld taboola.com corrigeren via het Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access

Maatregelen om beperkte gegevensbewaring te garanderen: We bewaren gebruikersinformatie die direct is verzameld voor het weergeven van advertenties, gedurende maximaal dertien (13) maanden vanaf de laatste interactie van de gebruiker met onze diensten (vaak gedurende een kortere periode). Na deze periode anonimiseren we de gegevens door unieke identificatoren te verwijderen of de gegevens te aggregeren. Dit proces verloopt automatisch.

Maatregelen om verantwoording te waarborgen: Taboola voert diverse beveiligingsaudits en penetratietests uit (maar niet voor alle systemen). Taboola maakt ook gebruik van cloudproviders die ISO-gecertificeerd zijn en voldoen aan andere cloudgerelateerde certificeringen voor het waarborgen van de fysieke beveiliging van een server.

Maatregelen om dataportabiliteit mogelijk te maken en verwijdering te garanderen: Alle opslagmedia moeten volledig worden gewist voordat ze opnieuw worden gebruikt of worden weggegooid. Elke verwijdering van media wordt gedocumenteerd. Werknemers krijgen de instructie om geen documenten af ​​te drukken die persoonlijke informatie kunnen bevatten.

  1. Voor zover een partij een beperkte overdracht van verzamelde gegevens aan de andere partij verricht, zijn de Standard Contractual Clauses opgenomen in deze privacyvoorwaarden voor adverteerders en gelden deze als volgt:
    1. Indien de beperkte overdracht een EU beperkte overdracht betreft, zijn de EU SCCs) tussen de partijen als volgt van toepassing:
      1. Module 1 is van toepassing;
      2. In clausule 7 is de optionele koppelingsclausule van toepassing;
      3. In clausule 11 is de optionele formulering niet van toepassing;
      4. In clausule 17 is optie 1 van toepassing en worden de EU SCCs beheerst door het Ierse recht;
      5. In artikel 18(b) wordt bepaald dat geschillen worden beslecht door de rechtbanken van Ierland;
      6. Deel A, B en C van Bijlage I worden geacht te zijn aangevuld met de informatie zoals opgenomen in Deel A, B en C van Bijlage A bij deze Privacyvoorwaarden voor Adverteerders; en
      7. Bijlage II wordt geacht te zijn aangevuld met de beveiligingsmaatregelen zoals uiteengezet in Bijlage B bij deze Privacyvoorwaarden voor adverteerders;
    2. Indien de beperkte overdracht een beperkte overdracht UK betreft, is het UK Addendum tussen de partijen als volgt van toepassing:
      1. De EU SCCs, ingevuld zoals hierboven beschreven, zijn van toepassing tussen de partijen en worden gewijzigd door het UK Addendum (ingevuld zoals beschreven in subclausule (ii) hieronder); en
      2. Tabellen 1 tot en met 3 van het UK Addendum worden geacht te zijn ingevuld met de relevante informatie uit de EU SCCs, zoals hierboven beschreven, en de opties “Exporteur” en “Importeur” worden geacht te zijn aangevinkt in tabel 4. De ingangsdatum van het UK Addendum (zoals vermeld in tabel 1) is de ingangsdatum van deze privacyvoorwaarden voor adverteerders.
  2. Doorgaande beperkte transfers:  Geen van beide partijen zal de verzamelde gegevens die zij van de andere partij ontvangen, verder overdragen onder beperkte voorwaarden, tenzij zij alle noodzakelijke handelingen heeft verricht om ervoor te zorgen dat een dergelijke verdere overdracht onder beperkte voorwaarden voldoet aan de toepasselijke wetgeving inzake gegevensbescherming en aan alle Standard Contractual Clauses die zij met de andere partij is overeengekomen.