Aanvulling inzake gegevensbescherming voor RTB- en programmapartners

Last Update: May 29, 2024

Ingangsdatum: 29 mei 2024

Om ervoor te zorgen dat Taboola passende voorwaarden voor gegevensbescherming heeft met onze Programmatic- en RTB-partners (elk een “Partner“), biedt Taboola dit Addendum inzake gegevensbescherming (het “DPA“) aan.

Deze DPA vormt een automatische aanvulling op en maakt deel uit van de bestaande contractuele zakelijke overeenkomst tussen Partner en Taboola met betrekking tot de levering van RTB- en programmatische diensten (“Onderliggende Overeenkomst”).

Alle in deze DPA gebruikte termen die met een hoofdletter zijn geschreven, maar niet in deze DPA zijn gedefinieerd, hebben de betekenis die eraan is gegeven in de onderliggende overeenkomst.  In geval van een conflict tussen deze DPA en de onderliggende overeenkomst, prevaleert deze DPA voor zover dat conflict zich voordoet.

Toepasselijke wetgeving inzake gegevensbescherming” omvat alle toepasselijke federale, nationale, staats- of andere wetten inzake privacy en gegevensbescherming, zoals deze van tijd tot tijd kunnen worden gewijzigd of vervangen, inclusief, indien van toepassing en zonder beperking, de CCPA (zoals hieronder gedefinieerd) en de Europese wetgeving inzake gegevensbescherming.

CCPA” staat voor de California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100 – 1798.199), zoals gewijzigd door de California Privacy Rights Act (Cal. Civ. Code §§ 1798.100 – 1798.199).

Verantwoordelijke” betekent een entiteit die de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt, en omvat elke entiteit die persoonsgegevens verwerkt als een “bedrijf” of “derde partij” in de zin van de CCPA en CPRA.

Data Privacy Framework” of “DPF” verwijst naar het EU-VS-kader voor gegevensbescherming. Kader voor gegevensbescherming en de UK uitbreiding van de EU-VS-overeenkomst DPF zoals vastgesteld door de VS Ministerie van Handel.

Europese wetgeving inzake gegevensbescherming” omvat de EU wetgeving inzake gegevensbescherming en de UK wetgeving inzake gegevensbescherming.

EU gegevensbeschermingswetgeving” betekent: (i) EU verordening 2016/679 (de “EU GDPR”); (ii) EU richtlijn 2002/58/EG; en (iii) de nationale wetgeving van elke EER-lidstaat die is vastgesteld op grond van, overeenkomstig of ter uitvoering van (i) of (ii), of die anderszins betrekking heeft op de verwerking van persoonsgegevens; in elk geval zoals deze van tijd tot tijd is gewijzigd of vervangen.

Persoonsgegevens” betekent alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon, en omvat alle informatie die is gedefinieerd als “persoonsgegevens” of “persoonlijke informatie” zoals gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming.

Toegestaan ​​doel” betekent de realtime biedingsdoeleinden met betrekking tot de koop en verkoop van online advertenties in overeenstemming met de onderliggende overeenkomst, waarvoor Taboola gedeelde gegevens aan de partner openbaar maakt of anderszins ter beschikking stelt voor verwerking, zoals uiteengezet in bijlage I.

Beperkte overdracht” betekent: (i) wanneer de EU GDPR van toepassing is, een overdracht van persoonsgegevens van de EER naar een land buiten de EER dat niet onderworpen is aan een adequaatheidsbesluit van de Europese Commissie (een “beperkte overdracht van de EU”); en (ii) wanneer de UK GDPR van toepassing is, een overdracht van persoonsgegevens van het Verenigd Koninkrijk naar een ander land dat niet onderworpen is aan of gebaseerd is op adequaatheidsvoorschriften op grond van artikel 17A van de Britse Data Protection Act 2018 (een “beperkte overdracht van het UK”).

Beveiligingsincident” betekent een inbreuk op de beveiliging die leidt tot de accidentele of onrechtmatige vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking van of de toegang tot gedeelde gegevens.

Verkopen” en “delen” hebben de betekenis zoals omschreven in de CCPA en CPRA en de bijbehorende uitvoeringsvoorschriften.

Gedeelde gegevens” betekent de categorieën persoonsgegevens die zijn opgenomen in bijlage I van deze gegevensverwerkingsovereenkomst.

Standard Contractual Clauses” betekent: (i) waar de EU GDPR van toepassing is, de contractbepalingen die zijn bijgevoegd bij het uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021 betreffende standard contractual clauses voor de overdracht van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad (“EU SCCs”); en (ii) waar de UK GDPR van toepassing is, het “International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” uitgegeven door de Information Commissioner op grond van artikel 119A(1) van de DPA 2018 (“UK Addendum”).

UK wetgeving inzake gegevensbescherming” betekent: (i) de EU GDPR zoals deze deel uitmaakt van de UK wetgeving krachtens artikel 3 van de European Union (Withdrawal) Act 2018 (de “UK GDPR”); (ii) de Privacy and Electronic Communications (EC Directive) Regulations 2003; (iii) de Data Protection Act 2018; en (iv) alle andere wetten in het UK die zijn vastgesteld op grond van, overeenkomstig of ter uitvoering van (i) of (ii), of die anderszins betrekking hebben op de verwerking van persoonsgegevens; in elk geval zoals van tijd tot tijd gewijzigd of vervangen.

Mits Partner voldoet aan de Onderliggende Overeenkomst en deze DPA, zal Taboola de Gedeelde Gegevens aan Partner bekendmaken of anderszins ter beschikking stellen, zodat Partner deze uitsluitend kan verwerken voor het Toegestane Doel.

De partijen erkennen dat Taboola de verwerkingsverantwoordelijke is van de gedeelde gegevens die zij aan Partner verstrekt, en dat Partner de gedeelde gegevens als verwerkingsverantwoordelijke uitsluitend voor het toegestane doel zal verwerken.

De partner garandeert, verklaart en verbindt zich ertoe dat:

(a) het zal de gedeelde gegevens te allen tijde alleen verwerken voor het toegestane doel en in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming;

(b) het geen reden heeft om aan te nemen dat de toepasselijke wetgeving inzake gegevensbescherming het belet om zijn verplichtingen met betrekking tot de verwerking van gedeelde gegevens voor het toegestane doel na te komen;

(c) indien Partner vaststelt dat het niet in staat is Gedeelde Gegevens te Verwerken voor het Toegestane Doel in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming, zal het Taboola onmiddellijk op de hoogte stellen;

(d) het dient te allen tijde een openbaar toegankelijke privacyverklaring op zijn website te presenteren en te onderhouden die voldoet aan de eisen van de toepasselijke wetgeving inzake gegevensbescherming en die contactgegevens bevat waar betrokkenen vragen kunnen stellen met betrekking tot gegevensbescherming;

(e) het stelt de betrokkenen in staat hun rechten inzake gegevensbescherming uit te oefenen overeenkomstig de toepasselijke wetgeving inzake gegevensbescherming, waaronder (zonder beperking) hun recht om bezwaar te maken tegen de verwerking van hun gedeelde gegevens;

(f) met betrekking tot elke verwerking van gedeelde gegevens die beschermd is onder de Europese wetgeving inzake gegevensbescherming, zal zij:

(g) gedeelde gegevens alleen verwerken wanneer zij daarvoor toestemming heeft, in overeenstemming met de vereisten van de Europese wetgeving inzake gegevensbescherming; en

(h) het zal passende technische en organisatorische maatregelen treffen, waaronder ten minste de maatregelen die in bijlage II zijn opgenomen, om de gedeelde gegevens te beschermen tegen een beveiligingsincident.

Taboola kan redelijke en passende maatregelen nemen om ervoor te zorgen dat de Partner de Gedeelde Gegevens verwerkt overeenkomstig de Onderliggende Overeenkomst en deze DPA op een wijze die in overeenstemming is met de toepasselijke wetgeving inzake gegevensbescherming.

Indien de Partner zich niet houdt aan de Onderliggende Overeenkomst, deze DPA of de Toepasselijke Wetgeving inzake Gegevensbescherming, Taboola redelijke en passende maatregelen nemen om ongeoorloofd gebruik van Gedeelde Gegevens te stoppen en te herstellen (waaronder het opschorten of beëindigen van de openbaarmaking van Gedeelde Gegevens aan de Partner).

De partner dient zich te houden aan de toepasselijke wetgeving inzake gegevensbescherming en dient hetzelfde niveau van privacybescherming te bieden aan de gedeelde gegevens als vereist is door de toepasselijke wetgeving inzake gegevensbescherming.

Indien een van beide partijen correspondentie, een vraag of een klacht ontvangt van een betrokkene, een toezichthouder of een andere derde partij (“Correspondentie“) met betrekking tot (a) de openbaarmaking van de Gedeelde Gegevens voor het Toegestane Doel; of (b) de verwerking van Gedeelde Gegevens door de andere partij, zal zij de andere partij hiervan onmiddellijk op de hoogte stellen met volledige details. De partijen zullen redelijkerwijs en te goeder trouw samenwerken om op de Correspondentie te reageren in overeenstemming met de vereisten van de toepasselijke wetgeving inzake gegevensbescherming.

Voor zover de overdracht van gedeelde gegevens van Taboola naar Partner een beperkte overdracht betreft, zijn de Standard Contractual Clauses in deze DPA opgenomen en gelden deze als volgt:

(a) wanneer de beperkte overdracht een EU beperkte overdracht is, zijn de EU SCCs van toepassing tussen Taboola (als gegevensexporteur) en Partner (als gegevensimporteur) als volgt:

(i) Module 1 is van toepassing;

(ii) in clausule 7 is de optionele koppelingsclausule van toepassing;

(iii) in clausule 11 is de facultatieve formulering niet van toepassing;

(iv) in artikel 17 is optie 1 van toepassing en worden de EU SCCs beheerst door het Ierse recht;

(v) in artikel 18(b) worden geschillen beslecht voor de rechtbanken van Ierland;

(vi) in Bijlage I:

(A) Deel A en B worden geacht te zijn voltooid met de informatie zoals opgenomen in Bijlage A bij deze DPA;

(B) Deel C wordt geacht te zijn voltooid overeenkomstig de criteria zoals uiteengezet in artikel 13(a) van de EU SCCs; en

(vii) Bijlage II wordt geacht te zijn voltooid met de veiligheidsmaatregelen zoals uiteengezet in Bijlage B bij deze DPA.

(b) indien de beperkte overdracht een UK beperkte overdracht betreft, is het UK Addendum tussen de partijen als volgt van toepassing:

(i) de EU SCCs, ingevuld zoals hierboven beschreven, zijn van toepassing tussen de partijen en worden gewijzigd door het UK Addendum (ingevuld zoals beschreven in subclausule (ii) hieronder); en

(ii) Tabellen 1 tot en met 3 van het UK Addendum worden geacht te zijn ingevuld met relevante informatie uit de EU SCCs, ingevuld zoals hierboven beschreven, en de opties “Exporteur” en “Importeur” worden geacht te zijn aangevinkt in tabel 4.  De ingangsdatum van het UK Addendum (zoals vermeld in tabel 1) is de ingangsdatum van deze DPA.

Partner zal geen verdere beperkte overdracht van gedeelde gegevens aan een derde partij uitvoeren, tenzij alle noodzakelijke handelingen zijn verricht om ervoor te zorgen dat de beperkte overdracht voldoet aan de toepasselijke wetgeving inzake gegevensbescherming en aan alle Standard Contractual Clauses die met Taboola zijn overeengekomen.

Niettegenstaande het voorgaande, indien de Partner zich heeft gecertificeerd volgens de DPF en voldoet aan de DPF, zullen overdrachten van Gedeelde Gegevens aan de Partner die onder de DPF plaatsvinden, geen Beperkte Overdracht zijn.  In dat geval zal Partner Taboola onmiddellijk op de hoogte stellen indien deze niet voldoet aan de DPF-certificering of indien de DPF-certificering vervalt of anderszins ongeldig wordt verklaard, in welk geval:

(a) elke overdracht van gedeelde gegevens van Taboola naar Partner wordt onmiddellijk beschouwd als een beperkte overdracht en de bovenstaande bepalingen inzake beperkte overdracht zijn van toepassing; en

(b) Taboola kan, geheel naar eigen goeddunken, ervoor kiezen om de overdracht van gedeelde gegevens aan de Partner zonder boete op te schorten of te beëindigen.

Partner zal Taboola en haar directeuren, functionarissen, werknemers, agenten en cliënten (de “Taboola schadeloosgestelden“) verdedigen tegen alle vorderingen, eisen, rechtszaken, procedures en acties die door een derde partij worden ingesteld met betrekking tot een bewering dat Partner deze DPA of de toepasselijke wetgeving inzake gegevensbescherming heeft overtreden, en zal de Taboola schadeloosgestelden schadeloos stellen voor alle schade, verliezen, kosten en uitgaven (inclusief redelijke advocaatkosten) die de Taboola schadeloosgestelden lijden als gevolg van of voortvloeiend uit een dergelijke vordering.

Partner is als enige verantwoordelijk voor de naleving van de toepasselijke wetgeving inzake gegevensbescherming bij de verwerking van de gedeelde gegevens.

In geval van wijzigingen in de toepasselijke wetgeving inzake gegevensbescherming, kan Taboola deze gegevensverwerkingsovereenkomst aanpassen en bijwerken waar en voor zover nodig om aan dergelijke wijzigingen in de toepasselijke wetgeving inzake gegevensbescherming te voldoen.

Met ingang van de ingangsdatum van deze DPA verwijzen de termen “Overeenkomst” in deze DPA of de Onderliggende Overeenkomst naar de Onderliggende Overeenkomst zoals aangevuld door deze DPA.

A. LIJST VAN PARTIJEN

[tabel id=13 /]

[tabel id=14 /]

B. OMSCHRIJVING VAN DE OVERDRACHT

[tabel id=15 /]

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

[tabel id=16 /]

Beschrijving van de technische en organisatorische maatregelen die door elke partij zijn getroffen (inclusief eventuele relevante certificeringen) om een ​​passend beveiligingsniveau te waarborgen, rekening houdend met de aard, omvang, context en het doel van de verwerking, en de risico’s voor de rechten en vrijheden van natuurlijke personen. Partner verklaart en garandeert dat hij beschikt over passende technische en organisatorische maatregelen die in wezen gelijkwaardig zijn aan de hieronder beschreven beveiligingsmaatregelen van Taboola.

Maatregelen voor pseudonimisering en versleuteling van persoonsgegevens: Taboola verzamelt alleen gepseudonimiseerde gegevens. Dit betekent dat we niet weten wie u bent, omdat we uw naam, e-mailadres of andere identificeerbare gegevens niet kennen of verwerken. De gebruikersinformatie die we verzamelen omvat onder meer informatie over het apparaat en besturingssysteem van een gebruiker, het IP-adres, de webpagina’s die gebruikers bezoeken op de websites van onze klanten, de link die een gebruiker naar de website van een klant heeft geleid, de data en tijden waarop een gebruiker de website van een klant bezoekt en andere browsegegevens. De CookieID wordt geanonimiseerd met behulp van Bcrypt en het IP-adres wordt ingekort.

Maatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen: Taboola maakt gebruik van meerdere lagen elektronische beveiliging (bijv. endpointbeveiliging, serverbeveiliging, detectietracking, periodieke penetratietests en diepgaande inlichtingenverzameling om incidenten achteraf te analyseren).

Maatregelen om te waarborgen dat de beschikbaarheid van en toegang tot persoonsgegevens tijdig kan worden hersteld in geval van een fysiek of technisch incident: Taboola heeft 9 datacenters die wereldwijd in gebruik zijn. Elk datacenter fungeert als replica van de andere, zodat als er één uitvalt, de gegevens vanuit een ander datacenter kunnen worden overgezet.

Procedures voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen: Taboola hanteert strikte procedures voor het testen van de effectiviteit van haar controles (zowel technische als organisatorische). We hebben systeemregistratie en -monitoring geïmplementeerd, voeren maandelijks (minstens) noodhersteltests uit, doen driemaandelijks penetratietests, hebben firewalls die het internet beschermen en honeypots verspreid over het netwerk om kwaadwillige activiteiten op te sporen. Bovendien hebben we een beloningsprogramma waarmee we ons netwerk continu kunnen monitoren.

Maatregelen voor gebruikersidentificatie en -autorisatie: Elke gebruiker in Taboola heeft een eigen gebruikersnaam en wachtwoord. Elke toegang tot het interne netwerk van Taboola gebeurt met tweefactorauthenticatie (2FA) via Google-authenticatie. Gebruikers worden uitsluitend door de IT-afdeling aangemaakt, tijdens het onboardingproces en pas nadat alle gegevens en het getekende contract door de HR-afdeling zijn ontvangen.

Maatregelen ter bescherming van gegevens tijdens de overdracht: Taboola ondersteunt alle gegevensoverdracht via beveiligde transmissieprotocollen (minimaal HTTPS en TLS v1.2). Bovendien zijn systemen die mogelijk persoonsgegevens bevatten beveiligd en worden gegevens gehasht en geanonimiseerd.

Maatregelen ter bescherming van gegevens tijdens opslag: De gegevens die in onze databases zijn opgeslagen, worden geanonimiseerd en gehasht met behulp van Bcrypt. De toegang tot de database is geminimaliseerd en gebaseerd op het principe van ‘noodzakelijke kennis’.

Maatregelen ter waarborging van de fysieke beveiliging van locaties waar persoonsgegevens worden verwerkt: Elk van Taboola’s wereldwijde datacenters (in de VS, Europa en Azië) heeft zijn servers in afgesloten kasten die uitsluitend voor Taboola-gebruik bestemd zijn. Deze kasten worden onderhouden door bedrijven die SOC2-certified zijn of waarvan de beveiligingsmaatregelen Taboola zijn beoordeeld. Bovendien is voor elke toegang tot de servers schriftelijke, vastgelegde toestemming vereist. Alle kantoren van Taboola zijn ook beveiligd en vereisen dat medewerkers een toegangskaart gebruiken om binnen te komen. Bovendien heeft slechts een beperkt aantal medewerkers toegang tot de servers van Taboola en is voor elke toegang schriftelijke, geregistreerde toestemming vereist.

Maatregelen om het vastleggen van gebeurtenissen te waarborgen: Taboola implementeert monitoringtools en de logbestanden worden verzameld in ons SIEM systeem, dat ons waarschuwt voor verdachte gebeurtenissen. Deze gegevens worden tevens gemonitord door het NOC team.

Maatregelen om de systeemconfiguratie te waarborgen, inclusief de standaardconfiguratie: Servers worden gescand op zowel configuratieafwijkingen als patchniveaus. Rapportage en/of waarschuwingen zijn voor beide ingesteld en het relevante patchniveau is bevestigd. Nieuwe patches worden via Puppet verspreid. Alle technische beoordelingen worden beheerd via de R&D-applicatie en verkregen via een formeel beoordelingsproces (QA) nadat de codeer- en CI/CD processes zijn geïmplementeerd.

Maatregelen voor intern IT- en IT-beveiligingsbeheer en -governance: Taboola is ISO/IEC 27001:2013 en ISO/IEC 27701:2019 gecertificeerd. Taboola heeft een informatiebeveiligingsbeleid opgesteld waarin staat dat de raad van bestuur en het management van Taboola zich ertoe verbinden de vertrouwelijkheid, integriteit en beschikbaarheid van alle fysieke en elektronische informatieactiva binnen de organisatie te waarborgen. Taboola verzorgt beveiligingstrainingen voor alle nieuwe medewerkers, phishingtrainingen voor alle medewerkers wereldwijd, en regelmatige beveiligingstrainingen voor alle medewerkers, inclusief speciale sessies voor R&D-groepen.

Maatregelen voor certificering/borging van processen en producten: Een interne audit, die elk kwartaal, halfjaarlijks of jaarlijks wordt uitgevoerd, van meerdere processen en systemen om te controleren of Taboola voldoet aan de vastgestelde beveiligingsdoelstellingen en -maatregelen.

Maatregelen om dataminimalisatie te waarborgen: Taboola beperkt bewust de gegevens die we verzamelen als onderdeel van Taboola’s wereldwijde principes van gegevensminimalisatie, waarbij we alleen de beperkte gegevens verwerken die nodig zijn voor onze specifieke bedrijfsdoeleinden. Bovendien heeft Taboola niet de mogelijkheid, noch de zakelijke noodzaak, om de gegevenspunten die in ons algoritme worden gebruikt om onze diensten te leveren, te “reverse engineeren”. Meer specifiek zijn de gegevens die Taboola verzamelt nooit indicatief voor de identiteit van een gebruiker, aangezien Taboola geen informatie verzamelt of verwerkt zoals de naam, het telefoonnummer, het e-mailadres of het fysieke adres van de gebruiker. Taboola verzamelt daarentegen alleen pseudonieme identificatoren, die slechts kenmerken van het apparaat van een gebruiker weergeven. Dit omvat IP-adressen (die bij het verzamelen worden ingekort en alleen de algemene postcode van het apparaat kunnen identificeren, maar nooit een precieze geolocatie) en, in sommige beperkte gevallen, gehashte e-mailadressen (die inherent onomkeerbaar zijn en niet kunnen worden gedecodeerd om het oorspronkelijke e-mailadres te achterhalen). Bovendien kunnen de gegevens die we verzamelen, zelfs wanneer ze gezamenlijk worden gebruikt, nooit de naam, het telefoonnummer, het e-mailadres of het fysieke adres van een individu achterhalen, en onze technici werken er op geen enkele manier aan om dit doel te bereiken. Daarnaast voert Taboola privacy-impactbeoordelingen uit en legt deze vast om de privacyrisico’s van onze diensten, processen en beleidsmaatregelen te minimaliseren.

Maatregelen ter waarborging van de datakwaliteit: De gegevens worden rechtstreeks van de gebruiker verzameld en de gebruiker krijgt de mogelijkheid om eventuele gegevens die aan hun CookieID zijn gekoppeld taboola.com corrigeren via het Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access

Maatregelen om beperkte gegevensbewaring te waarborgen: We bewaren gebruikersinformatie die direct is verzameld voor het weergeven van advertenties, gedurende maximaal dertien (13) maanden vanaf de laatste interactie van de gebruiker met onze diensten (vaak gedurende een kortere periode). Na deze periode anonimiseren we de gegevens door unieke identificatoren te verwijderen of de gegevens te aggregeren. Dit proces verloopt automatisch.

Maatregelen om verantwoording te waarborgen: Taboola voert diverse beveiligingsaudits en penetratietests uit (maar niet voor alle systemen). Taboola maakt ook gebruik van cloudproviders die ISO-gecertificeerd zijn en voldoen aan andere cloudgerelateerde certificeringen voor het waarborgen van de fysieke beveiliging van een server.

Maatregelen om dataportabiliteit mogelijk te maken en dataverwijdering te garanderen: Taboola heeft betrekking op de verwijdering van media en is van toepassing op alle soorten media, aangezien deze persoonsgegevens kunnen bevatten. Alle opslagmedia moeten volledig worden gewist voordat ze opnieuw worden gebruikt of worden weggegooid. Elke verwijdering van media wordt gedocumenteerd. Werknemers krijgen de instructie om geen documenten af ​​te drukken die persoonlijke informatie kunnen bevatten.