Privacyvoorwaarden van de Uitgever

Last Update: October 10, 2024

Ingangsdatum: October 10, 2024

Deze privacyvoorwaarden van Taboola Publisher (‘Privacyvoorwaarden van Publisher’) zijn van toepassing op de digitale advertentieservices van Taboola, bijvoorbeeld wanneer Taboola content van Adverteerders plaatst op eigendommen van Publishers, waaronder, maar niet beperkt tot, Publisher-producten en -services zoals Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News en Taboola Push, op grond van een overeenkomst tussen Taboola en een Publisher (‘Overeenkomst’). Deze privacyvoorwaarden van Publishers worden geacht te zijn opgenomen in een dergelijke Overeenkomst en vormen daarvan een integraal onderdeel. In deze privacyvoorwaarden voor uitgevers worden de rollen en verantwoordelijkheden van Taboola en de uitgever met betrekking tot persoonsgegevens beschreven.

Indien er een conflict is tussen de Privacyvoorwaarden van Uitgever en de Overeenkomst, zijn de Privacyvoorwaarden van Uitgever van toepassing, tenzij de conflicterende bepaling in de Overeenkomst uitdrukkelijk verwijst naar de conflicterende bepaling van deze Privacyvoorwaarden van Uitgever en specificeert dat deze bepaling voorrang heeft op de conflicterende bepaling.

De in dit artikel gedefinieerde termen hebben de hieronder vermelde betekenis. Verwante termen hebben dienovereenkomstig een overeenkomstige betekenis. Begrippen met een hoofdletter die in de Privacyvoorwaarden van de Uitgever worden gebruikt maar niet gedefinieerd, hebben de betekenis die in de Overeenkomst is gedefinieerd.

      1. Toepasselijke wetten inzake gegevensbescherming” betekent alle toepasselijke federale, nationale, staats- of andere privacy- en gegevensbeschermingswetten die van toepassing zijn op de Verwerking die het onderwerp is van de Overeenkomst en deze Privacyvoorwaarden van de Uitgever, zoals deze van tijd tot tijd kunnen worden gewijzigd of vervangen.
      2. Californische privacywet” betekent de California Consumer Privacy Act van 2018, Cal. Burgerlijk Wetboek § 1798.100 e.v. (ook “CCPA”), zoals gewijzigd (inclusief door de California Privacy Rights Act), en alle ondergeschikte wetgeving en uitvoeringsregelgeving.
      3. Verantwoordelijke voor de verwerking” betekent: (i) een entiteit die de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt, en (ii) elke persoon of entiteit die binnen de reikwijdte van de term “Verantwoordelijke voor de verwerking” of “Bedrijf” (of een substantieel analoge term) valt, zoals gedefinieerd onder de toepasselijke wetgeving inzake gegevensbescherming.
      4. Betrokkene” betekent: (i) een geïdentificeerde of identificeerbare natuurlijke persoon (en voor deze doeleinden wordt als identificeerbaar beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of aan de hand van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon), en (ii) iedere persoon die valt onder de term “betrokkene”, “consument” (of een substantieel analoge term) zoals gedefinieerd in de Wet bescherming persoonsgegevens.
      5. EU-wetgeving inzake gegevensbescherming” betekent: (i) de Algemene Verordening Gegevensbescherming van de EU (Verordening 2016/679) (“EU AVG”); (ii) de EU-richtlijn inzake e-privacy (Richtlijn 2002/58/EG); en (iii) alle nationale wetten inzake gegevensbescherming die zijn vastgesteld krachtens of overeenkomstig (i) of (ii), elk zoals van tijd tot tijd gewijzigd of vervangen.
      6. Onder “Persoonsgegevens” wordt verstaan alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare persoon (waaronder, indien vereist door de toepasselijke wetgeving inzake gegevensbescherming, unieke browser- of apparaat-ID’s), zoals uiteengezet in Bijlage A, Deel B.
        1. Interactiepersoonsgegevens” betekent alle Persoonsgegevens die van consumenten worden verzameld op het moment dat of volgend op de opzettelijke interactie van een consument met Taboola, de producten van Taboola, de eigendommen van Taboola en de advertenties die Taboola plaatst.
        2. Passieve-interactiepersoonsgegevens” betekent alle persoonlijke gegevens die passief worden verzameld van uitgeverseigendommen, met inbegrip van, maar niet beperkt tot, IP-adres, pagina-URL en user agent string verzameld door Taboola, voorafgaand aan of zonder de opzettelijke interactie van een consument met Taboola, Taboola’s producten, Taboola’s eigendommen en advertenties die Taboola plaatst.
      7. Verwerken” betekent elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens of met betrekking tot verzamelingen van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, ontvangen, vastleggen, ordenen, structureren, gebruiken, doorzenden, raadplegen, delen, openbaar maken, overdragen, opslaan, bijwerken of wijzigen, opvragen, raadplegen, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, aggregeren, afleiden, analyseren, beperken, wissen, vernietigen of verwijderen of op andere wijze verwerken van Persoonsgegevens, met inbegrip van hoe deze term is gedefinieerd onder de Toepasselijke Wetgeving inzake Gegevensbescherming.
      8. Verwerker” betekent een entiteit die Persoonsgegevens verwerkt namens een Verwerkingsverantwoordelijke, en omvat de wijze waarop deze term en/of de term “gegevensverwerker” (of een substantieel analoge term) wordt gedefinieerd onder de Toepasselijke Wetgeving inzake Gegevensbescherming.
      9. Beperkte overdracht” betekent: (i) waar de EU AVG van toepassing is, een overdracht van Persoonsgegevens vanuit de EER naar een land buiten de EER dat niet onderworpen is aan een adequaatheidsbeoordeling door de Europese Commissie (een “Beperkte overdracht van de EU“); en (ii) waar de Britse AVG van toepassing is, een overdracht van Persoonsgegevens vanuit het Verenigd Koninkrijk naar een ander land dat niet onderworpen is aan of gebaseerd is op adequaatheidsregelgeving overeenkomstig artikel 17A van de Britse Data Protection Act 2018 (een “Beperkte overdracht van het VK“).
      10. Diensten” betekent diensten die door Taboola worden geleverd onder de Overeenkomst met Uitgever.
      11. Onder “beveiligingsincident” wordt verstaan een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, het verlies, de wijziging, de ongeautoriseerde openbaarmaking van of de toegang tot Persoonsgegevens.
      12. “Standaardcontractbepalingen” betekent: (i) waar de EU AVG van toepassing is, de contractbepalingen die zijn gehecht aan Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad (“EU SCC’s“); en (ii) waar de Britse AVG van toepassing is, het “International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” uitgegeven door de Information Commissioner krachtens sectie 119A(1) van de DPA 2018 (“VK Addendum“).
      13. Derde partij” betekent een bedrijf dat optreedt als verwerkingsverantwoordelijke met betrekking tot Persoonsgegevens, en dat niet het bedrijf is waarmee de betrokkene wiens Persoonsgegevens worden verwerkt, opzettelijk heeft gecommuniceerd; de term omvat de wijze waarop deze term is gedefinieerd onder de toepasselijke wetgeving inzake gegevensbescherming.
      14. UK Data Protection Law” betekent: (i) de UK Data Protection Act 2018, (ii) de UK GDPR (zoals gedefinieerd in s.3(10) van de UK Data Protection Act 2018) (“UK GDPR”), (iii) de UK Privacy and Electronic Communications (EC Directive) Regulations 2003), en (iv) alle andere UK wetten die zijn gemaakt onder of krachtens (i), (ii) of (iii), elk zoals van tijd tot tijd gewijzigd of vervangen.

Voor Persoonsgegevens die worden verwerkt in verband met de Diensten, stemt elke partij ermee in dat zij de Persoonsgegevens die zij verzamelt uitsluitend zal verwerken voor de doeleinden die worden beschreven in Bijlage A, Deel B (de “Toegestane Doeleinden“) en zoals toegestaan door deze Privacyvoorwaarden van de Uitgever, de Overeenkomst en de Toepasselijke Wetgeving inzake Gegevensbescherming, zoals deze van tijd tot tijd kan worden bijgewerkt. Taboola kan ook passieve-interactiepersoonsgegevens verwerken zoals toegestaan door het privacybeleid van Taboola en zoals dit van tijd tot tijd kan worden bijgewerkt.

Elke Partij verwerkt de passieve-interactiepersoonsgegevens die zij verzamelt als verwerkingsverantwoordelijke of derde partij, indien van toepassing. Elke partij verwerkt de verzamelde interactiepersoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke of bedrijf, indien van toepassing. Openbaarmaking (hetzij rechtstreeks, hetzij via het ter beschikking stellen van gegevens aan de andere partij door een partij) van Persoonsgegevens door de ene partij aan de andere is een openbaarmaking aan Derden.

      1. Indien de Amerikaanse wetgeving of de wetgeving inzake gegevensbescherming van een Amerikaanse staat van toepassing is op Persoonsgegevens, met inbegrip van, maar niet beperkt tot, de privacywetgeving van Californië, treedt Taboola in de mate dat Taboola passieve-interactiepersoonsgegevens verwerkt in verband met de Diensten op als derde partij voor de Uitgever voor dergelijke passieve-interactiepersoonsgegevens. Taboola verwerkt dergelijke passieve-interactiepersoonsgegevens voor de doeleinden die worden beschreven in Bijlage A, Deel B en zoals toegestaan door deze Privacyvoorwaarden van de Uitgever, de Overeenkomst, de Toepasselijke wetgeving inzake gegevensbescherming en het Privacybeleid van Taboola, zoals deze van tijd tot tijd kunnen worden bijgewerkt. Dergelijke passieve-interactiepersoonsgegevens worden uitsluitend voor deze doeleinden aan Taboola ter beschikking gesteld. Taboola biedt hetzelfde niveau van privacybescherming als vereist is voor bedrijven volgens de toepasselijke Amerikaanse wetgeving inzake gegevensbescherming, inclusief, indien van toepassing, de privacywetgeving van Californië. Uitgever heeft het recht om ervoor te zorgen dat Taboola passieve-interactie-persoonsgegevens op een manier gebruikt die in overeenstemming is met de verplichtingen van Uitgever. Na kennisgeving aan Taboola heeft Uitgever het recht om redelijke en passende maatregelen te nemen om ongeoorloofd gebruik van Persoonsgegevens die hij aan Taboola beschikbaar stelt, te stoppen en te verhelpen. Taboola zal de Uitgever binnen de door de Toepasselijke Wetgeving inzake Gegevensbescherming vereiste termijn informeren als Taboola vaststelt dat zij niet langer aan haar verplichtingen onder de Toepasselijke Wetgeving inzake Gegevensbescherming kan voldoen. Voor zover Taboola Interactiepersoonsgegevens verzamelt in verband met de Diensten, doet zij dit als een afzonderlijk Bedrijf.

Partijen erkennen dat zij Persoonsgegevens mogen verwerken en dat de toepasselijke wetgeving inzake gegevensbescherming van toepassing kan zijn op de verwerking van de Persoonsgegevens door elke partij. Indien dit het geval is, dient elke partij zich te houden aan de toepasselijke wetgeving inzake gegevensbescherming met betrekking tot de verwerking van persoonsgegevens. Indien dit het geval is en met inachtneming van artikel 7, is iedere partij individueel verantwoordelijk voor de naleving van de toepasselijke wetgeving inzake gegevensbescherming, met inbegrip van alle toepasselijke vereisten om: (i) transparantie te bieden aan betrokkenen, (ii) toestemming of een andere wettelijke basis voor verwerking te verkrijgen, en (iii) een contactpunt beschikbaar te stellen waar betrokkenen hun rechten inzake gegevensbescherming kunnen uitoefenen. De Uitgever stelt Taboola onmiddellijk op de hoogte als en voor zover hij een verzoek om gegevensbeschermingsrechten ontvangt met betrekking tot de verwerking van persoonsgegevens door Taboola als verwerkingsverantwoordelijke, zodat Taboola aan het verzoek kan voldoen in overeenstemming met zijn verplichtingen op grond van de toepasselijke wetgeving inzake gegevensbescherming.

  1. De uitgever moet alle verzoeken van betrokkenen met betrekking tot de diensten van Taboola doorsturen naar het Global Data Subject Access Request Portal van Taboola of ONS Portaal voor afmelden consumentenrechten, indien van toepassing.

Indien een van de Partijen een vraag, klacht of correspondentie (een “Kennisgeving van derden”) ontvangt van een individu, toezichthouder of andere derde partij betreffende de verwerking van Persoonsgegevens van de Betrokkene in verband met de Diensten, dient deze de andere Partij hiervan onmiddellijk op de hoogte te stellen. De Partijen dienen te goeder trouw en voor zover redelijkerwijs noodzakelijk samen te werken om aan de vereisten van een dergelijke Kennisgeving van derden te voldoen.

Indien een van beide partijen een Beperkte Overdracht van Persoonsgegevens aan de andere partij uitvoert, zijn de bepalingen van Bijlage C van toepassing.

Voor zover Taboola Persoonsgegevens verzamelt van Uitgeverseigendommen met behulp van Taboola-code, pixels en andere trackingtechnologie, zal Uitgever: (i) alle vereiste transparantiekennisgevingen verstrekken aan Gegevensbetrokkenen over het gebruik van Taboola-code door Taboola om Persoonsgegevens te verzamelen van Uitgeverseigendommen voor de Toegestane Doeleinden, en (ii) toestemming verkrijgen (en, op verzoek van Taboola op elk moment, passend bewijs leveren van) de toestemming van de Gegevensbetrokkene voor dergelijk gebruik van Taboola-code voor de Toegestane Doeleinden, in elk geval in overeenstemming met de vereisten van de Toepasselijke Wetgeving inzake Gegevensbescherming. De verplichtingen van Uitgever in dit opzicht omvatten het identificeren van Taboola en het gebruik van de Taboola-code voor de Toegestane Doeleinden, uitdrukkelijk vermeld in de transparantiekennisgevingen en toestemmingsverzoeken die Uitgever aan Betrokkenen verstrekt, evenals alle andere informatie die vereist is op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming, zodat Taboola haar Diensten rechtmatig kan leveren via dergelijke Eigendommen en Persoonsgegevens kan Verwerken voor de Toegestane Doeleinden. Op schriftelijk verzoek verstrekt Taboola de Uitgever alle informatie die de Uitgever redelijkerwijs nodig heeft over de Taboola-code en de verwerking door Taboola van Persoonsgegevens via de Uitgeverseigendommen voor de Uitgever, om ervoor te zorgen dat haar kennisgevings- en toestemmingsmechanismen voldoen aan de toepasselijke wetten inzake gegevensbescherming. De uitgever stemt er specifiek mee in dat:

  1. Wat betreft de op internet gebaseerde eigendommen, beschrijft het privacybeleid van de uitgever het gebruik van cookies, unieke identificatiegegevens en niet-cookietechnologieën door derden (d.w.z. Taboola) voor op interesses gebaseerde advertenties en analyses (op en buiten de eigendommen), en bevat het een link naar de opt-outpagina van de NAI voor de sector op http://www.networkadvertising.org, de opt-outpagina van de DAA voor de sector op http://www.aboutads.info, of (wat betreft Europese op internet gebaseerde media en gegevensverzameling) een link naar de opt-outlink van de EDAA op http://www.youronlinechoices.eu, op een manier die voldoet aan de vereisten van de toepasselijke wetgeving inzake gegevensbescherming; en
  2. Wat betreft op mobiele apps gebaseerde eigendommen, beschrijft het privacybeleid van de uitgever het gebruik van SDK’s op zijn mobiele apps en de verzameling van mobiele advertentie-identificatiegegevens voor op interesses gebaseerde of cross-app advertenties en analyses (op en buiten de eigendommen). Tevens bevat het een beschrijving van hoe gebruikers en bezoekers zich via apparaatinstellingen kunnen afmelden voor de verzameling van mobiele gegevens voor cross-app advertenties.
  3. Voor haar eigendommen die gericht zijn op de EU, zorgt de uitgever ervoor dat zij de vrijwillig gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming van de bezoekers verkrijgt, in overeenstemming met de EU-privacywetgeving, met betrekking tot het plaatsen of openen van Taboola-cookies of andere unieke identificatiegegevens op de apparaten van bezoekers. De Uitgever verstrekt haar Bezoekers contactgegevens (waaronder het beschikbaar stellen van deze gegevens via het Privacybeleid) zodat zij contact met de Uitgever kunnen opnemen om hun gegevensbeschermingsrechten uit te oefenen (inclusief met betrekking tot Persoonsgegevens die worden verwerkt in verband met de Diensten). De voorgaande verplichtingen zijn van toepassing indien de Eigendommen van de Uitgever Bezoekers aantrekken in rechtsgebieden waar toestemmingsmechanismen met betrekking tot de Diensten vereist zijn.

Gedurende de looptijd kan Taboola de aanbevolen privacybeleid- of openbaarmakingsteksten aan de Uitgever verstrekken. De Uitgever erkent dat hij niet op dergelijke aanbevolen taal zal vertrouwen als juridisch advies of als vervanging daarvan, en dat de Uitgever of het Bedrijf zelf als enige verantwoordelijk is voor eventuele openbaarmakingen in zijn privacybeleid of op zijn website.

De Uitgever mag de Diensten niet zodanig aanbieden of configureren dat bijzondere categorieën van persoonsgegevens of gevoelige persoonlijke informatie of gevoelige gegevens (zoals gedefinieerd in de Toepasselijke Wet Bescherming Persoonsgegevens) worden verzameld of op andere wijze aan Taboola worden bekendgemaakt voor verwerking. Bovendien zorgt de Uitgever ervoor dat de aan Taboola ter beschikking gestelde pagina-URL’s geen informatie over de videotitel bevatten. Taboola behoudt zich het recht voor om de Diensten op te schorten indien de Uitgever niet aan deze paragraaf voldoet, tenzij en totdat de tekortkoming is verholpen.

Elke Partij zal passende technische en organisatorische beveiligingsmaatregelen implementeren om de Persoonsgegevens van Bezoekers te beschermen tegen een Beveiligingsincident. Tot deze maatregelen behoren de maatregelen die in Bijlage B zijn vermeld.

Indien een van de Partijen te maken krijgt met een Beveiligingsincident met betrekking tot Persoonsgegevens die zij Verwerkt en die het onderwerp zijn van de Overeenkomst en deze Privacyvoorwaarden voor Uitgevers, zal die Partij: (i) verantwoordelijk zijn voor het nakomen (op eigen kosten) van alle rapportageverplichtingen die op haar van toepassing zijn krachtens de Toepasselijke wetgeving inzake gegevensbescherming aan gegevensbeschermingsautoriteiten en/of betrokken Betrokkenen, (ii) de andere Partij zonder onnodige vertraging op de hoogte stellen en daarbij alle informatie over het Beveiligingsincident verstrekken die redelijkerwijs door de andere Partij kan worden opgevraagd of die anderszins vereist is voor de andere Partij om te bepalen of zij mogelijk ook rapportageverplichtingen heeft krachtens de Toepasselijke wetgeving inzake gegevensbescherming met betrekking tot het Beveiligingsincident, en (iii) zonder onnodige vertraging alle passende acties en maatregelen treffen om de gevolgen van het Beveiligingsincident te verhelpen en/of te beperken.

Indien en voor zover vereist door de toepasselijke wetgeving inzake gegevensbescherming waaraan elke partij onderworpen is, voert elke partij een gegevensbeschermingseffectbeoordeling uit met betrekking tot haar verwerking van persoonsgegevens voor de toegestane doeleinden en/of raadpleegt zij, indien nodig, de toepasselijke autoriteiten voor gegevensbescherming. Elke partij verstrekt alle redelijke medewerking en informatie die redelijkerwijs door de andere partij wordt gevraagd, indien dit noodzakelijk is om de andere partij in staat te stellen een gegevensbeschermingseffectbeoordeling uit te voeren en/of overleg te plegen met de bevoegde gegevensbeschermingsautoriteiten in overeenstemming met de verplichtingen van die andere partij op grond van dit artikel.

A. LIJST VAN PARTIJEN

Elke partij is:

  • een gegevensbeheerder (en gegevensexporteur) van verzamelde gegevens die hij aan de andere partij openbaart of ter beschikking stelt, en
  • een gegevensbeheerder (en gegevensimporteur) van Verzamelde Gegevens die hij van de andere partij ontvangt of waartoe hij toegang krijgt.

Hieronder vindt u de gegevens van elke partij.

Naam: Zie de gegevens van de Adverteerder zoals uiteengezet in de Overeenkomst.

Adres: Zie de gegevens van de Adverteerder zoals uiteengezet in de Overeenkomst.

Naam, functie en contactgegevens van de contactpersoon: Zie de gegevens van Adverteerder zoals uiteengezet in de Overeenkomst of anderszins schriftelijk overeengekomen tussen partijen.

Activiteiten die relevant zijn voor de gegevens die worden overgedragen onder deze clausules: Het ontvangen van de Diensten, zoals uiteengezet in de Overeenkomst.

Handtekening en datum: Deze Bijlage A wordt geacht te zijn uitgevoerd op het moment dat Adverteerder de Privacyvoorwaarden voor Adverteerders heeft geaccepteerd.

Rol (verwerkingsverantwoordelijke/verwerker): Verwerkingsverantwoordelijke (indien het een gegevensexporteur is) en verwerkingsverantwoordelijke (indien het een gegevensimporteur is)

 

Naam: Zie de details van Taboola in de inleiding van de Overeenkomst.

Adres: Zie de details van Taboola in de inleiding van de Overeenkomst.

Naam, functie en contactgegevens van de contactpersoon: Het privacyteam van Taboola, privacy@taboola.com.

Activiteiten die relevant zijn voor de gegevens die worden overgedragen onder deze clausules: Het verlenen van de Diensten, zoals uiteengezet in de Overeenkomst.

Handtekening en datum: Deze Bijlage A wordt geacht te zijn uitgevoerd zodra Taboola de Privacyvoorwaarden voor Adverteerders heeft geaccepteerd.

Rol (verwerkingsverantwoordelijke/verwerker): Verwerkingsverantwoordelijke (indien het een gegevensexporteur is) en verwerkingsverantwoordelijke (indien het een gegevensimporteur is)

 

B. BESCHRIJVING VAN DE VERWERKING EN OVERDRACHT 

Categorieën van betrokkenen waarvan persoonsgegevens worden verwerkt en/of doorgegeven: Gebruikers

Categorieën van verwerkte en/of doorgegeven persoonsgegevens:

Device Data: Besturingssysteem, browsertype, browserversie, IP-adres (afgekapt binnen 30 dagen) van verzameling, postcode (afgeleid van IP-adres), gehashte Taboola-gebruikers-ID, gehashte e-mailadressen, eerste en volgende paginabezoeken op de website van de adverteerder, geslacht van de gebruiker (afgeleid op basis van interesses), betrokkenheidssignalen (tijd op de site, scrolldiepte, sessiediepte), conversiegegevens.

Gegevens over het door de gebruiker bezochte digitale eigendom: De URL van de bezochte pagina, de verwijzende website

Gevoelige gegevens die worden overgedragen (indien van toepassing) en de toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de betrokken risico’s, zoals bijvoorbeeld strikte doelbinding, toegangsbeperkingen (waaronder toegang uitsluitend voor personeel dat een gespecialiseerde opleiding heeft gevolgd), het bijhouden van een register van de toegang tot de gegevens, beperkingen voor verdere doorgifte of aanvullende veiligheidsmaatregelen: Niet van toepassing.

De frequentie van de verwerking en/of overdracht (bijvoorbeeld of de gegevens eenmalig of doorlopend worden verwerkt en/of overgedragen): Doorlopend voor de duur van de Overeenkomst.

Aard van de verwerking: Verwerking van Persoonsgegevens die noodzakelijk zijn voor het verlenen van de Diensten, zoals uiteengezet in de Overeenkomst.

Doel(en) van de gegevensverwerking/overdracht en verdere verwerking: Het verlenen van de Diensten, zoals uiteengezet in de Overeenkomst. Om twijfel te voorkomen, omvatten de toegestane doeleinden: (i) het opslaan en/of openen van informatie op een apparaat; (ii) het selecteren van basisadvertenties; (iii) het aanmaken van een gepersonaliseerd advertentieprofiel; (iv) het selecteren van gepersonaliseerde advertenties; (v) het aanmaken van een gepersonaliseerd contentprofiel; (vi) het selecteren van gepersonaliseerde content; (vii) het meten van de advertentieprestaties; (viii) het meten van de contentprestaties; (ix) het ontwikkelen en verbeteren van producten; (x) het waarborgen van de beveiliging, het voorkomen van fraude en het debuggen; (xi) het technisch leveren van advertenties of content; (xii) het matchen en combineren van offline gegevensbronnen; (xiii) het koppelen van verschillende apparaten; (xiv) het ontvangen en gebruiken van automatisch verzonden apparaatkenmerken voor identificatie; (xv) het gebruiken van beperkte gegevens om content te selecteren, en (xvi) het begrijpen van doelgroepen door middel van statistieken.

De periode gedurende welke de persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria om die periode te bepalen:

  • Taboola: Ruwe gegevens worden maximaal 13 maanden bewaard.
  • Advertiser: Zolang als nodig is om de Diensten te ontvangen of zoals anderszins gespecificeerd in de Overeenkomst.

Bij doorgifte aan (sub-)verwerkers dient u tevens het onderwerp, de aard en de duur van de verwerking te specificeren: Niet van toepassing.

 

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

Bevoegde toezichthoudende autoriteit waar de EU AVG van toepassing is: De bevoegde toezichthoudende autoriteit voor elke partij is zoals hieronder beschreven:

  • Taboola: De bevoegde toezichthoudende autoriteit wordt bepaald overeenkomstig artikel 13 van de EU-SCC’s.
  • Advertiser: De bevoegde toezichthoudende autoriteit wordt bepaald overeenkomstig artikel 13 van de EU-SCC’s.

Bevoegde toezichthoudende autoriteit waar de Britse AVG van toepassing is: Het Bureau van de Informatiecommissaris

Beschrijving van de technische en organisatorische maatregelen die door elke partij zijn geïmplementeerd (met inbegrip van relevante certificeringen) om een passend beveiligingsniveau te garanderen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking en de risico’s voor de rechten en vrijheden van natuurlijke personen.

Maatregelen voor pseudonimisering en encryptie van persoonsgegevens: Taboola verzamelt uitsluitend gepseudonimiseerde gegevens. Dat betekent dat wij niet weten wie u bent, omdat wij de naam, het e-mailadres of andere identificeerbare gegevens van de gebruiker niet kennen of verwerken. De gebruikersinformatie die wij verzamelen bestaat onder andere uit, maar is niet beperkt tot, informatie over het apparaat en het besturingssysteem van een gebruiker, het IP-adres, de webpagina’s die door gebruikers op de websites van onze klanten worden bezocht, de link die een gebruiker naar de website van een klant leidt, de data en tijden waarop een gebruiker de website van een klant bezoekt en andere webbrowsergegevens. De CookieID wordt geanonimiseerd met behulp van Bcrypt en het IP-adres wordt afgekapt.

Maatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen: Taboola maakt gebruik van meerdere niveaus van elektronische beveiliging (bijvoorbeeld: eindpuntbeveiliging, server-side beveiliging, detectietracking, periodieke penetratietests en diepgaande inlichtingenverzameling om post-mortemgebeurtenissen te analyseren).

Maatregelen om ervoor te zorgen dat de beschikbaarheid en toegang tot persoonsgegevens tijdig kunnen worden hersteld in geval van een fysiek of technisch incident: Taboola beschikt over 9 datacenters verspreid over de hele wereld. Alle datacentra fungeren als een replica van elkaars datacenters. Als er één uitvalt, kunnen de gegevens dus uit het andere datacenter worden gehaald.

Processen voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen: Taboola hanteert strikte procedures om de effectiviteit van haar controles (zowel technisch als organisatorisch) te testen. We hebben systeemregistratie en -bewaking geïmplementeerd, voeren maandelijks (minimaal) DR-testen uit, voeren elk kwartaal penetratietesten uit en hebben firewalls die het web beschermen. Ook zijn er honeypots verspreid over het netwerk om schadelijke activiteiten op te sporen. Bovendien hebben we een bountyprogramma waarmee we ons netwerk voortdurend kunnen monitoren.

Maatregelen voor gebruikersidentificatie en -autorisatie: Elke gebruiker van Taboola krijgt een eigen gebruikersnaam en wachtwoord. Elke toegang tot het interne netwerk van Taboola vindt plaats via 2FA met behulp van Google-authenticatie. Gebruikers worden alleen door de IT-afdeling aangemaakt tijdens het onboardingproces en pas nadat de HR-afdeling alle gegevens en het ondertekende contract heeft ontvangen.

Maatregelen ter bescherming van gegevens tijdens de overdracht: Taboola ondersteunt alle gegevensoverdracht via beveiligde transmissieprotocollen (minimaal HTTPS en TLS v1.2). Bovendien worden systemen die mogelijk PII bevatten beveiligd en worden gegevens gehasht en geanonimiseerd.

Maatregelen ter bescherming van gegevens tijdens opslag: Gegevens die in onze databases worden opgeslagen, worden geanonimiseerd en gehasht met behulp van Bcrypt. De toegang tot de database is geminimaliseerd en gebaseerd op het ‘business need to know’-principe.

Maatregelen om de fysieke beveiliging te waarborgen van locaties waar persoonsgegevens worden verwerkt: In elk van Taboola’s wereldwijde datacentra (in de VS, Europa en Azië) staan de servers in afgesloten kasten die uitsluitend voor Taboola’s gebruik worden beheerd. Deze kasten worden onderhouden door bedrijven die SOC2-gecertificeerd zijn of door Taboola zijn beveiligingsmaatregelen gecontroleerd. Bovendien is voor elke toegang tot de servers schriftelijke, geregistreerde toestemming vereist. Alle kantoren van Taboola worden ook gecontroleerd en medewerkers moeten een toegangspas gebruiken om binnen te komen. Bovendien hebben slechts een beperkt aantal werknemers toegang tot de servers van Taboola en is voor elke toegang schriftelijke, vastgelegde toestemming vereist.

Maatregelen om het loggen van gebeurtenissen te garanderen: Taboola implementeert monitoringtools en verzamelt logs in ons SIEM-systeem, dat ons waarschuwt bij verdachte gebeurtenissen. Deze worden ook gemonitord door het NOC-team.

Maatregelen om de systeemconfiguratie te garanderen, inclusief de standaardconfiguratie: Servers worden gescand op configuratiedrift en patchniveau. Rapportage en/of waarschuwingen zijn op beide ingesteld en het relevante patchniveau is bevestigd. Nieuwe patches worden verspreid via Puppet. Alle technische beoordelingen worden beheerd via de R&D-applicatie en verkregen via een formeel beoordelingsproces (QA) nadat ook de codering en CI/CD-processen zijn geïmplementeerd.

Maatregelen voor interne IT- en IT-beveiligingsgovernance en -management: Taboola is ISO 27001:2013 en 27701 gecertificeerd. Taboola hanteert een informatiebeveiligingsbeleid waarin staat dat de Raad van Bestuur en het management van Taboola zich inzetten voor het behoud van de vertrouwelijkheid, integriteit en beschikbaarheid van alle fysieke en elektronische informatiemiddelen binnen hun organisatie. Taboola organiseert beveiligingstrainingen voor alle nieuwe medewerkers, phishingtrainingen voor alle medewerkers wereldwijd en regelmatige beveiligingstrainingen voor alle medewerkers. Daarnaast worden er ook sessies speciaal voor R&D-groepen georganiseerd.

Maatregelen voor certificering/borging van processen en producten: Een driemaandelijkse/halfjaarlijkse/jaarlijkse interne audit van meerdere processen en systemen om te valideren dat Taboola voldoet aan de vastgestelde beveiligingsdoelstellingen en -maatregelen.

Maatregelen om dataminimalisatie te waarborgen: Taboola beperkt de gegevensverzameling opzettelijk in overeenstemming met Taboola’s wereldwijde principes voor gegevensminimalisatie, waarbij alleen de beperkte gegevens worden verwerkt die nodig zijn voor onze specifieke zakelijke doeleinden. Bovendien heeft Taboola niet de mogelijkheid, noch enige zakelijke behoefte, om de datapunten die we in ons algoritme gebruiken te ‘reverse engineeren’ om onze diensten te leveren. Meer specifiek geven de datapunten die Taboola verzamelt nooit informatie over de identiteit van een gebruiker. Taboola verzamelt of verwerkt namelijk geen informatie zoals de naam, het telefoonnummer, het e-mailadres of het fysieke adres van de gebruiker. In plaats daarvan verzamelt Taboola alleen pseudonieme identificatiegegevens, die enkel kenmerken van het apparaat van een gebruiker identificeren. Hieronder vallen IP-adressen (die bij het verzamelen worden afgekapt en alleen de algemene postcode van het apparaat kunnen identificeren, maar nooit een precieze geolocatie) en, in een beperkt aantal gevallen, gehashte e-mailadressen (die inherent onomkeerbaar zijn en niet kunnen worden ontcijferd om het oorspronkelijke e-mailadres te onthullen). Bovendien kunnen de gegevens die wij verzamelen, zelfs als ze collectief worden gebruikt, nooit de naam, het telefoonnummer, het e-mailadres of het fysieke adres van een individu opleveren. Onze technici doen op geen enkele manier hun best om dit doel te bereiken. Daarnaast voert Taboola privacy-impactbeoordelingen uit en registreert deze, om de privacyrisico’s van onze diensten, processen en beleid tot een minimum te beperken.

Maatregelen om de datakwaliteit te waarborgen: De gegevens worden rechtstreeks van de gebruiker verzameld en de gebruiker krijgt de mogelijkheid om eventuele gegevens die aan zijn CookieID zijn gekoppeld, te corrigeren via het Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access

Maatregelen om een beperkte gegevensretentie te garanderen: Wij bewaren Gebruikersinformatie, die rechtstreeks wordt verzameld voor het tonen van advertenties, gedurende maximaal dertien (13) maanden vanaf de laatste interactie van de Gebruiker met onze Diensten (vaak voor een kortere periode). Daarna anonimiseren wij de gegevens door unieke identificatiegegevens te verwijderen of de gegevens te aggregeren. Dit proces verloopt automatisch.

Maatregelen om verantwoording te waarborgen: Taboola voert meerdere beveiligingsaudits en penetratietests uit (maar niet voor alle systemen). Taboola maakt ook gebruik van cloudproviders die ISO-gecertificeerd zijn en voldoen aan andere cloud-relevante certificeringen voor het handhaven van de fysieke beveiliging van een server.

Maatregelen om gegevensportabiliteit mogelijk te maken en verwijdering te garanderen: Taboola met betrekking tot de vernietiging van media geldt voor alle soorten media, aangezien deze PII kunnen bevatten. Alle media moeten volledig worden gewist voordat ze opnieuw worden gebruikt of worden weggegooid. Elke verwijdering van media wordt gedocumenteerd. Werknemers krijgen de instructie om geen papier af te drukken dat mogelijk persoonlijke informatie bevat.

  1. Voor zover een partij een beperkte overdracht van verzamelde gegevens aan de andere partij uitvoert, worden de standaardcontractbepalingen opgenomen in deze privacyvoorwaarden van de uitgever en zijn deze als volgt van toepassing:

a. Indien de beperkte overdracht een beperkte overdracht binnen de EU betreft, zijn de EU-SCC’s als volgt van toepassing tussen de partijen:

  1. (i) Module één is van toepassing;
  2. (ii) in clausule 7 is de optionele dokclausule van toepassing;
  3. (iv) in Clausule 11 is de optionele taal niet van toepassing;
  4. (v) in clausule 17 is optie 1 van toepassing en de EU-SCC’s worden beheerst door het Ierse recht;
  5. (vi) in artikel 18(b) worden geschillen beslecht door de rechtbanken van Ierland;
  6. (vii) De delen A, B en C van Bijlage I worden geacht te zijn voltooid met de informatie zoals uiteengezet in de delen A, B en C van Bijlage A bij deze Privacyvoorwaarden voor Uitgevers; en
  7. (vii) Bijlage II wordt geacht te zijn voltooid met de beveiligingsmaatregelen zoals uiteengezet in Bijlage B bij deze Privacyvoorwaarden voor Uitgevers;

b. Indien de beperkte overdracht een beperkte overdracht in het Verenigd Koninkrijk betreft, is het Britse addendum als volgt van toepassing tussen de partijen:

(i) de EU SCC’s, ingevuld zoals hierboven uiteengezet, zijn van toepassing tussen de partijen en worden gewijzigd door het Britse Addendum (ingevuld zoals uiteengezet in subclausule (ii) hieronder); en

(ii) de tabellen 1 tot en met 3 van het Britse Addendum worden geacht te zijn ingevuld met relevante informatie uit de EU SCC’s, ingevuld zoals hierboven uiteengezet, en de opties “Exporteur” en “Importeur” worden geacht te zijn aangevinkt in tabel 4. De ingangsdatum van het Britse Addendum (zoals uiteengezet in tabel 1) is de ingangsdatum van deze Privacyvoorwaarden van de Uitgever.

2. Beperkte doorgifte: Geen van beide partijen zal een beperkte overdracht van verzamelde gegevens die zij van de andere partij ontvangen, uitvoeren, tenzij zij alle handelingen en zaken heeft verricht die nodig zijn om ervoor te zorgen dat een dergelijke beperkte overdracht voldoet aan de toepasselijke wetgeving inzake gegevensbescherming en alle standaard contractbepalingen die zij met de andere partij is overeengekomen.