Voorwaarden voor verwerking van advertentiegegevens op Google

1. Inleiding

Deze Voorwaarden voor gegevensverwerking zijn een weergave van de overeenstemming tussen de partijen over de voorwaarden die van toepassing zijn op de verwerking van Persoonsgegevens van Klanten.

2. Definities en interpretatie

2.1 In deze Voorwaarden voor gegevensverwerking wordt verstaan onder:

“Aangesloten entiteit” betekent een entiteit die direct of indirect zeggenschap heeft over, onder zeggenschap staat van of onder gemeenschappelijke zeggenschap staat met een partij.

“Aanvullend product” Een product, service of app die/dat door Google of een derde is verstrekt en: (a) geen deel uitmaakt van de Voorwaarden voor verwerkers, en (b) toegankelijk is voor gebruik binnen de gebruikersinterface van de Services van verwerkers of op een andere manier is geïntegreerd in de Services van verwerkers.

“Aanvullende voorwaarden” De aanvullende voorwaarden zoals opgenomen in bijlage 3, die de overeenstemming weergeven tussen partijen over de voorwaarden die van toepassing zijn op de verwerking van bepaalde gegevens in verband met bepaalde toepasselijke wetgeving voor gegevensbescherming.

“Alternatieve oplossing voor overdracht” Een oplossing, anders dan Modelcontractbepalingen, waarmee persoonsgegevens op wettige wijze kunnen worden overgedragen naar een derde land in overeenstemming met de Europese wetgeving voor gegevensbescherming, zoals bijvoorbeeld een erkend gegevensbeschermingskader dat garandeert dat deelnemende entiteiten voldoende bescherming bieden.

“AVG” Zoals van toepassing: (a) de AVG van de EU, en/of (b) de UK GDPR.

“AVG van de EU” Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

“Beveiligingsdocumentatie” Het ten behoeve van ISO 27001-certificering verstrekte certificaat en eventuele andere beveiligingscertificaten of -documentatie die Google ter beschikking kan stellen met betrekking tot de Services voor verwerkers.

“Beveiligingsmaatregelen” Deze term heeft de betekenis zoals daaraan is toegekend in artikel 7.1.1 (Beveiligingsmaatregelen van Google).

“E-mailadres voor kennisgeving” Het e-mailadres dat door de Klant via de gebruikersinterface van de Services voor verwerkers of op een andere door Google verstrekte wijze is aangewezen voor de ontvangst van bepaalde kennisgevingen van Google in verband met deze Voorwaarden voor gegevensverwerking.

“Europese wetgeving voor gegevensbescherming” Zoals van toepassing: (a) de AVG, en/of (b) de Zwitserse FDPA.

“Gegevensincident” Een schending van de beveiliging van Google die leidt tot de onopzettelijk(e) of onrechtmatig(e) vernietiging, verlies, wijziging, onbevoegde openbaarmaking van, of toegang tot, Persoonsgegevens van Klanten op systemen die worden beheerd of anderszins worden gecontroleerd door Google. Onder 'Gegevensincidenten' wordt niet verstaan: Mislukte pogingen of activiteiten die de beveiliging van de Persoonsgegevens van Klanten niet in gevaar brengen, waaronder mislukte inlogpogingen, pings, poortscans, DoS-aanvallen (Denial of Service) en andere netwerkaanvallen op firewalls of netwerksystemen.

“Google” De Google-entiteit die partij is bij de Overeenkomst.

“Google-entiteit” Google LLC , Google Ireland Limited of een andere Aangesloten entiteit van Google LLC.

“Ingangsdatum van de voorwaarden” Zoals van toepassing)de datum waarop de Klant heeft geklikt om akkoord te gaan of de partijen anderszins akkoord zijn gegaan met deze Voorwaarden voor gegevensverwerking.

“Instructies” Deze term heeft de betekenis zoals daaraan is toegekend in artikel 5.2 (Instructies van de Klant).

“ISO 27001-certificering” ISO/IEC 27001:2013-certificering of een vergelijkbare certificering voor de Services van verwerkers.

“LGPD” betekent de Braziliaanse wetgeving inzake gegevensbescherming (Lei Geral de Proteção de Dados Pessoais).

“Looptijd” De periode vanaf de Ingangsdatum van de voorwaarden tot het einde van de levering door Google van de Services voor verwerkers op grond van de Overeenkomst.

“Modelcontractbepalingen” De Modelcontractbepalingen van de Klant en/of de Modelcontractbepalingen (van verwerker naar verwerker, Google als exporteur), zoals van toepassing.

“Nieuwe subverwerker” Deze term heeft de betekenis zoals daaraan is toegekend in artikel 11.1 (Toestemming voor de inzet van subverwerkers).

“Persoonsgegevens van Klanten” Persoonsgegevens die Google verwerkt namens de Klant bij de levering van de Services voor verwerkers door Google.

“Services voor verwerkers” De toepasselijke services, zoals vermeld op business.safety.google/adsservices.

“Subverwerkers” Derden die op grond van deze Voorwaarden voor gegevensverwerking toestemming hebben voor logische toegang tot en verwerking van Persoonsgegevens van Klanten om delen van de Service van de verwerker en eventuele gerelateerde technische support te verstrekken.

“Toepasselijke wetgeving inzake gegevensbescherming” betekent, voor zover van toepassing op de verwerking van Persoonsgegevens van Klanten, elke nationale, federale, EU-, staats-, provinciale of andere wet- of regelgeving op het gebied van privacy, gegevensbeveiliging of gegevensbescherming, met inbegrip van de Europese Gegevensbeschermingswetgeving, de LGPD en de Privacywetgeving van de Amerikaanse staat.

“Tool voor betrokkenen” Een tool (indien van toepassing) die door een Google-entiteit aan betrokkenen beschikbaar wordt gesteld en die Google in staat stelt om direct en op gestandaardiseerde wijze te reageren op bepaalde verzoeken van betrokkenen met betrekking tot Persoonsgegevens van Klanten (bijvoorbeeld instellingen voor internetreclame of een browserplug-in om bepaalde instellingen uit te zetten).

“UK GDPR” De AVG van de EU, zoals gewijzigd bij en opgenomen in de wetgeving van het Verenigd Koninkrijk op grond van de Britse UK European Union (Withdrawal) Act 2018, en toepasselijke wetgeving die is opgesteld op grond van die wet.

“Wetgeving inzake gegevensbescherming van de VS” voor zover van toepassing (i) de California Consumer Privacy Act van 2018 (inclusief zoals gewijzigd door de California Privacy Rights Act van 2020) samen met alle uitvoeringsvoorschriften (“CCPA”) (ii) de Consumer Data Protection Act van Virginia, Va. Code Ann. § 59.1-571 et seq.; en (iii) de Colorado Privacy Act, Colo. Rev. Stat. § 6-1-1301 e.v.; (iv) de Connecticut's Act Concerning Data Privacy and Online Monitoring, Pub. Act No. 22015; en v) de Utah Consumer Privacy Act, Utah Code Ann. § 13-61-101 e.v.

“Zwitserse FDPA”: De Zwitserse Bundesgesetz über den Datenschutz (Federale wet voor gegevensbescherming) van 19 juni 1992.

2.2 De termen “verwerkingsverantwoordelijke”, “betrokkene”, “persoonsgegevens”, “verwerking” en “verwerker” zoals deze worden gebruikt in deze Voorwaarden voor gegevensverwerking hebben de betekenis zoals daaraan is toegekend in de AVG, en de termen “gegevensimporteur” en “gegevensexporteur” hebben de betekenis zoals daaraan is toegekend in de toepasselijke Modelcontractbepalingen.

2.3 De woorden “waaronder” en “inclusief” hebben de betekenis “met inbegrip van, maar niet beperkt tot”. Eventuele voorbeelden in deze Voorwaarden voor gegevensverwerking zijn louter illustratief en zijn niet de enige voorbeelden van een specifiek concept.

2.4 Eventuele verwijzingen naar een juridisch kader, statuut of rechtshandeling is een verwijzing daarnaar zoals dit van tijd tot tijd wordt gewijzigd of opnieuw vastgesteld.

2.5 Voor zover een eventuele vertaalde versie van deze Voorwaarden voor gegevensverwerking afwijkt van de Engelse versie, is de Engelse versie van toepassing.

3. Duur van deze Voorwaarden voor gegevensverwerking

Deze Voorwaarden voor gegevensverwerking worden van kracht op de Ingangsdatum van de voorwaarden. Ongeacht of de Overeenkomst is beëindigd of verlopen, blijven deze Voorwaarden voor gegevensverwerking van kracht totdat, en verlopen ze automatisch als Google alle Persoonsgegevens van Klanten verwijdert zoals beschreven in deze Voorwaarden voor gegevensverwerking.

4. Toepassing van deze Voorwaarden voor gegevensverwerking

4.1 Algemeen. Deze Voorwaarden voor gegevensverwerking zijn alleen van toepassing op de Services voor verwerkers waarvoor de partijen deze Voorwaarden voor gegevensverwerking zijn overeengekomen (bijvoorbeeld: (a) de Services voor verwerkers waarvoor de Klant heeft geklikt om deze Voorwaarden voor gegevensverwerking te aanvaarden, of (b) als deze Voorwaarden voor gegevensverwerking door middel van verwijzing zijn opgenomen in de Overeenkomst, de Services voor verwerkers waarop de Overeenkomst van toepassing is).

4.2 Opname van de Aanvullende voorwaarden. De Aanvullende voorwaarden een aanvulling op deze Voorwaarden voor gegevensverwerking.

5.Verwerking van gegevens

5.1 Rollen en naleving van regelgeving, Autorisatie.

5.1.1 Verantwoordelijkheden van de verwerker en de verwerkingsverantwoordelijke. De partijen erkennen en stemmen ermee in dat:

(a) in bijlage 1 het onderwerp en de details van de verwerking van de Persoonsgegevens van Klanten worden beschreven,

(b) Google een verwerker is van de Persoonsgegevens van Klanten,

(c) de Klant een verwerkingsverantwoordelijke of verwerker is, zoals van toepassing, van de Persoonsgegevens van Klanten en

(d) elke partij voldoet aan de op die partij van toepassing zijnde verplichtingen op grond van de Europese Toepasselijke voor gegevensbescherming met betrekking tot de verwerking van de Persoonsgegevens van Klanten.

5.1.2 Klanten die verwerker zijn. Als de Klant een verwerker is:

(a) De Klant garandeert op voortdurende wijze dat de betreffende verwerkingsverantwoordelijke toestemming heeft gegeven voor het volgende: (i) de Instructies, (ii) de benoeming van Google als een andere verwerker door de Klant, en (iii) de inzet van Subverwerkers door Google, zoals beschreven in artikel 11 (Subverwerkers),

(b) De Klant stuurt eventuele kennisgevingen die door Google worden verstrekt op grond van , artikel 7.2.1 (Kennisgeving van Incidenten) of artikel 11.4 (Mogelijkheid om bezwaar te maken tegen de wijziging van subverwerkers) door zonder onnodige vertraging naar de betreffende verwerkingsverantwoordelijke, en

(c) De Klant kan aan de betreffende verwerkingsverantwoordelijke de informatie ter beschikking stellen die door Google ter beschikking is gesteld op grond van artikel 7.4 (Beveiligingscertificering), 10.2 (Informatie over datacenters) en 11.2 (Informatie over Subverwerkers).

5.2 Instructies van de Klant. Door het aangaan van deze Voorwaarden voor gegevensverwerking geeft de Klant Google de instructie om Persoonsgegevens van Klanten, uitsluitend in overeenstemming met de toepasselijke wetgeving, te verwerken: (a) om de Services voor verwerkers en eventuele gerelateerde technische support te verstrekken, (b) zoals nader gespecificeerd door het gebruik van de Services voor verwerkers door de Klant (waaronder in de instellingen en andere functies van de Services voor verwerkers) en eventuele gerelateerde technische support, (c) zoals vastgelegd in de vorm van de Overeenkomst (waaronder deze Voorwaarden voor gegevensverwerking), en (d) zoals verder vastgelegd in eventuele andere schriftelijke instructies die door de Klant zijn verstrekt en door Google zijn erkend als zijnde instructies ten behoeve van deze Voorwaarden voor gegevensverwerking (gezamenlijk, de “Instructies”).

5.3 Naleving van de Instructies door Google. Google leeft de Instructies na, tenzij dit door toepasselijke wetgeving is verboden of deze toepasselijke wetgeving een andere verwerking voorschrijft.

5.4 Aanvullende producten. Als de Klant een Aanvullend product gebruikt, kunnen de Services voor verwerkers toestaan dat het Aanvullende product toegang krijgt tot de Persoonsgegevens van Klanten, zoals vereist voor de onderlinge werking tussen het Aanvullende product en de Services voor verwerkers. Ter verduidelijking: deze Voorwaarden voor gegevensverwerking zijn niet van toepassing op de verwerking van persoonsgegevens in verband met de levering van een Aanvullend product dat door de Klant wordt gebruikt, met inbegrip van persoonsgegevens die worden overgedragen naar of vanaf dat Aanvullende product.

6. Verwijdering van gegevens

6.1 Verwijdering tijdens de Looptijd.

6.1.1 Services voor verwerkers met verwijderfunctie. Als tijdens de Looptijd:

(a) de functies van de Services voor verwerkers de optie bevatten voor de Klant om Persoonsgegevens van Klanten te verwijderen,

(b) de Klant de Services voor verwerkers gebruikt om bepaalde Persoonsgegevens van Klanten te verwijderen, en

(c) de verwijderde Persoonsgegevens van Klanten niet kunnen worden hersteld door de Klant (bijvoorbeeld uit de “prullenbak”),

dan verwijdert Google dergelijke Persoonsgegevens van Klanten uit de systemen zodra dat redelijkerwijs mogelijk is en binnen een maximale periode van 180 dagen, tenzij opslag is vereist op grond van Toepasselijke wetgeving.

6.1.2 Services voor verwerkers zonder verwijderfunctie. Als de functies van de Services voor verwerkers tijdens de Looptijd geen optie bevatten voor de Klant om Persoonsgegevens van Klanten te verwijderen, dan voldoet Google aan:

(a) elk redelijk verzoek van de Klant om een dergelijke verwijdering mogelijk te maken, voor zover mogelijk rekening houdend met de aard en functie van de Services voor verwerkers en tenzij opslag is vereist op grond van wetgeving, en

(b) de procedures voor de bewaring van gegevens, zoals beschreven op policies.google.com/technologies/ads.

Google kan een vergoeding in rekening brengen (op basis van de redelijke kosten van Google) voor eventuele gegevensverwijdering op grond van artikel 6.1.2(a). Google verstrekt aan de Klant nadere details over eventuele toepasselijke vergoedingen, en de basis voor de berekening ervan, voorafgaand aan een dergelijke gegevensverwijdering.

6.2 Verwijdering na afloop van de Looptijd. De Klant geeft Google de instructie om alle resterende Persoonsgegevens van Klanten (inclusief bestaande kopieën) te verwijderen uit de systemen van Google aan het einde van de Looptijd, in overeenstemming met de toepasselijke wetgeving. Google voldoet aan deze instructie zodra dat redelijkerwijs uitvoerbaar is en binnen een maximale periode van 180 dagen, tenzij opslag is vereist op grond van wetgeving.

7.Gegevensbeveiliging

7.1 Beveiligingsmaatregelen en -ondersteuning van Google.

7.1.1 Beveiligingsmaatregelen van Google. Google implementeert enkele technische en organisatorische maatregelen en onderhoudt deze om de Persoonsgegevens van Klanten te beschermen tegen onopzettelijk(e) of onrechtmatig(e) vernietiging, verlies, wijziging, onbevoegde openbaarmaking of toegang, zoals beschreven in bijlage 2 (de“Beveiligingsmaatregelen”). Zoals beschreven in bijlage 2 omvatten de Beveiligingsmaatregelen maatregelen: (a) om persoonsgegevens te versleutelen, (b) om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en services van Google te waarborgen, (c) om de tijdige toegang tot persoonsgegevens na een Incident te helpen herstellen, en (d) voor het regelmatig testen van de doeltreffendheid. Google kan de Beveiligingsmaatregelen van tijd tot tijd updaten of aanpassen, mits dergelijke updates en aanpassingen niet leiden tot de achteruitgang van de algemene beveiliging van de Services voor verwerkers.

7.1.2 Toegang en naleving. Google: (a) verleent diens medewerkers, contractanten en Subverwerkers uitsluitend toestemming voor toegang tot de Persoonsgegevens van Klanten voor zover dat strikt noodzakelijk is om te voldoen aan de Instructies, (b) neemt passende maatregelen om de naleving van de Beveiligingsmaatregelen door alle werknemers, contractanten en Subverwerkers te garanderen voor zover dit van toepassing is op de omvang van hun taken, en (c) waarborgt dat alle personen die toestemming hebben om Persoonsgegevens van Klanten te verwerken zich hebben verplicht tot vertrouwelijkheid of vallen onder een passende wettelijke vertrouwelijkheidsverplichting.

7.1.3 Beveiligingsondersteuning van Google. Google verleent de Klant (rekening houdend met de aard van de verwerking van Persoonsgegevens van Klanten en de informatie waartoe Google toegang heeft) ondersteuning bij het garanderen van de naleving van de verplichtingen van de Klant (of, als de Klant een verwerker is, van de betreffende verwerkingsverantwoordelijke) met betrekking tot de beveiliging van persoonsgegevens en inbreuken op persoonsgegevens, krachtens de Toepasselijke wetgeving inzake gegevensbescherming, door:

(a) de implementatie en het onderhoud van de Beveiligingsmaatregelen in overeenstemming met artikel 7.1.1 (Beveiligingsmaatregelen van Google),

(b) de naleving van de voorwaarden van artikel 7.2 (Gegevensincidenten), en

(c) de verstrekking aan de Klant van de Beveiligingsdocumentatie in overeenstemming met artikel 7.5.1 (Beoordelingen van de Beveiligingsdocumentatie) en de informatie in deze Voorwaarden voor gegevensverwerking.

7.2 Gegevensincidenten.

7.2.1 Kennisgeving van Incidenten. Als Google zich bewust wordt van een Gegevensincident, zal Google: (a) de Klant onmiddellijk en zonder onredelijke vertraging in kennis stellen van het Gegevensincident, en (b) onmiddellijk redelijke maatregelen nemen om de schade te beperken en de Persoonsgegevens van Klanten te beveiligen.

7.2.2 Details van het Gegevensincident. In kennisgevingen die zijn gedaan op grond van artikel 7.2.1 (Kennisgeving van Incidenten) wordt het volgende beschreven: de aard van het Gegevensincident, waaronder de middelen van de Klant die zijn getroffen; de maatregelen die Google heeft genomen, of wil nemen, om het Gegevensincident te verhelpen en de mogelijke risico's te beperken; de maatregelen, indien van toepassing, die Google de Klant aanbeveelt om te nemen om het Gegevensincident te verhelpen; en de details van een contactpunt waar meer informatie kan worden verkregen. Als al deze informatie niet op hetzelfde moment kan worden verstrekt, bevat de eerste kennisgeving van Google de informatie die op dat moment beschikbaar is en wordt nadere informatie zonder onredelijke vertraging verstrekt zodra die beschikbaar wordt.

7.2.3 Aflevering van de kennisgeving. Google verstrekt de kennisgeving van een Gegevensincident aan het E-mailadres voor kennisgeving of, naar eigen inzicht van Google (waaronder als de Klant geen E-mailadres voor kennisgeving heeft verstrekt), door middel van andere directe communicatie (bijvoorbeeld per telefoon of in een persoonlijke vergadering). De Klant is als enige verantwoordelijk voor het verstrekken van het E-mailadres voor kennisgeving en om ervoor te zorgen dat het E-mailadres van kennisgeving actueel en geldig is.

7.2.4 Kennisgeving aan derden. De Klant is als enige verantwoordelijk voor de naleving van de wetgeving op het gebied van kennisgeving na incidenten die op de Klant van toepassing zijn en het nakomen van eventuele kennisgevingsverplichtingen ten opzichte van derden in verband met een Gegevensincident.

7.2.5 Geen erkenning van schuld door Google. De kennisgeving door Google van of de reactie van Google op een Gegevensincident op grond van dit artikel 7.2 (Gegevensincidenten) wordt niet opgevat als een erkenning door Google van enige schuld of aansprakelijkheid met betrekking tot het Gegevensincident.

7.3 Beveiligingsverantwoordelijkheden en -beoordeling van de Klant.

7.3.1 Beveiligingsverantwoordelijkheden van de Klant. De Klant stemt ermee in dat, onder voorbehoud van de verplichtingen van Google op grond van artikel 7.1 (Beveiligingsmaatregelen en -ondersteuning van Google) en artikel 7.2 (Gegevensincidenten):

(a) de Klant verantwoordelijk is voor diens gebruik van de Services voor verwerkers, waaronder:

(i) het passende gebruik van de Services voor verwerkers om een beveiligingsniveau te waarborgen dat past bij het risico met betrekking tot de Persoonsgegevens van Klanten, en

(ii) de beveiliging van de verificatiegegevens van accounts, systemen en apparaten die de Klant gebruikt voor toegang tot de Services voor verwerkers, en

(b) Google geen verplichting heeft om de Persoonsgegevens van Klanten te beschermen wanneer de Klant ervoor kiest deze op te slaan of over te dragen buiten de systemen van Google en van diens Subverwerker.

7.3.2 Beveiligingsbeoordeling door de Klant. De Klant erkent en stemt ermee in dat de door Google geïmplementeerde en onderhouden Beveiligingsmaatregelen, zoals uiteengezet in artikel 7.1.1 (Beveiligingsmaatregelen van Google) een beveiligingsniveau bieden dat past bij het risico met betrekking tot de Persoonsgegevens van Klanten, rekening houdend met de stand van de techniek, de kosten van de implementatie en de aard, reikwijdte, context en doelen van de verwerking van de Persoonsgegevens van Klanten, evenals met de risico's voor individuele personen.

7.4 Beveiligingscertificering. Voor de doorlopende doeltreffendheid van de Beveiligingsmaatregelen te evalueren en te helpen waarborgen voldoet Google aan de ISO 27001-certificering.

7.5 Beoordelingen en audits van de naleving. Omdat Google wil aantonen dat het voldoet aan zijn verplichtingen op grond van deze Voorwaarden voor gegevensverwerking, en om de Klant te helpen bij het controleren of Google voldoet aan (i) de instructies van de Klant; (ii) zijn verplichtingen onder deze Voorwaarden voor gegevensverwerking; en (iii) zijn verplichtingen onder Toepasselijke wetgeving inzake gegevensbescherming, zal Google:

(a) de Beveiligingsdocumentatie ter beschikking aan de Klant zodat de Klant deze kan beoordelen;

(b) de informatie te verstrekken die opgenomen in de voorwaarden voor gegevensverwerking; en

(c) andere materialen met betrekking tot de aard van de Verwerkersservices en de verwerking van Persoonsgegevens van de Klant (bijvoorbeeld helpcentrum materialen) verstrekken of anderszins beschikbaar stellen, in overeenstemming met de standaardpraktijken van Google. De Klant kan ook een audit uitvoeren om de naleving door Google te verifiëren van diens verplichtingen op grond van deze Voorwaarden voor gegevensverwerking door het certificaat te beoordelen dat is afgegeven voor de ISO 27001-certificering (waarin het resultaat van een door een externe auditor uitgevoerde audit is opgenomen).

8. Effectbeoordelingen en raadplegingen

Google verleent de Klant (rekening houdend met de aard van de verwerking en de informatie waartoe Google toegang heeft) ondersteuning bij het garanderen van de naleving van de verplichtingen van de Klant (of, als de Klant een verwerker is, van de betreffende verwerkingsverantwoordelijke) met betrekking tot effectbeoordelingen en voorafgaande raadpleging onder Toepasselijke wetgeving inzake gegevensbescherming, door:

(a) de Beveiligingsdocumentatie in overeenstemming met artikel 7.5(Beoordelingen van de Beveiligingsdocumentatie) te verstrekken,

(b) de informatie in de Overeenkomst (waaronder deze Voorwaarden voor gegevensverwerking) te verstrekken, en

(c) andere materialen betreffende de aard van de Services voor verwerkers en de verwerking van Persoonsgegevens van Klanten (zoals materiaal uit het Helpcentrum) te verstrekken of anderszins ter beschikking te stellen, in overeenstemming met de standaardpraktijken van Google.

9. Rechten van de betrokkene

9.1 Reactie op verzoeken van betrokkenen. Als Google een verzoek ontvangt van een betrokkene in verband met Persoonsgegevens van Klanten, geeft de Klant Google toestemming om, en informeert Google hierbij de Klant, dat Google:

(a) rechtstreeks reageert op het verzoek van de betrokkene in overeenstemming met de standaardfunctionaliteit van de Tool voor betrokkenen (als het verzoek is ingediend via de Tool voor betrokkenen), of

(b)de betrokkene meedeelt dat het verzoek bij de Klant moet worden ingediend en dat de Klant verantwoordelijk is voor de reactie op een dergelijk verzoek (als het verzoek niet is ingediend via de Tool voor betrokkenen).

9.2 Ondersteuning door Google in verband met betrokkenen. Google ondersteunt de Klant bij de nakoming van diens verplichtingen (of, als de Klant een verwerker is, de verplichtingen van de betreffende verwerkingsverantwoordelijke) op grond van Toepasselijke wetgeving inzake gegevensbescherming om te reageren op verzoeken voor de uitoefening van de rechten van de betrokkenen. Daarbij wordt in alle gevallen rekening gehouden met de aard van de verwerking van de Persoonsgegevens van Klanten en, indien van toepassing, artikel 11 van de AVG, door

(a) de functionaliteit van de Services voor verwerkers te verstrekken,

(b) te voldoen aan hetgeen beschreven in artikel 9.1 (Reactie op verzoeken van betrokkenen), en

(c) indien van toepassing op de Services voor verwerkers, de Tools voor betrokkenen beschikbaar te maken.

9.3 Rectificatie. Als de Klant opmerkt dat Persoonsgegevens van Klanten onjuist of verouderd zijn, is de Klant verantwoordelijk voor de rectificatie of verwijdering van die gegevens indien dat vereist is op grond van de Toepasselijke wetgeving voor gegevensbescherming, waaronder (indien van toepassing) door het gebruik van de functionaliteit van de Services voor verwerkers.

10. Gegevensoverdracht

10.1 Faciliteiten voor de opslag en verwerking van gegevens. Onder voorbehoud van het bepaalde in de rest van alle bepalingen die van toepassing zijn op gegevensoverdrachten in de Aanvullende voorwaarden, kan Google Persoonsgegevens van Klanten verwerken in elk land waar Google of diens Subverwerkers over faciliteiten beschikken.

10.2 Informatie over datacenters. Informatie over de locatie van de datacenters van Google is beschikbaar op www.google.com/about/datacenters/locations/.

11. Subverwerkers

11.1 Toestemming voor de inzet van Subverwerkers. De Klant verleent uitdrukkelijk toestemming voor de inzet als Subverwerker van de entiteiten die vanaf de Ingangsdatum van de voorwaarden zijn vermeld op de in artikel 11.2 (Informatie over Subverwerkers) vermelde URL. Daarnaast, en onverminderd het bepaalde in artikel 11.4 (Mogelijkheid om bezwaar te maken tegen wijzigingen in de Subverwerkers), geeft de Klant algemene toestemming voor de inzet van andere derden als Subverwerkers (“Nieuwe subverwerkers”).

11.2 Informatie over Subverwerkers. Informatie over Subverwerkers is beschikbaar op business.safety.google/adssubprocessors.

11.3 Eisen aan de inzet van Subverwerkers. Wanneer Google een Subverwerker inzet, zal Google:

(a) via een schriftelijk contract waarborgen dat: de Subverwerker alleen toegang heeft tot de Persoonsgegevens van Klanten en deze gebruikt voor zover dat noodzakelijk is om de uitbestede verplichtingen uit te voeren, en dat dit plaatsvindt in overeenstemming met de Overeenkomst (met inbegrip van deze Voorwaarden voor gegevensverwerking), en

(b) volledig aansprakelijk blijven voor alle verplichtingen die zijn uitbesteed aan, en al het handelen en nalaten van, de Subverwerker.

11.4 Mogelijkheid om bezwaar te maken tegen wijzigingen in de Subverwerkers.

(a) Als tijdens de Looptijd een Nieuwe subverwerker wordt ingezet, informeert Google de Klant ten minste dertig (30) dagen voordat de Nieuwe subverwerker Persoonsgegevens van Klanten verwerkt, van de inzet (inclusief de naam en locatie van de betreffende Nieuwe Subverwerker en de activiteiten die deze uitvoert) door een e-mail te sturen aan het E-mailadres voor kennisgevingen.

(b) De Klant kan bezwaar maken tegen een Nieuwe subverwerker door de Overeenkomst onmiddellijk te beëindigen na een schriftelijke kennisgeving aan Google, onder voorwaarde dat de Klant een dergelijke kennisgeving verstrekt binnen negentig (90) dagen nadat hij is geïnformeerd over de inzet van de Nieuwe subverwerker zoals beschreven in artikel 11.4(a).

12.Contact opnemen met Google, Register van verwerkingsactiviteiten

12.1 Contact opnemen met Google. De Klant kan contact opnemen met Google in verband met de uitoefening van diens rechten op grond van deze Voorwaarden voor gegevensverwerking via de methoden die worden beschreven op privacy.google.com/businesses/processorsupport of via eventuele andere middelen die van tijd tot tijd door Google worden verstrekt. Google verleent onmiddellijke en redelijke ondersteuning bij vragen van de Klant die Google ontvangt via dergelijke middelen en die verband houden met de verwerking van Persoonsgegevens van Klanten op grond van de Overeenkomst.

12.2 Register van verwerkingsactiviteiten van Google. Google houdt passende documentatie bij van diens verwerkingsactiviteiten, zoals vereist in Toepasselijke wetgeving inzake gegevensbescherming.

12.3 Verzoeken van verwerkingsverantwoordelijken. Als Google een verzoek of instructie ontvangt via de in artikel 12.1 beschreven methode (of een andere methode) van een derde die beweert een verwerkingsverantwoordelijke te zijn van Persoonsgegevens van Klanten, dan deelt Google mee dat die derde contact moet opnemen met de Klant.

13.Aansprakelijkheid

Als op de Overeenkomst de wetgeving van toepassing is van:

(a) een staat van de Verenigde Staten van Amerika, dan geldt, ongeacht enige andere bepaling in de Overeenkomst, dat de totale aansprakelijkheid van beide partijen jegens de andere partij op grond van of in verband met deze Voorwaarden voor gegevensverwerking is beperkt tot het maximale monetaire of op betaling gebaseerde bedrag tot welke de aansprakelijkheid van die partij is beperkt op grond van de Overeenkomst (en daarom is enige uitsluiting van de aansprakelijkheid niet van toepassing op vorderingen tot schadeloosstelling op grond van de Overeenkomst in verband met de Toepasselijke wetgeving inzake gegevensbescherming), of

(b)een jurisdictie die geen staat is van de Verenigde Staten van Amerika, dan geldt dat op de aansprakelijkheid van de partijen op grond van of in verband met deze Voorwaarden voor gegevensverwerking de uitsluitingen en beperkingen van de aansprakelijkheid in de Overeenkomst van toepassing zijn.

14. Gevolgen van deze Voorwaarden voor gegevensverwerking

14.1 Toepassingsvolgorde. Als er sprake is van strijdigheid of inconsistentie tussen de , de Aanvullende voorwaarden voor, de rest van deze Voorwaarden voor gegevensverwerking en/of de rest van de Overeenkomst, dan geldt de volgende toepassingsvolgorde:

(a) de Aanvullende voorwaarden(indien van toepassing),

(b) de rest van deze Voorwaarden voor gegevensverwerking, en

(c) de rest van de Overeenkomst.

Onder voorbehoud van de wijzigingen in deze Voorwaarden voor gegevensverwerking blijft de Overeenkomst volledig van kracht.

14.2 Geen gevolgen voor de Voorwaarden voor verwerkingsverantwoordelijken. Deze Voorwaarden voor gegevensverwerking hebben geen gevolgen voor eventuele afzonderlijke voorwaarden tussen Google en de Klant waarin de relatie tussen twee verwerkingsverantwoordelijken is gedefinieerd voor een andere service dan de Services voor verwerkers.

15. Wijzigingen in deze Voorwaarden voor gegevensverwerking

15.1 Wijziging van URL's. Google kan van tijd tot tijd een URL wijzigen waarnaar in deze Voorwaarden voor gegevensverwerking verwezen wordt, evenals de content van een dergelijke URL, waarbij Google echter uitsluitend het volgende mag wijzigen: de lijst met potentiële Services voor verwerkers op business.safety.google/adsservices:

(a) als gevolg van een wijziging in de naam van een service,

(b) om een nieuwe service toe te voegen, of

(c) om een service (of een functie van een service) te verwijderen waarvoor: (i) alle contracten voor de levering van die service zijn beëindigd, (ii) Google toestemming heeft van de Klant, of (iii) de service, of een bepaalde functie van een service, is gerecategoriseerd als een service van een verwerkersverantwoordelijke.

15.2 Wijzigingen in de Voorwaarden voor gegevensverwerking. Google kan deze Voorwaarden voor gegevensverwerking wijzigen als de wijziging:

(a) uitdrukkelijk is toegestaan in deze Voorwaarden voor gegevensverwerking, waaronder zoals beschreven in artikel 15.1 (Wijziging van URL's),

(b) het gevolg is van een wijziging van de naam of rechtsvorm van een rechtspersoon,

(c) vereist is om te voldoen aan de toepasselijke wetgeving, toepasselijke regelgeving, een rechterlijk bevel of richtlijnen die zijn uitgevaardigd door een regelgevende overheidsinstantie of agentschap, of weergeeft dat Google een Alternatieve oplossing voor overdracht gaat gebruiken/gebruikt (zoals gedefinieerd in Bijlage 3A), of

(d) niet leidt tot het volgende: (i) een achteruitgang in de algemene beveiliging van de Services voor verwerkers, (ii) een uitbreiding van de reikwijdte, of de verwijdering, van eventuele beperkingen aan, (x) in het geval van Aanvullende voorwaarden, de rechten van Google om de gegevens die vallen onder de reikwijdte van de Aanvullende voorwaarden te gebruiken of anderszins te verwerken, of (y) in het geval van de rest van deze Voorwaarden voor gegevensverwerking, de verwerking door Google van Persoonsgegevens van Klanten, zoals beschreven in artikel 5.3 (Naleving van Instructies door Google), en (iii) substantiële negatieve gevolgen voor de rechten van de Klant op grond van deze Voorwaarden voor gegevensverwerking, zoals redelijkerwijs vastgesteld door Google.

15.3 Kennisgeving over wijzigingen. Als Google voornemens is deze Voorwaarden voor gegevensverwerking te wijzigen op grond van artikel 15.2(c) of 15.2(d), informeert Google de Klant minstens dertig (30) dagen (of een zodanig kortere periode als vereist kan zijn om te voldoen aan toepasselijke wetgeving, toepasselijke regelgeving, een rechterlijk bevel of richtlijnen die zijn uitgevaardigd door een regelgevende overheidsinstantie of agentschap) voordat de wijziging van kracht wordt door: (a) een e-mail te sturen naar het E-mailadres voor kennisgevingen of (b) de Klant te informeren via de gebruikersinterface voor de Services voor verwerkers. Als de Klant bezwaar maakt tegen een dergelijke wijziging, kan de Klant de Overeenkomst onmiddellijk zonder aanvullende reden beëindigen door Google een schriftelijke kennisgeving te sturen binnen negentig (90) dagen nadat Google de Klant heeft geïnformeerd over de wijziging.

Bijlage 1: Onderwerp en details van de gegevensverwerking

Onderwerp

De verstrekking van de Services voor verwerkers en eventuele gerelateerde technische support aan de Klant door Google.

Duur van de verwerking

De Looptijd plus de periode vanaf het einde van de Looptijd tot de verwijdering van alle Persoonsgegevens van Klanten door Google in overeenstemming met deze Voorwaarden voor gegevensverwerking.

Aard en doel van de verwerking

Google verwerkt (inclusief, indien van toepassing op de Services voor verwerkers en de Instructies, verzamelen, registreren, organiseren, structureren, opslaan, wijzigen, ophalen, gebruiken, bekendmaken, combineren, wissen en vernietigen) Persoonsgegevens van Klanten om de Services voor verwerkers en eventuele gerelateerde technische support te verlenen aan de Klant in overeenstemming met deze Voorwaarden voor gegevensverwerking.

Soorten persoonsgegevens

De Persoonsgegevens van Klanten kunnen de soorten persoonsgegevens omvatten die zijn beschreven op business.safety.google/adsservices.

Categorieën betrokkenen

De Persoonsgegevens van Klanten hebben betrekking op de volgende categorieën betrokkenen:

betrokkenen waarvan Google persoonsgegevens verzamelt bij de levering van de Services voor verwerkers, en/of
betrokkenen waarvan persoonsgegevens worden overgedragen aan Google in verband met de Services voor verwerkers door, op aanwijzing van of namens de Klant.

Afhankelijk van de aard van de Services voor verwerkers kunnen deze betrokkenen bestaan uit personen: (a) aan wie online reclame is, of zal worden, getoond, (b) die specifieke websites of apps hebben bezocht in verband waarmee Google de Services voor verwerkers verstrekt, en/of (c) die klanten of gebruikers zijn van de producten of services van de Klant.

Bijlage 2: Beveiligingsmaatregelen

Per de Ingangsdatum van de voorwaarden implementeert Google de in deze bijlage 2 beschreven Beveiligingsmaatregelen en onderhoudt deze. Google kan deze Beveiligingsmaatregelen van tijd tot tijd updaten of aanpassen, mits dergelijke updates en aanpassingen niet leiden tot de achteruitgang van de algemene beveiliging van de Services voor verwerkers.

1. Datacenter- en netwerkbeveiliging

(a) Datacenters.

Infrastructuur. Google beschikt over geografisch verspreide datacenters. Google slaat alle productiegegevens op in fysiek beveiligde datacenters.

Redundantie. Infrastructuursystemen zijn ontworpen om single points of failure te voorkomen en de gevolgen van verwachte omgevingsrisico's te beperken. Dubbele circuits, schakelaars, netwerken of andere benodigde apparaten helpen bij het verzorgen van deze redundantie. De Services voor verwerkers zijn ontworpen om Google in staat te stellen bepaalde soorten preventief en corrigerend onderhoud uit te voeren zonder dat dit leidt tot onderbrekingen. Alle randapparatuur en faciliteiten beschikken over schriftelijk vastgelegde preventieve onderhoudsprocedures waarin het proces voor en de frequentie van de uitvoering zijn vastgelegd in overeenstemming met de specificaties van de fabrikant of interne specificaties. Preventief en corrigerend onderhoud van apparatuur in datacenters wordt gepland via een standaardproces overeenkomstig schriftelijk vastgelegde procedures.

Stroomvoorziening. De elektrische stroomvoorzieningssystemen van het datacenter zijn ontworpen om redundant te zijn en om te kunnen worden onderhouden zonder gevolgen voor de lopende activiteiten, 24 uur per dag en 7 dagen per week. In de meeste gevallen is een primaire en een alternatieve stroombron voorzien, beide met gelijke capaciteit, voor kritieke infrastructuurcomponenten in het datacenter. Back-upstroom wordt geleverd via verschillende mechanismen, zoals accu's voor noodstroomvoorzieningen (UPS), die op betrouwbare en consistente wijze stroom leveren tijdens elektriciteitsstoringen, stroomuitval, overspanning, onderspanning en frequenties die buiten de tolerantie vallen. Als de elektriciteitstoevoer wordt onderbroken, is de back-upstroom ontworpen om tot maximaal tien minuten stroom te leveren aan het datacenter, op volle capaciteit, totdat de back-upgeneratoren de toevoer overnemen. De back-upgeneratoren kunnen binnen enkele seconden opstarten om om voldoende noodstroom te verzorgen om het datacenter enkele dagen op volle capaciteit te laten draaien.

Serverbesturingssystemen. De servers van Google maken gebruik van versterkte besturingssystemen die zijn aangepast aan de unieke serverbehoeften van het bedrijf. Gegevens worden opgeslagen met behulp van algoritmen die eigendom zijn van Google om de gegevensbeveiliging en redundantie te vergroten. Google maakt gebruik van een beoordelingsproces voor de code om de veiligheid van de code die wordt gebruikt om de Services voor verwerkers te leveren te vergroten en de beveiligingsproducten in productie-omgevingen te verbeteren.

Bedrijfscontinuïteit. Google repliceert gegevens via meerdere systemen om deze te beschermen tegen onbedoelde vernietiging of verlies. Google heeft bedrijfscontinuïteitsplannen/rampherstelprogramma's ontworpen die regelmatig worden onderhouden en getest.

Versleutelingstechnologieën. Overeenkomstig de beleidsmaatregelen van Google worden alle gebruikersgegevens 'at rest' versleuteld, inclusief persoonsgegevens. Gegevens worden vaak op meerdere niveaus versleuteld in de productie-opslagstack in datacenters van Google, waaronder op hardwareniveau, zonder dat klanten hiervoor enige actie hoeven te ondernemen. Door gebruik te maken van meerdere versleutelingslagen wordt redundante gegevensbescherming toegevoegd en kan Google de optimale benadering selecteren op basis van de toepassingseisen. Alle persoonsgegevens worden op opslagniveau versleuteld, meestal met behulp van AES256. Google maakt gebruik van algemene cryptografische bibliotheken die de gevalideerde FIPS 140-2-module van Google omvatten, om op consistente wijze versleuteling te implementeren voor de Services voor verwerkers.

(b) Netwerken en overdracht.

Gegevensoverdracht. Datacenters zijn meestal verbonden via privéverbindingen met hoge snelheid die zorgen voor een veilige en snelle gegevensoverdracht tussen datacenters. Daarnaast versleutelt Google de gegevens die worden overgedragen tussen datacenters. Deze versleuteling is zo ontworpen dat de gegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder autorisatie tijdens de elektronische overdracht. Google draagt gegevens over via standaard internetprotocollen.

Extern aanvalsoppervlak. Google maakt gebruik van verschillende lagen netwerkapparaten en indringingsdetectie om blootstelling aan aanvallen van buitenaf te voorkomen. Google onderzoekt mogelijke aanvalsvectors en bouwt passende, speciaal daartoe ontwikkelde technologieën in naar buiten gerichte systemen.

Indringingsdetectie. Indringingsdetectie is bedoeld om inzicht te bieden in lopende aanvalsactiviteiten en om toereikende informatie te bieden om te kunnen reageren op incidenten. De indringingsdetectie van Google bestaat uit het volgende:

1. Strenge controle van de omvang en samenstelling van de locaties die blootstaan aan aanvallen door middel van preventieve maatregelen,

2. Gebruik van intelligente detectiemiddelen op punten waar de gegevens binnenkomen, en

3. Gebruik van technologieën die automatisch bepaalde gevaarlijke situaties corrigeren.

Reactie op incidenten. Google controleert verschillende communicatiekanalen op beveiligingsincidenten en de veiligheidsmedewerkers van Google reageren direct op bekende incidenten.

Versleutelingstechnologieën. Google stelt HTTPS-versleuteling (ook wel TLS-verbinding genoemd) ter beschikking. De servers van Google ondersteunen de uitwisseling van de tijdelijke elliptische curves van de cryptografische sleutel van Diffie Hellman ondertekend met RSA en ECDSA. Deze PFS-methoden (Perfect Forward Secrecy) beschermen het verkeer en minimaliseren de gevolgen van een gecompromitteerde sleutel of een cryptografische doorbraak.

2. Toegangs- en locatiecontroles

(a) Locatiecontroles.

Beveiligingsactiviteiten voor datacenters op de locatie. De datacenters van Google beschikken 24 uur per dag en 7 dagen per week over een beveiligingsservice op locatie die verantwoordelijk is voor alle fysieke beveiligingsfuncties van het datacenter. De medewerkers van de beveiligingsservices houden bewakingscamera's en alle alarmsystemen in de gaten. De beveiligingsmedewerkers op locatie voeren regelmatig interne en externe patrouilles bij het datacenter uit.

Toegangsprocedures van het datacenter. Google maakt gebruik van formele toegangsprocedures voor het toestaan van fysieke toegang tot de datacenters. De datacenters bevinden zich in faciliteiten waarvoor toegang met behulp van een elektronische toegangspas vereist is en die zijn voorzien van alarmen die met de beveiligingsservices op locatie zijn verbonden. Iedereen die het datacenter betreedt, is verplicht om zich te identificeren en een identiteitsbewijs te laten zien aan de beveiliging op locatie. Alleen geautoriseerde medewerkers, contractanten en bezoekers hebben toegang tot de datacenters. Alleen geautoriseerde medewerkers en contractanten kunnen toegang tot deze faciliteiten met behulp van een elektronische toegangspas aanvragen. De aanvraag van elektronische toegangspassen moet vooraf schriftelijk worden ingediend en hiervoor is de goedkeuring vereist van geautoriseerd personeel van het datacenter. Alle andere bezoekers die tijdelijk toegang willen krijgen tot het datacenter moeten: (i) vooraf goedkeuring krijgen van geautoriseerd personeel van het datacenter voor het specifieke datacenter en de interne zones die ze willen bezoeken, (ii) zich aanmelden bij de beveiligingsservices op de locatie, en (iii) een erkend bewijs van toegang tot het datacenter tonen waarin staat dat de persoon is goedgekeurd.

Beveiligingsapparatuur op locatie in het datacenter. De datacenters van Google maken gebruik van elektronische toegangspassen en biometrische toegangscontroles die aan een systeemalarm zijn gekoppeld. Het toegangscontrolesysteem controleert de toegangspas van elke persoon en wanneer ze toegangsdeuren en deuren van andere cruciale zones openen en slaat deze informatie op. Ongeautoriseerde activiteiten en mislukte toegangspogingen worden door het toegangscontrolesysteem vastgelegd en, indien passend, onderzocht. De geautoriseerde toegang tot de bedrijfsactiviteiten en de datacenters is beperkt op basis van zones en de verantwoordelijkheden van de functie van die persoon. De branddeuren van de datacenters zijn voorzien van een alarm. Zowel binnen als buiten de datacenters zijn bewakingscamera's actief. De camera's zijn zo geplaatst dat ze strategische gebieden beslaan, waaronder de omheining, deuren tot het datacentergebouw en de laad- en loszones. Het beveiligingspersoneel op locatie beheert de bewakings-, opname- en besturingsapparatuur. Beveiligde kabels verbinden de bewakingsapparatuur in alle datacenters. Camera's nemen 24 uur per dag en 7 dagen per week op locatie op via digitale videorecorders. De surveillancevideo's worden ten minste 7 dagen bewaard op basis van activiteit.

(b) Toegangscontrole.

Medewerkers voor infrastructuurbeveiliging. Google beschikt over een veiligheidsbeleid (en houdt dit actueel) voor diens personeel en veiligheidstraining is een verplicht onderdeel van het opleidingspakket voor personeel. De Google-medewerkers voor infrastructuurbeveiliging zijn verantwoordelijk voor de voortdurende controle van de beveiligingsinfrastructuur van Google, de beoordeling van de Services voor verwerkers en de reactie op beveiligingsincidenten.

Toegangscontrole en rechtenbeheer. Beheerders en gebruikers van de Klant moeten zich verifiëren via een centraal verificatiesysteem of via een Single Sign-on-systeem om de Services voor verwerkers te gebruiken.

Processen en beleidsregels voor toegang tot interne gegevens – Toegangsbeleid. De processen en beleidsregels voor toegang tot interne gegevens van Google zijn ontworpen om te voorkomen dat onbevoegde personen en/of systemen toegang krijgen tot systemen die worden gebruikt om persoonsgegevens te verwerken. Google streeft ernaar zijn systemen zo te ontwerpen dat: (i) alleen bevoegd personeel toegang krijgt tot de gegevens waarvoor zij geautoriseerd zijn, en (ii) wordt gewaarborgd dat persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder autorisatie tijdens de verwerking, het gebruik en na vastlegging. De systemen zijn ontworpen om ongepaste toegang waar te nemen. Google maakt gebruik van een centraal toegangsbeheersysteem om de toegang van personeel tot productieservers te controleren en geeft alleen toegang aan een beperkt aantal geautoriseerde medewerkers. LDAP, Kerberos en een eigen systeem die gebruikmaken van digitale certificaten zijn ontworpen om Google veilige en flexibele toegangsmechanismen te bieden. Deze mechanismen zijn ontworpen om alleen goedgekeurde toegangsrechten te verstrekken tot sitehosts, logbestanden, gegevens en configuratie-informatie. Google vereist het gebruik van unieke gebruikers-ID's, sterke wachtwoorden, verificatie in twee stappen en nauwkeurig gecontroleerde toegangslijsten om de kans op ongeautoriseerd accountgebruik te minimaliseren. De verlening of aanpassing van toegangsrechten is gebaseerd op: de functieverantwoordelijkheden van geautoriseerde personen, de functievereisten die noodzakelijk zijn om geautoriseerde taken uit te voeren, en informatieverstrekking op need-to-know basis. De verlening of aanpassing van toegangsrechten moet ook in overeenstemming zijn met het beleid voor toegang tot interne gegevens en training van Google. Goedkeuringen worden beheerd door workflowprogramma's waarmee auditrecords van alle wijzigingen worden bijgehouden. Toegang tot de systemen wordt in een logbestand vastgelegd om een auditspoor te maken voor verantwoording. Als wachtwoorden worden gebruikt voor verificatie (zoals aanmelden op werkstations), worden beleidsregels voor wachtwoorden geïmplementeerd die minstens voldoen aan de branchenormen. Deze normen omvatten beperkingen aan het hergebruik van wachtwoorden en voldoende sterke wachtwoorden.

3. Gegevens

(a) Opslag, isolatie en verificatie van gegevens.

Google slaat gegevens op in een multi-tenantomgeving op de servers van Google. Gegevens, de databases voor Services voor verwerkers en de bestandssysteemarchitectuur worden in meerdere geografisch verspreide datacenters gerepliceerd. Google isoleert de gegevens van elke klant op logische wijze. Er wordt een centraal verificatiesysteem gebruikt in alle Services voor verwerkers om de uniforme beveiliging van gegevens te vergroten.

(b) Richtlijnen voor Buiten bedrijf gestelde schijven en de vernietiging van schijven.

Bepaalde schijven die gegevens bevatten, kunnen te maken krijgen met prestatieproblemen, fouten of hardwareproblemen die ertoe leiden dat ze buiten bedrijf worden gesteld (“Buiten bedrijf gestelde schijf”). Op elke Buiten bedrijf gestelde schijf zijn een reeks gegevensvernietigingsprocessen van toepassing (de “Richtlijnen voor gegevensvernietiging”) voordat zij de gebouwen van Google verlaten voor hergebruik of vernietiging. Buiten bedrijf gestelde schijven worden gewist in een proces dat uit meerdere stappen bestaat en worden volledig geverifieerd door ten minste twee onafhankelijke validators. De wisresultaten worden in een logbestand vastgelegd op basis van het serienummer van de Buiten bedrijf gestelde schijf voor tracering. Tot slot wordt de Buiten bedrijf gestelde schijf vrijgegeven voor hergebruik en nieuwe inzet. Als de Buiten bedrijf gestelde schijf niet kan worden gewist als gevolg van een hardwareprobleem, wordt de schijf veilig opgeslagen tot deze kan worden vernietigd. Elke faciliteit wordt regelmatig geïnspecteerd om de naleving van de Richtlijnen voor gegevensvernietiging te controleren.

(c) Pseudonieme gegevens.

Online advertentiegegevens worden vaak gekoppeld aan online ID's die op zichzelf als “pseudoniem” worden beschouwd (d.w.z. ze kunnen niet aan een specifieke persoon worden toegewezen zonder gebruik van aanvullende informatie). Google heeft een robuuste reeks beleidsregels en technische en organisatorische controles ingevoerd om de scheiding te waarborgen tussen pseudonieme gegevens en persoonlijk identificeerbare gebruikersinformatie (d.w.z. informatie die kan worden gebruikt om een persoon direct te identificeren, contact met die persoon op te nemen of die persoon precies te lokaliseren), zoals de Google-accountgegevens van een gebruiker. Google staat informatiestromen tussen pseudonieme en persoonlijk identificeerbare gegevens uitsluitend in streng beperkte omstandigheden toe.

(d) Lanceringsbeoordelingen.

Google voert lanceringsbeoordelingen uit voor nieuwe producten en functies voordat deze worden gelanceerd. Dit bestaat onder meer uit een privacybeoordeling die wordt uitgevoerd door speciaal opgeleide technici op het gebied van privacy. Bij privacybeoordelingen waarborgen deze speciaal opgeleide technici op het gebied van privacy dat alle toepasselijke beleidsregels en richtlijnen van Google worden gevolgd, waaronder, maar niet beperkt tot, beleidsregels die verband houden met pseudonimisering en het bewaren en verwijderen van gegevens.

4. Personeelsbeveiliging

De medewerkers van Google moeten zich gedragen op een manier die overeenstemt met de richtlijnen van het bedrijf voor vertrouwelijkheid, bedrijfsethiek, passend gebruik en professionele normen. Google voert redelijke en passende achtergrondchecks uit voor zover deze wettelijk zijn toegestaan en in overeenstemming met de toepasselijke lokale arbeidswetgeving en wettelijke regelingen.

Medewerkers moeten een vertrouwelijkheidsovereenkomst ondertekenen en bevestigen dat zij de beleidsregels van Google voor vertrouwelijkheid en privacy hebben ontvangen en zich hieraan zullen houden. Medewerkers krijgen veiligheidstrainingen. Medewerkers die Persoonsgegevens van klanten hanteren, moeten aan aanvullende eisen voldoen die bij hun functie passen. Medewerkers van Google verwerken zonder autorisatie geen Persoonsgegevens van klanten.

5. Beveiliging bij Subverwerkers

Voordat Subverwerkers worden ingezet controleert Google de beveiligings- en privacypraktijken van Subverwerkers om te waarborgen dat de Subverwerkers een beveiligings- en privacyniveau bieden dat past bij hun toegang tot gegevens en de omvang van de services die zij verlenen. Zodra Google de risico's in verband met de Subverwerker heeft beoordeeld, moet de Subverwerker passende contractsvoorwaarden over veiligheid, vertrouwelijkheid en privacy aangaan, onder toepassing van de eisen die zijn vastgesteld in artikel 11.3 (Eisen aan de inzet van Subverwerkers).

Bijlage 3: Aanvullende voorwaarden voor Toepasselijke wetgeving inzake gegevensbescherming

DEEL A – AANVULLENDE VOORWAARDEN VOOR EUROPESE WETGEVING INZAKE GEGEVENSBESCHERMING

1. Inleiding

Deze Bijlage 3A is alleen van toepassing voor zover de Europese wetgeving inzake gegevensbescherming van toepassing is op de verwerking van Persoonsgegevens van Klanten.

2. Aanvullende definities

2.1 In deze Bijlage 3A:

“Adequaat land” betekent:

(a) voor gegevens die verwerkt worden onder de EU AVG: de EER, of een land of gebied dat erkend is als een land dat adequate bescherming biedt onder de EU AVG;

(b) voor gegevens die worden verwerkt in het kader van de AVG in het Verenigd Koninkrijk: het Verenigd Koninkrijk, of een land of gebied waarvan wordt erkend dat het een passende bescherming biedt in het kader van de AVG in het Verenigd Koninkrijk en de Data Protection Act 2018; en/of

(c) voor gegevens die worden verwerkt in het kader van de Zwitserse FDPA: Zwitserland, of een land of gebied dat: (i) is opgenomen in de lijst van statenwaarvan de wetgeving een passende bescherming waarborgt, zoals gepubliceerd door de Zwitserse federale commissaris voor gegevensbescherming en informatie, of (ii) door de Zwitserse Bondsraad in het kader van de Zwitserse FDPA is erkend als een land dat een passende bescherming waarborgt, in elk geval, anders dan op basis van een optioneel kader voor gegevensbescherming.

“Alternatieve overdrachtsoplossing” betekent een andere oplossing dan Modelcontractbepalingen die de rechtmatige overdracht van persoonsgegevens naar een derde land mogelijkmaakt in overeenstemming met de Europese wetgeving inzake gegevensbescherming, bijvoorbeeld een gegevensbeschermingskader dat wordt erkend als een kader dat waarborgt dat de deelnemende entiteiten adequate bescherming bieden.

“EER” betekent de Europese Economische Ruimte.

“Europese Wetten” betekent, voor zover van toepassing: (a) EU-wetgeving of wetgeving van een EU-lidstaat (als de AVG van de EU van toepassing is op de verwerking van Persoonsgegevens van de Klant); (b) de wetgeving van het Verenigd Koninkrijk of een deel van het Verenigd Koninkrijk (als de AVG van het Verenigd Koninkrijk van toepassing is op de verwerking van Persoonsgegevens van de Klant) en (c) de wetgeving van Zwitserland (als de Zwitserse FDPA van toepassing is op de verwerking van Persoonsgegevens van de Klant).

“Modelcontractbepalingen” betekent de Modelcontractbepalingen van de Klant en/of Modelcontractbepalingen (Verwerker-naar-Verwerker, Google Exporteur), zoals van toepassing.

“Modelcontractbepalingen (verwerkingsverantwoordelijke-naar-verwerker)” betekent de termen op business.safety.google/adsprocessorterms/sccs/c2p.

“Modelcontractbepalingen (verwerker- naar - verwerkingsverantwoordelijke)” betekent de termen op business.safety.google/adsprocessorterms/sccs/p2c.

“Modelcontractbepalingen (verwerker- naar - verwerker)” betekent de termen op business.safety.google/adsprocessorterms/sccs/p2p.

“Modelcontractbepalingen (verwerker- naar – Verwerker, Google Exporteur)” betekent de termen op business.safety.google/adsprocessorterms/sccs/p2p-intra-group.

“Modelcontractbepalingen van de klant” betekent de Modelcontractbepalingen verwerkingsverantwoordelijke-naar-verwerker, de Modelcontractbepalingen verwerker-naar-verwerkingsverantwoordelijke en/of de Modelctontractbepalingen verwerker-naar-verwerker, zoals van toepassing.

“Toezichthoudende autoriteit” betekent, indien van toepassing: (a) een “toezichthoudende autoriteit” zoals gedefinieerd in de AVG van de EU; en/of (b) de “commissaris” zoals gedefinieerd in de AVG van het Verenigd Koninkrijk en/of de Zwitserse FDPA.

2.2De termen “Gegevensimporteur” en “Gegevensexporteur” hebben de betekenis die in de toepasselijke Modelcontractbepalingen wordt gegeven.

3.Verwerkende klanten. Als de Klant een verwerker is, zal de Klant elke kennisgeving die verwijst naar een Modelcontractbepaling onmiddellijk en zonder onnodige vertraging doorsturen naar de relevante verwerkingsverantwoordelijke.

4.Europese wetten. Wanneer de Europese wetgeving inzake gegevensbescherming van toepassing is op de verwerking van Persoonsgegevens van Klanten door Google, worden “Europese wetten” bedoeld met verwijzingen naar “toepasselijke wetten” in artikelen 5.3 (Naleving van instructies door Google), 6.1.1 (Processorservices met verwijderingsfunctionaliteit), 6.1.2(a) (Processorservices zonder verwijderingsfunctionaliteit) en artikel 6.2 (Verwijdering na afloop van de termijn).

5.Kennisgevingen van Instructies. Google zal de Klant onmiddellijk op de hoogte stellen als, naar de mening van Google: (a) Europese wetgeving Google verbiedt om aan een Instructie te voldoen; (b) een Instructie niet voldoet aan de Europese wetgeving inzake gegevensbescherming; of (c) Google anderszins niet in staat is om aan een Instructie te voldoen, in elk geval tenzij een dergelijke kennisgeving verboden is door Europese wetgeving. Als de Klant een verwerker is, zal de Klant alle kennisgevingen van Google op grond van dit artikel onmiddellijk doorsturen naar de betreffende verwerkingsverantwoordelijke. Dit artikel 5 (Kennisgevingen van Instructies) vermindert de rechten en verplichtingen van beide partijen elders in de Overeenkomst niet.

6.Audits op naleving

6.1 Auditrechten van de klant.

(a) Google staat de Klant of een door de Klant aangewezen externe auditor toe om audits (inclusief inspecties) uit te voeren om de naleving door Google van haar verplichtingen onder deze Voorwaarden voor gegevensverwerking te controleren in overeenstemming met artikel 6.2 (Aanvullende zakelijke voorwaarden voor audits) van deze Bijlage 3A. Tijdens een audit zal Google alle informatie beschikbaar stellen die nodig is om deze naleving te tonen en bijdragen aan de audits zoals beschreven in artikel 7.4 (Beveiligingscertificering) en artikel 6 (Nalevingsaudits) van deze Bijlage 3A.

(b) Als de Modelcontractbepalingen van toepassing zijn krachtens artikel 7.1 (Beperkte Europese Overdrachten) van deze Bijlage 3A, zal Google de Klant (of een door de Klant aangewezen externe auditor) toestaan om audits uit te voeren zoals beschreven in de Modelcontractbepalingen en tijdens de audit alle door de Modelcontractbepalingen vereiste informatie beschikbaar stellen, elk in overeenstemming met artikel 6.2 (Aanvullende Zakelijke Voorwaarden voor Audits) van deze Bijlage 3A .

6.2 Aanvullende bedrijfstermen voor audits.

(a) De Klant stuurt elk verzoek voor een audit onder artikel 6.1(a) of 6.1(b) van deze Bijlage 3A naar Google zoals beschreven in artikel 12.1 (Contact opnemen met Google).

(b)Na ontvangst door Google van een verzoek op grond van artikel 6.2(a) van deze Bijlage 3A, bespreken Google en de Klant vooraf de redelijke begindatum, omvang en duur van en de beveiligings- en vertrouwelijkheidscontroles die van toepassing zijn op een audit op grond van artikel 6.1(a) of 6.1(b) van deze Bijlage 3A en komen deze overeen.

(c) Google kan een vergoeding in rekening brengen (gebaseerd op de redelijke kosten van Google) voor elke audit onder artikel 6.1(a) of 6.1(b) van deze Bijlage 3A. Google zal de Klant voorafgaand aan een dergelijke audit meer informatie verstrekken over de toepasselijke vergoeding en de berekeningsgrondslag. De Klant is verantwoordelijk voor alle kosten die in rekening worden gebracht door een externe auditor die door de Klant is aangesteld om een dergelijke audit uit te voeren.

(d) Google kan bezwaar maken tegen een externe auditor die door de Klant is aangesteld om een audit uit te voeren krachtens artikel 6.1(a) of 6.1(b) van deze Bijlage 3A, indien de auditor naar de redelijke mening van Google niet voldoende gekwalificeerd of onafhankelijk is, een concurrent van Google is of anderszins duidelijk ongeschikt is. Bij een dergelijk bezwaar van Google zal de Klant een andere auditor moeten benoemen of de audit zelf moeten uitvoeren.

(e)Niets in deze Voorwaarden voor gegevensverwerking verplicht Google om aan de Klant of zijn externe accountant bekend te maken of de Klant of zijn externe accountant toegang te verlenen tot: (i) gegevens van andere klanten van een Google-entiteit; (ii) interne boekhoudkundige of financiële informatie van een Google-entiteit; (iii) handelsgeheimen van een Google-entiteit; (iv) informatie die, naar de redelijke mening van Google: (A) de beveiliging van de systemen of gebouwen van een Google-entiteit in gevaar kan brengen; of (B) ertoe kan leiden dat een Google-entiteit haar verplichtingen onder de Europese wetgeving inzake gegevensbescherming of haar beveiligings- en/of privacyverplichtingen jegens de Klant of een derde schendt; of (v) alle informatie waartoe de Klant of zijn derde toegang probeert te krijgen om een andere reden dan het te goeder trouw voldoen aan de verplichtingen van de Klant onder de Europese wetgeving inzake gegevensbescherming.

7.Gegevensoverdracht

7.1 Beperkte Europese Doorgiften. De partijen erkennen dat de Europese wetgeving inzake gegevensbescherming geen Modelcontractbepalingen of een Alternatieve Overdrachtsoplossing vereist om Persoonsgegevens van de Klant te verwerken in of door te geven aan een Toereikend Land. Als Persoonsgegevens van de Klant worden doorgegeven naar een ander land en de Europese wetgeving inzake gegevensbescherming van toepassing is op de doorgifte (“Beperkte Europese Doorgifte”), dan:

(a) als Google een Alternatieve Overdrachtsoplossing heeft aangenomen voor Beperkte Europese Doorgifte, dan zal Google de Klant informeren over de betreffende oplossing en ervoor zorgen dat dergelijke Beperkte Europese Doorgifte worden uitgevoerd in overeenstemming met die oplossing; en/of

(b) als Google geen Alternatieve Overdrachtsoplossing voor Beperkte Europese Doorgiften heeft aangenomen, of de Klant informeert dat Google niet langer een Alternatieve Overdrachtsoplossing aanneemt, dan:

(i) als het adres van Google zich in een Adequaat land bevindt:

(A) zijn de Modelcontractbepalingen (Verwerker-naar-Verwerker, Google Exporteur) van toepassing op dergelijke Beperkte Europese Doorgiften van Google naar Subverwerkers; en

(B)als het adres van de Klant zich niet in een Adequaat Land bevindt, zijn de Modelcontractbepalingen (verwerker-naar-verwerkingsverantwoordelijke) van toepassing op Beperkte Europese Doorgiften tussen Google en de Klant (ongeacht of de Klant een verwerkingsverantwoordelijke en/of een verwerker is); of

(ii) als het adres van Google zich niet in een geschikt land bevindt, Modelcontractbepalingen (verwerkingsverantwoordelijke – naar - verwerker) en/of Modelcontractbepalingen (verwerker – naar – verwerker) van toepassing zijn (afhankelijk van het feit of de Klant een verwerkingsverantwoordelijke en/of verwerker is) met betrekking tot dergelijke Beperkte Europese Doorgiften tussen de Klant en Google.

7.2 Aanvullende maatregelen en informatie. Google zal de Klant voorzien van informatie die relevant is voor Beperkte Europese Doorgiften, waaronder informatie over aanvullende maatregelen om Persoonsgegevens van de Klant te beschermen, zoals beschreven in artikel 7.5 (Controle op naleving), Bijlage 2 (Beveiligingsmaatregelen) en andere materialen met betrekking tot de aard van de Verwerkersservices en de verwerking van Persoonsgegevens van Klanten (bijvoorbeeld artikelen in het Helpcentrum).

7.3Beëindiging. Als de Klant op basis van zijn huidige of beoogde gebruik van de Verwerkersservices concludeert dat de Alternatieve Overdrachtsoplossing en/of Modelcontractbepalingen, zoals van toepassing, geen passende beveiliging bieden voor de Persoonsgegevens van de Klant, dan kan de Klant de Overeenkomst onmiddellijk voor het gemak beëindigen door Google hiervan schriftelijk op de hoogte te stellen.

7.4Goedkeuring en certificering van Alternatieve Overdrachtsoplossingen. Informatie over de goedkeuring of certificering door Google en/of haar Aangesloten entiteiten van Alternatieve Overdrachtsoplossingen is te vinden op https://business.safety.google/adsdatatransfers.

8.Subverwerkers. Bij het inschakelen van een Subverwerker zorgt Google er via een schriftelijk contract voor dat, indien de verwerking van Persoonsgegevens van de Klant onder de Europese wetgeving inzake gegevensbescherming valt, de gegevensbeschermingsverplichtingen in deze Voorwaarden voor gegevensverwerking (zoals bedoeld in artikel 28, lid 3, van de AVG, indien van toepassing) aan de Subverwerker worden opgelegd.

9. Google's verwerkingsrecords.

De Klant erkent dat Google onder de AVG verplicht is om:

(a) bepaalde informatie verzamelen en bijhouden, waaronder: (i) de naam en contactgegevens van elke verwerker en/of verwerkingsverantwoordelijke namens wie Google optreedt en (indien van toepassing) van de lokale vertegenwoordiger en functionaris voor gegevensbescherming van deze verwerker of verwerkingsverantwoordelijke, en (ii) indien van toepassing onder de Modelcontractbepalingen van de Klant, de Toezichthoudende Autoriteit van de Klant; en

(b) dergelijke informatie beschikbaar te stellen aan een Toezichthoudende Autoriteit. Dienovereenkomstig zal de Klant, waar gevraagd en zoals van toepassing op de Klant, dergelijke informatie aan Google verstrekken via de gebruikersinterface van de Services van de verwerker of via andere middelen die door Google kunnen worden verstrekt, en zal de Klant deze gebruikersinterface of andere middelen gebruiken om ervoor te zorgen dat alle verstrekte informatie accuraat en actueel blijft.

10. Modelcontractbepalingen

10.1 Volgorde van voorrang. In geval van tegenstrijdigheid of inconsistentie tussen de Modelcontractbepalingen van de Klant en deze Bijlage 3A, de rest van deze Voorwaarden voor Gegevensverwerking of de rest van de Overeenkomst, prevaleren de Modelcontractbepalingen van de Klant.

10.2Geen wijziging van Modelcontractbepalingen. Niets in de Overeenkomst (inclusief deze Voorwaarden voor gegevensverwerking) is bedoeld om Modelcontractbepalingen te wijzigen of tegen te spreken of afbreuk te doen aan de fundamentele rechten of vrijheden van betrokkenen onder de Europese wetgeving inzake gegevensbescherming.

11 Wijzigingen in Modelcontractbepalingen. Google mag de Modelcontractbepalingen alleen wijzigen in overeenstemming met Artikel 15.2(b) - 15.2(d) (Wijzigingen in Voorwaarden voor gegevensverwerking) of om een nieuwe versie van de Modelcontractbepalingen op te nemen die kan worden aangenomen onder de Europese Wetgeving voor gegevensbescherming, in elk geval op een manier die geen invloed heeft op de geldigheid van de Modelcontractbepalingen onder de Europese Wetgeving voor gegevensbescherming.

DEEL B - AANVULLENDE VOORWAARDEN VOOR PRIVACYWETTEN VAN STATEN

1. Inleiding

Google kan bepaalde in-product instellingen, configuraties of andere functionaliteiten Services van verwerkers aanbieden en de Klant kan deze inschakelen met betrekking tot beperkte gegevensverwerking (ook: “BGV”), zoals beschreven in ondersteunende documentatie die beschikbaar is op business.safety.google/rdp, en die van tijd tot tijd wordt bijgewerkt (“Beperkte gegevensverwerking”), Deze Bijlage 3B geeft de overeenkomst weer tussen de partijen over de verwerking van Persoonsgegevens van Klanten en Gedeïdentificeerde Gegevens (zoals hieronder gedefinieerd) op grond van de Overeenkomst in verband met de Privacywetgeving van de Amerikaanse staat, en is uitsluitend van kracht voor zover elke Privacywet van de Amerikaanse staat van toepassing is.

2. Aanvullende definities en interpretatie.

In deze Bijlage 3B:

(a)“Gedeïdentificeerde gegevens” betekent gegevensinformatie die “gedeïdentificeerd” is (zoals die term wordt gedefinieerd door de CCPA) en “gedeïdentificeerde gegevens” (zoals gedefinieerd door andere privacywetten van Amerikaanse staten), wanneer deze door de ene partij aan de andere wordt bekendgemaakt.

(b)“BGV-instructies” betekent, gezamenlijk, de instructies (zoals gedefinieerd in deze Voorwaarden voor gegevensverwerking) en de instructies van de Klant aan Google om Persoonsgegevens van de Klant te verwerken zoals is toegestaan onder de Privacywetgeving van Amerikaanse staten voor serviceproviders en verwerkers.

(c)“BGV-services” betekent Verwerkersservices die werken onder Beperkte Gegevensverwerking.

(d) de termen “bedrijf”, “consument”, “persoonlijke informatie”, “verkoop”, “verkopen”, “serviceprovider” en “delen” zoals gebruikt in deze Bijlage 3B hebben de betekenis die eraan wordt gegeven in de Toepasselijke privacywetgeving van de Amerikaanse staat.

(e) De Klant is als enige aansprakelijk voor de naleving van alle Privacywetten van de Amerikaanse staat bij het gebruik van Google-services, met inbegrip van Beperkte gegevensverwerking.

3. Toepasselijke privacywetgeving van de staat (onder Beperkte gegevensverwerking).

3.1 Met betrekking tot Persoonsgegevens van Klanten die worden verwerkt onder Beperkte Gegevensverwerking, en voor zover een of meer van de Privacywetten van de VS-staten van toepassing zijn op de verwerking van Persoonsgegevens van Klanten:

3.1.1 Rollen en naleving van regelgeving; Autorisatie.

(a)Verantwoordelijkheden van verwerker en verwerkingsverantwoordelijke. De partijen erkennen en komen overeen dat:

(i) Bijlage 1 van deze Voorwaarden voor gegevensverwerking beschrijft het onderwerp en de details van de verwerking van Persoonsgegevens van de Klant, onder voorbehoud van de volgende wijzigingen:

(1) Alle verwijzingen naar “Services van de verwerker” worden vervangen door “BGV-services”; en

(2) Het gedeelte “Soorten persoonsgegevens” wordt vervangen door de volgende tekst: “Persoonsgegevens van klanten kunnen de soorten persoonsgegevens omvatten die worden beschreven in de privacywetten van de Amerikaanse staat.”

(ii)Google is een serviceprovider en verwerker van persoonsgegevens van klanten onder de privacywetgeving van de Amerikaanse staat; en

(iii)De Klant is een verwerkingsverantwoordelijke of verwerker, zoals van toepassing, van Persoonsgegevens van de Klant onder de Privacywetgeving van de Amerikaanse staat.

(b)Klanten met een verwerker. Als de klant een verwerker is:

(i) De Klant garandeert op doorlopende basis dat de betreffende verwerkingsverantwoordelijke toestemming heeft gegeven voor: (A) de Instructies, (B) de aanstelling van Google als andere verwerker door de Klant en (C) de inschakeling van onderaannemers door Google zoals beschreven in artikel 3.4 (Onderaannemers) van deze Bijlage 3B.

(ii)De Klant zal elke melding die Google doet op grond van artikel 7.2.1 (Incidentmelding) van deze Voorwaarden voor gegevensbescherming en artikel 3.4 (Onderaannemers) van deze Bijlage 3B onmiddellijk doorsturen naar de betreffende verwerkingsverantwoordelijke.

(iii)De Klant kan alle informatie die Google beschikbaar heeft gesteld op grond van artikel 3.2(b) (Auditrechten van de Klant) en 3.4 (Onderaannemers) van deze Bijlage 3B ter beschikking stellen van de desbetreffende verwerkingsverantwoordelijke.

3.1.2Instructies van de Klant voor BGV-services. Door deze Bijlage 3B aan te gaan en met betrekking tot de BGV-services, geeft de Klant Google de opdracht om Persoonsgegevens van de Klant alleen te verwerken in overeenstemming met de BGV-instructies.

3.1.3Naleving door Google van BGV-instructies. Met betrekking tot de BGV-services zal Google de BGV-instructies naleven, tenzij dit verboden is onder de Privacywetgeving van de Amerikaanse staat.

3.1.4 Aanvullende producten. Als de Klant een product, service of applicatie gebruikt die wordt geleverd door Google of een derde partij en die: (a) geen onderdeel uitmaakt van de BGV-services; en (b) toegankelijk is voor gebruik binnen de gebruikersinterface van de –BGV-services of anderszins geïntegreerd is met de BGV-services (een 'Additioneel Product'), kunnen de BGV-services dat Additionele Product toegang geven tot Persoonsgegevens van de Klant, zoals vereist voor de interoperabiliteit van het Additionele Product met de BGV-services. Voor de duidelijkheid, deze Bijlage 3B is niet van toepassing op de verwerking van Persoonsgegevens in verband met de levering van een Additioneel Product dat door de Klant gebruikt wordt, inclusief Persoonsgegevens die van of naar dat Additioneel Product verzonden worden.

3.2Gegevensbeveiliging

3.2.1Beveiligingsverantwoordelijkheden en -beoordeling van de klant.

(a)Beveiligingsverantwoordelijkheden van de Klant. Naast de beveiligingsverantwoordelijkheden van de Klant volgens Artikel 7.3.1 van deze Voorwaarden voor gegevensverwerking, stemt de Klant ermee in dat, zonder afbreuk te doen aan de verplichtingen van Google volgens Artikel 7.1 (Beveiligingsmaatregelen en assistentie van Google) en Artikel 7.2 (Beveiligingsmaatregelen en assistentie van Google). 7.2 (Gegevensincidenten) van deze Voorwaarden voor Gegevensverwerking, is Klant verantwoordelijk voor zijn gebruik van de BGV-services, waaronder: (1) het maken van gepast gebruik van de BGV-services om een beveiligingsniveau te waarborgen dat passend is bij het risico met betrekking tot Persoonsgegevens van Klant; en (2) het beveiligen van de accountverificatiegegevens, systemen en apparaten die de Klant gebruikt om toegang te krijgen tot de BGV-services.

(b) Auditrechten van de klant.

(i) De Klant kan een audit uitvoeren om de naleving door Google van haar verplichtingen onder deze Bijlage 3B te controleren door het opvragen en inzien van (1) een certificaat dat is uitgegeven voor beveiligingsverificatie en dat het resultaat weergeeft van een audit die is uitgevoerd door een externe auditor (bijvoorbeeld een SOC 2 Type II- of ISO/IEC 27001- certificering of een vergelijkbare certificering of andere beveiligingscertificering van een audit die is uitgevoerd door een externe auditor die is overeengekomen door de Klant en Google) binnen 12 maanden vanaf de datum van het verzoek van de Klant en (2) alle andere informatie die Google redelijkerwijs nodig acht voor de Klant om deze naleving te controleren.

(ii)

Als alternatief kan Google naar eigen goeddunken en naar aanleiding van een verzoek van de Klant een audit door een derde partij laten uitvoeren om te controleren of Google voldoet aan haar verplichtingen onder deze Bijlage 3B. Tijdens een dergelijke audit zal Google aan de externe auditor alle informatie beschikbaar stellen die nodig is om deze naleving aan te tonen. Wanneer de Klant om een dergelijke audit verzoekt, kan Google

kosten in rekening brengen (op basis van de redelijke kosten van Google) voor een audit. Google zal de Klant voorafgaand aan een dergelijke audit voorzien van nadere informatie over de toepasselijke vergoeding en de berekeningsgrondslag. De Klant is verantwoordelijk voor alle kosten die in rekening worden gebracht door een externe auditor die door de Klant is aangesteld om een dergelijke audit uit te voeren.

(iii)Niets in deze Bijlage 3B verplicht Google om dit bekend te maken aan de Klant of zijn externe accountant, of om de Klant of zijn externe accountant toegang te verlenen:

(1)gegevens van andere klanten van een Google-entiteit;

(2) interne boekhoudkundige of financiële informatie van een Google-entiteit;

(3) een bedrijfsgeheim van een Google Entiteit;

(4)alle informatie die, naar de redelijke mening van Google: (A) de beveiliging van de systemen of terreinen van een Google-entiteit in gevaar kan brengen; of (B) ertoe kan leiden dat een Google-entiteit haar verplichtingen onder de privacywetgeving van de Amerikaanse staat of haar beveiligings- en/of privacyverplichtingen jegens de Klant of een derde schendt; of

(5)alle informatie waartoe de Klant of zijn derde toegang probeert te krijgen om een andere reden dan het te goeder trouw voldoen aan de verplichtingen van de Klant onder de Privacywetgeving van de Amerikaanse staat.

3.3Rechten van de betrokkenen. Voor de doeleinden van deze Bijlage 3B houdt Google zich aan de procedures zoals uiteengezet in Artikel 9 (Verzoeken van betrokkenen) voor zover dergelijke verzoeken, verzoeken om hulp of rectificatie van toepassing is op de BGV-services.

3.4Onderaannemers.

(a)De Klant machtigt Google in het algemeen om andere entiteiten als onderaannemers in te schakelen in verband met de levering van de BGV-services. Bij het inschakelen van onderaannemers zal Google:

(i) via een schriftelijk contract garanderen dat: (A) de onderaannemer alleen toegang heeft tot Persoonsgegevens van de Klant en deze alleen gebruikt voor zover dit nodig is om de aan hem uitbestede verplichtingen uit te voeren, en dit doet in overeenstemming met de Overeenkomst (inclusief deze Bijlage 3B); en (B) als de verwerking van Persoonsgegevens van de Klant onderworpen is aan de Privacywetgeving van de Amerikaanse staat, ervoor te zorgen dat de verplichtingen inzake gegevensbescherming in deze Bijlage 3B worden opgelegd aan de onderaannemer;

(ii) bij het in dienst nemen van nieuwe onderaannemers, dergelijke nieuwe onderaannemers op de hoogte brengen waar dit vereist is volgens de privacywetgeving van de VS-staat en, waar dit vereist is volgens de privacywetgeving van de VS-staat, de klant de mogelijkheid bieden om bezwaar te maken tegen dergelijke onderaannemers; en

(iii) volledig aansprakelijk blijven voor alle verplichtingen die zijn uitbesteed aan, en alle handelingen en nalatigheden van, de onderaannemer.

(b) De Klant kan bezwaar maken tegen elke nieuwe onderaannemer door de Overeenkomst onmiddellijk voor het gemak te beëindigen na schriftelijke kennisgeving aan Google, op voorwaarde dat de Klant een dergelijke kennisgeving doet binnen 90 dagen nadat hij op de hoogte is gesteld van de indienstneming van de nieuwe onderaannemer zoals beschreven in artikel 3.4(a)(ii) hierin.

4. Voorwaarden privacywetgeving VS-staat

4.1Gedeïdentificeerde gegevens. Met betrekking tot Persoonsgegevens van Klanten die worden verwerkt met of zonder Beperkte Gegevensverwerking ingeschakeld, en voor zover een of meer van de Privacywetten van de Amerikaanse staat van toepassing zijn op de verwerking van Persoonsgegevens van Klanten, zal elke partij voldoen aan de vereisten voor de verwerking van Geïdentificeerde Gegevens zoals uiteengezet in de Privacywetten van de Amerikaanse staat, met betrekking tot alle Geïdentificeerde Gegevens die zij ontvangt van de andere partij krachtens de Overeenkomst. Voor de toepassing van dit artikel 4, betekent Persoonsgegevens van Klanten alle persoonsgegevens die door een partij worden verwerkt onder de Overeenkomst in verband met de levering of het gebruik van de Verwerkersservices.

5. Google's CCPA-verplichtingen.

5.1Met betrekking tot Persoonsgegevens van de Klant die worden verwerkt onder Beperkte Gegevensverwerking en voor zover CCPA van toepassing is op dergelijke verwerking van Persoonsgegevens van de Klant, treedt Google op als serviceprovider van de Klant en als zodanig, tenzij anderszins is toegestaan voor serviceproviders onder CCPA, zoals redelijkerwijs bepaald door Google:

(i)Google verkoopt of deelt geen Persoonsgegevens van Klanten die het van Klanten verkrijgt in verband met de Overeenkomst;

(ii) Google bewaart, gebruikt of onthult Persoonsgegevens van de Klant niet (ook niet buiten de directe zakelijke relatie tussen Google en de Klant), anders dan voor een zakelijk doel onder de CCPA namens de Klant en het specifieke doel van het uitvoeren van de BGV-services, zoals verder beschreven in ondersteunende documentatie die beschikbaar is op business.safety.google/rdp, en die van tijd tot tijd wordt bijgewerkt;

(iii)Google zal Persoonsgegevens van klanten die Google ontvangt van of namens de Klant niet combineren met (i) persoonlijke informatie die Google ontvangt van of namens een andere persoon of personen of (ii) persoonlijke informatie die zijn verzameld tijdens de interactie van Google met een consument, zoals verder beschreven in ondersteunende documentatie die beschikbaar is op business.safety.google/rdp, behalve voor zover toegestaan onder CCPA;

(iv)Google zal dergelijke Persoonsgegevens van Klanten verwerken voor de specifieke voor het uitvoeren van de BGV-services, zoals verder beschreven in de Overeenkomst en ondersteunende documentatie (bijv. artikelen in het Helpcentrum), of zoals anderszins is toegestaan onder de CCPA, en de partijen komen overeen dat de Klant dergelijke Persoonsgegevens van de Klant beschikbaar stelt aan Google voor dergelijke doeleinden;

(v)Google zal audits toestaan om de naleving door Google van haar verplichtingen onder dit Privacywetgeving van de staat Verwerkersaddendum te controleren in overeenstemming met artikel 3.2.1(b) (Auditrechten van de Klant) van deze Bijlage 3B;

(vi)Google zal de Klant op de hoogte stellen als Google vaststelt dat het niet langer aan zijn verplichtingen onder de CCPA kan voldoen. Deze artikel 5.1(vi) vermindert de rechten en verplichtingen van beide partijen elders in de Overeenkomst niet;

(vii)Als de Klant redelijkerwijs van mening is dat Google Persoonsgegevens van de Klant op ongeoorloofde wijze verwerkt, heeft de Klant het recht om Google hiervan op de hoogte te stellen via de methoden die worden beschreven op privacy.google.com/businesses/processorsupport, en zullen de partijen te goeder trouw samenwerken om de vermeende inbreuk makende verwerkingsactiviteiten te verhelpen, indien nodig; en

(viii)Google zal voldoen aan de toepasselijke verplichtingen onder CCPA en zal hetzelfde niveau van privacybescherming bieden als wordt vereist door CCPA.

5.2 Met betrekking tot Persoonsgegevens van Klanten die worden verwerkt zonder dat Beperkte Gegevensverwerking is ingeschakeld, en voor zover CCPA van toepassing is op de verwerking van Persoonsgegevens van Klanten:

(i)Google zal dergelijke Persoonsegevens van Klanten verwerken voor het specifieke doel van het uitvoeren van de Verwerkersservices, zoals verder beschreven in de Overeenkomst en ondersteunende documentatie (bijv. artikelen in het Helpcentrum), of zoals anderszins toegestaan onder de CCPA, en de partijen komen overeen dat de Klant dergelijke Persoonsgegevens van Klanten beschikbaar stelt aan Google voor dergelijke doeleinden;

(ii)Google zal audits toestaan om de naleving door Google van haar verplichtingen onder deze Bijlage 3B te verifiëren in overeenstemming met artikel 3.2.1(b) (Auditrechten van de Klant) hierin.

(iii) Google zal de Klant op de hoogte stellen als Google vaststelt dat het niet langer aan zijn verplichtingen onder de CCPA kan voldoen;

(iv) Als de Klant redelijkerwijs van mening is dat Google Persoonsgegevens van de Klant op ongeoorloofde wijze verwerkt, heeft de Klant het recht om Google hiervan op de hoogte te stellen via de methoden die worden beschreven op privacy.google.com/businesses/processorsupport, en zullen de partijen te goeder trouw samenwerken om de vermeende inbreuk makende verwerkingsactiviteiten te verhelpen, indien nodig; en

(v)Google zal voldoen aan de toepasselijke verplichtingen onder CCPA en zal hetzelfde niveau van privacybescherming bieden als wordt vereist door CCPA.

6.Wijzigingen in deze Bijlage 3B. In aanvulling op Artikel 15 van de Voorwaarden voor gegevensverwerking (Wijzigingen in deze Voorwaarden voor gegevensverwerking) kan Google deze Bijlage 3B zonder kennisgeving wijzigen als de wijziging (a) is gebaseerd op toepasselijke wetgeving, toepasselijke regelgeving, een gerechtelijk bevel of richtlijnen uitgegeven door een toezichthouder of overheidsinstantie of (b) niet een wezenlijk nadelig effect hebben op de Klant onder de Privacywetgeving van de Amerikaanse staat, zoals redelijkerwijs bepaald door Google.

Voorwaarden voor verwerking van advertentiegegevens op Google, versie 7.0 1 september 2023

Vorige versies