Verwerkersvoorwaarden Ad Aliance

Verwerkersvoorwaarden Ad Aliance

Deze verwerkersvoorwaarden zijn van toepassing indien en voor zover een mediabureau of adverteerder (Verwerker) in het kader van een overeenkomst met Ad Alliance inzake de inkoop van (online) advertenties persoonsgegevens van gebruikers van een Digitaal Platform verwerkt. Verwerker verplicht zich hierbij deze persoonsgegevens uitsluiten te verwerken volgens de onderhavige voorwaarden (Verwerkersvoorwaarden) en met inachtneming van de bepalingen van de EU Verordening 2016/679, EU Richtlijn 2002/58/EC en overige toepasselijke privacy wet- en regelgeving (AVG).

Artikel 1 – Definities

In deze Verwerkersvoorwaarden wordt verstaan onder:

AVG: Verordening 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).’

Betrokkene: Degene op wie de Persoonsgegevens van Exploitanten betrekking hebben.

Datalek: Een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 (12) AVG.

Digitale Platformen: De door Exploitanten aangeboden internetsites, mobiele websites, applicaties, players en /of andere digitale platforms en interactieve applicaties die Exploitant beheert en/of exploiteert en/of door derden in opdracht van Exploitant worden beheerd en geëxploiteerd.

Exploitanten: Exploitanten van Digitale Platformen (zoals internetsite, mobiele websites,

applicatie, player of ander digitaal platform) die door Ad Alliance commercieel wordt vertegenwoordigd;

Hoofdovereenkomst: De overeenkomst met Ad Alliance waar deze Verwerkersvoorwaarden een

bijlage bij vormen.

Passende Beveiligings-

maatregelen: Maatregelen die nodig zijn teneinde de beveiliging van de Persoonsgegevens te garanderen en onbevoegde, toevallige of onrechtmatige wijziging, verlies, openbaarmaking, toegang tot en verwerking van de Persoonsgegevens te voorkomen, waarbij rekening wordt gehouden met de stand van de techniek en de kosten van de implementatie ervan, de aard van de opgeslagen Persoonsgegevens en de aan de verwerking verbonden risico’s, of deze nu voortkomen uit menselijk handelen of door materiële of natuurlijke omstandigheden, zoals nader uiteengezet in Bijlage 2.

Persoonsgegevens: Persoonsgegevens als bedoeld in artikel 4 (1) AVG.

Persoonsgegevens

van Exploitanten: Persoonsgegevens van Exploitanten, die Verwerker verkrijgt en bewerkt uit

hoofde van de plaatsing van cookies, pixels en/of vergelijkebare technieken in het kader van de inkoop van (online) advertenties zoals overeengekomen in de Hoofdovereenkomst, op de wijze zoals samengevat in Bijlage 1.

Verwerker: De wederpartij van Ad Alliance onder de Hoofdovereenkomst die handelingen verricht in de hoedanigheid van ‘verwerker’ als bedoeld in de AVG.

Verwerkingsdoel: Het doel waarvoor Persoonsgegevens worden verzameld en verwerkt,

zoals omschreven in de Hoofdovereenkomst en in Bijlage 1. In het geval dat de omschrijving uit de Hoofdovereenkomst en Bijlage 1 niet overeenkomen, zal de beschrijving uit de Hoofdovereenkomst leidend zijn.

Verwerkersvoorwaarden: Deze verwerkersvoorwaarden, inclusief bijlagen, eventuele wijzigingen en

addenda.

Artikel 2 – Verwerken door verwerker

2.1 Verwerker verplicht zich om de Persoonsgegevens van Exploitanten die zij in het kader van het Verwerkingsdoel verwerkt, bijvoorbeeld door het plaatsen en uitlezen van cookies, pixels en/of vergelijkbare technieken, uitsluitend te verwerken op grond van schriftelijke aanwijzing van Exploitant en conform hetgeen in de Hoofdovereenkomst en deze Verwerkersvoorwaarden is

overeengekomen, en de Persoonsgegevens van Exploitanten niet op een andere wijze of voor een ander doel verwerken of gebruiken.

2.2 Deze Verwerkersvoorwaarden gelden voor de duur van de Hoofdovereenkomst. Indien de Hoofdovereenkomst eindigt, zullen ook de Verwerkersvoorwaarden eindigen, tenzij Partijen daarvan schriftelijk afwijken. Bepalingen die uitdrukkelijk of naar hun aard bestemd zijn om ook na afloop van de Verwerkersvoorwaarden voort te duren, behouden hun werking nadat de Verwerkersvoorwaarden eindigen. Op het moment dat deze Verwerkersvoorwaarden eindigen, zal Verwerker alle medewerking verlenen ter zake van de overdracht van de werkzaamheden inzake de verwerking van de Persoonsgegevens van Exploitanten of op verzoek van een Exploitant aan een opvolgende verwerker en wel op zo een wijze dat vanaf het moment dat de overdracht plaatsvindt de continuïteit van

de dienstverlening maximaal gewaarborgd blijft, althans niet door handelen of nalaten van Verwerker wordt belemmerd.

2.3 Verwerker en eventuele sub-verwerkers mogen Persoonsgegevens van Exploitanten alleen verwerken of laten verwerken binnen, en door gebruik te maken van ontvangers in, de Europese Economische Ruimte (EER), tenzij voorafgaand schriftelijk anders is overeengekomen.

Artikel 3 – Sub-verwerking

3.1 Verwerker zal de bewerking van Persoonsgegevens van Exploitanten uitsluitend laten uitvoeren door medewerkers die noodzakelijkerwijs bij de bewerking betrokken moeten zijn. Verwerker zal

ervoor zorgdragen dat deze medewerkers zich zullen houden aan de in deze Verwerkersvoorwaarden en de in de Hoofdovereenkomsten vastgelegde verplichtingen, daaronder begrepen de beveiligings- en geheimhoudingsverplichtingen.

3.2 Het is Verwerker niet toegestaan om zonder voorafgaande schriftelijke toestemming van Exploitanten een sub-verwerker in te schakelen om deze (delen van) de bewerking uit te laten voeren. Indien Exploitanten hiervoor toestemming geven, dan zal Verwerker vervolgens een

sub-Verwerkersvoorwaarden met deze sub-verwerker sluiten. In deze sub-Verwerkersvoorwaarden is

in elk geval opgenomen dat sub-verwerker op zijn beurt niet gebruik mag maken van sub-verwerkers en dat sub-verwerker zich aan dezelfde verplichtingen inzake gegevensbescherming zal houden

als vastgelegd in deze Verwerkersvoorwaarden en in de toepasselijke wet- en regelgeving.

Artikel 4 – Passende beveiliging

4.1 Verwerker heeft een passend, schriftelijk beveiligingsbeleid geïmplementeerd en heeft aldus, voorafgaand aan de verwerking van de Persoonsgegevens van Exploitanten, passende Technische en Organisatorische Maatregelen getroffen om de Persoonsgegevens van Exploitanten te beschermen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Het beveiligingsbeleid bevat protocollen waaruit blijkt dat Verwerker kan voldoen aan de vereisten die aan Verwerker worden gesteld in het geval van een Datalek (zie artikel 5). Het beveiligingsbeleid van Verwerker dient voorts minimaal te voldoen aan de in Bijlage 2 neergelegde “Passende Beveiligingsmaatregelen”. Verwerker zal op verzoek van Exploitanten een kopie van het beveiligingsbeleid aan Exploitanten doen toekomen.

4.2 Onder verwijzing naar Bijlage 2 houdt deze passende beveiliging in ieder geval nadrukkelijk in dat Verwerker:

a) Alle noodzakelijke maatregelen neemt overeenkomstig de verplichtingen uit EU Verordening 2016/679, inclusief maar niet uitsluitend, artikel 25 en artikel 32 AVG;

b) Een afdoende beleid van veiligheidsmaatregelen en procedures heeft teneinde te garanderen dat onbevoegden geen toegang verkrijgen tot de voor de

bewerking van de Persoonsgegevens van Exploitanten gebruikte apparatuur en dat personen die van Verwerker toestemming krijgen om toegang te verkrijgen tot

de Persoonsgegevens van Exploitanten de vertrouwelijkheid en de veiligheid van de Persoonsgegevens van Exploitanten zullen respecteren en handhaven;

c) een controlemechanisme heeft ingevoerd en blijft uitvoeren op Verwerkers beleid van veiligheidsmaatregelen en procedures teneinde te garanderen dat deze afdoende zijn, waarbij rekening wordt gehouden met de op dat moment geldende stand van de techniek en de kosten van de implementatie ervan; en dat, indien Verwerker

op enig moment nadat met de verwerking volgens deze Verwerkersvoorwaarden is begonnen ontdekt dat er sprake is van inbreuk op de veiligheid van de gegevens, hij Ad Alliance en de betrokken Exploitanten onmiddellijk op de hoogte zal stellen

van de aard en de ernst van de inbreuk en alle vereiste herstelmaatregelen zal treffen en Ad Alliance en Exploitanten zal vrijwaren tegen alle kosten, schade of andere uit de genoemde inbreuk voortkomende verliezen; en

d) Verwerker zal de Persoonsgegevens van Exploitanten zoveel mogelijk versleutelen, zodat onbevoegden geen kennis kunnen nemen van, omdat de Persoonsgegevens van Exploitanten aldus onbegrijpelijk of ontoegankelijk zijn gemaakt.

Artikel 5 – Datalek

5.1 Op het moment dat Xxxxxxxxx (vermoedelijke) onrechtmatige of anderszins ongeautoriseerde verwerkingen, waarvan kan worden aangenomen dat deze (mogelijk) leiden tot een Datalek van de Persoonsgegevens van Exploitanten, constateert, zal Verwerker Ad Alliance en de betrokken Exploitanten hierover onmiddellijk, doch uiterlijk binnen 24 uur na constatering, in kennis stellen.

5.2 Deze kennisgeving beslaat in ieder geval uit de volgende punten:

• Een beschrijving van het Datalek, waaronder ook het tijdstip, datum, aard en omvang;

• De geconstateerde en vermoedelijke gevolgen van het Datalek voor Exploitanten en Betrokkenen;

• De door Verwerker getroffen of te nemen (technische) maatregelen om het Datalek te (doen) beëindigen dan wel te beperken;

• De te verwachten oplostijd.

De contactgegevens in het geval van een (vermoedelijk) Datalek zijn:

Ad Alliance

Contactpersoon: Xxxxxx xxx Xxxxxx Telefoonnummer: 035-6718823 Emailadres: xxxxxxx@xxx.xx

5.3 Verwerker heeft jegens Exploitanten een medewerkingsverplichting, welke bestaat uit onder meer:

• Assisteren en/of opleveren inventarisatie van gedupeerde Betrokkenen;

• Assisteren (indien nodig) om eventuele verzoeken en/of klachten van Xxxxxxxxxxx te begeleiden

• Assisteren om aan de vereisten, die door de toepasselijke wet- en regelgeving worden gesteld, te voldoen (in het bijzonder artikel 33 en 34 van de AVG);

• Instructies van Exploitanten ter zake opvolgen.

5.4 Een Datalek is een voldoende zwaarwegende grond voor Ad Alliance om zowel de Hoofdovereenkomst als deze Verwerkersvoorwaarden op te zeggen of te ontbinden indien die voortvloeit uit niet-

nakoming van de bepalingen van deze Verwerkersvoorwaarden of van de bepalingen van de AVG of andere toepasselijke regelgeving inzake bescherming van Persoonsgegevens, onverminderd het recht van Ad Alliance en Exploitanten om volledige schadevergoeding met betrekking tot de door het Datalek veroorzaakte schade te vorderen.

Artikel 6 – Assistentie en verzoeken om informatie

6.1 Verwerker zal, onverminderd de andere bepalingen van deze Verwerkersvoorwaarden, alle redelijke stappen ondernemen om Ad Alliance en Exploitanten in staat te stellen met betrekking tot de Persoonsgegevens van Exploitanten te voldoen aan hun verplichtingen volgens de AVG

of andere relevante wet- of regelgeving, waaronder ook de rechten van Betrokkenen, en zal zulks

in ieder geval onverwijld doen direct nadat hij door Ad Alliance/Exploitanten in kennis is gesteld van de te nemen stappen. In het bijzonder zal Verwerker Ad Alliance en Exploitanten ondersteunen

in het nakomen van haar verplichtingen met betrekking tot de beveiliging van de verwerking van de Persoonsgegevens, de melding van Datalekken aan de bevoegde autoriteiten en de Betrokkenen, een

mogelijk vereiste gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging van de bevoegde toezichthouder.

6.2 Verwerker zal, zodra van de Autoriteit Persoonsgegevens (AP), van een Betrokkene of van

een bevoegde autoriteit een verzoek is ontvangen om informatie of medewerking betreffende de Persoonsgegevens van Exploitanten, onmiddellijk Ad Alliance en Exploitanten hiervan op de hoogte stellen (tenzij dwingendrechtelijke wettelijke eisen dit verbieden). Verwerker

zal conform de instructie van Ad Alliance/Exploitanten handelen en zal ervoor zorgen dat alle wettelijk vereiste relevante informatie aan de verzoekende partij kan worden verschaft. Verwerker zal geen informatie aan derden verstrekken zonder Ad Alliance/Exploitanten voorafgaand in te lichten en daarvoor diens toestemming te verkrijgen (tenzij dwingendrechtelijke wettelijke eisen dit verbieden).

Artikel 7 – Kwaliteit van de gegevens

7.1 Verwerker verplicht zich om, met inachtneming van het gestelde in artikel 2.1, de juistheid van de Persoonsgegevens van Exploitanten te handhaven en up-to-date te houden. Verwerker is verplicht alle instructies tot correctie, aanvulling, verwijdering en afscherming van persoonsgegevens, afkomstig van Ad Alliance/Exploitanten of eventuele Betrokkenen op te volgen en, op verzoek van Ad Alliance/ Exploitanten, Ad Alliance/Exploitanten en/of de Betrokkene waar nodig binnen een redelijke

termijn schriftelijk mede te delen dat zulks is geschied.

Artikel 8 – Bekendmaking

8.1 Verwerker staat er voor in dat hij geen Persoonsgegevens van Exploitanten, hetzij kosteloos hetzij tegen betaling, zelfs niet met het oog op het behoud ervan, bekend zal maken aan enige derde, tenzij Ad Alliance/Exploitanten vooraf schriftelijk toestemming heeft gegeven tot een dergelijke bekendmaking of er een wettelijke verplichting bestaat, of Verwerker dient te voldoen aan een verzoek van de AP of enige toegestaan, voorafgaand aan een dergelijke openbaarmaking dient te worden geïnformeerd.

Artikel 9 – Bewaring en vernietiging

9.1 Verwerker zal terstond na verwezenlijking van het Verwerkingsdoel of bij beëindiging van deze Verwerkersvoorwaarden uit eigener beweging op beveiligde wijze de Persoonsgegevens

retourneren aan Exploitanten, of aan een derde indien dit wordt verzocht door Exploitanten, zonder een kopie van deze Persoonsgegevens in welke vorm dan ook te bewaren, en vervolgens de Persoonsgegevens vernietigen. Verwerker zal tevens de Persoonsgegevens van Exploitanten retourneren aan Exploitanten, zonder een kopie van deze Persoonsgegevens van Exploitanten in welke vorm dan ook te bewaren, op eerste (ander) verzoek daartoe van Exploitanten.

Artikel 10 – Controle

10.1 Verwerker zal de beveiligingsmaatregelen alsmede de faciliteiten die worden gebruikt voor de bewerking van Persoonsgegevens, gegevensbestanden en de voor de bewerking benodigde documentatie, met inachtneming van een redelijke termijn en op redelijke tijdstippen, openstellen voor controle en/of certificeringsprocedure (i) door of namens Exploitanten of (ii) door bevoegde auditors van certificerende instanties waartegen door Verwerker niet in redelijkheid bezwaar is

gemaakt en die vooraf door Exploitanten zijn goedgekeurd, teneinde naleving van de in deze Verwerkersvoorwaarden opgenomen verplichtingen en garanties zeker te stellen.

10.2 Verwerker is alsdan gehouden op verzoek van Exploitanten, externe deskundigen en/of auditors, conform de beveiligingsnormen, steeds onvoorwaardelijke en ongelimiteerde inzage- en controlerecht te (doen) verschaffen in haar adequate, overzichtelijke en afzonderlijk bij te houden administratie, automatiseringssystemen, en alle verdere andere databestanden en of relevante bescheiden in het kader van de uitvoering van de Verwerkersvoorwaarden en de Hoofdovereenkomst, zodat Exploitanten in staat zijn om de naleving van hetgeen in de Hoofdovereenkomst is overeengekomen adequaat te kunnen toetsen. Tevens zal toegang worden verschaft aan de toezichthouders van Exploitanten in het kader van de uitoefening van hun wettelijke taken.

10.3 De bevindingen naar aanleiding van de uitgevoerde audit zullen in onderling overleg door de betrokken partijen worden beoordeeld. Verwerker zal onverwijld na kennisneming van eventueel geconstateerde tekortkomingen, deze tekortkomingen voor eigen rekening en risico herstellen. De kosten van de audit zijn voor rekening van de betrokken Exploitant, tenzij uit de audit blijkt dat Xxxxxxxxx

de verplichtingen uit de Verwerkersvoorwaarden niet of niet behoorlijk heeft nageleefd (met uitzondering van geringe tekortkomingen). In dat geval zal Verwerker de kosten van de audit dragen.

10.4 Exploitanten zijn gerechtigd Verwerker opdragen (redelijke) aanvullende beveiligingsmaatregelen te nemen. Indien een wijziging van de Hoofdovereenkomst daartoe is vereist, teneinde een

dergelijke instructie op te volgen, zullen betrokken partijen in gezamenlijk overleg een wijziging van de Hoofdovereenkomst doorvoeren.

Artikel 11 – Garantie

11.1 Verwerker garandeert dat hij de Persoonsgegevens van Exploitanten slechts zal bewerken met inachtneming van de AVG en van eventuele richtlijnen of aanbevelingen uitgegeven door de AP en met inachtneming van de bepalingen van deze Verwerkersvoorwaarden.

Artikel 12 – Boetebeding

12.1 Indien Verwerker op enigerlei wijze in strijd met deze Verwerkersvoorwaarden handelt dan verbeurt Verwerker jegens Ad Alliance en Exploitanten een onmiddellijk opeisbare boete van EUR 10.000,- per gebeurtenis te vermeerderen met wettelijke rente en zonder dat ingebrekestelling of gerechtelijke tussenkomst daartoe noodzakelijk zal zijn, onverminderd het recht van Ad Alliance en Exploitanten om deswege volledige schadevergoeding te vorderen, indien de daadwerkelijke schade groter mocht zijn dan voornoemd boetebedrag ad EUR 10.000,- per gebeurtenis.

Artikel 13 – Vrijwaring

13.1 Verwerker vrijwaart Ad Alliance en Exploitanten tegen alle schade of verlies (met inbegrip van,

doch niet uitsluitend, indirecte schade of gevolgschade), kosten, te betalen schadevergoeding, boetes of geldstraffen, te betalen of geleden door Ad Alliance en Exploitanten als gevolg van niet-nakoming van de bepalingen van deze Verwerkersvoorwaarden of van de bepalingen van de AVG en andere toepasselijke regelgeving met betrekking tot de Persoonsgegevens van Exploitanten.

Artikel 14 – Overdracht van rechten en plichten

14.1 Ad Alliance heeft het recht zijn rechten en plichten onder deze Verwerkersvoorwaarden geheel of gedeeltelijk over te dragen aan een derde. Verwerker heeft voor een dergelijke overdracht de voorafgaande toestemming van Ad Alliance nodig, waarbij beslissing om al dan niet toestemming te geven geheel aan Ad Alliance is.

Artikel 15 – Wijziging van wetgeving

15.1 In het geval dat gedurende de looptijd van deze Verwerkersvoorwaarden de wet of regelgeving omtrent gegevensbescherming en privacy, inclusief maar niet gelimiteerd tot de AVG en EU Richtlijn 2002/58/EC, verandert zullen de bepalingen uit deze Verwerkersvoorwaarden worden

uitgelegd naargelang de strekking van de nieuwe wetgeving. In dit geval zullen partijen, op verzoek van een van de partijen, deze Verwerkersvoorwaarden herzien.

Artikel 16 – Rangordebepaling

16.1 Deze Verwerkersvoorwaarden vormt een aanvulling op de Hoofdovereenkomst met bijzondere afspraken over de verwerking van Persoonsgegevens door Verwerker ten behoeve van Exploitanten. Bij de tegenspraak tussen bepalingen uit deze Verwerkersvoorwaarden en de Hoofdovereenkomst prevaleren de bepalingen uit de Verwerkersvoorwaarden.

Artikel 17 – Toepasselijk recht

17.1 Op deze Verwerkersvoorwaarden is Nederlands recht van toepassing.

Artikel 18 – Bevoegde rechter

18.1 Geschillen in verband met deze Verwerkersvoorwaarden zullen uiteindelijk worden beslist door de bevoegde rechter te Amsterdam.

Bijlage 1 - Omschrijving verwerking persoonsgegevens

[Aangeven dmv doorhalen wat niet van toepassing is en evt aanvullen indien nodig]

Type/categorie persoonsgegevens	• Elektronische identificatie gegevens (i.e. IP adressen, online identifiers (IDFA), cookies) • Gewoontes en voorkeuren (i.e. kijkgeschiedenis, sociale contacten, levenswijze) • Frequentie en aantal advertenties dat de Betrokkene bekijkt • Persoonlijke kenmerken (i.e. leeftijd, geslacht)
Categorieën van betrokkenen	• Gebruikers van de Digitale Platformen
Doel van verwerken	• Marketingdiensten, inclusief retargeten • Tracking • Het opstellen van profielen en het personaliseren van advertenties • Frequency capping • Analytische doelen
Retentieperiode	• Drie maanden
Methode van verwerken	• Aanpassen • Analyseren • Anonimiseren • Ter advies • Verrijking
Communicatie tussen Exploitant en Verwerker	• Beveiligde email • Secure portal • API
Aantal werknemers van Verwerker	<50 50 – 100 >100 Specifiek:
Welke categorieën medewerkers hebben toegang tot de Persoonsgegevens van Exploitanten?	Uitsluitend werknemers voor wie het noodzakelijk is om toegang te verkrijgen in het kader van de uitvoering van de van de Hoofdovereenkomst
Is er contact tussen de Verwerker en de Betrokkene?	Nee

Bijlage 2 - Passende beveiligingsmaatregelen

Artikel 1 – Fysieke maatregelen voor toegangscontrole locaties

1.1 Verwerker zal commercieel redelijke fysieke beveiligingsmaatregelen treffen voor alle locaties die worden gebruikt voor de verwerking van Persoonsgegevens van Exploitanten (de Locatie(s)).

1.2 Verwerker zal fysieke maatregelen voor toegangscontrole implementeren voor de Locaties: medewerkers ter plaatse zullen voorkomen dat onbevoegden toegang verkrijgen tot de Locaties en te allen tijde – 24 uur per dag, 7 dagen per week - zal toezicht worden gehouden op de toegang

door middel van logische toegangscontrole met behulp van een biometrisch kenmerk of door middel van beveiligingscamera’s.

1.3 Verwerker zal een procedure implementeren voor het uitgeven van pasjes, welke voorzien zijn van een

foto, aan bevoegde medewerkers ter identificatie.

1.4 Verwerker zal een procedure implementeren voor fysieke toegangscontrole op alle systemen die onder zijn zeggenschap vallen.

1.5 Verwerker zal draaihekken bij de ingang van de Locaties voorzien van leesapparaten, zodat te allen tijde toezicht kan worden gehouden op de fysieke toegang tot de Locaties. Medewerkers dienen een pasje, dat voorzien is van een foto, te laten zien voordat zij toegang krijgen tot een Locatie.

1.6 Bezoekers zullen tevoren worden aangemeld en alleen na goedkeuring van Verwerker toegang verkrijgen tot de Locaties. Bezoekers zullen slechts toegang verkrijgen tot een Locatie nadat zij

een geldig identificatiebewijs hebben laten zien en een gastenboek hebben getekend. Bezoekers zullen

op de Locaties te allen tijde worden vergezeld door een medewerker.

Artikel 2 – Virtuele maatregelen voor toegangscontrole systemen

2.1 Verwerker zal waarborgen implementeren ter voorkoming van incidentele of onbevoegde toegang tot, vernietiging, verlies of wijziging van Persoonsgegevens van Exploitanten:

a. Verwerker zal een schriftelijke inzageprocedure implementeren voor medewerkers die om inzage in Persoonsgegevens verzoeken. De managers van medewerkers of andere daarvoor verantwoordelijke personen moeten een inzageverzoek goedkeuren voordat inzage in de Persoonsgegevens wordt gegeven;

b. Verwerker zal maatregelen voor toegangscontrole implementeren op het niveau van zijn besturingssysteem, database of applicatie;

c. Verwerker zal administratieve bevoegdheden beperken om wijzingen van systemen en applicaties te voorkomen; en

d. Verwerker zal elke individuele gebruiker een eigen gebruikersaccount toekennen en gebruikers verbieden om hun gebruikersaccount te delen.

Artikel 3 – Maatregelen voor toegangscontrole

3.1 Als onderdeel van de schriftelijke inzageprocedure dienen individuen die een inzageverzoek doen, bij dit verzoek een geldige reden op te geven voor inzage in de desbetreffende Persoonsgegevens. De manager van de desbetreffende individu of ander daarvoor verantwoordelijke persoon dient dit verzoek goed te keuren voordat xxxxxx wordt verleend.

bijv. een LAN inlog ID, een applicatie toegangsidentificatie, of een soortgelijke identificatie.

3.3 Verwerker zal elke bevoegde gebruiker een unieke gebruikers ID tezamen met een wachtwoord verstrekken.

3.4 Verwerker zal bevoegde gebruikers op basis van hun functie toegangsbevoegdheden toekennen en deze toegangsbevoegdheden bij een functiewijziging onmiddellijk aanpassen.

3.5 Verwerker zal de toegangsbevoegdheden van een gebruiker onmiddellijk beëindigen, in geval van beëindiging van de arbeidsrelatie met de desbetreffende gebruiker of ondertoezichtstelling, schorsing, inactiviteit of langdurige afwezigheid van de desbetreffende gebruiker.

Artikel 4 – Controle op verdere verspreiding

4.1 Verwerker zal technologie en processen implementeren die erop gericht zijn om toegang tot Persoonsgegevens voor onrechtmatige verwerking te minimaliseren:

a. Printbevoegdheden, uitgaande email en instant messaging zijn alleen toegestaan voor geautoriseerd personeel, en zullen slechts worden ingezet voor zover strikt noodzakelijk om uitvoering te geven aan de opdrachten van Ad Alliance en Exploitanten;

b. Verwijderbare opslagmedia zoals USB sticks, flashdrives, mediaspelers, CD-ROMs en DVD-ROMS zijn niet toegestaan op werkplekken waar Persoonsgegevens worden verwerkt, en evenmin is het toegestaan daar foto’s te maken; en

c. PCs en andere randapparatuur die wordt ingezet om Persoonsgegevens weer te geven of te verwerken worden beveiligd met screensavers met wachtwoord die automatisch aangaan als het apparaat 15 minuten ongebruikt blijft.

Artikel 5 – Logging

5.1 Verwerker zal toegang tot Persoonsgegevens van Exploitanten op zijn systemen en systemen onder zijn zeggenschap (Systemen) registreren.

5.2 De Systemen moeten zodanig worden geconfigureerd dat zij automatisch registreren wanneer de Systemen in gevaar worden gebracht, er sprake is van onbevoegde toegang tot de Systemen of er inbreuk op de beveiliging van de Systemen wordt gemaakt. Logs moeten worden beveiligd ter voorkoming van toegang of wijziging door onbevoegden.

5.3 Exploitanten zijn verantwoordelijk voor de implementatie van input controle op hun eigen systemen.

Artikel 6 – Voorkoming en bestrijding virussen en malware

6.1 Verwerker zal Persoonsgegevens van Exploitanten beschermen tegen verlies of enige vorm van onrechtmatige verwerking door te garanderen dat:

a. werkstations en andere randapparatuur die worden gebruikt voor de verwerking van Persoonsgegevens van Exploitanten beveiligd zijn door middel van commerciële software die beschermd tegen virussen en malware, welke software regelmatig wordt geüpdatet; en

b. Verwerker onmiddellijk maatregelen zal treffen om de verspreiding van en de schade door een virus of malware te beperken en een virus of malware te verwijderen, indien een virus of malware wordt gedetecteerd.