Google Ads Voorwaarden voor gegevensverwerking
Google Ads Voorwaarden voor gegevensverwerking
Google en de wederpartij die instemt met deze voorwaarden (“Klant”) zijn een overeenkomst aangegaan voor de levering van de Verwerkingsdiensten (zoals van tijd tot tijd gewijzigd, de “Overeenkomst”).
De Google Ads Voorwaarden voor gegevensverwerking (met inbegrip van de bijlagen:, “Voorwaarden voor gegevensverwerking”) worden door Google en Klant aangegaan en vormen een aanvulling op de Overeenkomst. Deze Voorwaarden voor gegevensverwerking gaan van kracht, en vervangen eventuele eerder toepasselijke voorwaarden met betrekking tot het onderwerp hiervan, (met inbegrip van eventuele wijzigingen inzake gegevensverwerking of addenda inzake gegevensverwerking met betrekking tot de Verwerkingsdiensten) op de Ingangsdatum van de Voorwaarden.
Als u namens Klant deze Voorwaarden voor gegevensverwerking accepteert, garandeert u dat: (a) u volledige juridische bevoegdheid heeft om Klant te binden aan deze Voorwaarden voor gegevensverwerking ; (b) u deze Voorwaarden voor gegevensverwerking heeft gelezen en begrepen; en (c) u, namens Klant, instemt met deze Voorwaarden voor gegevensverwerking. Als u niet de juridische bevoegdheid hebt om Klant te binden, stem dan niet in met deze Voorwaarden voor gegevensverwerking.
1. Inleiding
Deze Voorwaarden voor gegevensverwerking geven uitdrukking aan de overeenstemming van partijen inzake de voorwaarden die de verwerking en beveiliging regelen van Persoonsgegevens van Klant in het kader van de Wetgeving inzake gegevensbescherming.
2. Definities en interpretatie
2.1 In deze Voorwaarden voor gegevensverwerking hebben de volgende begrippen de volgende betekenissen:
“Extra product”: een door Google of een derde geleverd(e) product, dienst of toepassing die of dat: (a) geen deel uitmaakt van de Verwerkingsdiensten; en (b)
toegankelijk is voor gebruik binnen de gebruikersinterface van de Verwerkingsdiensten of op een andere wijze geïntegreerd is met de Verwerkingsdiensten.
“Aangeslotene”: een entiteit die direct of indirect zeggenschap uitoefent over, waarover zeggenschap wordt uitgeoefend door, of onder gezamenlijke zeggenschap staat met, een partij.
“Persoonsgegevens van Klant”: persoonsgegevens die bij het verstrekken door Google van de Verwerkingsdiensten door Google namens Klant worden verwerkt.
“Data-incident”: een inbreuk op de beveiliging van Google die resulteert in de/het onvoorziene of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde bekendmaking van, of toegang tot, Persoonsgegevens van Klant op systemen die door Google beheerd of anderszins gecontroleerd worden. “Data-incidenten” omvatten geen mislukte pogingen of activiteiten die de beveiliging van de Persoonsgegevens van Klant niet in gevaar brengen, met inbegrip van mislukte inlogpogingen, pings, poortscans, denial-of-service-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.
“Wetgeving inzake gegevensbescherming”: zoals van toepassing: (a) de AVG; e/of (b) de Federale Wet Bescherming Persoonsgegevens van 19 juni 1992 (Zwitserland).
“Betrokkene-instrument”: een instrument (indien van toepassing) dat door een Google Entiteit aan betrokkenen beschikbaar wordt gesteld en dat Google in staat stelt om direct en op gestandaardiseerde wijze te reageren op bepaalde verzoeken van betrokkenen met betrekking tot Persoonsgegevens van Klant (bijvoorbeeld instellingen voor internetreclame of een browser-plugin om bepaalde instellingen uit te schakelen).
“EER”: de Europese Economische Ruimte.
“AVG”: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG.
“Google”: de Google Entiteit die partij is bij de Overeenkomst.
“Google Aangeslotenen Subverwerkers”: heeft de betekenis die hieraan gegeven wordt in artikel 11.1 (Toestemming voor de betrokkenheid van subverwerkers).
“Google Entiteit”: Google LLC (voorheen bekend als Google Inc.), Google Ireland Limited of een andere Aangeslotene van Google LLC.
“ISO 27001-certificering” :ISO/IEC 27001:2013-certificering of een vergelijkbare certificering voor de Verwerkingsdiensten.
“E-mailadres voor kennisgevingen”: het e-mailadres (indien van toepassing) dat door de Klant doorgegeven is via de gebruikersinterface van de Verwerkingsdiensten of een ander door Google aangeboden middel voor het ontvangen van bepaalde kennisgevingen van Google met betrekking tot deze Voorwaarden voor gegevensverwerking.
“Privacy Shield”: het juridisch kader van het EU-U.S. Privacy Shield en het Swiss-U.S. Privacy Shield.
“Verwerkingsdiensten”: de toepasselijke diensten die vermeld zijn op xxxxxxx.xxxxxx.xxx/xxxxxxxxxx/xxxxxxxxxxx.
“Beveiligingsdocumentatie”: het certificaat dat afgegeven is voor de ISO 27001- certificering en andere beveiligingscertificeringen of documentatie die Google kan verstrekken ten aanzien van de Verwerkingsdiensten.
“Veiligheidsmaatregelen”: heeft de betekenis die hieraan gegeven wordt in artikel
7.1.1 (Veiligheidsmaatregelen van Google).
“Subverwerkers”: derden die uit hoofde van deze Voorwaarden voor gegevensverwerking bevoegd zijn tot logische toegang tot en het verwerken van Persoonsgegevens van Klant om delen van de Verwerkingsdiensten en hiermee samenhangende technische ondersteuning te leveren.
“Looptijd”: de periode vanaf de Ingangsdatum van de Voorwaarden tot het einde van levering door Google van de Verwerkingsdiensten uit hoofde van deze Overeenkomst.
“Ingangsdatum Voorwaarden”: zoals van toepassing:
(a) 25 mei 2018, indien Klant heeft geklikt om akkoord te gaan, of partijen anderszins ingestemd hebben met deze Voorwaarden voor gegevensverwerking vóór of op die datum; of
(b) de datum waarop Klant heeft geklikt om akkoord te gaan, of partijen anderszins ingestemd hebben met deze Voorwaarden voor gegevensverwerking, indien deze datum na 25 mei 2018 is.
“Derde Subverwerkers”: heeft de betekenis die hieraan wordt gegeven in artikel 11.1 (Toestemming voor het inschakelen van subverwerkers).
2.2 De termen “verwerkingsverantwoordelijke”, “betrokkene”, “persoonsgegevens”, “verwerking”, “verwerker” en “toezichthoudende autoriteit” hebben, zoals in deze Voorwaarden voor gegevensverwerking gebruikt, de betekenis die hieraan in de AVG wordt gegeven.
2.3 Alle zinnen die beginnen met de uitdrukkingen”met inbegrip van”, “waaronder” of een gelijksoortige uitdrukking worden uitgelegd als illustratief en beperken niet de
betekenis van de woorden die aan deze uitdrukkingen voorafgaan. Alle voorbeelden in deze Voorwaarden voor gegevensverwerking zijn illustratief en zijn niet de enige voorbeelden van een bepaald concept.
2.4 Elke verwijzing naar een juridisch kader, wet of andere wettelijke maatregel is een verwijzing hiernaar zoals van tijd tot tijd gewijzigd of opnieuw uitgevaardigd.
3. Duur van deze Voorwaarden voor gegevensverwerking
Deze Voorwaarden voor gegevensverwerking gaan in op de Ingangsdatum van de Voorwaarden en blijven, ondanks het verstrijken van de Looptijd van kracht tot, en vervallen automatisch bij, verwijdering van alle Persoonsgegevens door Google zoals beschreven in deze Voorwaarden voor gegevensverwerking.
4. Toepassing van deze Voorwaarden voor gegevensverwerking
4.1 Toepassing van Wetgeving inzake gegevensbescherming. Deze Voorwaarden voor gegevensverwerking gelden alleen voor zover de Wetgeving inzake gegevensbescherming van toepassing is op de verwerking van Persoonsgegevens van Klant, waaronder indien:
(a) de verwerking plaatsvindt in het kader van de activiteiten van een vestiging van Klant binnen de EER; en/of
(b) Persoonsgegevens van Klant persoonsgegevens zijn die betrekking hebben op betrokkenen die zich bevinden in de EER en de verwerking betrekking heeft op het aan hen aanbieden van goederen of diensten of het toezicht op hun gedrag binnen de EER.
4.2 Toepasselijkheid op Verwerkingsdiensten. Deze Voorwaarden voor gegevensverwerking zijn alleen van toepassing op de Verwerkingsdiensten waarvoor partijen ingestemd hebben met deze Voorwaarden voor gegevensverwerking (bijvoorbeeld: (a) de Verwerkingsdiensten waarvoor de Klant geklikt heeft om akkoord te gaan met deze Voorwaarden voor gegevensverwerking; of (b) als in de Overeenkomst deze Voorwaarden voor gegevensverwerking door verwijzing zijn opgenomen, de Verwerkingsdiensten die het onderwerp zijn van de Overeenkomst).
5. Gegevensverwerking
5.1 Rollen en naleving van regelgeving; Toestemming.
5.1.1 Verantwoordelijkheden van Verwerker en Verwerkingsverantwoordelijke.
Partijen erkennen en stemmen ermee in dat:
(a) Bijlage 1 het onderwerp en de bijzonderheden beschrijft van de verwerking van Persoonsgegevens van Klant.
(b) Google op grond van de Wetgeving inzake gegevensbescherming een verwerker van Persoonsgegevens van Klant is;
(c) Klant op grond van de Wetgeving inzake gegevensbescherming, zoals van toepassing, een verwerkingsverantwoordelijke of een verwerker is van Persoonsgegevens van Klant; en
(d) elke partij voldoet aan de verplichtingen die voor haar gelden uit hoofde van de Wetgeving inzake gegevensbescherming met betrekking tot de verwerking van Persoonsgegevens van Klant.
5.1.2 Toestemming van Derde Verwerkingsverantwoordelijke. Als Klant een verwerker is, verzekert Klant aan Google dat voor de instructies en maatregelen van Klant ten aanzien van Persoonsgegevens van Klant, met inbegrip van het door hem aanwijzen van Google als een andere verwerker, toestemming verleend is door de desbetreffende Verwerkingsverantwoordelijke.
5.2 Instructies van Klant. Door in te stemmen met deze Voorwaarden voor gegevensverwerking, geeft Klant Google opdracht om Persoonsgegevens van Klant uitsluitend in overeenstemming met toepasselijk recht te verwerken: (a) om Verwerkingsdiensten en samenhangende technische ondersteuning te verlenen (b) zoals nader bepaald door middel van het gebruik door Klant van de Verwerkingsdiensten (met inbegrip van de instellingen en andere functionaliteiten van de Verwerkingsdiensten); (c) zoals vastgelegd in de vorm van de Overeenkomst, met inbegrip van deze Voorwaarden voor gegevensverwerking; en (d) zoals nader vastgelegd in andere door de Klant verstrekte en door Google bevestigde schriftelijke instructies die instructies vormen voor de doeleinden van deze Voorwaarden voor gegevensverwerking.
5.3 Voldoen aan Instructies door Google. Google voldoet aan de instructies die beschreven zijn in artikel 5.2 (Instructies van Klant) (waaronder met betrekking tot gegevensoverdracht), tenzij wetgeving van de EU of een lidstaat van de EU die op Google van toepassing is andere verwerking vereist van Persoonsgegevens van Klant door Google, in welk geval Google Klant hierover zal informeren (tenzij dergelijke wetgeving Google dit verbiedt op grond van belangrijke redenen van openbaar belang).
5.4 Extra producten. Als Klant gebruikt maakt van een Extra product, kunnen de Verwerkingsdiensten toestaan dat dit Extra product toegang heeft tot de Persoonsgegevens van Klant zoals vereist voor de interoperabiliteit van het Extra product met de Verwerkingsdiensten. Voor de duidelijkheid: deze Voorwaarden voor gegevensverwerking zijn niet van toepassing op de verwerking van persoonsgegevens in verband met de levering van een door de Klant gebruikt Extra product, met inbegrip van persoonsgegevens die verzonden worden naar of uit dat Extra product.
6. Verwijdering van gegevens
6.1 Verwijdering tijdens de Duur.
6.1.1 Verwerkingsdiensten met een verwijderingsfunctionaliteit. Tijdens de Looptijd, als:
(a) de functionaliteit van de Verwerkingsdiensten voor de Klant de optie bevat om Persoonsgegevens te verwijderen;
(b) Klant de Verwerkingsdiensten gebruikt om bepaalde Persoonsgegevens van Klant te verwijderen; en
(c) de verwijderde Persoonsgegevens van Klant door Klant niet hersteld kunnen worden (bijvoorbeeld uit de “Prullenbak”),
dan zal Google deze Persoonsgegevens van Klant uit zijn systemen verwijderen zo snel als dit redelijkerwijs mogelijk is en binnen een periode van maximaal 180 dagen, tenzij op grond van wetgeving van de EU of een lidstaat van de EU opslag verplicht is.
6.1.2 Verwerkingsdiensten zonder een verwijderingsfunctionaliteit. Als de functionaliteit van de Verwerkingsdiensten tijdens de Looptijd voor Klant niet de optie bevat om Persoonsgegevens te verwijderen, zal Google voldoen aan:
(a) elk redelijk verzoek van Xxxxx om het verwijderen van deze gegevens mogelijk te maken, voor zover dit mogelijk is rekening houdend met de aard en functionaliteit van de Verwerkingsdiensten, en tenzij op grond van wetgeving van de EU of een lidstaat van de EU opslag verplicht is;
(b) de praktijken voor gegevensbewaring zoals beschreven op xxx.xxxxxx.xxx/xxxxxxxx/xxxxxxxxxxxx/xxx.
Voor het verwijderen van gegevens op grond van artikel 6.1.2(a) mag Google een vergoeding in rekening brengen voor het verwijderen van gegevens (op basis van door Google redelijk gemaakte kosten). Google verstrekt Klant vóór het verwijderen van dergelijke gegevens nadere informatie over een eventuele van toepassing zijnde vergoeding, alsmede de basis voor de berekening hiervan.
6.2 Verwijdering bij het verstrijken van de Looptijd. Bij het verstrijken van de Looptijd instrueert Klant Google om alle Persoonsgegevens van Klant (met inbegrip van bestaande kopieën) overeenkomstig toepasselijk recht uit de systemen van Google te verwijderen. Google voldoet aan deze instructie zo snel als redelijkerwijs mogelijk is en binnen een periode van maximaal 180 dagen, tenzij op grond van wetgeving van de EU of een lidstaat van de EU opslag verplicht is.
7. Gegevensbeveiliging
7.1 Beveiligingsmaatregelen en hulp van Google.
7.1.1 Beveiligingsmaatregelen van Google. Google implementeert en behoudt technische en organisatorische maatregelen ter bescherming van Persoonsgegevens van Klant tegen de/het onvoorziene of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde bekendmaking of toegang, zoals beschreven in Bijlage 2 (de”Beveiligingsmaatregelen”). Zoals beschreven in Bijlage 2, omvatten de Beveiligingsmaatregelen maatregelen: (a) voor het coderen van persoonsgegevens; (b) om de permanente vertrouwelijkheid, integriteit, beschikbaarheid en betrouwbaarheid te garanderen van de systemen en diensten van Google (c) voor het tijdig helpen herstellen van toegang tot persoonsgegevens na een incident; en (d) voor het regelmatig testen van effectiviteit. Google kan de Beveiligingsmaatregelen van tijd tot bijwerken of wijzigen, op voorwaarde dat deze bijwerkingen en wijzigingen niet leiden tot de aantasting van de algemene veiligheid van de Verwerkingsdiensten.
7.1.2 Naleving van beveiligingsmaatregelen door personeel van Google. Google neemt passende maatregelen om naleving van de Beveiligingsmaatregelen door zijn werknemers, contractanten en Subverwerkers te garanderen voor zover dit van toepassing is op de omvang van hun taken, waaronder ervoor zorgen dat alle personen die gemachtigd zijn tot toegang tot Persoonsgegevens van Klant zich verplicht hebben tot het vertrouwelijk houden hiervan, of een passende wettelijke geheimhoudingsverplichting hebben.
7.1.3 Veiligheidshulp van Google. Klant stemt ermee in dat Google (rekening houdend met de aard van de verwerking van Persoonsgegevens van Klant en de informatie waarover Google beschikt) Klant helpt om te zorgen dat voldaan wordt aan verplichtingen van Klant met betrekking tot de beveiliging van persoonsgegevens en inbreuk op de beveiliging van persoonsgegevens, met inbegrip van (indien van toepassing) de verplichtingen van Klant uit hoofde van artikel 32 tot en met 34 van de AVG, door:
(a) beveiligingsmaatregelen te implementeren en te behouden overeenkomstig art 7.1.1 (Beveiligingsmaatregelen van Google);
(b) te voldoen aan de bepalingen van artikel 7.2 (Data-incidenten); en
(c) Klant de Beveiligingsdocumentatie overeenkomstig artikel 7.5.1 (Beoordelingen van beveiligingsdocumentatie) en de informatie die opgenomen is in deze Voorwaarden voor gegevensverwerking te verstrekken.
7.2 Data-incidenten.
7.2.1 Kennisgeving van een incident. Als Google kennis neemt van een Data-incident, gaat Google over tot: (a) Klant onverwijld en zonder vertraging in kennis stellen van het Data-incident (b) onverwijld redelijke maatregelen nemen om de schade zoveel mogelijk te beperken en de Persoonsgegevens van Klant veilig te stellen.
7.2.2 Bijzonderheden van een Data-incident. Kennisgevingen die gedaan worden uit hoofde van artikel 7.2.1 (Kennisgevingen van een incident) beschrijven, voor zover mogelijk, de bijzonderheden van het Data-incident, met inbegrip van maatregelen die genomen zijn om de potentiële risico's te beperken en maatregelen die Google Klant aanraadt te nemen om het Data-incident aan te pakken.
7.2.3 Bezorging van de kennisgeving. Google bezorgt de kennisgeving van een Data- incident op het E-mailadres voor kennisgeving of, naar eigen goeddunken van Google (waaronder indien Klant geen E-mailadres voor kennisgeving heeft verstrekt), door middel van andere directe communicatie (bijvoorbeeld een telefoongesprek of een persoonlijke ontmoeting). Klant is zelf verantwoordelijk voor het verstrekken van het E-mailadres voor kennisgeving en om ervoor te zorgen dat het E-mailadres voor kennisgeving actueel en geldig is.
7.2.4 Kennisgevingen van derden. Klant is zelf verantwoordelijk voor de naleving van wetgeving inzake melding van Data-incidenten die op Klant van toepassing is en het voldoen aan eventuele verplichtingen inzake kennisgeving aan derden in verband met een Data-incident.
7.2.5 Geen erkenning van schuld door Google. Kennisgeving van of reactie op een Data-incident door Google uit hoofde van dit artikel 7.2 (Data-incidenten) wordt niet opgevat als een erkenning van Google van schuld of aansprakelijkheid met betrekking tot het Data-incident.
7.3 Verantwoordelijkheden voor en beoordeling door Klant van beveiliging.
7.3.1 Beveiligingsmaatregelen van Klant. Klant gaat ermee akkoord dat, onverminderd de verplichtingen van Google uit hoofde van artikel 7.1 (Beveiligingsmaatregelen en hulp van Google) en 7.2 (Data-incidenten):
(a) Xxxxx zelf verantwoordelijk is voor zijn gebruik van de Verwerkingsdiensten, met inbegrip van:
(i) op correcte wijze gebruik maken van de Verwerkingsdiensten om een beveiligingsniveau te garanderen dat passend is voor het risico met betrekking tot de Persoonsgegevens; en
(ii) de verificatiegegevens van accounts, systemen en apparaten te beveiligen die Klant gebruikt voor toegang tot de Verwerkingsdiensten; en
(b) Google geen verplichting heeft om Persoonsgegevens van Klant te beschermen die Klant verkiest op te slaan of over te dragen buiten de systemen van Google en zijn Subverwerkers.
7.3.2 Beoordeling van de beveiliging door Klant. Klant bevestigt en stemt ermee in dat (rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking van Persoonsgegevens van Klant, evenals met de risico's voor personen) de beveiligingsmaatregelen die door Google genomen en behouden worden, zoals omschreven in art. 7.1.1 (Beveiligingsmaatregelen van Google) een beschermingsniveau bieden dat passend is voor het risico met betrekking tot de Persoonsgegevens van Klant.
7.4 Beveiligingscertificaat. Om de Beveiligingsmaatregelen te evalueren en te zorgen voor een blijvende doeltreffendheid hiervan, zal Google de ISO 27001-certificering behouden.
7.5 Beoordelingen en controles met betrekking tot naleving.
7.5.1 Beoordelingen van Beveiligingsdocumentatie. Ten behoeve van het door Google aantonen van het voldoen aan zijn verplichtingen uit hoofde van deze Voorwaarden voor gegevensverwerking, stelt Google de Beveiligingsdocumentatie ter beoordeling aan de Klant beschikbaar.
7.5.2 Controlerechten van Klant.
(a) Google staat Klant of een door Klant aangewezen derde controleur toe om controles uit te voeren (met inbegrip van inspecties) om te controleren of Google voldoet aan zijn verplichtingen op grond van deze Voorwaarden voor gegevensverwerking overeenkomstig artikel 7.5.3 (Aanvullende zakelijke voorwaarden voor controles). Google werkt mee aan dergelijke controles zoals beschreven in art. 7.4 (Beveiligingscertificaat) en dit artikel
7.5 (Beoordelingen en controles van naleving).
(b) Klant kan ook een controle uitvoeren ter verificatie van de naleving door Google van zijn verplichtingen uit hoofde van deze Voorwaarden voor gegevensverwerking door de beoordeling van het certificaat dat afgegeven is in het kader van de ISO 27001-certificering (waarin het resultaat van een door een controleur van een derde uitgevoerde audit wordt weergegeven).
7.5.3 Aanvullende zakelijke voorwaarden voor controles.
(a) Klant verstuurt een eventueel verzoek voor een controle uit hoofde van art. 7.5.2(a) aan Google zoals beschreven in artikel 12.1 (Contact opnemen met Google).
(b) Na ontvangst door Google van een verzoek uit hoofde van art. 7.5.3(a) overleggen en bepalen Google en Klant vooraf een redelijke begindatum, omvang en duur van, en controles van beveiliging en vertrouwelijkheid die van toepassing zijn op, een controle op grond van artikel 7.5.2(a).
(c) Google kan een vergoeding in rekening brengen voor een controle op grond van artikel 7.5.2(a) (op basis van door Google redelijk gemaakte kosten). Google verstrekt Klant vóór een dergelijke controle nadere informatie over een eventuele van toepassing zijnde vergoeding, alsmede de basis voor de berekening hiervan. Eventuele kosten die in rekening gebracht worden door een derde controleur die door Klant wordt aangewezen om een dergelijke controle uit te voeren, komen voor rekening van Klant.
(d) Google kan bezwaar maken tegen een derde controleur die door Klant wordt aangewezen om een controle uit hoofde van artikel 7.5.2(a) uit te voeren indien de controleur, naar de redelijke mening van Google, niet naar behoren gekwalificeerd of onafhankelijk is, een concurrent van Google is of anderszins kennelijk ongeschikt is. In geval van een dergelijk bezwaar van Google moet Google een andere controleur aanwijzen of zelf de controle uitvoeren.
(e) Geen enkele bepaling in deze Voorwaarden voor gegevensverwerking verplicht Google tot bekendmaking aan Klant of zijn derde controleur, of tot toestaan van toegang door Klant of zijn derde controleur van:
(i) gegevens van een andere klant van een Google Entiteit;
(ii) boekhoudkundige of financiële gegevens van een Google Entiteit;
(iii) handelsgeheimen van een Google Entiteit;
(iv) informatie die, naar de redelijke mening van Google; (A) de beveiliging van een systeem of bedrijfslocatie van een Google Entiteit in gevaar zou kunnen brengen (B) ertoe zou kunnen leiden dat een Google Entiteit zijn verplichtingen schendt op grond van de Wetgeving inzake gegevensbescherming of zijn verplichtingen met betrekking tot beveiliging en/of privacy jegens Klant of een derde; of
(v) informatie waartoe Klant of zijn derde controleur toegang wil verkrijgen om een andere reden dan het te goeder trouw voldoen aan de verplichtingen van Klant uit hoofde van de Wetgeving inzake gegevensbescherming.
8. Effectbeoordelingen en raadplegingen
Klant stemt ermee in dat Google (rekening houdend met de aard van de verwerking en de informatie waarover Google beschikt) Klant helpt om te zorgen dat voldaan wordt aan verplichtingen van Klant met betrekking tot effectbeoordelingen in verband met gegevensbescherming en voorafgaande raadpleging, met inbegrip van (indien van toepassing) de verplichtingen van Klant uit hoofde van artikel 35 en 36 van de AVG, door:
(a) het verstrekken van de Beveiligingsdocumentatie in overeenstemming met artikel 7.5.1 (Beoordelingen van Beveiligingsdocumentatie);
(b) het verstrekken van de informatie die opgenomen is in deze Voorwaarden voor gegevensverwerking; en
(c) het verstrekken of anders beschikbaar stellen, in overeenstemming met de standaardprocedures van Google, van ander materiaal betreffende de aard van de Verwerkingsdiensten en de verwerking van Persoonsgegevens van Klant (bijvoorbeeld, materiaal van helpcenters).
9. Rechten van betrokkenen
9.1 Reacties op verzoeken van betrokkenen. Wanneer Google een verzoek ontvangt van een betrokkene in verband met Persoonsgegevens van Klant, zal Google:
(a) als het verzoek gedaan wordt via een Betrokkene-instrument, direct reageren op het verzoek van de betrokkene, in overeenstemming met de standaardfunctionaliteit van het Betrokkene-instrument; of
(b) als het verzoek niet gedaan wordt via een Betrokkene-instrument, de betrokkene adviseren om zijn/haar verzoek in te dienen bij Klant, en is Klant verantwoordelijk voor het reageren op dit verzoek.
9.2 Hulp van Google bij verzoeken van Xxxxxxxxxxx. Klant stemt ermee in dat Google (rekening houdend met de aard van de verwerking van de Persoonsgegevens van Klant en, indien van toepassing, artikel 11 van de AVG) Klant helpt bij het nakomen van eventuele verplichtingen van Klant om te reageren op verzoeken van betrokkenen, met inbegrip van (indien van toepassing) de verplichting van Klant om te reageren op verzoeken voor de uitoefening van rechten van betrokkenen zoals vastgelegd in Hoofdstuk III van de AVG, door
(a) het verstrekken van de functionaliteit van de Verwerkingsdiensten;
(b) te voldoen aan de verplichtingen die beschreven zijn in artikel 9.1 (Reacties op verzoeken van betrokkenen); en
(c) indien van toepassing op de Verwerkingsdiensten, Betrokkene-instrumenten beschikbaar te maken.
10. Gegevensoverdracht
10.1 Gegevensoverdracht en Verwerkingsfaciliteiten Klant stemt ermee in dat Google, onder voorbehoud van artikel 10.2 (Gegevensoverdracht buiten de EER en Zwitserland), Persoonsgegevens van Klant kan opslaan en verwerken in de Verenigde Staten van Amerika en elk ander land waar Google of een van zijn Subverwerkers een bedrijfslocatie heeft.
10.2 Gegevensoverdracht buiten de EER en Zwitserland. Google zorgt ervoor dat;
(a) de moedermaatschappij van de Google-groep, Google LLC, op grond van Privacy Shield namens zichzelf en zijn volledige Amerikaanse dochterondernemingen zelfcertificering behoudt; en
(b) de toepasselijkheid van de certificering in het kader van Privacy Shield van Google LLC Persoonsgegevens van Klant omvat.
10.3 Informatie over datacenters. Informatie over de locaties van de datacenters van Google is beschikbaar xxx.xxxxxx.xxx/xxxxx/xxxxxxxxxxx/xxxxxx/xxxxxxxxx/xxxxx.xxxx.
11. Subverwerkers
11.1 Toestemming voor het inschakelen van Subverwerkers. Klant verleend specifiek toestemming voor het inschakelen van Google Aangeslotenen als Subverwerkers (“Google Aangeslotenen Subverwerkers”). Daarnaast verleent Klant algemene toestemming voor het inschakelen van andere derden als Subverwerkers (“Derden Subverwerkers”).
11.2 Informatie over Subverwerkers. Informatie over Subverwerkers is beschikbaar op xxxxxxx.xxxxxx.xxx/xxxxxxxxxx/xxxxxxxxxxxxx.
11.3 Vereisten voor het inschakelen van Subverwerkers. Bij het inschakelen van een Subverwerker zal Google:
(a) door middel van een schriftelijk contract waarborgen dat:
(i) de Subverwerker de Persoonsgegevens van Klant alleen opent en gebruikt voor zover nodig om de aan hem uitbestede verplichtingen uit te voeren, en dit doet in overeenstemming met de Overeenkomst (met inbegrip van deze Voorwaarden voor gegevensbescherming) en Privacy Shield; en
(ii) indien de AVG van toepassing is op de verwerking van Persoonsgegevens van Klant, de verplichtingen inzake gegevensbescherming die omschreven zijn in artikel 28(3) van de AVG worden opgelegd aan de Subverwerker; en
(b) volledig aansprakelijk blijven voor alle verplichtingen die uitbesteed worden aan, en alle handelingen en nalatigheden van, de Subverwerker.
11.4 Mogelijkheid om bezwaar te maken tegen Verandering van Subverwerker.
(a) Indien tijdens de Looptijd een nieuwe Derde Subverwerker ingeschakeld wordt, stelt Google Klant, minstens 30 dagen voordat de nieuwe Subverwerker Persoonsgegevens van Klant verwerkt, op de hoogte van deze inschakeling (met inbegrip van de naam en locatie van de betreffende Subverwerker en de activiteiten die deze uit zal voeren) door het sturen van een e-mail aan het E- mailadres voor kennisgeving.
(b) Klant kan bezwaar maken tegen een nieuwe Derde Subverwerker door het onmiddellijk na schriftelijke kennisgeving aan Google beëindigen van de Overeenkomst, op voorwaarde dat Klant deze kennisgeving doet binnen 90 dagen nadat hij geïnformeerd is over de inschakeling van de nieuwe Derde Subverwerker zoals beschreven in artikel 11.4(a). Dit recht op beëindiging is het enige en uitputtende rechtsmiddel in het geval Klant bezwaar maakt tegen een nieuwe Derde Subverwerker.
12. Contact opnemen met Google; Register van verwerkingsactiviteiten
12.1 Contact opnemen met Google. Klant kan contact opnemen met Google met betrekking tot de uitoefening van zijn rechten uit hoofde van deze Voorwaarden voor gegevensverwerking op xxxxxxx.xxxxxx.xxx/xxxxxxxxxx/xxxxxxxxxxxxxxxx of via andere middelen die door Google van tijd tot tijd beschikbaar worden gesteld.
12.2 Registers van verwerkingsactiviteiten van Google. Klant erkent dat Google op grond van de AVG verplicht is om: (a) bepaalde informatie te verzamelen en hiervan registers bij te houden, waaronder de naam en contactgegevens van de verwerker en/of verwerkingsverantwoordelijke namens wie Google handelt, en (indien van toepassing) van de lokale vertegenwoordiger en de functionaris voor gegevensbescherming; en (b) deze informatie beschikbaar stellen aan de toezichthoudende autoriteiten. Dienovereenkomstig zal Klant, indien vereist en zoals van toepassing op Klant, deze informatie aan Google verstrekken via de gebruikersinterface van de Verwerkingsdiensten of via een ander middel dat door Google ter beschikking kan worden gesteld, en zal deze gebruikersinterface of dit andere middel gebruiken om ervoor te zorgen dat alle verstrekte informatie correct en actueel is.
13. Aansprakelijkheid
Indien de Overeenkomst beheerst wordt door het recht van:
(a) een staat van de Verenigde Staten van Amerika, dan is de totale aansprakelijkheid van een van beide partijen jegens de andere partij onder of in verband met deze
Voorwaarden voor gegevensverwerking, niettegenstaande een andere bepaling in de Overeenkomst, beperkt tot het maximale bedrag in geld of een op een betaling gebaseerd bedrag waarop de aansprakelijkheid van de partij onder de Overeenkomst is gelimiteerd (voor de duidelijkheid: uitsluitingen van schadeclaims van de beperking van de aansprakelijkheid onder deze Overeenkomst zijn niet van toepassing op schadeclaims onder deze Overeenkomst die verband houden met Wetgeving inzake gegevensbescherming); of
(b) een rechtsgebied dat geen staat van de Verenigde Staten van Amerika is, dan is de aansprakelijkheid van de partijen op grond van of in verband met deze Voorwaarden voor gegevensverwerking afhankelijk van de uitsluitingen en beperkingen van aansprakelijkheid in de Overeenkomst.
14. Werking van deze Voorwaarden voor gegevensverwerking
In geval van tegenstrijdigheid of inconsistentie tussen de bepalingen van deze Voorwaarden voor gegevensverwerking en de rest van de Overeenkomst, prevaleren deze Voorwaarden voor gegevensverwerking. Behoudens de in deze Voorwaarden voor gegevensverwerking aangebrachte wijzigingen, blijft de Overeenkomst volledig in kracht en werking.
15. Wijzigingen in deze Voorwaarden voor gegevensverwerking
15.1 Wijzigingen in URL’s. Google kan van tijd tot tijd een URL en de inhoud van deze URL waarnaar in deze Voorwaarden voor gegevensverwerking wordt verwezen wijzigen. Google kan de lijst van potentiële Verwerkingsdiensten op xxxxxxx.xxxxxx.xxx/xxxxxxxxxx/xxxxxxxxxxx alleen wijzigen om:
(a) uiting te geven aan een wijziging in de naam van een dienst;
(b) een nieuwe dienst toe te voegen; of
(c) een dienst te verwijderen indien: (i) alle contracten voor het verlenen van die dienst beëindigd zijn; of (ii) Google toestemming van Xxxxx hiervoor heeft.
15.2 Wijzigingen in de Voorwaarden voor gegevensverwerking. Google kan deze Voorwaarden voor gegevensverwerking wijzigen indien de wijziging:
(a) door deze Voorwaarden voor gegevensverwerking uitdrukkelijk is toegestaan, met inbegrip van zoals beschreven in artikel 15.1 (Wijzigingen in URL’s);
(b) uiting geeft aan een wijziging in de naam of de vorm van een rechtspersoon;
(c) verplicht is om te voldoen aan door een regelgevende overheidsinstantie of - agentschap uitgevaardigde toepasselijke wetgeving, toepasselijke regelgeving, een gerechtelijk bevel of een richtsnoer; of
(d) niet (i) leidt tot een verslechtering van de algehele beveiliging van de Verwerkingsdiensten; (ii) het toepassingsgebied uitbreidt van, of beperkingen verwijderd op, de verwerking door Google van Persoonsgegevens van Klant, zoals beschreven in artikel 5.3 (Voldoen aan Instructies door Google); en (iii) anderszins een aanzienlijke negatieve invloed heeft op de rechten van Klant uit hoofde van deze Voorwaarden voor gegevensverwerking, zoals door Google redelijkerwijs bepaald.
15.3 Kennisgeving van wijzigingen. Wanneer Google deze Voorwaarden voor gegevensverwerking wil wijzigen op grond van artikel 15.2(c) of (d), stelt Google Klant hiervan in kennis minstens 30 dagen (of een kortere periode zoals vereist kan zijn om te voldoen aan toepasselijke wetgeving, toepasselijke regelgeving, een gerechtelijk bevel of richtsnoeren uitgevaardigd door regelgevende overheidsinstanties of - agentschappen) vóór de wijziging van kracht wordt, door middel van: (a) het versturen van een e-mail naar het E-mailadres voor kennisgeving; of (b) het attenderen van Klant via de gebruikersinterface voor de Verwerkingsdiensten. Indien Klant bezwaar maakt tegen een dergelijke wijziging, kan Klant de Overeenkomst beëindigen door middel van een schriftelijke kennisgeving aan Google binnen 90 dagen nadat hij door Google over de wijziging is geïnformeerd.
Bijlage 1: Onderwerp en bijzonderheden van Gegevensverwerking
Onderwerp
Levering door Google van de Verwerkingsdiensten en daarmee samenhangende technische ondersteuning aan Klant.
Duur van de Verwerking
De Looptijd plus de periode vanaf het verstrijken van de Looptijd tot het wissen van alle Persoonsgegevens van Klant door Google in overeenstemming met deze Voorwaarden voor gegevensverwerking.
Aard en doel van de Verwerking
Google verwerkt (met inbegrip van, zoals van toepassing op de Verwerkingsdiensten en de instructies die beschreven zijn in artikel 5.2 (Instructies van Klant), door het verzamelen, vastleggen, ordenen, structureren, opslaan, wijzigen, opvragen, gebruiken, openbaar maken, samenvoegen, wissen en vernietigen) Persoonsgegevens van Klant ten behoeve van het verstrekken van de Verwerkingsdiensten en daarmee samenhangende technische ondersteuning aan Klant in overeenstemming met deze Voorwaarden voor gegevensverwerking.
Soorten Persoonsgegevens
Persoonsgegevens van Klant kunnen de soorten persoonsgegevens omvatten die beschreven worden op xxxxxxx.xxxxxx.xxx/xxxxxxxxxx/xxxxxxxxxxx.
Categorieën betrokkenen
Persoonsgegevens van Klant hebben betrekking op de volgende categorieën betrokkenen:
betrokkenen over wie Google persoonsgegevens verzamelt bij het verstrekken van de Verwerkingsdiensten; en/of
Betrokkenen over wie persoonsgegevens aan Google worden overgedragen in verband met de Verwerkingsdiensten door, op aanwijzing van, of namens Klant;
Afhankelijk van de aard van de Verwerkingsdiensten, kunnen deze betrokkenen personen omvatten: (a) tot wie internetreclame gericht is of wordt; (b) die specifieke website of applicaties bezocht hebben waarvoor Google de Verwerkingsdiensten levert; en/of (c) die klanten of gebruikers zijn van de producten of diensten van Klant.
Bijlage 2: Beveiligingsmaatregelen
Vanaf de Ingangsdatum van de Voorwaarden, implementeert en behoudt Google de Beveiligingsmaatregelen die beschreven zijn in deze Bijlage 2. Google kan deze Beveiligingsmaatregelen van tijd tot bijwerken of wijzigen, op voorwaarde dat deze bijwerkingen en wijzigingen niet leiden tot de aantasting van de algemene veiligheid van de Verwerkingsdiensten.
1. Datacenter en netwerkbeveiliging
(a) Datacenters.
Infrastructuur. Google beschikt over geografisch verspreide datacenters. Google slaat alle productiegegevens op in fysiek beveiligde datacenters.
Redundantie. De infrastructuursystemen zijn ontworpen om zwakke punten (“single points of failure”) te verwijderen en de impact van verwachte milieurisico's te minimaliseren. Om deze redundantie te realiseren wordt gebruik gemaakt van dubbele circuits, schakelaars, netwerken en andere noodzakelijke instrumenten. De Verwerkingsdiensten zijn ontwikkeld om Google in staat te stellen om bepaalde vormen van preventief en correctief onderhoud zonder onderbreking te kunnen uitvoeren. Alle milieubeschermende apparaten en faciliteiten hebben gedocumenteerde procedures voor preventief onderhoud waarin de procedure voor en frequentie van uitvoering worden beschreven in overeenstemming met de specificaties van de fabrikant of de interne specificaties. Preventief en correctief onderhoud van de datacenter-apparatuur wordt gepland door middel van een standaardprocedure in overeenstemming met gedocumenteerde procedures.
Stroom. De elektriciteitsvoorzieningen van de datacenters zijn ontworpen om redundant te zijn en onderhouden te kunnen worden zonder gevolgen voor continue processen, 24 uur per dag en 7 dagen per week. In de meeste gevallen hebben onderdelen van kritieke infrastructuur in een datacenter een primaire en een alternatieve stroombron, elk met hetzelfde vermogen. Noodstroom wordt verschaft door verschillende mechanismen, zoals noodstroomvoorziening (UPS)-accu's, die een altijd betrouwbare stroombeveiliging verschaffen tijdens spanningsdalingen van nutsvoorzieningen, overspanning, onderspanning en omstandigheden waarbij frequenties de tolerantiegrenzen overschrijden. In het geval de netstroom uitvalt, zorgt een reserve energievoorziening voor tijdelijke stroomvoorziening aan het datacenter, op volledige capaciteit, gedurende maximaal 10 minuten totdat de dieselgeneratoren de stroomvoorziening overnemen. Deze dieselgeneratoren kunnen binnen een aantal seconden opstarten om genoeg noodstroom te leveren om het datacenter op volledige capaciteit te laten werken, meestal voor een periode van een aantal dagen.
Serverbesturingssystemen. Servers van Google maken gebruik van geharde besturingssystemen die zijn aangepast aan de unieke serverbehoeften van het bedrijf. Gegevens worden met behulp van bedrijfseigen algoritmen opgeslagen om de beveiliging en redundantie van gegevens te vergroten. Google maakt gebruik van een procedure voor code review om de veiligheid te verhogen van de code die gebruikt wordt om de Verwerkingsdiensten te leveren en de beveiligingsproducten in productie- omgevingen te verbeteren.
Bedrijfscontinuïteit Google repliceert gegevens in meerdere systemen ten behoeve van beveiliging tegen onvoorziene vernietiging of onvoorzien verlies. Google heeft bedrijfscontinuïteitsplanning/programma's voor herstel na een noodgeval ontwikkeld en plant en test deze regelmatig.
(b) Netwerken en overdracht.
Gegevensoverdracht. Datacenters zijn meestal verbonden via particuliere snelle verbindingen om te zorgen voor een veilige en snelle gegevensoverdracht tussen datacenters. Dit is ontwikkeld om te voorkomen dat gegevens tijdens elektronische uitwisseling of doorgifte of tijdens registratie op dataopslagmedia zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd. Google verzendt gegevens via standaardprotocollen voor Internet.
Risico op aanvallen van buitenaf. Google maakt gebruik van meerder lagen van netwerkapparaten en inbraakdetectie ter bescherming van zijn risico op externe aanvallen. Google houd rekening met potentiële aanvalsvectoren en integreert passende speciaal ontwikkelde technologieën in naar buiten gerichte systemen.
Inbraakdetectie. Inbraakdetectie is bedoeld om inzicht te verschaffen in actuele aanvalsactiviteiten en voldoende informatie te verschaffen om te reageren op incidenten. De inbraakdetectie van Google omvat:
1. Strenge controle van de omvang en samenstelling van het aanvalsrisico van Google door middel van preventieve maatregelen;
2. Gebruik van intelligente detectiecontroles op de ingangspunten van gegevens; en
3. Gebruik van technologieën die automatisch bepaalde gevaarlijke situaties verhelpen.
Incident response. Google controleert een scala aan communicatiekanalen op beveiligingsincidenten, en de beveiligingsmedewerkers van Google reageren snel op incidenten.
Encryptietechnologieën. Google stelt HTTPS-codering (ook wel SSL- of TLS- verbinding) beschikbaar. Google-servers ondersteunen efemere elliptische curve Diffie- Xxxxxxx-uitwisseling voor cryptografische sleutels ondertekend met RSA en ECDSA. Deze perfect forward secrecy (PFS) methoden helpen verkeer te beschermen en minimaliseren de gevolgen van een ontcijferde sleutel of een cryptografische doorbraak.
2. Toegang en controle van bedrijfslocaties
(a) Controles van bedrijfslocaties.
Beveiliging ter plaatse van datacenters. De datacenters van Google beschikken over beveiliging ter plaatse die 24 uur per dag, 7 dagen per week verantwoordelijk is voor alle fysieke beveiligingswerkzaamheden voor het datacenter. Het beveiligingspersoneel van het datacenter controleren Closed Circuit TV (“CCTV”)-camera's en alarmsystemen. Het beveiligingspersoneel van het datacenter voert regelmatig interne en externe patrouilles uit in en rond het datacenter.
Procedures voor toegang tot datacenters. Google beschikt over formele toegangsprocedures voor het toestaan van fysieke toegang tot de datacenters. De datacenters zijn gevestigd in gebouwen waartoe middels een elektronische sleutelpas toegang moet worden verkregen, met een alarm dat gekoppeld is aan de ter plaatse aanwezige beveiliging. Alle personen die het datacenter binnengaan moeten zich identificeren en een identiteitsbewijs tonen aan het beveiligingspersoneel. Alleen geverifieerde medewerkers, contractanten en bezoekers mogen de datacenters binnengaan. Alleen geverifieerde medewerkers en contractanten mogen verzoeken om toegang tot deze gebouwen middels een elektronische sleutelpas. Verzoeken om toegang tot een datacenter middels een elektronisch sleutelpas moeten vooraf schriftelijk gedaan worden, en voor het verstrekken van een sleutelpas moet toestemming worden gegeven door de manager van de verzoeker en de dagelijkse leiding van het datacenter. Alle andere bezoekers die tijdelijke toegang tot het datacenter willen moeten: (i) vooraf toestemming ontvangen van de managers van het datacenter voor het specifieke datacenter en de ruimten hierbinnen die ze willen bezoeken; (ii) zich aanmelden bij de beveiliging; (iii) een goedgekeurd document voor toegang tot het datacenter laten zien waarin aan de persoon toegang verleend wordt.
Beveiligingsinstallaties ter plaatse van datacenters. De datacenters van Google beschikken over een systeem van elektronische sleutelpassen en biometrische toegangscontrole dat gekoppeld is aan een alarmsysteem. Het systeem voor toegangscontrole controleert en registreert de elektronische sleutelpas van elke persoon wanneer deze binnenkomt door de hoofdingang, bij de expeditieafdeling of andere kritieke plaatsen. Ongeoorloofde activiteiten en mislukte toegangspogingen worden door het systeem voor toegangscontrole geregistreerd en zo nodig onderzocht. Ongeoorloofde toegang tot de zakelijke activiteiten en datacenters is beperkt, en gebaseerd op zones en de functietaken van de persoon. De branddeuren van de datacenters zijn uitgerust met een alarm. CCTV-camera's zijn zowel binnen als buiten de datacenters ingeschakeld. De plaatsing van de camera's is ontworpen om strategische gebieden te dekken, waaronder de hoofdingang, deuren tot het gebouw van het datacenter en expeditie. Beveiligingspersoneel beheert de controle en registratie van CCTV-beelden en de CCTV-regelapparatuur. De CCTV-apparatuur is door het hele datacenter heen met beveiligde kabels verbonden. Camera's registreren de locatie 24 uur per dag, 7 dagen per week door middel van digitale videorecorders. De bewakingsgegevens worden, op basis van activiteiten, bewaard gedurende ten minste 7 dagen.
(b) Toegangscontrole.
Beveiligingspersoneel infrastructuur. Google heeft en onderhoudt een veiligheidsbeleid voor zijn medewerkers, en veiligheidstraining maakt onderdeel uit van het opleidingspakket voor het personeel. Het beveiligingspersoneel infrastructuur van Google is verantwoordelijk voor de voortdurende bewaking van de
beveiligingsinfrastructuur van Google, de beoordeling van de Verwerkingsdiensten en het reageren op beveiligingsincidenten.
Toegangscontrole en privilegebeheer. Om gebruik te kunnen maken van de Verwerkingsdiensten, moeten beheerders en gebruikers van Klant zich verifiëren door middel van een centraal verificatiesysteem of via een eenmalige aanmelding op het systeem.
Interne procedures en beleid voor toegang tot gegevens – Toegangsbeleid. De interne procedures van Google voor toegang tot gegevens zijn ontwikkeld om te voorkomen dat onbevoegde personen en/of systemen toegang verkrijgen tot systemen die gebruikt worden om persoonsgegevens te verwerken. Google streeft ernaar systemen te ontwerpen die: (i) alleen bevoegde personen toegang verlenen tot gegevens waarvoor hen toegang verleend is; en (ii) ervoor zorgen dat persoonsgegevens tijdens verwerking, gebruik en na registratie niet zonder toestemming gelezen, gekopieerd, gewijzigd of verwijderd kunnen worden. De systemen zijn ontworpen om alle ongeoorloofde toegang te detecteren. Google maakt gebruik van een gecentraliseerd systeem voor toegangscontrole om toegang van personeel tot productieservers te controleren, en verleent alleen toegang aan een beperkt aantal geautoriseerde medewerkers. LDAP, Kerberos en een eigen systeem dat gebruik maakt van SSH-certificaten zijn bedoeld om Google veilige en flexibele toegangsmechanismen te verschaffen. Deze mechanismen zijn ontworpen om alleen goedgekeurde toegangsrechten te verlenen aan website hosts, logs, gegevens en configuratiegegevens. Google vereist het gebruik van unieke ID's, sterke wachtwoorden, tweeledige verificatiemethoden en zorgvuldig gecontroleerde toegangslijsten om de kans op ongeoorloofd gebruik van accounts te minimaliseren.
De toekenning of wijziging van toegangsrechten is gebaseerd op: de functieverantwoordelijkheden van de geautoriseerde persoon; de functietaken die nodig zijn om de geautoriseerde taken uit te voeren; en op basis van “need-to-know”. De toekenning of wijziging van toegangsrechten moet tevens in overeenstemming zijn met het beleid van Google inzake interne gegevenstoegang en training. Goedkeuringen worden beheerd met hulpprogramma's voor workflows die controlerapporten van alle wijzigingen bijhouden. Toegang tot systemen wordt geregistreerd zodat in het geval van een verantwoordingsplicht een audittrail beschikbaar is. Indien wachtwoorden gebruikt worden voor verificatie (bv. inloggen op werkstations), is wachtwoordbeleid ingevoerd dat ten minste voldoet aan de standaardprocedures van de sector. Deze standaardprocedures omvatten beperkingen op hergebruik van wachtwoorden en voldoende sterke wachtwoorden.
3. Gegevens
(a) Opslag, isolatie en verificatie van gegevens.
Google slaat gegevens op in multi-cliënt omgevingen op servers die het eigendom zijn van Google. Gegevens, de database en de architectuur van het bestandssysteem worden tussen meerdere geografisch verspreide datacenters gerepliceerd. Google zorgt voor logische isolatie van de gegevens van elke klant. In alle Verwerkingsdiensten wordt gebruik gemaakt van een centraal verificatiesysteem om de uniformiteit van de gegevensbeveiliging te verbeteren.
(b) Afgedankte schijven en richtsnoeren voor schijfvernietiging..
Op bepaalde schrijven die gegevens bevatten kunnen zich prestatieproblemen, fouten of hardwarefouten voordoen waardoor ze afgedankt worden (“Afgedankte schijf”).
Elke Afgedankte schijf wordt onderworpen aan een reeks van processen voor gegevensvernietiging (de “Richtsnoeren voor gegevensvernietiging”) voordat de schijf de bedrijfslocatie van Google verlaat voor hergebruik of vernietiging. Afgedankte schijven worden gewist door middel van een uit meerdere stappen bestaand proces dat door minstens twee onafhankelijke validatoren als voltooid gevalideerd wordt. De wisresultaten worden ten behoeve van tracering geregistreerd met het serienummer van de schijf. Tenslotte wordt de gewiste Afgedankte schijven vrijgegeven aan voorraadbeheer voor hergebruik en herplaatsing. Indien de Afgedankte schijf door een hardwarefout niet gewist kan worden, wordt de schijf veilig opgeslagen totdat hij kan worden vernietigd. Elke faciliteit wordt regelmatig gecontroleerd op naleving van de Richtsnoeren voor gegevensvernietiging.
4. Beveiliging met betrekking tot het personeel
Personeel van Google dient zich te gedragen op een wijze die strookt met de richtsnoeren van het bedrijf met betrekking tot vertrouwelijkheid, bedrijfsethiek, passend gebruik en professionele normen. Google voert naar redelijkheid passende antecedentenonderzoeken uit, voor zover wettelijk toegestaan en overeenkomstig het toepasselijke lokale arbeidsrecht en wettelijke regelingen.
Personeel is verplicht een geheimhoudingsovereenkomst te ondertekenen, en moet ontvangst en naleving van Google's beleid inzake vertrouwelijkheid en privacy bevestigen. Personeel ontvangt veiligheidstrainingen. Personeel dat Persoonsgegevens van Klanten behandelt moet voldoen aan aanvullende, bij hun functie passende vereisten. Het personeel van Google verwerkt niet zonder toestemming Persoonsgegevens van Klanten.
5. Beveiliging met betrekking tot Subverwerkers
Voordat Subverwerkers te contracteren, voert Google een controle uit van het beleid inzake beveiliging en privacy van Subverwerkers, om ervoor te zorgen dat Subverwerkers een niveau van beveiliging en privacy bieden dat past bij hun toegang tot gegevens en de reikwijdte van de door hen uit te voeren diensten. Zodra Google het door de Subverwerker gevormde risico beoordeeld heeft, moet de Subverwerker, altijd behoudens de vereisten die
beschreven zijn in artikel 11.3 (Vereisten voor het inschakelen van Subverwerkers), akkoord gaan met passende contractuele voorwaarden voor beveiliging, vertrouwelijkheid en privacy.
Google Ads Voorwaarden voor gegevensverwerking, Versie 1.2 12 oktober 2017