Addendum gegevensbescherming

Van kracht vanaf 30 juni 2023

Om de eerdere versie van ons gegevensbeschermingsbeleid in te zien, klikt u hier.

Dit Addendum Gegevensbescherming verwijst naar en maakt integraal deel uit van de Servicevoorwaarden van NextRoll en eventuele Addenda met betrekking tot de Services tussen NextRoll, Inc. voor en namens zichzelf en NextRoll Limited ('NextRoll') en de Klant. Het addendum wordt van kracht zodra de Servicevoorwaardenworden geaccepteerd. 

Waar de toepasselijke wet op gegevensbescherming de persoonlijke gegevens beschermt die in het kader van deze Overeenkomst worden verwerkt, kunnen klanten dit Addendum Gegevensbescherming (waarin ook de modelcontractbepalingen zijn opgenomen) accepteren om: (i) hun persoonsgegevens te beschermen volgens de vereisten van de toepasselijke wet op gegevensbescherming; (ii) om te voldoen aan de toepasselijke wetten inzake gegevensbescherming waarvoor een overeenkomst met de gegevensverwerker of voor de procedures voor gegevensverwerking van derden is vereist met betrekking tot verwerkingen die namens de verwerkingsbeheerder worden uitgevoerd;en (iii) geschikte waarborgen te bieden met betrekking tot Beperkte overdrachten van persoonsgegevens buiten het Europese gebied.

De Partijen komen in dit Addendum Gegevensbescherming de voorwaarden overeen die van toepassing zijn op de verwerking van persoonsgegevens in het kader van de Overeenkomst.

1. DEFINITIES

Voor de toepassing van dit Addendum Gegevensbescherming hebben de hiernavolgende termen de volgende betekenis:

  • 'Zakelijk', 'consument', 'contractant', 'gegevensbeheerder', 'cross-context gedragsreclame', 'betrokkenen', 'persoonsgegevens', 'persoonlijkeinformatie', 'proces (verwerking)', 'verkoop' ( inclusief de termen 'verkoop', 'verkopen', 'verkocht' en variaties daarvan), serviceprovider' of 'derde partij' hebben de betekenis zoals voorzien in de toepasselijke wetgeving inzake gegevensbescherming.

  • 'CRM-data van de Klant' zijn alle leesbare (d.w.z. platte tekst, niet-gehashte) e-mailadressen, namen, titels, contact- en bestelgeschiedenis of andere CRM-data over Eindgebruikers die door de Klant worden geleverd en die verkregen zijn via integraties van derden met de Services, of die door NextRoll namens de Klant werden verkregen in het kader van de Services. Servicedata en Prestatierapporten vallen niet onder de CRM-data van de Klant, zoals gedefinieerd in de Servicevoorwaarden' van NextRoll.

  • 'Persoonsgegevens van de Klant' zijn de Persoonsgegevens die zijn opgenomen in de CRM-data van de Klant en de Servicedata;

  • 'Toepasselijke wetgeving inzake gegevensbescherming' betekent alle dan geldende toepasselijke wetten, regels en voorschriften met betrekking tot privacy, gegevensverwerking, -gebruik en -bescherming en vertrouwelijkheid, waaronder, zonder beperkingen van Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming) (de 'Europese AVG"); de Europese AVG zoals opgenomen in de Britse wet krachtens Rubriek 3 van het Akkoord inzake de terugtrekking van het Verenigd Koninkrijk uit de Europese Unie uit 2018 (de 'Britse AVG'); de Europese richtlijn betreffende privacy en elektronische communicatie (Richtlijn 2002/58/EC); de California Consumer Privacy Act van 2018, zoals gewijzigd, en alle in het kader daarvan uitgevaardigde voorschriften ('CCPA'); de Virginia Consumer Data Protection Act en aanverwante voorschriften ('VCDPA'); de Colorado Privacy Act and aanverwnte voorschriften ('CPA'); de Utah Consumer Privacy Act ('UCPA'); en de Connecticut’s Act Concerning Personal Data Privacy and Online Monitoring ('CTDPA'), en elke additionele van kracht zijnde Amerikaanse State of Federal Data Privacy Law (gezamelijk de 'US Data Privacy Laws').

  • 'Beperkte overdracht' betekent: (i) in gevallen waar de Europese AVG van toepassing is: de overdracht van persoonsgegevens van de Europese Economische Ruimte naar een land buiten de Europese Economische Ruimte dat geen passend beschermingsniveau heeft en waarvoor de Europese Commissie geen adequaatheidsbesluit heeft uitgegeven; en (ii) in gevallen waar de Britse AVG van toepassing is: de overdracht van persoonsgegevens van het Verenigd Koninkrijk naar een ander land dat geen passend beschermingsniveau heeft volgens Deel 17A van de Engelse Gegevensbeschermingswet uit 2018; en 

  • 'Servicedata' zijn data die door NextRoll zijn verzameld bij Eindgebruikers met behulp van Technologie op Websites van Klanten, waaronder van derden verkregen data tijdens het leveren van de Services. CRM-data van de Klant vallen niet onder de Servicedata. Indien de Klant zich aanmeldt voor Services voor meerdere apparaten of gebruik maakt van de ABM-Services van RollWorks en daarmee toestemming verleent aan NextRoll om de e-mailadressen van Eindgebruikers van Websites van Klanten te hashen, worden zulke gehashte e-mailadressen van Eindgebruikers beschouwd als Servicedata (Zoals gedefinieerd in de Servicevoorwaarden die de overeenkomst tussen de partijen regelen).

  • Met 'Modelcontractbepalingen' wordt bedoeld: (i) waar de Europese AVG van toepassing is: de contractbepalingen die in bijlage aan het uitvoeringsbesluit van de Europese Commissie van 2021/914 van 4 juni 2021 over modelcontractbepalingen inzake de overdracht van persoonsgegevens naar derde landen zijn toegevoegd krachtens Europese Verordening 2016/679 van het Europees Parlement en de Raad ('de Europese modelcontractbepalingen'); en (ii) waar de Britse AVG van toepassing is: het United Kingdom Information Commissioner’s International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, versie B1.0, dat van kracht is vanaf 21 maart 2022 ('de Britse modelcontractbepalingen').

Enige andere termen met een hoofdletter die niet nader in dit Addendum Gegevensbescherming zijn gedefinieerd hebben de betekenis zoals die in de Overeenkomst is bepaald.

2. RELATIE TUSSEN DE PARTIJEN

Indien de Klant de 'Gegevensbeheerder' is op grond van de toepasselijke wetgeving inzake gegevensbescherming, stelt de Klant, NextRoll aan als verwerker van de CRM-data van de Klant, zoals beschreven in Bijlage I.

Indien de Klant een 'bedrijf' is onder de Toepasselijke Wetgeving inzake Gegevensbescherming, stelt de Klant diens CRM-gegevens beschikbaar aan NextRoll om cross-context gedragsreclame aan de Klant te leveren en is NextRoll een Derde Partij krachtens de Toepasselijke Wetgeving inzake Gegevensbescherming aangezien cross-context gedragsreclame daarin niet wordt beschouwd als een toegestaan zakelijk doel voor een contractant of dienstverlener.

Elke partij is een verwerkingsverantwoordelijke met betrekking tot de gegevens waaruit de Servicedata bestaan, voor zover deze Servicedata onder haar respectieve bewaring of controle vallen, met dien verstande dat het voorgaande niet bedoeld is voor het wijzigen, aanpassen of beperken van (a) de verplichtingen van een van beide partijen met betrekking tot kennisgevingen, machtigingen en toestemmingen in verband met deze Servicedata, zoals verder kan worden uiteengezet in de Servicevoorwaarden, (b) het recht op toegang tot, gebruik van, eigendom van of wijziging van dergelijke Servicedata, zoals eveneens kan worden uiteengezet in de Servicevoorwaarden, of (c) de verplichtingen inzake gezamenlijke verwerkingsverantwoordelijkheid die bij wet kunnen worden opgelegd, zoals met betrekking tot het verkrijgen van toestemming in het kader van de Toepasselijke wetgeving inzake gegevensbescherming.

3. VERBODEN GEGEVENS

De Klant zal geen persoonsgegevens uit bijzondere categorieën (zoals gedefinieerd in de Toepasselijke wetgeving inzake gegevensbescherming) aan NextRoll doorgeven en hen vragen deze te verwerken.

4. DOELBINDING

NextRoll verwerkt de CRM-data van de Klant in de rol van verwerker voor de doeleinden beschreven in Bijlage 1 om de verplichtingen in het kader van de Overeenkomst uit te voeren (in overeenstemming met de Toepasselijke wetgeving inzake gegevensbescherming) en houdt zich daarbij strikt aan de gedocumenteerde instructies van de Klant (het 'Toegestane doel'), tenzij anders vereist door wetten die niet strijdig zijn met de Toepasselijke wetgeving inzake gegevensbescherming. NextRoll verwerkt in geen enkel geval de CRM-data van de Klant voor zijn eigen doeleinden of die van een derde partij. NextRoll stelt de Klant onmiddellijk op de hoogte wanneer die zich ervan bewust wordt dat de verwerkingsinstructies van de Klant in strijd zijn met de Toepasselijke wetgeving inzake gegevensbescherming.

5. BEPERKTE DOORGIFTE

5.1. De partijen komen overeen dat, wanneer het bij de doorgifte van Persoonsgegevens van de Klant naar NextRoll om een Beperkte doorgifte gaat, deze doorgifte onderworpen is aan de passende Modelcontractbepalingen zoals in Bepaling 5 wordt uiteengezet.

5.2. Met betrekking tot Servicedata die door de Europese AVG worden beschermd, zijn de Europese modelcontractbepalingen van toepassing, die het volgende moeten bevatten:

  • Module één is van toepassing;

  • in Bepaling 7 is de optionele laadbepaling van toepassing;

  • in Bepaling 17 is Optie 1 van toepassing, en de Europese modelcontractbepalingen vallen onder de Ierse wetgeving;

  • in Bepaling 18(b) worden geschillen door een Ierse rechtbank opgelost;

  • Bijlage I van de Europese modelcontractbepalingen worden geacht te zijn opgesteld met de informatie zoals uiteengezet in Bijlage I van dit Addendum Gegevensbescherming; en

  • Bijlage II van de Europese modelcontractbepalingen wordt geacht te zijn opgesteld met de informatie zoals uiteengezet in Bijlage II van dit Addendum Gegevensbescherming.

5.3. Met betrekking tot CRM-data van de Klant die door de Europese AVG worden beschermd, zijn de Europese modelcontractbepalingen van toepassing, die het volgende moeten bevatten:

  • Module twee is van toepassing;

  • in Bepaling 7 is de optionele laadbepaling van toepassing;

  • in Bepaling 9 is Optie 2 van toepassing en de tijdsperiode waarin voorafgaande kennisgeving van wijziging van subverwerker moet worden opgegeven, is zoals vermeld in Bepaling 8.3 van dit Addendum Gegevensbescherming;

  • in Bepaling 11 is de optionele taal niet van toepassing;

  • in Bepaling 17 is Optie 1 van toepassing, en de Europese modelcontractbepalingen vallen onder de Ierse wetgeving;

  • in Bepaling 18(b) worden geschillen door een Ierse rechtbank opgelost;

  • Bijlage I van de Europese modelcontractbepalingen worden geacht te zijn opgesteld met de informatie zoals uiteengezet in Bijlage I van dit Addendum Gegevensbescherming; en

  • Bijlage II van de Europese modelcontractbepalingen wordt geacht te zijn opgesteld met de informatie zoals uiteengezet in Bijlage II van dit Addendum Gegevensbescherming.

5.4. In verband met CRM-data van de Klant en Servicedata die door de AVG in het VK worden beschermd, zijn de Engelse modelcontractbepalingen van toepassing en worden deze geacht te worden uitgevoerd tussen de Klant en NextRoll, waarbij de Tabellen in de Engelse modelcontractbepalingen als volgt worden ingevuld:

  • Tabel 1: de Partijen zijn de Partijen zoals vermeld in bijlage I.A bij dit Addendum Gegevensbescherming, en gelieerde ondernemingen die bij een dergelijke doorgifte betrokken zijn. De Primaire Contactpersoon voor elke Partij is de contactpersoon die wordt genoemd in bijlage I.A bij dit Addendum Gegevensbescherming.

  • Tabel 2: De goedgekeurde EU-modelcontractbepalingen waarnaar in tabel 2 wordt verwezen, zijn de Europese modelcontractbepalingen, die zijn ingevuld zoals hierboven uiteengezet in Bepaling 5.2 (voor overdrachten met betrekking tot Servicedata) of 5.3 (voor overdrachten met CRM-data van de Klant) van dit Addendum Gegevensbescherming, afhankelijk van het type gegevens dat wordt overgedragen.

  • Tabel 3: De bijlagen IA, IB en II zijn opgenomen in de bijlagen I en II bij dit Addendum Gegevensbescherming. Bijlage III is niet van toepassing.

  • Tabel 4: NextRoll kan de Engelse modelcontractbepalingen beëindigen zoals uiteengezet in artikel 19 van de Engelse modelcontractbepalingen.

5.5. Mocht een bepaling van dit Addendum Gegevensbescherming of de Overeenkomst zowel direct als indirect strijdig zijn met de modelcontractbepalingen, dan prevaleren in dat geval de modelcontractbepalingen.

6. VERTROUWELIJKHEID VAN DE VERWERKING

NextRoll zorgt ervoor dat elke persoon die het de bevoegdheid geeft om Persoonsgegevens van de klant te verwerken (inclusief het personeel, de vertegenwoordigers en subverwerkers van NextRoll) (een 'Bevoegd persoon') onderworpen is aan een strikte vertrouwelijkheidsplicht (of dit nu een contractuele of wettelijke plicht is) en geen andere personen toestaat om de Persoonsgegevens te verwerken die niet aan een dergelijke vertrouwelijkheidsplicht onderworpen zijn. NextRoll zorgt ervoor dat alle Bevoegde personen de Persoonsgegevens van de klant alleen voor het bedoelde Toegestane doel verwerken.

7. VEILIGHEID

NextRoll neemt passende technische en organisatorische maatregelen om de Persoonsgegevens van de klant te beschermen tegen incidentele of onrechtmatige vernietiging, verlies, wijziging of ongeoorloofde openbaarmaking of toegang (een 'Beveiligingsincident'). Deze maatregelen moeten niet alleen rekening houden met de stand van zaken, implementatiekosten en de aard, omvang, context en doeleinden van de verwerking maar ook met het risico in verband met verschillende mates van waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.

Dergelijke maatregelen omvatten minimaal de in Bijlage II vermelde maatregelen.

8. SUBVERWERKING

8.1. Deze Bepaling 8 is alleen van toepassing op de verwerking van de CRM-data van de Klant door NextRoll en niet op de verwerking van Servicedata door NextRoll.

8.2. De Klant stemt in met het gebruik door NextRoll van de subverwerkers vermeld op de URL https://www.nextroll.com/terms/data-protection/subprocessors ('Subverwerkerspagina') om de CRM-data van de klant te verwerken.

8.3. De Klant stemt ermee in dat NextRoll extra of vervangende derde subverwerkers inhuurt om de CRM-data van de Klant te verwerken, op voorwaarde dat: (i) NextRoll zijn Subverwerkerspagina ten minste 14 dagen voor de aanstelling of wijziging van een subverwerker bijwerkt met details over een dergelijke voorgestelde wijziging of vervanging (de Klant kan zich aanmelden voor de RSS-feed voor de Subverwerkerspagina zodat deze automatisch op de hoogte wordt gehouden van eventuele wijzigingen); (ii) NextRoll legt gegevensbeschermingsvoorwaarden ter bescherming van de CRM-data van de Klant op aan alle of enige subverwerkers die het aanstelt. Deze voorwaarden moeten substantieel zijn en aan dezelfde normen voldoen als de voorwaarden bepaald in dit Addendum Gegevensbescherming; en (iii) NextRoll blijft volledig aansprakelijk voor elke overtreding van deze bepaling veroorzaakt door een handeling, fout of nalatigheid van diens subverwerker.

8.3. Als de Klant bezwaar maakt tegen het inhuren door NextRoll van een extra of vervangende subverwerker en dit op redelijke gronden doet met betrekking tot de bescherming van de CRM-data van de Klant, dan kan ofwel NextRoll ervoor kiezen om de subverwerker niet aan te stellen of, als dit niet mogelijk is, de Klant ervoor kiezen om de betrokken Service op te schorten of beëindigen (onverminderd de kosten die de Klant voor opschorting of beëindiging van die Service heeft opgelopen).

9. HULP AAN DE KLANT

9.1. NextRoll zal de Klant helpen te voldoen aan de verplichtingen van de Klant op grond van de Toepasselijke wetgeving inzake gegevensbescherming, voor zover vereist door deze Toepasselijke wetgeving inzake gegevensbescherming.

9.2. Als NextRoll van mening is of zich ervan bewust wordt dat de gegevensbeschermingsrechten en -vrijheden van betrokkenen door de verwerking van de CRM-data van de Klant naar grote waarschijnlijkheid in gevaar worden gebracht, dan stelt NextRoll de Klant hiervan tijdig op de hoogte en biedt NextRoll de Klant alle redelijke en tijdige hulp die de Klant nodig kan hebben om een gegevensbeschermingseffectbeoordeling uit te voeren in overeenstemming met de Toepasselijke wetgeving inzake gegevensbescherming, inclusief, indien nodig, hulp bij het inwinnen van advies bij de relevante gegevensbeschermingsautoriteit.

9.3. Verzoeken van betrokkenen.

  • Met betrekking tot de CRM-data van de Klant biedt NextRoll alle redelijke en tijdige hulp aan de Klant om de Klant in staat te stellen te reageren op: (i) verzoeken van betrokkenen om hun rechten uit te oefenen uit hoofde van de Toepasselijke wetgeving inzake gegevensbescherming (inclusief diens recht op toegang, rectificatie, bezwaar, gegevenswissing en gegevensportabiliteit, waar van toepassing) in verband met de CRM-data van de Klant; en (ii) enige andere door een betrokkene, wetgever of andere derde verstuurde correspondentie, verzoek om inlichtingen of klacht in verband met de verwerking van de CRM-data van de Klant. In het geval dat dergelijke verzoeken, correspondentie, vragen of klachten direct aan NextRoll gericht zijn, stelt NextRoll de Klant hiervan tijdig en volledig op de hoogte.

  • Met betrekking tot Servicedata zal NextRoll reageren op verzoeken van betrokkenen zoals bepaald in de Toepasselijke wetgeving inzake gegevensbescherming, en waar relevant zal de Klant NextRoll bijstaan in verband met een dergelijke reactie.

10. BEVEILIGINGSINCIDENTEN

Na kennis te hebben genomen van een bevestigd Beveiligingsincident, stelt NextRoll de Klant hiervan onverwijld op de hoogte en biedt deze de Klant alle tijdige informatie en medewerking die hij nodig heeft om aan zijn rapporteringsverplichtingen inzake gegevensinbreuken volgens (en binnen de termijnen zoals vereist door) de Toepasselijke gegevensbeschermingswet te voldoen. Vervolgens neemt NextRoll alle nodige maatregelen en acties om de gevolgen van een bevestigd Beveiligingsincident te verhelpen of te beperken, en houdt NextRoll de Klant op de hoogte van alle ontwikkelingen in verband met het bevestigde Beveiligingsincident.

11. VERWIJDERING OF RETOURNEREN VAN GEGEVENS

Na beëindiging of afloop van de Overeenkomst vernietigt NextRoll alle CRM-data van de Klant (inclusief alle kopieën van de CRM-data van de Klant) in zijn bezit of beheer (inclusief alle CRM-data van de Klant die voor verwerking aan derden zijn uitbesteed) wanneer de Klant hierom verzoekt of in overeenstemming met het retentiebeleid voor gegevens van NextRoll zoals uiteengezet op https://www.nextroll.com/privacy. Deze vereiste is niet van toepassing wanneer NextRoll op grond van de toepasselijke wetgeving verplicht is om sommige of alle CRM-data van de Klant te bewaren, in welk geval NextRoll de CRM-data van de Klant isoleert en ervoor zorgt dat deze niet verder verwerkt worden, behalve voor zover de gegevens door de wet bewaard moeten worden totdat verwijdering mogelijk is.

NextRoll kan Servicedata bewaren in overeenstemming met het retentie- en verwijderingsbeleid.

12. AUDIT

12.1. Met betrekking tot de verwerking van Servicedata door NextRoll zal NextRoll op verzoek aan de Klant documentatie ter beschikking stellen waaruit blijkt dat NextRoll voldoet aan dit Addendum Gegevensbescherming en/of de Toepasselijke wetgeving inzake gegevensbescherming.

12.2. Met betrekking tot de verwerking door NextRoll van CRM-data van de Klant staat NextRoll de Klant (of een door hem aangestelde derde auditor) toe om de naleving door NextRoll van dit Addendum gegevensbescherming te controleren en alle informatie, systemen en personeel beschikbaar te stellen die de Klant (of zijn externe auditors) nodig heeft om deze audit uit te voeren. NextRoll erkent dat de Klant (of zijn externe auditors) de bedrijfspanden die eigendom zijn van of beheerd worden door NextRoll mag/mogen betreden om deze audit uit te voeren, op voorwaarde dat de Klant een redelijke voorafgaande kennisgeving geeft aan NextRoll van zijn intentie om een audit uit te voeren, deze audit binnen kantooruren uitvoert en alle redelijke maatregelen neemt om onnodige verstoring van de bedrijfsactiviteiten van NextRoll te voorkomen. De Klant oefent zijn recht om een audit uit te voeren (waaronder ook het indienen van schriftelijke auditvragen bij NextRoll valt) niet vaker dan eenmaal per twaalf (12) maanden uit, behalve (i) wanneer hiertoe geïnstrueerd door een bevoegde gegevensbeschermingsautoriteit; of (ii) als de Klant van mening is dat een verdere audit noodzakelijk is vanwege een bevestigd Beveiligingsincident dat bij NextRoll heeft plaatsgevonden. De Klant is geheel verantwoordelijk voor de kosten van een dergelijke audit, en NextRoll mag de Klant kosten in rekening brengen voor de ondersteuning die het de Klant geleverd heeft in verband met de audit, tegen het op dat moment geldende dagtarief voor dergelijke professionele services.

12.3. De Klant erkent dat NextRoll regelmatig door onafhankelijke externe auditors gecontroleerd wordt op SOC2-normen. Op verzoek van de Klant verstrekt NextRoll een samenvatting van het/de auditrapport(en) waarbij geldt dat deze rapporten onderworpen zijn aan de vertrouwelijkheidsbepalingen opgenomen in de Overeenkomst.

12.4. De Klant stemt ermee in dat, als en voor zover deze ervoor kiest om een audit met betrekking tot de verwerking door NextRoll van de CRM-data van de Klant krachtens Bepaling 8.9 van Module 2 van de modelcontractbepalingen uit te voeren, deze audit wordt uitgevoerd volgens de vereisten van deze Bepaling 12.2 - 12.4.

13. NALEVING VAN DE TOEPASSELIJKE WETGEVING

13.1. NextRoll handelt conform alle toepasselijke wetgevingen omtrent gegevensbescherming, waaronder maar niet beperkt tot, het verschaffen van hetzelfde niveau van privacybescherming voor CRM-gegevens van klanten, zoals vereist voor bedrijven krachtens de Amerikaanse wetgeving inzake gegevensbescherming.

13.2. De Klant verzekert vervolgens om wettelijk gezien voldoende te zijn geïnformeerd over de wijze waarop de Servicedata worden verzameld, gebruikt en aan NextRoll worden verstrekt.

14. GARANTIES, HERSTELMAATREGELEN EN KENNISGEVINGEN

14.1. De Klant behoudt het recht om redelijke en passende stappen te ondernemen om te waarborgen dat NextRoll de CRM-gegevens van de Klant gebruikt in overeenstemming met diens verplichtingen krachtens de Toepasselijke Wetgeving inzake Gegevensbescherming.

14.2. De Klant behoudt het recht om, na kennisgeving, redelijke en passende stappen te ondernemen om ongeautoriseerd gebruik van aan NextRoll ter beschikking gestelde CRM-data te beëindigen en te remediëren.

14.3. NextRoll zal de Klant inlichten wanneer wordt vastgesteld dat de verplichtingen onder de Toepasselijke Wetgeving inzake Gegevensbescherming niet langer kunnen worden nagekomen.

BIJLAGE I

BESCHRIJVING VAN DE GEGEVENSVERWERKING

Deze Bijlage I maakt deel uit van het Addendum Gegevensbescherming en beschrijft de verwerkingsactiviteiten die NextRoll namens de Klant uitvoert.

A. Lijst van partijen

Klant(en) / Gegevensexporteur(s):

Naam:
De Klant die de Overeenkomst met NextRoll is aangegaan.
Adres:
Het adres dat de Klant heeft opgegeven toen hij zich voor het digitale marketingplatform van NextRoll registreerde.
Naam contactpersoon, functie en contactgegevens:
De contactgegevens die de Klant heeft verstrekt toen hij zich voor het digitale marketingplatform van NextRoll registreerde.
Relevante activiteiten voor de op grond van deze Bepalingen doorgegeven gegevens:
De ontvangst van digitale marketingservices die overeenkomstig de Overeenkomst door NextRoll geleverd worden.
Handtekening en datum:
Dit Addendum Gegevensbescherming (met inbegrip van modelcontractbepalingen) wordt geacht te worden uitgevoerd zodra de Klant de Overeenkomst heeft aanvaard.
Rol (gegevensverantwoordelijke / verwerker):
Gegevensbeheerder of bedrijf (voor CRM-data van de Klant)
Gegevensbeheerder of bedrijf (voor Servicedata)

NextRoll / Gegevensimporteur(s):

Naam:
NextRoll, Inc.
Adres:
2300 Harrison Street, FL 2, San Francisco, CA 94110, USA
Naam contactpersoon, functie en contactgegevens:
Privacyteam van NextRoll: privacy@nextroll.com
Relevante activiteiten voor de op grond van deze Bepalingen doorgegeven gegevens:
De levering van digitale marketingservices aan de Klant conform de Overeenkomst.
Handtekening en datum:
Dit Addendum Gegevensbescherming (met inbegrip van modelcontractbepalingen) wordt geacht te worden uitgevoerd zodra de Klant de Overeenkomst heeft aanvaard.
Rol (gegevensverantwoordelijke / verwerker):
Verwerker of derde partij (voor CRM-data van de klant)
Verwerkingsverantwoordelijke (voor Servicedata)

В. Beschrijving van doorgifte

Categorieën betrokkenen waarvan persoonsgegevens worden doorgegeven:
  • Betrokkenen die potentiële en bestaande klanten zijn van de Klant ('Betrokkenen Klant')
  • Betrokkenen die als werknemer voor de Klant werken ('Betrokkenen Werknemer')
  • Betrokkenen die websites van de Klant bekijken waarop een pixel van Nextroll is geplaatst ('Eindgebruikers van de Klant')
Categorieën doorgegeven persoonsgegevens
  • CRM-data van de Klant: contactgegevens en eventuele andere gerelateerde gegevens (bijv. e-mailadres, naam, adres, telefoonnummer, bedrijfsnaam en functietitel) over Eindgebruikers die door de Klant (als gegevensexporteur) aan NextRoll (als gegevensimporteur) zijn verstrekt, en die werden verkregen via integraties van derden met de Services die de Klant toestaat, of die door NextRoll namens de Klant werden verkregen in het kader van de Services.
  • Gegevens van werknemers van de klant: het e-mailadres en IP-adres van werknemers van de klant worden overgedragen indien en wanneer een werknemer zich aanmeldt bij het dashboard van het digitale marketingplatform van NextRoll.
  • Data van eindgebruikers: informatie over apparaten en surfgedrag op de websites van de Klant die zijn verzameld via de pixel van NextRoll (bijv. cookies, apparaatinformatie, IP-adres, niet-exacte locatiegegevens, browsergegevens, advertentiepixelgegevens) en, indien toegestaan door de Klant, gehashte e-mailadressen die worden ingevoerd door de Eindgebruikers op de website van de Klant (gezamelijk de 'Servicedata').
Doorgifte van gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of waarborgen die volledig rekening houden met de aard van de gegevens en de bijbehorende risico's, zoals bijvoorbeeld strikte doelbinding, toegangsrestricties (inclusief exclusieve toegang voor gespecialiseerd, getraind personeel), een register waarin toegang tot de gegevens wordt bijgehouden, restricties voor verdere doorgiftes of aanvullende beveiligingsmaatregelen:
  • Geen.
De frequentie van de doorgifte (bijv. of de gegevens op eenmalige of continue basis worden doorgegeven):
  • Op continue basis voor de duur van de Overeenkomst.
Aard van de verwerking:
  • De levering van digitale marketingservices conform de Overeenkomst.
Specifiek(e) en beperkt(e) doel(en) van de gegevensoverdracht en verdere verwerking:

De digitale marketingservices die door NextRoll worden geleverd omvatten de verwerking van CRM-data van de Klant namens de Klant voor de volgende doeleinden:

  • Het verzenden van e-mails aan de betrokkenen op verzoek van de Klant.
  • Het afstemmen van de persoonsgegevens van aan de Klant gerelateerde personen (gehashte e-mails) op de Servicedata van NextRoll en online gegevens van derde adverteerders om aan de klant gerelateerde personen te herkennen wanneer zij de websites van derde uitgevers bezoeken om namens de Klant een bod op gerichte advertenties te doen en deze te plaatsen, en om de CRM-gegevens van de Klant aan te vullen met identificeerbaar surfgedrag op sites van de Klant en interacties in het kader van direct marketing van de Klant, indien deze daarvoor toestemming heeft op grond van de toepasselijke wetgeving inzake gegevensbescherming.
  • Het meten van de prestaties van e-mail- en online reclamecampagnes die aan de Betrokkenen van de Klant worden geleverd om de Klant van informatie te voorzien.
  • Het gebruik van e-mails die door Werknemers van Klanten worden gebruikt als inloggegevens om toegang te krijgen tot het dashboard van het digitale marketingplatform van NextRoll.
  • De registratie van het IP-adres van werknemers van de klant wanneer zij inloggen op het dashboard van het digitale marketingplatform van NextRoll.

De door NextRoll geleverde digitale marketingdiensten, waarbij zowel NextRoll als de Klant gegevensbeheerders zijn, omvatten de verwerking van Servicedata, voor zover dit onder de respectievelijke verantwoordelijkheid of controle van de Klant of NextRoll valt.

Servicedata kunnen worden verwerkt in de hoedanigheid van NextRoll als verwerkingsverantwoordelijke om de services aan alle klanten te leveren en deze te verbeteren, waaronder voor advertentietargeting, rapportage, metingen, analyses, inzichten, het opstellen van prestatierapporten voor klanten en advertentiekeuze.

De in de Servicedata opgenomen IP-adressen worden verwerkt om het juiste aan het IP-adres gekoppelde of toegewezen bedrijf of domein te identificeren en de dienstverlening voor alle klanten te verbeteren.

Indien in de Servicedata gehashte e-mailadressen zijn opgenomen, worden deze gecombineerd met cookie-id's om aan de klant gerelateerde personen te herkennen wanneer zij de websites van derde uitgevers bezoeken om namens de Klant een bod op gerichte advertenties te doen en deze te plaatsen, en om de CRM-gegevens van de Klant aan te vullen met identificeerbaar surfgedrag op sites van de Klant en interacties in het kader van direct marketing van de Klant, indien deze daarvoor toestemming heeft op grond van de toepasselijke wetgeving inzake gegevensbescherming.

Servicedata worden niet ter beschikking gesteld of geopenbaard aan derden of Klanten, uitgezonderd wanneer een dergelijke partij (i) een subcontractant is die Servicedata verwerkt ter voorkoming van fraude of voor de opsporing van technische bugs; of (ii) een onafhankelijke medebeheerder is van cookie-ID's die worden gebruikt voor cookie-matching om online of in-app-advertenties te kunnen aanbieden via de leveranciers van NextRoll-advertenties.

De periode waarin de persoonsgegevens bewaard moet worden, of, als dat niet mogelijk is, de criteria die gebruikt zijn om die periode te bepalen:
  • Als de Klant of NextRoll de NextRoll-services expliciet beëindigt in overeenstemming met de Overeenkomst, verwijdert NextRoll de CRM-data van de Klant binnen 90 dagen na de beëindigingsdatum.
  • Als het account van een Klant 90 dagen of langer opgeschort is, worden de CRM-data van de Klant verwijderd.
  • Als een Klant in de afgelopen 365 dagen niet heeft ingelogd op zijn of haar NextRoll-account en er geen product is gebruikt in de afgelopen 30 dagen en er geen media-uitgaven zijn geweest in de afgelopen 30 dagen, worden de CRM-data van de Klant verwijderd wanneer de 366e dag zonder inlogactiviteit voor het account plaatsvindt.
  • Als gegevensbeheerder voor Servicedata kan NextRoll Servicedata bewaren in overeenstemming met het retentiebeleid zoals voorzien in  Rubriek 9 van de Privacyverklaring van NextRoll.
Vermeld bij doorgiftes aan (sub-)verwerkers ook het onderwerp, de aard en duur van de verwerking:
Het onderwerp, de aard en duur van de verwerking zijn zoals hierboven en in de Overeenkomst vermeld.

C. Bevoegde toezichthoudende autoriteit

Identificeer de bevoegde toezichthoudende autoriteit(en) (bijv. in overeenstemming met Bepaling 13 van de modelcontractbepalingen)
De bevoegde toezichthoudende autoriteit wordt bepaald in overeenstemming met Bepaling 13 van de modelcontractbepalingen.

BIJLAGE II

TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN

Beschrijving van de technische en organisatorische maatregelen die door de verwerker(s) / gegevensimporteur(s) zijn genomen (inclusief relevante certificeringen) om een passend beschermingsniveau te waarborgen, rekening houdend met de aard, omvang, context en het doel van de verwerking, en de risico's in verband met de rechten en vrijheden van de natuurlijke personen.

 
Meet
Beschrijving
1
Maatregelen om persoonsgegevens te pseudonimiseren en coderen

NextRoll probeert tijdens het ontwerpproces de verzameling en het gebruik van Persoonsgegevens van de klant zoveel mogelijk te minimaliseren.

Als er Persoonsgegevens van de klant worden gebruikt, dan worden die gepseudonimiseerd met behulp van aggregatie, deïdentificatie of hashing, tenzij de ruwe gegevens vereist zijn voor een rechtmatig zakelijk doeleind. Als daar actuele gegevens voor vereist zijn, worden deze gecodeerd met behulp van moderne encryptienormen.

2
Maatregelen die voor voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkrachtigheid van de verwerkings-systemen en -services zorgen.
Zie item 4 hieronder.
3
Maatregelen die ervoor zorgen dat de beschikbaarheid en toegang tot persoonsgegevens tijdig hersteld kunnen worden bij eventuele fysieke of technische incidenten.

De systemen van NextRoll zijn zo ontworpen dat ze een hoge beschikbaarheid hebben en kunnen profiteren van schaalbare en gedistribueerde architecturen die in meerdere geografische locaties geïmplementeerd zijn.

NextRoll biedt continue systeembewaking en een operationeel centrum dat 24/7 open is om operationele problemen op te lossen.

NextRoll heeft noodherstelplannen opgesteld en test deze regelmatig. Deze plannen omvatten specifieke informatie over de manier waarop services hersteld kunnen worden en bevatten specifieke herstelpunt- en tijdsdoelstellingen, alsmede specifieke respons- en rapporteringsprocessen voor incidenten waarbij persoonsgegevens betrokken zijn.

4
Processen voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.

NextRoll voert jaarlijks een SOC 2 Type 2-audit uit.

NextRoll onderhoudt een continu nalevingsprogramma waarbij veiligheidscontroles en -processen automatisch worden gemonitord en afwijkingen gemeld worden om te worden opgelost en hersteld.

Daarnaast voert NextRoll kwetsbaarheidsscans uit, onderhoudt het een voortdurende klopjacht op bugs en laat het om de zes maanden een penetratietest uitvoeren door een derde partij. Technologieën zoals cloud security posture management (CSPM) en assetmanagement (CMDB) voeren voortdurend assetdetectie uit, beoordelen de toestand van assets en geven prioriteit aan de bevindingen op basis van het risico dat zij vormen.

5
Maatregelen om gebruikers te identificeren en autoriseren

NextRoll onderhoudt een centrale authenticatie- en autorisatieservice voor de AdRoll- en RollWorks-toepassingen. Deze service ondersteunt eenmalige aanmelding (SSO) en multifactorauthenticatie (MFA). Toegangscontroles worden afgedwongen op basis van de rol die de gebruiker in het applicatiedomein is toegewezen.

Voor de zakelijke toepassingen van NextRoll zoals o.a. externe toegang, gebruikt NextRoll een externe SaaS SSO-oplossing waarvoor alle NextRoll-gebruikers zich verplicht via MFA moeten aanmelden. Er zijn ook op rollen gebaseerde toegangscontroles (RBAC) van kracht.

6
Maatregelen voor de bescherming van gegevens tijdens doorgifte
Alle verbindingen via openbare netwerken naar de klantgerichte services van NextRoll worden gecodeerd aan de hand van TLS 1.2 of hoger met een goedgekeurde set cryptografische algoritmen. CSPM-technologie maakt continue bewaking van de handhaving mogelijk en meldt eventuele afwijkingen.
7
Maatregelen voor de bescherming van gegevens tijdens opslag
Persoonsgegevens van de klant worden gecodeerd met behulp van moderne encryptienormen zoals bepaald door de cryptografische normen van NextRoll. CSPM-technologie maakt continue bewaking van de handhaving mogelijk en meldt eventuele afwijkingen. Toegang tot de datastores is op rollen gebaseerd en beperkt tot goedgekeurde usecases en wordt regelmatig beoordeeld.
8
Maatregelen die de fysieke beveiliging waarborgen van de locaties waarop persoonsgegevens worden verwerkt
De gegevensverwerking van NextRoll wordt gehost door AWS. De fysieke beveiliging maakt deel uit van deze service door die leverancier.
9
Maatregelen die ervoor zorgen dat gebeurtenissen geregistreerd worden

De toepassingen, systemen en netwerkservices van NextRoll leggen gedetailleerde logboeken vast, inclusief maar niet beperkt tot: geslaagde en mislukte logins, aanmaken van gebruikers, wijzigingen van rechten, gegevenstoegang, frauduleuze transacties en hackpogingen.

Gebeurtenissen worden doorgestuurd naar een centrale opslagplaats waar alleen op geschreven kan worden en worden vervolgens geanalyseerd om potentiële beveiligingsproblemen te identificeren. De oplossing voor beveiligingsinformatie en gebeurtenisbeheer (SIEM) normaliseert de logboeken en past er bedreigingsinformatie op toe om gecompromitteerde systemen te detecteren (indicators of compromise, IoC).

NextRoll onderhoudt een aantal beveiligingsproducten die specifieke beveiligingswaarschuwingen uitgeven op basis van voorwaardelijke en anomaliedetectieregels. Deze worden voortdurend door de leveranciers zelf bijgewerkt, aangevuld met intern ontwikkelde regels.

10
Maatregelen die ervoor zorgen dat de systeemconfiguratie intact blijft, inclusief standaardconfiguratie.

NextRoll slaat standaard systeemconfiguraties op en voert ze uit. Deze afbeeldingen worden gescand met tools die vaststellen dat de systemen geconfigureerd zijn aan de hand van aanbevolen beste methoden en geen ernstige kwetsbaarheden bevatten.

Er is de mogelijkheid tot bestandsintegriteitsbewaking (FIM) en wijzigingen kunnen aan de CSPM gemeld worden. Samen met de CMDB-oplossing is NextRoll in staat om afwijkingen van standaardconfiguraties te detecteren.

11
Maatregelen voor interne IT en IT-beveiligingsgovernance en -beheer

NextRoll heeft een holistisch beveiligingsprogramma dat de risico's beheert veroorzaakt door gebruikers, gegevens, systemen en leveranciers gedurende de hele levenscyclus. Dit omvat de volgende maatregelen:

  • Gebruikers worden aangemaakt met de passende rechten voor hun rol, moeten vertrouwelijkheidsovereenkomsten ondertekenen en worden getraind in beveiligings- en privacybeleid en beste methoden. Gebruikerstoegang is gekoppeld aan arbeidsstatus zodat accounts en rechten automatisch worden ingetrokken wanneer de gebruiker zijn functie verlaat.
  • Gebruikers moeten MFA en veilige externe toegangstechnologieën gebruiken om toegang te krijgen tot middelen met een Zero Trust-benadering.
  • Apparaten hebben standaard bedieningselementen en builds.
  • Apparaten worden beschermd tegen malware door een centraal beheerde bedrijfsoplossing die in de continue beveiligingsbewakingsmogelijkheden is ingebouwd.
  • Niet-zakelijke apparaten (eigen apparaten, BYOD) hebben voorwaardelijke toegang tot resources op basis van zero trust-architectuur, afhankelijk van hun risicoscore en de minimale risicoscore die zij nodig hebben om toegang tot middelen te krijgen.
  • Leveranciers worden gescreend om te verzekeren dat zij geen onacceptabele risico's veroorzaken.
  • Er wordt een beveiligingsnorm voor bedrijfseindpunten gehandhaafd die de minimale versie van kritieke software vaststelt. Systemen worden regelmatig bijgewerkt.
  • Machtigingen worden regelmatig gecontroleerd en verwijderd.
  • Systemen worden aan het einde van hun levensduur gewist.
12
Maatregelen voor certificering/controle van processen en producten

NextRoll baseert zijn beveiligingsprogramma op NIST CSF en gebruikt dit om de status van processen en systemen aan de beveiligings- en nalevingscommissie te rapporteren.

NextRoll controleert zijn eigen processen en producten en laat daarnaast jaarlijks een SOC 2 Type 2-audit uitvoeren door een externe auditor.

CSPM- en CMDB-technologieën bieden ook benchmarks op basis van beste methoden en erkende beveiligingskaders.

13
Maatregelen die voor dataminimalisatie zorgen
NextRoll implementeert dataminimalisatie als standaard tijdens het ontwerpproces. Alle nieuwe manieren waarop Persoonsgegevens van de klant worden gebruikt, worden beoordeeld en goedgekeurd op basis van deze vereiste.
14
Maatregelen die voor datakwaliteit zorgen
NextRoll verwerkt CRM-data van de Klant die door de Klant aan ons zijn verstrekt. De Klant is er als zodanig verantwoordelijk voor om de nauwkeurigheid van de klantgegevens te waarborgen.
15
Maatregelen die voor beperkte dataretentie zorgen
NextRoll heeft dataretentiebeleidsmaatregelen opgesteld op basis van het type gegevens dat er verzameld wordt. Dit beleid wordt automatisch afgedwongen met behulp van Time to Live (TTL)-instellingen in de datastores.
16
Maatregelen wat betreft aansprakelijkheid
NextRoll beschikt over een governancestructuur waarin een aantal verantwoordingsmaatregelen worden getroffen, waaronder de benoeming van een Functionaris gegevensbescherming (Data Protection Officer) (lees voor meer informatie onze Privacyverklaring: https://nextroll.com/nl-NL/privacy), de implementatie van privacy by design zodat er waar nodig effectbeoordelingen over dataprivacy worden uitgevoerd, en de aanstelling van een beveiligings- en nalevingscommissie.
17
Maatregelen die gegevensportabiliteit mogelijk maken en zorgen dat gegevens gewist worden
NextRoll heeft een automatisch proces waarbij de Persoonsgegevens van de klant op verzoek van de klant binnen het door de Toepasselijke gegevensbeschermingswetgeving vereiste tijdsbestek verwijderd worden en waarbij de Persoonsgegevens van de klant gedownload kunnen worden zodat ze naar andere serviceproviders gestuurd kunnen worden.

Beschrijf bij doorgiftes aan (sub-)verwerkers ook de specifieke technische en organisatorische maatregelen die er door de (sub-)verwerker moeten worden genomen om eventuele assistentie aan de Klant te kunnen bieden (en, voor doorgiftes van een verwerker naar een subverwerker, naar de data-exporteur).

Meet
Beschrijving
Maatregelen voor zelfbediening
Via het digitale marketingplatform van NextRoll en de webpagina voor privacyverzoeken (https://nextroll-privacy.relyance.ai) krijgt de Klant toegang tot Persoonsgegevens van de klant en kan deze die daar zelf wijzigen of verwijderen als dit nodig is om de gegevensbeschermingsverzoeken van betrokkenen uit te voeren.