Laatste update privacybeleid: 01-02-2019
Deze privacyverklaring is bestemd voor:
- de zorgverleners met wie wij een relatie aangaan of onderhouden;
- onze klanten of potentiële klanten die natuurlijke personen zijn (zoals zelfstandige apothekers);
- de vertegenwoordigers of contactpersonen van onze klanten of potentiële klanten die rechtspersonen zijn (zoals apothekers op groothandelsniveau).
U ontvangt deze privacyverklaring omdat de besloten vennootschap met beperkte aansprakelijkheid Novartis Pharma B.V., statutair gevestigd te (6824 DP) Arnhem aan de Raapopseweg 1 en/of Sandoz B.V., gevestigd te (1327 AH) Almere aan de Veluwezoom 22 informatie over u verwerkt die bestaat uit “persoonsgegevens” en Novartis Pharma B.V. / Sandoz B.V. beschouwt de bescherming van uw persoonsgegevens en privacy als zeer belangrijk.
Novartis Pharma B.V. / Sandoz B.V. is verantwoordelijk voor de verwerking van uw persoonsgegevens, aangezien het beslist waarom en hoe deze worden verwerkt en daarbij optreedt als de “verantwoordelijke voor de verwerking”. Het kan deze verantwoordelijkheid zelfstandig uitoefenen of samen met andere ondernemingen in de Novartis-groep, die dan optreden als “medeverantwoordelijke(n) voor de verwerking”, In deze privacyverklaring verwijzen “we” of “ons” naar Novartis Pharma B.V. / Sandoz B.V.
We adviseren u om deze privacyverklaring zorgvuldig te lezen, waarin wordt beschreven binnen welk verband we uw persoonsgegevens verwerken en we uw rechten en onze verplichtingen daarbij toelichten.
Als u nog vragen hebt over de verwerking van uw persoonsgegevens, dan kunt u contact opnemen met de Data Privacy Officer op privacy.nederland@novartis.com.
1. Welke gegevens kunnen we over u verwerken?
Deze gegevens kunnen ofwel direct door u zijn verstrekt, door onze zakenpartners (d.w.z. de rechtspersoon voor wie u werkt), door derden (bijv. externe leveranciers zoals IQVIA of medische instellingen) of worden verkregen via vertrouwde, openbaar beschikbare bronnen (zoals PubMed, Clinical Trials.gov, websites van congressen of universiteiten). We kunnen verschillende soorten persoonsgegevens over u verwerken, waaronder:
- uw algemene en identificatiegegevens (bijv. naam, voornaam, achternaam, geslacht, e-mailadres en/of postadres, vast en/of mobiel telefoonnummer);
- uw functie (bijv. titel, functie, naam van de onderneming, en voor zorgverleners, eerste specialisatie, tweede specialisatie, jaar van uw diploma in de geneeskunde, publicaties, congresactiviteiten, prijzen, biografie, onderwijs, banden met universiteiten, deskundigheid en deelname/bijdrage aan klinische proeven, richtlijnen, redactieraden en organisaties);
- betalingsgegevens (bijv. creditcardgegevens, bankgegevens, btw- of ander fiscaal identificatienummer);
- Unieke ID en profiel van de zorgpartner voor Novartis / Sandoz;
- uw elektronische identificatiegegevens waar vereist voor de levering van producten of diensten aan ons bedrijf (bijv. inloggegevens, toegangsrechten, wachtwoorden, badgenummer, IP-adres, online identificaties/cookies, logbestanden, toegangs- en verbindingstijden, beeldregistratie of geluidsopnames zoals badgebeelden, CCTV of spraakopnames);
- informatie over uw gebruik, reacties en/of voorkeuren, inclusief de soorten besproken berichten, communicatiekanalen en frequentie;
- gegevens die u aan ons verstrekt, bijvoorbeeld wanneer u formulieren invult of tijdens evenementen die u bijwoont, of wanneer u tijdens een gesprek of een enquête vragen beantwoordt;
- gegevens die betrekking hebben op onze producten en diensten; en
- informatie over de promotionele, wetenschappelijke en medische activiteiten/interacties die u met ons deelt, met inbegrip van mogelijke toekomstige interacties.
Als u van plan bent om ons persoonsgegevens te verstrekken over andere personen (bijv. uw collega's), dan dient u de relevante personen hetzij rechtstreeks of via hun werkgever een kopie van deze privacyverklaring te verstrekke
2. Voor welke doeleinden gebruiken we uw persoonsgegevens en waarom is dit gerechtvaardigd?
2.1 Rechtsgrondslag voor de verwerking van gegevens
We zullen uw persoonsgegevens niet verwerken zonder een gepaste rechtvaardiging die is voorzien in de wet voor dat doel. Daarom zullen we uw persoonsgegevens alleen verwerken als:
- we uw voorafgaande toestemming hebben verkregen; of
- de verwerking noodzakelijk is om onze contractuele verplichtingen tegenover u na te komen of om op uw verzoek precontractuele stappen te ondernemen; of
- de verwerking noodzakelijk is om te voldoen aan onze juridische of reglementaire verplichtingen, of
- de verwerking noodzakelijk is voor onze legitieme belangen en deze uw belangen en fundamentele rechten en vrijheden niet onnodig beïnvloedt.
We zullen bij de verwerking van uw persoonsgegevens op deze laatste basis altijd een evenwicht proberen te bewaren tussen onze legitieme belangen en uw privacy. Voorbeelden van dergelijke “legitieme belangen” zijn gegevensverwerkingsactiviteiten die worden uitgevoerd:
- om te profiteren van kosteneffectieve diensten (we kunnen er bijvoorbeeld voor kiezen om bepaalde platformen van leveranciers te gebruiken om gegevens te verwerken);
- om onze producten en diensten aan te bieden aan onze klanten;
- ter voorkoming van fraude of criminele activiteiten, misbruik van onze producten of diensten en de veiligheid van onze IT-systemen, -architectuur en -netwerken;
- om een deel van ons bedrijf of zijn activa te verkopen of om de verwerving van ons gehele bedrijf of een gedeelte daarvan of onze activa door een derde partij mogelijk te maken; en
- om onze doelstellingen op het gebied van maatschappelijk verantwoord ondernemen te realiseren.
2.2 Doeleinden van de verwerking
We verwerken uw persoonsgegevens altijd voor een specifiek doel en we verwerken alleen de persoonsgegevens die relevant zijn voor dat doel. We verwerken uw persoonsgegevens in het bijzonder teneinde:
- onze relatie met u te beheren (bijvoorbeeld via onze databases);
- taken uit te voeren ter voorbereiding of uitvoering van bestaande contracten;
- transacties uit te bouwen en transparantie bij waardeoverdracht te verzekeren;
- u te voorzien van passende, geschikte en actuele informatie over ziekten, geneesmiddelen en onze producten en diensten;
- de kwaliteit van onze interacties en diensten te verbeteren door ons aanbod aan te passen aan uw specifieke behoeften;
- uw vragen te beantwoorden en u op een efficiënte manier te ondersteunen;
- u enquêtes toe te sturen (bijvoorbeeld om ons te helpen uw toekomstige interacties met ons te verbeteren);
- u berichten te sturen over producten, therapeutische gebieden of diensten die wij promoten;
- de communicatie en interactie met u te beheren, plannen en uitvoeren (bijv. door het beheer van een database waarin de interacties met zorgverleners worden geregistreerd of waarin de planning en rapportage van telefoongesprekken worden beheerd);
- onze activiteiten te registreren (bijv. het meten van interacties of hoeveelheid omzet, aantal afspraken/telefoongesprekken);
- u uit te nodigen voor door ons gesponsorde evenementen of promotionele bijeenkomsten (bijv. medische evenementen, sprekersevenementen, congressen);
- u toegang te verstrekken tot onze trainingsmodules, zodat u ons bepaalde diensten kunt leveren;
- onze IT-middelen te beheren, waaronder infrastructuurbeheer en bedrijfscontinuïteit;
- de economische belangen van de onderneming in stand te houden en toe te zien op de naleving van voorschriften en rapportage (zoals het naleven van onze beleidsregels en de lokale wettelijke vereisten, belastingen en inhoudingen, het beheren van vermeende gevallen van wangedrag of fraude, het uitvoeren van audits en het verdedigen van geschillen);
- fusies en overnames waarbij onze onderneming betrokken is te beheren;
- archivering en administratie uit te voeren;
- de facturering af te handelen; en
- alle andere doeleinden te bereiken die door de wet of de autoriteiten zijn opgelegd.
3. Wie heeft er toegang tot uw persoonsgegevens en aan wie worden ze overgedragen?
We zullen uw persoonsgegevens niet verkopen, delen of op andere wijze overdragen aan derden die niet zijn aangegeven in deze privacyverklaring.
In het kader van onze activiteiten en voor dezelfde doeleinden als die vermeld in deze privacyverklaring, kunnen uw persoonsgegevens toegankelijk zijn voor of worden overgedragen aan de volgende categorieën van ontvangers, op basis van een “noodzaak om te weten”, zodat zij dergelijke doeleinden kunnen verwezenlijken:
- ons personeel (met inbegrip van personeel, afdelingen of andere bedrijven van de Novartis-groep);
- onze onafhankelijke agenten of makelaars (waar van toepassing);
- onze leveranciers en dienstverleners die ons diensten en producten leveren;
- onze leveranciers van IT-systemen, clouddiensten, databases en consultants;
- onze zorg
- partners die gezamenlijk met ons of met onze dochterondernemingen of gelieerde ondernemingen producten of diensten aanbieden;
- een derde aan wie wij onze rechten of verplichtingen overdragen of noveren; en
- onze adviseurs en externe advocaten in het kader van de verkoop of overdracht van een gedeelte van ons bedrijf of zijn activa.
De hierboven genoemde derden zijn contractueel verplicht om de vertrouwelijkheid en veiligheid van uw persoonsgegevens te beschermen, in overeenstemming met de toepasselijke wetgeving.
Uw persoonsgegevens kunnen ook worden ingezien door of doorgegeven aan nationale en/of internationale regelgevende, handhavende, openbare of gerechtelijke instanties, wanneer wij daartoe zijn verplicht door toepasselijke wet- of regelgeving of op hun verzoek.
De persoonsgegevens die wij van u verzamelen kunnen ook worden verwerkt, geopend of opgeslagen in een land buiten het land waar Novartis Pharma B.V. / Sandoz B.V. is gevestigd dat mogelijk niet hetzelfde beschermingsniveau voor persoonsgegevens biedt.
Als we uw persoonsgegevens doorgeven aan externe ondernemingen in andere rechtsgebieden, zorgen we ervoor dat uw persoonsgegevens worden beschermd door (i) de toepassing van het beschermingsniveau dat is vereist door de lokale wetten inzake gegevensbescherming en privacy die van toepassing zijn op Novartis Pharma B.V. / Sandoz B.V., (ii) te handelen in overeenstemming met onze beleidsregels en onze normen en, (iii) tenzij anders aangegeven, uw persoonsgegevens uitsluitend door te geven op basis van door de Europese Commissie goedgekeurde modelcontractbepalingen. U kunt om aanvullende informatie verzoeken in verband met internationale overdrachten van persoonsgegevens en een kopie verkrijgen van de geschikte beveiliging die is ingesteld door uw rechten uit te oefenen zoals uiteengezet in hoofdstuk 6 hieronder.
Voor intragroepsoverdrachten van persoonsgegevens naar onze groepsmaatschappijen heeft de Novartis-groep bindende bedrijfsvoorschriften ingesteld. Dit is een stelsel van beginselen, regels en instrumenten dat door de Europese wetgeving is voorzien om een effectief niveau van gegevensbescherming te waarborgen bij de overdracht van persoonsgegevens buiten de EER en Zwitserland. Lees meer over de bindende bedrijfsvoorschriften van Novartis door hier te klikken: https://www.novartis.com/sites/www.novartis.com/files/bcr-individual-rights-2012.pdf. In alle gevallen is Novartis Pharma B.V. / Sandoz B.V. verantwoordelijk voor het beheer van uw persoonsgegevens.
4. Hoe beschermen we uw persoonsgegevens?
Wij hebben passende technische en organisatorische maatregelen ingevoerd om te zorgen dat uw persoonsgegevens voldoende worden beveiligd en vertrouwelijk worden behandeld.
Deze maatregelen houden rekening met:
- de allernieuwste technologie;
- de kosten van de implementatie ervan;
- de aard van de gegevens; en
- het risico van de verwerking.
Het doel daarvan is ze te beschermen tegen onopzettelijke of onrechtmatige vernietiging of wijziging, verlies, ongeoorloofde openbaarmaking of toegang en tegen enige andere vorm van onrechtmatige verwerking.
Bovendien zullen we bij de verwerking van uw persoonsgegevens:
- uitsluitend persoonsgegevens verzamelen en verwerken die toereikend, relevant en niet bovenmatig zijn, zoals is vereist voor de bovengenoemde doeleinden; en
- ervoor zorgen dat uw persoonsgegevens actueel en accuraat blijven.
Voor dit laatste kunnen we u vragen om de persoonsgegevens die wij over u hebben te bevestigen. We verzoeken u ook om ons uit eigen beweging op de hoogte te stellen wanneer uw persoonlijke omstandigheden veranderen, zodat wij ervoor kunnen zorgen dat uw persoonsgegevens actueel blijven.
5. Hoe lang bewaren we uw persoonsgegevens?
We bewaren uw persoonsgegevens niet langer dan nodig is voor het doel waarvoor ze zijn verzameld of om te voldoen aan juridische of reglementaire vereisten. Daarna worden uw gegevens verwijderd uit onze actieve systemen. .
Voor contracten is de bewaartermijn de duur van uw contract (of het contract van uw onderneming) met ons, plus de periode totdat de wettelijke vorderingen op grond van dit contract verjaren, tenzij dwingende juridische of reglementaire schema's een langere of kortere bewaartermijn vereisen. Na afloop van deze periode worden uw persoonsgegevens verwijderd uit onze actieve systemen.
Persoonsgegevens die in het kader van een geschil zijn verzameld en verwerkt, worden verwijderd of gearchiveerd (i) zodra een minnelijke schikking is getroffen, (ii) nadat een definitieve beslissing is genomen, of (iii) wanneer de vordering verjaard is.
6. Wat zijn uw rechten en hoe kunt u deze uitoefenen?
U kunt de volgende rechten uitoefenen onder de voorwaarden en binnen de grenzen die in de wet zijn vastgelegd:
- het recht op toegang tot uw persoonsgegevens zoals die door ons worden verwerkt en, als u van mening bent dat gegevens die op u betrekking hebben onjuist, verouderd of onvolledig zijn, om correctie of bijwerking ervan te verzoeken;
- het recht op een verzoek voor het wissen van uw persoonsgegevens of de beperking daarvan tot specifieke categorieën van verwerking;
- het recht om uw toestemming op elk gewenst moment in te trekken, zonder afbreuk te doen aan de rechtmatigheid van de verwerking voorafgaand aan een dergelijke intrekking;
- het recht om bezwaar te maken tegen de gehele of gedeeltelijke verwerking van uw persoonsgegevens;
- het recht om bezwaar te maken tegen een communicatiekanaal dat voor direct marketing wordt gebruikt; en
- het recht om de portabiliteit ervan te vragen, d.w.z. dat de persoonsgegevens die u ons hebt verstrekt aan u worden teruggegeven of aan de persoon van uw keuze worden doorgegeven, in een gestructureerd, algemeen gebruikt en machineleesbaar formaat, zonder belemmering van onze kant en met inachtneming van uw vertrouwelijkheidsverplichtingen.
Als u een vraag hebt of de bovenstaande rechten wilt uitoefenen, kunt u naar de Data Privacy Officer een e-mail sturen op privacy.nederland@novartis.com of een brief aan Novartis Pharma B.V., t.a.v. Data Privacy Officer, Postbus 241, 6800 LZ Arnhem / aan Sandoz B.V. , t.a.v. Data Privacy Officer, Postbus 10332, 1301 AH Almere met een scan van uw identiteitskaart voor identificatiedoeleinden. Wij gebruiken deze gegevens alleen om uw identiteit te verifiëren en bewaren de scan niet na afloop van de verificatie. Wanneer u ons een dergelijke scan stuurt, zorg er dan voor dat u uw foto en nationaal identificatienummer of equivalent op de scan onzichtbaar maakt.
Als u niet tevreden bent over de manier waarop wij uw persoonsgegevens verwerken, kunt u uw verzoek richten aan onze functionaris voor gegevensbescherming op global.privacy_office@novartis.com, die uw bezorgdheid zal onderzoeken.
In elk geval hebt u naast uw hierboven genoemde rechten ook het recht om een klacht in te dienen bij de bevoegde gegevensbeschermingsautoriteiten, de Nederlandse Autoriteit Persoonsgegevens. Ga voor meer informatie naar https://autoriteitpersoonsgegevens.nl/.
7. Hoe wordt u op de hoogte gesteld van wijzigingen in onze privacyverklaring?
Toekomstige wijzigingen van of aanvullingen op de verwerking van uw persoonsgegevens zoals beschreven in deze privacyverklaring zullen u van tevoren worden meegedeeld door een individuele mededeling via onze gebruikelijke communicatiekanalen (bijv. per e-mail of via onze websites).