Deze Privacykennisgeving is gericht aan:
- Onze "Zakelijke partners", inclusief:
- de zorgprofessionals met wie wij een relatie creëren of onderhouden;
- onze klanten of prospects die natuurlijke personen zijn (zoals zelfstandige apothekers); en
- de vertegenwoordigers of contactpersonen van onze klanten of prospects die rechtspersonen zijn (zoals groothandelaars in apothekers);
- Onze "Leveranciers", met inbegrip van:
- onze leveranciers en dienstverleners die natuurlijke personen (zoals zelfstandigen) zijn;
- de vertegenwoordigers of contactpersonen van onze leveranciers en dienstverleners die rechtspersonen zijn; en
- andere bezoekers van een van onze faciliteiten.
U ontvangt deze Privacykennisgeving omdat Novartis BV, gevestigd te Haaksbergweg 16, te Amsterdam (hierna "Novartis") informatie over u verwerkt die "persoonlijke gegevens" vormt en de Novartis-groep de bescherming van uw persoonlijke gegevens en privacy als een zeer belangrijke zaak beschouwt.
Novartis is verantwoordelijk voor de verwerking van uw persoonlijke gegevens, aangezien het bepaalt waarom en hoe deze gegevens worden verwerkt en daarbij optreedt als "verantwoordelijke voor de verwerking". In deze Privacykennisgeving verwijst "wij" of "ons" naar Novartis.
Wij nodigen u uit om deze Privacykennisgeving zorgvuldig te lezen, waarin wordt uiteengezet in welke context wij uw persoonlijke gegevens verwerken en waarin uw rechten en onze verplichtingen worden uitgelegd.
Mocht u nog vragen hebben met betrekking tot de verwerking van uw persoonlijke gegevens, dan nodigen wij u uit om contact op te nemen met [email protected].
1. Welke informatie hebben wij over u?
1.1 Van onze zakenpartners
Deze informatie kan ofwel rechtstreeks door u, door onze zakenpartners (d.w.z. de juridische entiteit waarvoor u werkt), door derden (bijv. externe leveranciers zoals IQVIA of medische instellingen) worden verstrekt, ofwel worden verkregen via betrouwbare, openbaar toegankelijke bronnen (zoals PubMed, Clinical Trials.gov, congressites of universitaire websites), nadat u uw toestemming hebt verkregen om ons dergelijke persoonsgegevens te verstrekken waar nodig onder de toepasselijke wetgeving. Wij verzamelen verschillende soorten persoonlijke gegevens over u, waaronder:
- uw algemene en identificatiegegevens (bijv. naam, voornaam, achternaam, geslacht, e-mailadres en/of postadres, vast en/of mobiel telefoonnummer);
- uw functie (bijv. titel, functie, bedrijfsnaam, alsmede, voor beroepsbeoefenaren in de gezondheidszorg, eerste specialisme, tweede specialisme, jaar van afstuderen aan de medische faculteit, publicaties, congresactiviteiten, prijzen, biografie, onderwijs, links naar universiteiten, expertise en deelname aan/bijdrage aan klinische proeven, richtlijnen, redacties en organisaties);
- betalingsinformatie (bijv. creditcardgegevens, bankrekeninggegevens, BTW- of ander fiscaal identificatienummer);
- Unieke Novartis unieke business partner-ID en -profiel;
- uw elektronische identificatiegegevens indien nodig voor het leveren van producten of diensten aan ons bedrijf (bijv. inloggen, toegangsrecht, wachtwoorden, paswoorden, badgenummer, IP-adres, online identificatiemiddelen/koekjes, logboeken, toegangs- en verbindingstijden, beeldopname of geluid zoals badgefoto's, CCTV of spraakopnamen);
- informatie met betrekking tot uw gebruik, reacties en/of voorkeuren, onder meer met betrekking tot de soorten berichten die worden besproken, de communicatiekanalen en de frequentie;
- gegevens die u ons bijvoorbeeld verstrekt wanneer u formulieren invult of tijdens evenementen die u bijwoont, of wanneer u vragen beantwoordt tijdens een gesprek of in een enquête;
- gegevens die betrekking hebben op onze producten en diensten; en
- informatie over de promotionele, wetenschappelijke en medische activiteiten/interacties die u met ons heeft, inclusief mogelijke toekomstige interacties.
1.2 Van onze leveranciers
Deze informatie kan ofwel rechtstreeks door u worden verstrekt, ofwel door onze leverancier of dienstverlener (d.w.z. de rechtspersoon waarvoor u werkt). Wij kunnen verschillende soorten persoonlijke gegevens over u verzamelen, waaronder:
uw algemene en identificatiegegevens (bijv. naam, voornaam, achternaam, geslacht, geboortedatum en -plaats, nationaliteit, ID-kaart- of paspoortnummers, e-mail- en/of postadres, vast en/of mobiel telefoonnummer en kentekennummer van de auto);
uw functie (bijv. titel, functie en bedrijfsnaam);
voor natuurlijke personen die optreden als leverancier of dienstverlener: financiële informatie (bijv. bankrekeninggegevens); en
uw elektronische identificatiegegevens indien nodig voor de levering van producten of diensten aan ons bedrijf (bijv. inloggen, toegangsrecht, wachtwoorden, badge-nummer, IP-adres, online-identificaties/koekjes, logboeken, toegangs- en verbindingstijden, beeldopname of geluid zoals badgebeelden, CCTV of spraakopnames).
1.3 Andere personen dan u
Als u van plan bent om ons persoonlijke gegevens van andere personen (bijv. uw collega's) te verstrekken, moet u een kopie van deze Privacykennisgeving rechtstreeks of via hun werkgever aan de relevante personen verstrekken.
2. Voor welke doeleinden gebruiken wij uw persoonlijke gegevens en waarom is dit gerechtvaardigd?
2.1 Rechtsgrond voor de verwerking van uw persoonsgegevens
Wij zullen uw persoonlijke gegevens niet verwerken als we niet beschikken over een goede wettelijke rechtvaardiging voor dat doel. Daarom zullen wij uw persoonlijke gegevens alleen verwerken als:
- wij uw voorafgaande toestemming hebben verkregen;
- de verwerking is noodzakelijk om onze contractuele verplichtingen jegens u na te komen of om op uw verzoek precontractuele stappen te ondernemen;
- de verwerking noodzakelijk is om te voldoen aan onze wettelijke of reglementaire verplichtingen; of
- de verwerking is noodzakelijk voor onze legitieme belangen en heeft geen buitensporige gevolgen voor uw belangen of fundamentele rechten en vrijheden.
Houd er rekening mee dat wij bij de verwerking van uw persoonlijke gegevens op deze laatste basis altijd een evenwicht proberen te bewaren tussen onze legitieme belangen en uw privacy. Voorbeelden van dergelijke 'legitieme belangen' zijn de gegevensverwerkingsactiviteiten die worden uitgevoerd:
- om te profiteren van kosteneffectieve diensten (wij kunnen er bijvoorbeeld voor kiezen om bepaalde platforms van leveranciers te gebruiken om gegevens te verwerken);
- om onze producten en diensten aan onze klanten aan te bieden;
- om fraude of criminele activiteiten, misbruik van onze producten of diensten en de veiligheid van onze IT-systemen, -architectuur en -netwerken te voorkomen;
- om een deel van ons bedrijf of zijn activa te verkopen of om de overname van ons bedrijf of onze activa geheel of gedeeltelijk door een derde partij mogelijk te maken; en
- om onze doelstellingen op het gebied van maatschappelijk verantwoord ondernemen en maatschappelijk verantwoord ondernemen te realiseren.
2.2 Doel van de verwerking
Wij verwerken uw persoonlijke gegevens altijd voor een specifiek doel en verwerken alleen de persoonlijke gegevens die relevant zijn om dat doel te bereiken. In het bijzonder verwerken wij uw persoonlijke gegevens voor de volgende doeleinden:
2.2.1 Voor zowel onze zakenpartners als onze leveranciers
- geeft u toegang tot onze opleidingsmodules, zodat u ons bepaalde diensten kunt aanbieden;
- het beheer van onze IT-middelen, inclusief infrastructuurbeheer en bedrijfscontinuïteit;
- de economische belangen van de onderneming te beschermen en te zorgen voor naleving en rapportage (zoals het naleven van ons beleid en de lokale wettelijke vereisten, belastingen en inhoudingen, het beheren van vermeende gevallen van wangedrag of fraude, het uitvoeren van audits en het verdedigen van juridische procedures);
- het beheer van fusies en overnames waarbij onze onderneming betrokken is;
- archivering en archivering;
- facturering en facturatie; en
- alle andere doeleinden die door de wet en de autoriteiten worden opgelegd.
2.2.2 Uitsluitend voor onze zakenpartners
- onze relatie met u te beheren (bijvoorbeeld via onze databases);
- taken uit te voeren ter voorbereiding of uitvoering van bestaande contracten;
- het bewijs van transacties en het waarborgen van transparantie bij de overdracht van waarde;
- u te voorzien van passende, adequate en actuele informatie over ziekten, geneesmiddelen en onze producten en diensten;
- de kwaliteit van onze interacties en diensten te verbeteren door ons aanbod aan te passen aan uw specifieke behoeften;
- uw vragen te beantwoorden en u efficiënt te ondersteunen;
- u enquêtes te sturen (bijvoorbeeld om ons te helpen uw toekomstige interacties met ons te verbeteren);
- u communicatie te sturen over producten, therapeutische gebieden of diensten die wij promoten;
- de communicatie en interacties met u te beheren, te plannen en uit te voeren (bijvoorbeeld door middel van een database die de interacties met professionals uit de gezondheidszorg registreert of de gespreksplanning en de gespreksrapportage beheert);
- onze activiteiten te volgen (bijv. het meten van interacties of verkoop, aantal afspraken/oproepen); en
- u uit te nodigen voor door ons gesponsorde evenementen of promotionele bijeenkomsten (bijv. medische evenementen, sprekersevenementen, conferenties).
2.2.3 Alleen voor onze leveranciers
- onze leveranciers en dienstverleners in de gehele toeleveringsketen aansturen;
- aanbestedingen organiseren, taken uitvoeren ter voorbereiding of uitvoering van bestaande contracten; en
- toezicht houden op de activiteiten in onze vestigingen, met inbegrip van de naleving van het toepasselijke beleid en de geldende gezondheids- en veiligheidsregels.
3. Wie heeft toegang tot uw persoonlijke gegevens en aan wie worden deze doorgegeven?
Wij zullen uw persoonlijke gegevens niet verkopen, delen of op andere wijze overdragen aan derden dan die welke in deze Privacykennisgeving zijn vermeld.
In het kader van onze activiteiten en voor dezelfde doeleinden als die vermeld in deze Privacykennisgeving, kunnen uw persoonlijke gegevens worden ingezien door, of overgedragen aan, de volgende categorieën van ontvangers, op een "need-to-know"-basis om dergelijke doeleinden te bereiken:
- ons personeel (inclusief personeel, afdelingen of andere bedrijven van de Novartis-groep);
- onze onafhankelijke agenten of makelaars (indien van toepassing);
- onze (andere) leveranciers en dienstverleners die ons diensten en producten leveren;
- onze IT-systeemaanbieders, cloud service providers, database providers en consultants;
- onze zakelijke partners die samen met ons of met onze dochterondernemingen of gelieerde ondernemingen producten of diensten aanbieden;
- derden aan wie wij onze rechten of verplichtingen overdragen of vernieuwen; en
- onze adviseurs en externe advocaten in het kader van de verkoop of overdracht van een deel van onze onderneming of haar activa.
Bovengenoemde derden zijn contractueel verplicht om de vertrouwelijkheid en veiligheid van uw persoonlijke gegevens te beschermen, in overeenstemming met de toepasselijke wetgeving.
Uw persoonsgegevens kunnen ook worden ingezien door of overgedragen aan nationale en/of internationale regelgeving, handhaving, openbare instantie of rechtbank, waar wij daartoe verplicht zijn door de toepasselijke wet- of regelgeving of op hun verzoek.
De persoonlijke gegevens die wij van u verzamelen, kunnen ook worden verwerkt, geraadpleegd of opgeslagen in een land buiten het land waar Novartis is gevestigd, wat mogelijk niet hetzelfde niveau van bescherming van persoonlijke gegevens biedt.
Als we uw persoonsgegevens overdragen aan externe bedrijven in andere rechtsgebieden, zorgen we ervoor dat we uw persoonsgegevens beschermen door (i) het beschermingsniveau toe te passen dat wordt vereist door de lokale wetten inzake gegevensbescherming en privacy die van toepassing zijn op Novartis, (ii) te handelen in overeenstemming met ons beleid en onze normen en (iii) voor Novartis dat gevestigd is in de Europese Economische Ruimte (d.w.z. de lidstaten van de Europese Unie plus IJsland, Liechtenstein en Noorwegen, de "EER"), tenzij anders vermeld, uw persoonsgegevens alleen over te dragen op basis van standaard contractuele bepalingen die zijn goedgekeurd door de Europese Commissie. U kunt om aanvullende informatie verzoeken met betrekking tot internationale doorgiften van persoonsgegevens en een kopie van de passende beveiliging verkrijgen door uw rechten uit te oefenen, zoals beschreven in artikel 6 hieronder.
Voor de overdracht van persoonsgegevens binnen de groep aan onze groepsmaatschappijen heeft Novartis Group Bindende bedrijfsregels, een systeem van principes, regels en hulpmiddelen, die door de Europese wetgeving worden geboden, aangenomen om een effectief niveau van gegevensbescherming te waarborgen met betrekking tot de overdracht van persoonsgegevens buiten de EER en Zwitserland. Lees meer over de bindende bedrijfsregels van Novartis door hier te klikken.
Novartis is in alle gevallen verantwoordelijk voor het beheer van uw persoonlijke gegevens.
4. Hoe beschermen wij uw persoonlijke gegevens?
We hebben passende technische en organisatorische maatregelen genomen om uw persoonlijke gegevens voldoende te beveiligen en vertrouwelijk te behandelen.
Deze maatregelen houden rekening met deze maatregelen:
- de stand van de techniek;
- de kosten van de implementatie ervan;
- de aard van de gegevens; en
- het risico van de verwerking.
Het doel hiervan is het te beschermen tegen toevallige of onwettige vernietiging of wijziging, toevallig verlies, ongeoorloofde openbaarmaking of toegang en tegen andere onwettige vormen van verwerking.
Bovendien, bij de behandeling van uw persoonlijke gegevens, hebben wij:
- alleen persoonsgegevens verzamelen en verwerken die adequaat, relevant en niet buitensporig zijn, zoals vereist om aan de bovenstaande doeleinden te voldoen; en
- ervoor te zorgen dat uw persoonlijke gegevens actueel en accuraat blijven.
Voor dit laatste kunnen wij u vragen om de persoonlijke gegevens die wij over u bewaren te bevestigen. U wordt ook uitgenodigd om ons spontaan op de hoogte te brengen van wijzigingen in uw persoonlijke omstandigheden, zodat wij ervoor kunnen zorgen dat uw persoonlijke gegevens up-to-date blijven.
5. Hoe lang bewaren wij uw persoonlijke gegevens?
Wij bewaren uw persoonlijke gegevens slechts zo lang als nodig is om te voldoen aan het doel waarvoor ze zijn verzameld of om te voldoen aan wettelijke of reglementaire vereisten.
Persoonlijke gegevens die wij in onze database over u bewaren en die niet gerelateerd zijn aan een specifiek contract, worden tot 24 maanden na uw laatste interactie met ons opgeslagen.
Voor contracten is de bewaartermijn de duur van uw (of uw bedrijf) samenwerkings-, dienstverlenings- of leveringscontract met ons, plus de periode tot de wettelijke claims onder dit contract verjaren, tenzij een langere of kortere bewaartermijn vereist is. Na afloop van deze termijn worden uw persoonlijke gegevens uit onze actieve systemen verwijderd.
Persoonsgegevens die in het kader van een geschil zijn verzameld en verwerkt, worden gewist of gearchiveerd (i) zodra een minnelijke schikking is bereikt, (ii) zodra een beslissing in laatste instantie is genomen of (iii) wanneer de vordering is verjaard.
6. Wat zijn uw rechten en hoe kunt u deze uitoefenen?
U kunt de volgende rechten uitoefenen onder de voorwaarden en binnen de grenzen die in de wet zijn vastgelegd:
- het recht op toegang tot uw persoonsgegevens zoals deze door ons worden verwerkt en, indien u van mening bent dat de informatie over u onjuist, verouderd of onvolledig is, om correctie of bijwerking te vragen;
- het recht om te verzoeken om het wissen van uw persoonsgegevens of de beperking daarvan tot specifieke categorieën van verwerking;
- het recht om uw toestemming te allen tijde in te trekken, zonder afbreuk te doen aan de rechtmatigheid van de verwerking vóór een dergelijke intrekking;
- het recht om geheel of gedeeltelijk bezwaar te maken tegen de verwerking van uw persoonsgegevens;
- het recht om bezwaar te maken tegen een communicatiekanaal dat voor direct marketingdoeleinden wordt gebruikt; en
- het recht om de overdraagbaarheid ervan te vragen, d.w.z. dat de door u aan ons verstrekte persoonsgegevens in een gestructureerd, algemeen gebruikt en machinaal leesbaar formaat aan u worden geretourneerd of aan de persoon van uw keuze worden doorgegeven, zonder belemmering van onze kant en met inachtneming van uw geheimhoudingsplicht.
Indien u een vraag heeft of de bovenstaande rechten wilt uitoefenen, kunt u een e-mail sturen naar [email protected] of een brief aan Novartis BV, Postbus 22101
1100 CC AMSTERDAM, met een scan van uw identiteitskaart voor identificatiedoeleinden, met dien verstande dat wij deze gegevens alleen zullen gebruiken om uw identiteit te verifiëren en niet om de scan te bewaren na afronding van de verificatie. Bij het toesturen van een dergelijke scan dient u er rekening mee te houden dat u uw foto en uw nationaal registratienummer of een equivalent daarvan op de scan dient te bewerken.
Als u niet tevreden bent over de manier waarop wij uw persoonlijke gegevens verwerken, kunt u uw verzoek richten aan onze Data Protection Officer op [email protected], die uw bezorgdheid zal onderzoeken.
In ieder geval heeft u naast uw hierboven vermelde rechten ook het recht om een klacht in te dienen bij de bevoegde gegevensbeschermingsautoriteiten.
7. Hoe wordt u op de hoogte gehouden van de wijzigingen in onze Privacyverklaring?
Eventuele toekomstige wijzigingen of aanvullingen op de verwerking van uw persoonlijke gegevens zoals beschreven in deze Privacykennisgeving zullen u vooraf worden meegedeeld via een individuele kennisgeving via onze gebruikelijke communicatiekanalen (bijv. per e-mail of via onze internetwebsites).
Persoonlijke gegevens die in het kader van een geschil worden verzameld en verwerkt, worden verwijderd of gearchiveerd (i) zodra een minnelijke schikking mogelijk is.