Worldwide
ENGLISH
THIS WILL BE DISPLAYED
ON MULTILANGUAGE
PAGE ONLY
Beleid grensoverschrijdende privacyregels

Bij Merck & Co., Inc. (Kenilworth, NJ, Verenigde Staten), buiten de VS en Canada bekend als MSD, omvat onze missie voor het redden en verbeteren van levens ook het respecteren van privacy en het beschermen van persoonsgegevens.

We streven ernaar om zaken te doen volgens onze privacywaarden omdat we geloven dat deze garant staan voor ethisch en verantwoord handelen. We beseffen dat innovatie en nieuwe technologieën tot voortdurende verandering in risico’s, verwachtingen en wetgeving leiden en volgen privacyverantwoordingsnormen zodat we deze waarden snel aan kunnen passen aan eventuele veranderingen.

Dit beleid definieert onze wereldwijde standaarden voor beheer en bescherming van persoonsgegevens door of namens ons bedrijf, die direct of indirect afkomstig zijn van een land binnen de Europese Economische Ruimte (‘EER’), Zwitserland of van deelnemende economieën van de Economische samenwerking Azië – Stille Oceaan (Asia Pacific Economic Cooperation, ‘APEC’) en worden overgedragen aan een ander land, inclusief overdracht tussen de EER en APEC. Het omschrijft onze toewijding tot naleving van onze APEC grensoverschrijdende privacyregels-certificering, onze bindende bedrijfsregels (Binding Corporate Rules, BCR’s), die binnen de Europese Unie zijn goedgekeurd, , en onze zelfcertificering voor het Europees-Amerikaanse Privacyschild. . Het is van toepassing op onze bedrijfsvoering in elk land en op elke activiteit met persoonsgegevens die we uitvoeren in elke dochteronderneming en elke divisie (inclusief activiteiten uitgevoerd door eventuele opvolgers in ons bedrijf), met inbegrip van, maar niet beperkt tot onze activiteiten voor onderzoek, productie, commerciële of bedrijfsondersteunende doeleinden, diensten en oplossingen voor de gezondheidszorg en de gegevensoverdracht die vereist is om deze activiteiten uit te voeren, met inbegrip van, maar niet beperkt tot:

  • Onderzoek en productie: beoordelen van wensen en mogelijkheden voor innovatie op medisch gebied en in de gezondheidszorg; onderzoeken in werking stellen, beheren en financieren; beoordelen en werven van onderzoekers, leden voor wetenschappelijke en ethische commissies en zakenpartners om ons onderzoek en de ontwikkeling van onze producten te ondersteunen; werving voor onderzoek; beoordelen van de veiligheid, werkzaamheid en kwaliteit van onze onderzoeks- en op de markt verkrijgbare producten; voldoen aan onze eisen voor productveiligheid en -kwaliteit, waaronder afhandelen en melden van bijwerkingen en klachten over productkwaliteit; aanvragen van goedkeuring en registreren van onze producten bij regelgevende autoriteiten op het gebied van gezondheidszorg; en voldoen aan passende wettelijke, regelgevende of ethische voorschriften;
  • Commercieel: de markten voor onze producten beoordelen; reclame, marketing, verkoop, distributie en levering van onze producten; communiceren en verbintenissen aangaan met klanten uit de professionele gezondheidszorg, gezondheidszorgbetalers, patiënten en andere eindgebruikers van onze producten, alsmede zorgverleners van degenen die onze producten gebruiken; evenementen sponsoren en organiseren; zakenpartners beoordelen en in dienst nemen ter ondersteuning van onze commerciële activiteiten; en voldoen aan gekoppelde wettelijke, regelgevende of ethische voorschriften;
  • Bedrijfsondersteuning: werven, aannemen, managen, ontwikkelen, communiceren met en belonen van medewerkers; secundaire arbeidsvoorwaarden beheren voor medewerkers en van hen afhankelijke personen ; uitvoeren van prestatie- en vaardigheidsbeoordelingen voor medewerkers; bieden van training en andere ontwikkelingsprogramma’s; uitvoeren van tucht- en klachtenprocedures; beheren van ethiek- en privacyzaken en instellen van onderzoeken; beheren en verzekeren van onze fysieke en virtuele bedrijfsmiddelen en infrastructuur; aanschaffen en betalen van goederen en diensten; voldoen aan onze plichten voor milieu, gezondheid en veiligheid en andere bedrijfsverantwoordelijkheden; betrokkenheid bij de media; en voldoen aan passende wettelijke, regelgevende of ethische voorschriften.
  • Diensten en oplossingen voor gezondheidszorg: verbeteren van de waarde van zorg die wordt geboden aan patiënten wereldwijd, door middel van op bewijs gebaseerde diensten en oplossingen die zijn toegespitst op klinische diensten, betrokkenheidsoplossingen en gezondheidsanalyses.

Dit beleid is ook van toepassing op alle mensen van wie wij gegevens verwerken, met inbegrip van, maar niet beperkt tot, professionele zorgverleners en andere klanten; toekomstige, huidige en voormalige medewerkers en van hen afhankelijke personen , patiënten, zorgverleners, onderzoekers en deelnemers aan onderzoeken, leden van wetenschappelijke en ethische commissies, zakenpartners, investeerders en aandeelhouders, overheidsambtenaren en andere belanghebbenden.

Alle medewerkers en senior leidinggevenden van het bedrijf hebben kernverantwoordelijkheden wat betreft privacy die ze dienen na te leven.

We erkennen dat onbedoelde fouten en vergissingen met betrekking tot de bescherming van persoonsgegevens kunnen leiden tot privacyrisico’s voor personen en reputatie-, bedrijfsvoerings-, financiële- en nalevingsrisico’s voor ons bedrijf. We zullen passende training aanbieden voor dit beleid aan alle werknemers en andere personen die permanente of reguliere toegang hebben tot persoonsgegevens, die betrokken zijn bij de verzameling van gegevens of bij de ontwikkeling van hulpmiddelen die gebruikt worden om persoonsgegevens te verwerken. Alle medewerkers van ons bedrijf en derden die gegevens over personen verwerken voor ons bedrijf, moeten begrijpen wat hun verplichtingen zijn en deze nakomen zoals vermeld in dit beleid en de geldende wetgeving.

Onze privacynormen en -waarden

We volgen onze privacywaarden op in alles wat we doen dat betrekking heeft op mensen, inclusief de manier waarop we onze privacystandaarden toepassen. Onze vier privacywaarden zijn:

Respect

Vertrouwen

Schade voorkomen

Naleving

We herkennen dat zorgen rond Privacy betrekking hebben op de essentie van wie we zijn, hoe we de wereld en onszelf zien. We streven naar het respecteren van de perspectieven en belangen van personen en gemeenschappen, en gebruiken en delen informatie over hen op eerlijke en transparante manier.

Vertrouwen is cruciaal voor ons succes, dus streven we ernaar het vertrouwen van onze klanten, medewerkers, patiënten en andere belanghebbendenbetreffende privacy en bescherming van persoonsgegevens te winnen en te behouden.

Verkeerd gebruik van persoonsgegevens kan zowel tastbare als ontastbare schade berokkenen aan personen, en we proberen daarom fysieke, financiële, reputatieschade en andere soorten privacyschade te voorkomen.

Wet- en regelgeving houdt niet altijd gelijke tred de snelle verandering in technologie, datastroom en de verschuivingen in privacyrisico’s en verwachtingen. Daarom streven we ernaar om de geest en de letter van privacy- en gegevensbeschermingswet- en regelgeving consistent en efficiënt na te leven.

  1. We verankeren onze privacystandaarden in alle activiteiten, processen, technologieën en relaties met derde partijen die persoonsgegevens gebruiken. We ontwikkelen privacycontroles in onze processen en technologieën die in lijn zijn met onze privacywaarden en -standaarden en de geldende wetgeving . De onderstaande 8 privacyprincipes zijn een samenvatting van onze privacystandaarden en kerneisen voor processen, activiteiten en de ondersteunende technologieën op een hoog niveau.

    Privacyprincipes

    Onze kernwaarden

    1. Necessity - Voordat persoonsgegevens worden verzameld, gebruikt of gedeeld, definiëren en documenteren we de specifieke, legitieme bedrijfsdoelen waarvoor ze nodig zijn.

    • We bepalen en documenteren hoelang de persoonsgegevens nodig zijn voor de vastgestelde bedrijfsdoeleinden en van toepassing zijnde wettelijke vereisten.
    • We verzamelen, gebruiken of delen niet meer persoonsgegevens dan noodzakelijk en we bewaren de gegevens in identificeerbare vorm niet langer dan noodzakelijk voor de gestelde bedrijfsdoeleinden en van toepassing zijnde wettelijke vereisten.
    • We maken de gegevens anoniem wanneer de bedrijfseisen het noodzakelijk maken dat de gegevens over de activiteit of het proces voor langere tijd bewaard worden.
    • We zorgen ervoor dat deze noodzakelijkheidseisen onlosmakelijk verbonden zijn met eventuele ondersteunende technologie en dat ze worden gecommuniceerd aan derde partijen die de activiteit of het proces ondersteunen.

    2. Eerlijkheid - We verwerken persoonsgegevens niet op een manier die oneerlijk is voor de personen op wie de gegevens betrekking hebben.

    • We bepalen of het verzamelen, gebruiken verwerken van persoonsgegevens een mogelijk en/of ernstig risico op tastbare of immateriële schade voor personen inhoudt, conform onze privacywaarde van Schade voorkomen.
    • Als de aard van de gegevens, soort personen of activiteit een waarschijnlijk en/of ernstig risico van tastbare of immateriële schade aan personen vormt, zorgen we ervoor dat het risico ondergeschikt is aan het bijbehorende voordeel voor deze personen of voor onze missie van het redden en verbeteren van levens, en afgezwakt wordt door de maatregelen, waarborgen en mechanismen die we hebben ingevoerd.
    • Waar het risico de voordelen voor personen lijkt te overtreffen, verwerken we gevoelige informatie of persoonsgegevens uitsluitend met de uitdrukkelijke goedkeuring van de personen of zoals uitdrukkelijk vereist of toegestaan onder de geldende wetgeving of zoals uitdrukkelijk toegestaan door een bevoegde regelgevende autoriteit.
    • We documenteren de risicoanalyse en ontwerpen eventueel benodigde mechanismen zodanig dat ze bewijs leveren voor het verkrijgen en documenteren van goedkeuring in de ondersteunende technologieën.

    3. Transparantie - We verwerken geen persoonsgegevens op wijzen of voor doeleinden die niet transparant zijn. .

    • Alle personen van wie persoonsgegevens worden verwerkt volgens dit beleid hebben recht op een exemplaar van dit beleid. Exemplaren van dit beleid worden online beschikbaar gesteld op www.msdprivacy.com. Het MSD Global Privacy Office zal op verzoek elektronische en/of papieren versies van het beleid overleggen aan de geadresseerden die hieronder vermeld staan in sectie 3.a.
    • Als persoonsgegevens rechtstreeks van personen worden verzameld , stellen we hen, voorafgaand aan de verzameling van de gegevens, hiervan op de hoogte middels een duidelijke, opvallende en eenvoudig toegankelijke privacymelding of gelijkaardig middel met (1) de verwerkingsverantwoordelijke bedrijfsentiteit(en), (2) de contactgegevens van onze Chief Privacy Officer en/of de regionale/lokale Functionaris voor Gegevensbescherming, (3) welke informatie er wordt verzameld, (4) de doeleinden waarvoor het zal worden gebruikt, (5) de rechtsgrond voor onze verwerking, (6) met wie het zal worden gedeeld, waaronder eventuele vereisten om persoonsgegevens vrij te geven naar aanleiding van rechtmatige verzoeken door overheidsinstanties, (7) of en hoe wij de persoonsgegevens zullen overdragen aan andere landen, waaronder de relevante landen waar mogelijk, (8) hoelang het zal worden bewaard, of de criteria aan de hand waarvan wij die beslissing nemen (9) hoe ze een vraag kunnen stellen, een opmerking kunnen indienen of hun rechten met betrekking tot hun persoonsgegevens kunnen uitoefenen, (10) hoe zij hun toestemming die zij hebben verleend, kunnen intrekken, (11) hun recht om een klacht in te dienen bij een toezichthoudende autoriteit, (12) elke verplichting om persoonsgegevens te verstrekken en de gevolgen van het nalaten hiervan, (13) elke geautomatiseerde besluitvorming, inclusief profilering, die we zullen uitvoeren, (14) een link naar dit beleid, waar mogelijk en gepast. Onze uitgebreide privacymeldingen voor veel van onze belanghebbenden zijn online beschikbaar op https://msdprivacy.com
    • Als persoonsgegevens worden verkregen via observaties, sensoren of andere indirecte middelen, is het wellicht niet mogelijk om een privacymelding aan de persoon te richten ten tijde van de verzameling van de gegevens. In zulke gevallen verzekeren we de persoon via andere middelen van transparantie, bijvoorbeeld geplaatst of gedrukt op het apparaat of als materialen behorende bij het apparaat waarmee de gegevens worden verzameld.
    • Als persoonsgegevens via een website, mobiele app of andere online applicatie of middel worden verzameld, passen we de technologiegebonden standaarden toe zoals vermeld in ons Internetprivacybeleid en ons Cookieprivacybeleid om ervoor te zorgen dat er wordt voldaan aan de transparantie-eisen van dit beleid.
    • Als persoonsgegevens worden verzameld van andere bronnen en wanneer het niet specifiek onder leiding is van ons bedrijf , verifiëren we schriftelijk en vooraf dat de aanbieder van de gegevens de personen heeft geïnformeerd over de manieren en doeleinden waarvoor ons bedrijf de informatie zal gebruiken. Als schriftelijke verificatie niet kan worden verkregen van de aanbieder van de gegevens, gebruiken we uitsluitend anonieme gegevens, of informeren we de personen, voordat de persoonsgegevens worden gebruikt, middels een privacymelding of gelijkaardig middel van (1) de verwerkingsverantwoordelijke bedrijfsentiteit(en) voor het verwerken van de gegevens, (2) de contactgegevens van onze Chief Privacy Officer en/of de regionale/lokale Functionaris voor Gegevensbescherming (3) welke informatie ons bedrijf van zins is te gebruiken, (4) de doeleinden waarvoor ons bedrijf het zal gebruiken, (5) de rechtsgrond voor onze verwerking (6) met wie ons bedrijf de informatie zal delen, (7) of en hoe wij de persoonsgegevens zullen overdragen aan andere landen, waaronder de relevante landen waar mogelijk, (8) hoelang ons bedrijf de informatie zal bewaren, of de criteria aan de hand waarvan wij die beslissing nemen (9) hoe ze een vraag kunnen stellen, een opmerking kunnen plaatsen of hun rechten kunnen uitoefenen met betrekking tot de persoonsgegevens (10) hoe zij hun toestemming die zij hebben verleend, kunnen intrekken, (11) hun recht om een klacht in te dienen bij een toezichthoudende autoriteit, (12) elke verplichting om persoonsgegevens te verstrekken en de gevolgen van het nalaten hiervan (13) elke geautomatiseerde besluitvorming, inclusief profilering, die we zullen uitvoeren, (14) een link naar dit beleid, waar mogelijk en gepast.
    • We zorgen ervoor dat de nodige transparantiemiddelen, waaronder (waar mogelijk) mechanismen die verzoeken van individuele rechten ondersteunen, worden ingesloten in de ondersteunende technologieën, en dat derde partijen die de activiteit of het proces ondersteunen geen persoonsinformatie verwerken op wijzen die tegenstrijdig zijn met de informatie verschaft aan individuen middels privacymeldingen of andere verifieerbare middelen over wat er door ons en door anderen namens ons met de informatie zal worden gedaan.

    4. Doelbeperking - We gebruiken persoonsgegevens uitsluitend conform de principes van noodzakelijkheid en transparantie.

    • Als nieuwe legitieme bedrijfsdoeleinden worden geïdentificeerd voor persoonsgegevens die eerder werden verzameld, zorgen we ervoor dat we of de goedkeuring krijgen van de persoon voor het nieuwe gebruik van de persoonsgegevens, of dat het nieuwe bedrijfsdoeleinde verenigbaar is met en wezenlijk gelijk is aan, een doeleinde dat werd omgeschreven in een privacymelding of ander transparant mechanisme dat daarvoor aan de persoon werd verstrekt. We zullen de verenigbaarheid bepalen op basis van (1) elke link tussen de oorspronkelijke doeleinden en het voorgestelde nieuwe doel (2) de redelijke verwachtingen van de persoon, (3) de aard van de persoonsgegevens, (4) de gevolgen van verdere verwerking voor de persoon, en (5) de veiligheidsmaatregelen die we hebben ingevoerd.
    • We passen dit principe niet toe op geanonimiseerde gegevens of als we persoonsgegevens uitsluitend gebruiken voor historische en wetenschappelijke onderzoeksdoeleinden en wanneer (1) een ethische beoordelingscommissie, of een andere competente beoordelaar, heeft vastgesteld dat het risico van dergelijk gebruik voor wat betreft privacy en andere rechten van de persoon acceptabel is (2) wij passende voorzorgsmaatregelen hebben genomen om gegevensminimalisering te garanderen, zoals pseudonimisering (3) en alle andere toepasselijke wetten worden nageleefd.
    • We verzekeren dat doelbeperking wordt toegepast op ondersteunende technologie, met inbegrip van rapportagemogelijkheden en het downstream delen van gegevens.

    5. Gegevenskwaliteit - We houden persoonsgegevens accuraat, volledig en actueel, in overeenstemming met het bedoelde gebruik.

    • We zorgen ervoor dat mechanismen voor periodieke gegevensbeoordeling worden toegepast op ondersteunende technologieën om de juistheid van gegevens te bevestigen tegenover bron- en downstreamsystemen.
    • We zorgen ervoor dat gevoelige informatie wordt gecontroleerd op juistheid en actualiteit vóór, het gebruik, beoordeling, analyse, melding of andere vorm van verwerking, die een risico op oneerlijkheid vormen ten opzichte van personen indien onjuiste of verouderde gegevens worden gebruikt.
    • Indien wijzigingen worden aangebracht in persoonsgegevens, door ons bedrijf of derde partijen die voor ons bedrijf werken, zorgen we ervoor dat deze wijzigingen tijdig worden gecommuniceerd aan de betrokkenen, waar redelijkerwijs mogelijk.

    6. Veiligheid - We passen beveiligingsmaatre-gelen toe om persoonsgegevens en gevoelige informatie te beschermen tegen verlies, misbruik en onbevoegde toegang, openbaarmaking, wijziging of vernietiging.

    • We hebben een uitgebreid beveiligingsprogramma voor gegevens ingesteld en passen beveiligingsmaatregelen toe die gebaseerd zijn op de gevoeligheid van de informatie en het risiconiveau van de activiteit, rekening houdend met beste praktijken van de huidige technologie en de kosten van implementatie. Onze functionele beleidslijnen voor veiligheid omvatten, maar zijn niet beperkt tot, standaarden over bedrijfscontinuïteit en rampenherstel, encryptie, identiteits- en toegangsbeheer, classificatie van informatie, incidentenbeheer van informatieveiligheid, controle van netwerktoegang, fysieke beveiliging en risicobeheer.

    7. Gegevensover-dracht - We zijn verantwoordelijk voor en borgen de privacybescherming voor persoonsgegevens wanneer deze worden overgedragen van of naar andere organisaties of over landgrenzen.

    (1) We transfer Personal Information within our company if the following requirements are met:

    (1) the sharing is necessary to fulfil the purpose for which the Personal Information was originally collected or another legitimate interest of the company, and (2) the purpose for which it is to be shared, and the fact that it will be shared, is consistent with the privacy notice or other transparency mechanism that was previously provided to the individual at the time the Personal Information was originally collected and the individual gave their consent where necessary. (3) where one of our company subsidiaries acts solely on behalf of another of our company subsidiaries in processing Personal Information, (4) where required by Law, those subsidiaries of our company will execute an internal data processing agreement in accordance with Principle 8 of this Policy.

    (2) We dragen persoonsgegeven alleen over aan derde partijen of staan hen toe de gegevens te verwerken als aan de volgende eisen is voldaan, en we zijn aansprakelijk voor het garanderen dat derde partijen waarmee we zakendoen voldoen aan deze vereisten:

    • Als de derde partij persoonsgegevens voor of namens ons bedrijf verwerkt , en voordat persoonsgegevens aan de derde partij worden verstrekt, nemen wij de volgende stappen: (1) zorgvuldig privacyonderzoek uitvoeren om de privacypraktijken en -risico’s te beoordelen die verbonden zijn aan deze derde partijen, (2) contractuele garantie van deze derde partijen verkrijgen dat ze persoonsgegevens uitsluitend zullen verwerken conform de instructies van ons bedrijf en in naleving van dit beleid, met inbegrip van, maar niet beperkt tot, alle 8 de privacyprincipes en de andere standaarden die in dit beleid worden gesteld, en de geldende wetgeving; dat ze ons bedrijf direct op de hoogte zullen stellen van eventuele privacyincidenten, waaronder een eventueel onvermogen om te kunnen voldoen aan de standaarden zoals beschreven in dit beleid en geldende wetgeving, of beveiligingsincidenten, en samenwerken om onmiddellijk een op ziczelf bestaand voorval op te lossen en om de individuele rechten te behandelen zoals beschreven in onderstaande sectie (2); dat zij geen ander bedrijf zullen inschakelen om de persoonsgegevens te verwerken zonder onze schriftelijke toestemming en zonder een overeenkomst die gelijkwaardige verplichtingen inzake gegevensbescherming oplegt, dat zij alle persoonsgegevens verwijderen of aan ons retourneren, nadat zij klaar zijn met het verlenen van diensten aan ons of op ons verzoek, en dat ze ons bedrijf zullen toestaan controles en audits uit te voeren naar hun praktijken op naleving van deze eisen gedurende de verwerking van de gegevens. Daarnaast, als een derde partij persoonsgegevens verwerkt die afkomstig zijn uit een land of gebied waar de wetgeving de overdracht van persoonsgegevens beperkt, zullen we er tevens voor zorgen dat de overdracht aan de derde partij voldoet aan de eisen voor grensoverschrijdende gegevensoverdracht, zoals beschreven in onderstaande sectie (3).
    • Indien de derde partij persoonsgegevens aan ons bedrijf levert, zorgen we er vooraf voor dat er wordt voldaan aan de transparantie-eisen voor het verzamelen van persoonsgegevens van andere bronnen en niet specifiek onder leiding van ons bedrijf. Ook verkrijgen we een contractuele verklaring van de derde partij waarin gesteld wordt dat ze geen wetten of rechten van een derde partij overtreedt met het leveren van persoonsgegevens aan ons bedrijf.
    • Indien de derde partij gegevens van ons bedrijf ontvangt voor verwerkingsprocessen die niet specifiek onder leiding van ons bedrijf staan , zorgen we er vooraf voor dat de gegevens zijn geanonimiseerd en verkrijgen we schriftelijke verklaringen van de derde partij waarin gesteld wordt dat de gegevens uitsluitend worden gebruikt voor de zakelijke doeleinden die in de overeenkomst zijn gedefinieerd en in navolging van de geldende wetgeving, en dat de partij niet zal trachten de gegevens opnieuw te identificeren.
    • Indien de overdracht aan een derde partij vereist is om de legitieme belangen van de persoon of die van het bedrijf te beschermen, kunnen we de informatie overdragen: (1) ter voorkoming van fraude of ter handhaving of bescherming van de rechten en eigendommen van het bedrijf; (2) voor de bescherming van de persoonlijke veiligheid van onze werknemers of derde partijen op onze terreinen, en (3) om onze bedrijfsmiddelen te beschermen door corrigerende veiligheidsmaatregelen te nemen als we redelijkerwijs vermoeden dat een onwettige activiteit of ernstig wangedrag heeft plaatsgevonden.
    • Indien de derde partij een doelwit vormt voor overname of een meerderheidsbelang door ons bedrijf:, (1) voordat we een overeenkomst aangaan om de derde partij over te nemen of een meerderheidsbelang te verkrijgen, voeren we een zorgvuldig privacyonderzoek uit om de privacypraktijken en -risico’s te beoordelen die verbonden zijn aan de overname van of een meerderheidsbelang in die derde partij en (2) gaan we een overeenkomst voor gegevensoverdracht aan waarin de voorwaarden waaronder persoonsgegevens mogen worden vrijgegeven worden gesteld, evenals de respectievelijke verplichtingen van ons bedrijf en de derde partij.
    • Indien de derde partij alle of een deel van de zaken van ons bedrijf overneemt , nemen we voordat we persoonsgegevens delen met betrekking tot een afstoting van enig deel van de zaken van ons bedrijf, de volgende stappen: (1) we gaan een overeenkomst voor gegevensoverdracht aan waarin de voorwaarden worden gesteld waaronder persoonsgegevens mogen worden vrijgegeven aan de aankoper, waaronder de correcte beperkingen wat betreft het toegestane gebruik van persoonsgegevens en naleving van de standaard zoals beschreven in dit beleid en geldende wetgeving, (2) we controleren alle gegevensonderdelen over personen voordat we ze delen, om de eisen voor het delen te beoordelen, (3) we verkrijgen goedkeuring om persoonsgegevens of gevoelige informatie te delen conform de principes voor transparantie en doelbeperking van dit beleid, en (4) we vereisen van derde partijen om ons bedrijf onmiddellijk op de hoogte te stellen van een eventueel privacyvoorval, waaronder een onvermogen om te voldoen aan de standaarden zoals beschreven in dit beleid en geldende wetgeving, en samen te werken om onmiddellijk een op zichzelf staand voorval op te lossen of de verwerking van relevante persoonsgegevens stop te zetten.

    (3) Persoonsgegevens worden door of namens ons bedrijf over landgrenzen, waaronder naar de Verenigde Staten van Amerika, overgedragen conform dit beleid. Dit beleid wordt toegepast op overdracht van persoonsgegevens uit elk ander land of gebied waarin de overdracht van persoonsgegevens wettelijk wordt beperkt, naast het naleven van eventuele vereisten opgelegd door dergelijke wetten (inclusief het gebruik van mechanismen die nodig zijn voor grensoverschrijdende overdrachten).

    8. Wettelijk toegestaan - We verwerken persoonsgegevens uitsluitend wanneer aan de geldende wettelijke eisen is voldaan.

    • • Hoewel de andere 7 privacyprincipes, alsmede de eisen voor individuele rechten die hieronder staan omschreven, bedoeld zijn om ervoor te zorgen dat aan de eisen van de meeste wetten voor privacy- en gegevensbescherming die wereldwijd van toepassing zijn op ons bedrijf wordt voldaan, moeten we in sommige landen voldoen aan aanvullende eisen, met inbegrip van, maar niet beperkt tot het onderstaande:

      1) Indien vereist, zullen we specifieke vormen van toestemming verkrijgen voor bepaalde verwerkingsvormen van persoonsgegevens, inclusief maar niet beperkt tot goedkeuring van een ondernemingsraad en andere vakbonden;

      2) Indien vereist, zullen we de verwerking van persoonsgegevens registreren bij of om goedkeuring vragen van de toepasselijke regelgevende autoriteit op het gebied van privacy- of gegevensbescherming;

      3) Indien vereist, zullen we ruimere rechten (bijvoorbeeld van toegang en correctie) bieden dan wordt uiteengezet in dit beleid;

      4) Indien vereist, zullen we de retentieperiode van persoonsgegevens verder beperken;

      5) Indien vereist, zullen we overeenkomsten aangaan met specifieke contractuele clausules, waaronder overeenkomsten voor grensoverschrijdende gegevensoverdracht aan derde partijen; en

      6) Waar nodig zullen we persoonsgegevens vrijgeven in antwoord op wettige verzoeken van overheidsinstanties, onder meer om te voldoen aan nationale veiligheids- of wetshandhavingsvereisten.

      In geval van tegenstrijdigheid tussen dit beleid en geldende wetgeving, heeft de standaard die meer bescherming biedt aan personen voorrang.

  2. We zullen verzoeken van personen om toegang tot of wijziging, correctie of verwijdering van persoonsgegevens, of om bezwaar te maken tegen de verwerking van persoonsgegevens, of om andere rechten met betrekking tot hun persoonsgegevens uit te oefenen, direct in behandeling nemen.
    1. Toegang, correctie, verwijdering en andere rechten - Onder de wetgeving van de meeste landen waarin we werkzaam zijn, hebben personen het recht om toegang te krijgen tot persoonsgegevens van zichzelf en om persoonsgegevens die onjuist, onvolledig of verouderd zijn te wijzigen, corrigeren of verwijderen. We zullen alle verzoeken voor toegang tot of correctie en verwijdering van persoonsgegevens van alle personen respecteren in navolging van onderstaande sectie 3a. Indien een verzoek om toegang tot of correctie of verwijdering van persoonsgegevens onder een geldende wet valt die betere bescherming biedt aan personen, zullen we ervoor zorgen dat aan de aanvullende eisen van die wet wordt voldaan. In sommige landen hebben personen mogelijk recht op andere rechten met betrekking tot persoonsgegevens over zichzelf, zoals het recht om de verwerking te beperken, om bezwaar te maken tegen verwerking (zie ook sectie 2b hieronder) en om hun gegevens te laten overdragen aan een andere serviceprovider. We zullen de uitoefening van gegevensrechten respecteren in overeenstemming met toepasselijke wetten.
    2. Keuze - In overeenstemming met onze privacywaarden van ‘Respect’ en ‘Vertrouwen’ respecteren wij individuele verzoeken om bezwaar te maken tegen de verwerking van persoonsgegevens, inclusief maar niet beperkt tot: afzien van deelname aan programma’s of activiteiten waaraan iemand eerder wel deelnam, verwerking van persoonsgegevens voor directe marketingcommunicatie, communicatie op basis van zijn/haar persoonsgegevens en eventuele beoordelingen of beslissingen over een persoon die mogelijk van aanzienlijke invloed op hem/haar zijn, gemaakt met behulp van automatisering of algoritmes.
      1. Tenzij wettelijk verboden kunnen wij de keuze afwijzen, wanneer een bepaald verzoek ons bedrijf zou hinderen bij de volgende zaken: (1) het naleven van een wet of ethische verplichting, Waar nodig zullen we persoonsgegevens vrijgeven in antwoord op wettige verzoeken van overheidsinstanties, onder meer om te voldoen aan nationale veiligheids- of wetshandhavingsvereisten, (2) het onderzoeken, indienen of verdedigen van juridische vorderingen en (3) het uitvoeren van contracten, het beheren van relaties of deelname aan andere toegestane zakelijke praktijken die in lijn zijn met de principes van transparantie en doelbeperking en zijn aangegaan op grond van de informatie over de personen in kwestie. De beslissing om een keuzeverzoek af te wijzen conform dit beleid wordt binnen vijftien dagen na het nemen van de beslissing gedocumenteerd en gecommuniceerd aan de aanvrager.
  3. Vragen, klachten en opmerkingen met betrekking tot privacy en alle potentiële privacy- of beveiligingsincidenten worden direct in behandeling genomen.
    1. Iedere persoon wiens persoonsgegevens door ons worden verwerkt binnen de reikwijdte van dit beleid kan op ieder gewenst moment een vraag, klacht of opmerking aan ons bedrijf richten, inclusief een verzoek om een lijst met alle dochterondernemingen van ons bedrijf die onder dit beleid vallen. We verwachten van onze medewerkers en anderen die namens ons bedrijf werkzaam zijn dat ze direct melding maken wanneer ze van oordeel zijn dat ze vanwege geldende wetgeving dit beleid niet kunnen navolgen. Vragen, klachten of opmerkingen van een persoon of een kennisgeving van een medewerker of andere persoon die werkzaamheden uitvoert namens ons bedrijf dienen gericht te worden aan het MSD Global Privacy Office:
      1. Per e-mail naar: msd_privacy_office@msd.com
      2. Per post naar: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, Verenigde Staten, 19454.
    2. Medewerkers en contractmedewerkers dienen het MSD Global Privacy Office of de aangewezen Privacysteward voor hun bedrijfsgebied direct op de hoogte te stellen van vragen, klachten of opmerkingen met betrekking tot de privacypraktijken van ons bedrijf.
    3. Het MSD Global Privacy Office zal, eventueel in samenwerking met het Office of Ethics, de afdeling Legal en/of Compliance, alle vragen, klachten of opmerkingen met betrekking tot de privacypraktijken van ons bedrijf in behandeling nemen, zowel degene die rechtstreeks van onze medewerkers afkomstig zijn als die van andere personen of derde partijen, met inbegrip van, maar niet beperkt tot regelgevende autoriteiten, verantwoordingsplicht inspecteurs en andere overheidsinstanties. We zullen binnen dertig (30) kalenderdagen antwoord geven aan de persoon of entiteit die de vraag, klacht of opmerking naar voren bracht, tenzij een wet of externe aanvrager binnen kortere tijd antwoord eist of tenzij omstandigheden, zoals een gelijktijdig overheidsonderzoek, een langer tijdsbestek vereisen. De persoon of externe aanvrager zal in dat laatste geval zo spoedig mogelijk schriftelijk geïnformeerd worden over de vertraging.
    4. Het MSD Global Privacy Office zal in samenwerking met de afdelingen Legal en Compliance medewerking verlenen aan enig verzoek tot informatie, onderzoek of inspectie door een regelgevende instantie op het gebied van privacy.
    5. Voor klachten die niet kunnen worden opgelost tussen ons bedrijf en de persoon die de klacht heeft ingediend, heeft ons bedrijf ingestemd deel te nemen aan onderstaande procedures om tijdens de behandeling van klachten geschillen te beslechten conform dit beleid. Personen die woonachtig zijn in de EER of personen wiens persoonsgegevens onderhevig zijn aan de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER, kunnen ook op ieder gewenst moment vertrouwen op de onderstaande standaard 3.f.:
      1. voor geschillen met betrekking tot alle persoonsgegevens die door ons bedrijf worden ontvangen uit Zwitserland, heeft ons bedrijf ingestemd samen te werken met de Zwitserse FDPIC;
      2. voor geschillen met betrekking tot de overdracht naar de Verenigde Staten van persoonsgegevens die betrekking hebben op HR-activiteiten en verzameld zijn in het kader van een werkrelatie binnen de EER; ons bedrijf zet zich ook in om samen te werken met de betreffende Europese gegevensbeschermingsautoriteit.
      3. voor geschillen met betrekking tot alle andere persoonsgegevens die onder dit beleid vallen, inclusief maar niet beperkt tot de gegevens die betrekking hebben op onze naleving van de Economische Samenwerking Azië – Stille Oceaan (‘APEC’) grensoverschrijdende privacyregels (Cross-Border Privacy Rules, ‘CBPR’s’), het EU-Amerikaans en Zwitsers-Amerikaans Privacyschild,, heeft ons bedrijf ingestemd met geschillenbeslechting door TRUSTe, een Amerikaanse dienstverlener op het gebied van geschillenbeslechting. Personen die een vraag of opmerking uiten aan ons bedrijf en die geen reactie krijgen van ons bedrijf, of die van mening zijn dat hun vraag of opmerking niet naar tevredenheid is afgehandeld, dienen contact op te nemen met het programma voor geschillenbeslechting van TRUSTe, op het internet, via e-mail of per fax. Vragen via e-mail of fax dienen Merck & Co., Inc. of MSD te vermelden als het bedrijf waaraan een vraag of opmerking is gericht. Het bericht dient een beschrijving van het privacyprobleem te bevatten, de naam van de persoon die de navraag indient en of TRUSTe de details van de navraag mag delen met ons bedrijf. TRUSTe zal optreden als liaison voor ons bedrijf om deze geschillen te beslechten.
        1. Online
        2. Fax: +1-415-520-3420
        3. Mail: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137 San Francisco, CA, USA 94103-1905
      4. Voor meer informatie over TRUSTe of hoe geschillen worden afgehandeld in de klachtenprocedure van TRUSTe, kunt u de site van TRUSTe bezoeken of informatie van TRUSTe aanvragen per post of fax, met behulp van bovenstaande contactgegevens. De klachtenprocedure van TRUSTe wordt in de Engelse taal uitgevoerd.
      5. v. Voor eventuele geschillen onder het Europees-Amerikaanse en Zwitsers-Amerikaans Privacyschild die niet opgelost kunnen worden met de stappen zoals beschreven in deze sectie, hebben individuen de optie om een beroep te doen op bindende arbitrage in overeenstemming met de procedures voor het Privacyschildpanel opgezet onder het Europees-Amerikaanse/Zwitsers-Amerikaans Privacyschild..
    6. Alle personen die binnen de EER woonachtig zijn, of personen wiens persoonsgegevens vallen onder de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER, en wiens gegevens conform dit beleid worden verwerkt, hebben onder dit beleid op ieder gewenst moment het recht om de eisen van dit beleid als externe begunstigden af te dwingen, waaronder ook het recht om gerechtelijke actie te ondernemen om schending van hun rechten onder dit beleid (zoals uiteengezet in sectie 2 hierboven) te herstellen en het recht op vergoeding van schade opgelopen ten gevolge van deze schending. Personen die woonachtig zijn in de EER of personen wiens persoonsgegevens vallen onder de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER (ter verduidelijking, inclusief de VS), kunnen onder dit beleid een vordering of klacht indienen tegen Merck, Sharp & Dohme (Europa) Inc. - België-filiaal (‘MSD Europe’):
      1. In de rechtbanken of met de instantie van gegevensbescherming in het EER-land van waar de persoonsgegevens werden overgedragen,
      2. In de rechtbank of de gegevensbeschermingsautoriteit in het land van de EER waar zij hun gewone verblijfplaats hebben, of
      3. In de rechtbanken van België of met de Belgische Privacycommissie.
    7. Ons bedrijf zal binnen dertig (30) kalenderdagen antwoord geven aan de persoon of entiteit die de vraag, klacht of opmerking naar voren bracht, tenzij een wet of externe aanvrager binnen kortere tijd antwoord eist of tenzij omstandigheden een langer tijdsbestek vereisen. De persoon of externe aanvrager zal in dat laatste geval schriftelijk bericht ontvangen.
  4. Wij dragen verantwoording voor het handhaven van onze privacywaarden en -normen.
    1. De dochteronderneming van ons bedrijf die verantwoordelijk is voor een handeling die leidt tot een op zich zelf bestaand privacy- of beveiligingsincident is financieel verantwoordelijk voor het bedrag van een schadeclaim of boete die hiervan het gevolg is.
      1. In samenwerking met en onder leiding van het MSD Global Privacy Office draagt MSD Europe de verantwoording om ervoor te zorgen dat de nodige maatregelen worden getroffen voor het in behandeling nemen van enige vermeende overtredingen van dit beleid, door dochterondernemingen van ons bedrijf buiten de EER, die van invloed zijn op personen die woonachtig zijn in de EER of personen wiens persoonsgegevens onderhevig zijn aan de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER, en, indien vereist, om de boetes, sancties en schadevergoedingen te betalen voor schendingen van dit beleid, die van invloed zijn op personen die woonachtig zijn in de EER of personen wiens persoonsgegevens vallen onder de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER. Met ondersteuning van het MSD Global Privacy Office en de dochteronderneming van ons bedrijf die buiten de EER is gevestigd en die verantwoordelijk is voor de vermeende overtreding, draagt MSD Europe de verantwoording om aan te tonen dat ons bedrijf niet aansprakelijk is voor de vermeende overtreding. Wanneer een andere dochteronderneming van ons bedrijf verantwoordelijk is voor de handeling die heeft geleid tot de boete, sanctie of schadevergoeding, kan worden vereist dat deze dochteronderneming ieder bedrag dat is betaald door MSD Europe direct vergoedt aan MSD Europe. Als een dochteronderneming van ons bedrijf buiten de EER dit beleid schendt, zijn de rechtbanken of de gegevensbeschermingsautoriteiten in de EER bevoegd en heeft de getroffen persoon de rechten en rechtsmiddelen tegen MSD Europe zoals uiteengezet in sectie 3.f. hierboven.
      2. In samenwerking met en onder leiding van het MSD Global Privacy Office draagt Merck Sharp & Dohme Corp. de verantwoording om ervoor te zorgen dat de nodige maatregelen worden getroffen voor het in behandeling nemen van enige vermeende overtredingen van dit beleid die van invloed zijn op personen die woonachtig zijn buiten de EER, en, indien vereist, om de boetes, sancties en schadevergoedingen te betalen voor schendingen van dit beleid die van invloed zijn op personen die woonachtig zijn buiten de EER of personen wiens persoonsgegevens niet vallen onder de wet voor gegevensbescherming van de EER. Wanneer een andere dochteronderneming van ons bedrijf verantwoordelijk is voor de handeling die heeft geleid tot de boete, sanctie of schadevergoeding, kan worden vereist dat deze dochteronderneming ieder bedrag dat is betaald door Merck Sharp & Dohme Corp. direct vergoedt aan Merck Sharp & Dohme Corp.

Toezicht en controle

Om de garantie te bieden aan toezichthouders en andere belanghebbenden dat ons bedrijf verantwoording draagt voor de toewijding aan ethische en verantwoordelijke privacypraktijken, handhaaft het bedrijf een uitgebreide bestuursgroep voor toezicht en controle , onder leiding van een Chief Privacy Officer en met een aangewezen Global Privacy Office (GPO), een toegewezen EU-DPO, DPO's van landen indien vereist door de wet of lokale autoriteiten, en Privacystewards en Privacystewards, die worden aangesteld door senior leidinggevenden en als liaisons optreden tussen de MSD Global Privacy Office en de bestuursgebieden waarin zij werkzaam zijn.

Ons bedrijf beroept zich op de Privacy Accountability Agents die wettelijk verplicht zijn om op periodieke basis, de naleving aan te tonen van de eisen van dit beleid en wetgevingen zoals de APEC CBPR’s.

Naast de verzekeringsevaluaties die worden beheerd door het MSD Global Privacy Office, zullen interne en externe audit- en verzekeringsteams nalevingscontroles uitvoeren om te verifiëren dat MSD zich aan dit beleid houdt, inclusief alle beleidsregels, procedures, standaarden en richtlijnen die ondergeschikt zijn aan dit beleid. Er worden corrigerende en preventieve actieplannen ontwikkeld en geïmplementeerd om hiaten aan te pakken die door de audit- en verzekeringsteams worden waargenomen. De resultaten van het auditprogramma worden gecommuniceerd aan de Chief Privacy Officer en de Privacy en Data Protection Board, die verantwoordelijk zijn voor de rapportage ervan zoals beschreven in dit beleid.

Privacy- en gegevensbescherming autoriteiten die dit beleid hebben goedgekeurd of die rechtsbevoegdheid hebben over onze praktijken onder dit beleid, hebben het recht om onze naleving hiervan te verifiëren. Wij zullen ons houden aan het advies van deze competente autoriteiten voor wat betreft de interpretatie en toepassing van dit beleid.

Belangrijke termen

  • Beveiligingsincident: Een beveiligingsinbreuk die leidt tot toevallige of onwettige vernietiging, verlies, wijziging, onwettige openbaarmaking van of toegang tot persoonsgegevens, of redelijke veronderstelling door ons bedrijf van hetzelfde. Toegang tot persoonsgegevens door of namens ons bedrijf zonder de intentie om dit beleid te schenden wordt niet als beveiligingsincident gezien, op voorwaarde dat de verkregen informatie alleen verder gebruikt en openbaar gemaakt is zoals toegestaan in dit beleid.
  • Derde partij: alle wettelijke entiteiten, organisaties of persoon die niet in bezit zijn van ons bedrijf, of waarin ons bedrijf geen zeggenschapsbelangen heeft, of die niet in dienst zijn van ons bedrijf. Tenzij uitdrukkelijk vermeld in dit beleid, worden dochterondernemingen of afdelingen van ons bedrijf niet geacht aan de eisen van een derde partij te voldoen onder dit beleid, aangezien alle dochterondernemingen of afdelingen persoonsgegevens dienen te verwerken in navolging van dit beleid, met inbegrip van omstandigheden waarin een of meer van de dochterondernemingen van ons bedrijf ondersteuning biedt/bieden aan een of meer andere dochterondernemingen van ons bedrijf bij de verwerking.
  • Geanonimiseerd:het aanpassen, inkorten, doorhalen of anderszins bewerken of wijzigen van persoonsgegevens, zodat deze onomkeerbaar onmogelijk gebruikt kunnen worden voor het identificeren of lokaliseren van of contact opnemen met een persoon, hetzij alleen of in combinatie met andere informatie.
  • Gevoelige informatie: alle soorten persoonsgegevens die een inherent risico van mogelijke schade aan personen met zich meebrengen, waaronder informatie die wettelijk is aangemerkt als gevoelig, met inbegrip van, maar niet beperkt tot informatie met betrekking tot gezondheid, genetica, biometrie, ras, etnische oorsprong, religie, politieke of filosofische meningen of overtuigingen, criminele antecedenten, precieze gegevens van geolocatie, nummers van bankrekeningen of andere financiële rekeningen, door de overheid uitgegeven identificatienummers, minderjarige kinderen, seksleven, seksuele oriëntatie, vakbondslidmaatschap, verzekering, burgerservicenummer en andere door de werkgever of overheid uitgegeven arbeidsvoorwaarden.
  • Ons bedrijfMerck & Co., Inc. (Kenilworth, NJ, VS), haar opvolgers, dochterondernemingen en afdelingen wereldwijd, met uitzondering van joint ventures waar ons bedrijf deel van uitmaakt.
  • Persoonsgegevens: alle gegevens met betrekking tot een geïdentificeerde of identificeerbare persoon, waaronder gegevens die een persoon identificeren of die gebruikt kunnen worden om een persoon te identificeren, lokaliseren, volgen of benaderen. Onder persoonsgegevens vallen zowel direct identificeerbare gegevens, zoals een naam, identificatienummer of unieke functietitel, als indirect identificeerbare gegevens, zoals een geboortedatum, unieke identificatiecode van mobiel of draagbaar apparaat, telefoonnummer of sleutelgecodeerde gegevens en online identificators zoals IP-adressen.
  • Privacyincident:een overtreding of schending van dit beleid of van een privacy- of gegevensbescherming wet; inclusief een beveiligingsincident. Beslissingen of een privacyincident heeft plaatsgevonden en of dit belangrijk is, worden door het MSD Global Privacy Office, Information Technology Risk Management and Security (ITRMS) en het Office of General Counsel genomen.
  • Verwerking:de uitvoering van een operationele handeling of een reeks operationele handelingen met persoonsgegevens, al dan niet automatisch en inclusief, maar niet beperkt tot, verzameling, opname, organisatie, opslag, toegang, aanpassing, wijziging, opvraging, raadpleging, gebruik, beoordeling, analyse, verslaggeving, het delen, bekendmaking, verspreiding, overdracht, het beschikbaar maken, afstemming, combinatie, blokkering, het (uit)wissen of de vernietiging ervan.
  • Wetgevingalle geldende wetten, regels, voorschriften en bepalingen die de geldigheid van wetgeving hebben in alle landen waarin ons bedrijf werkzaam is of waarin persoonsgegevens worden verwerkt door of namens ons bedrijf. Hieronder vallen alle privacykaders waaronder ons bedrijf is goedgekeurd of gecertificeerd, met inbegrip van de Economische samenwerking Azië – Stille Oceaan (‘APEC’) grensoverschrijdende privacyregels ("CBPRs"), het Europees-Amerikaanse en het Zwitsers-Amerikaanse Privacyschild - onder de onderzoeks- en handhavingsbevoegdheden van de Amerikaanse Federal Trade Commission.

Wijzigingen aan dit beleid

Dit beleid kan van tijd tot tijd worden aangepast, in overeenstemming met de eisen van de geldende wetgeving. Wanneer dit beleid wezenlijk wordt veranderd, wordt er gedurende 60 dagen een kennisgeving op de privacywebsite van ons bedrijf geplaatst (https://msdprivacy.com)

Ingangsdatum

30 april 2018

TRUSTeTRUSTeThis Web Accessibility icon serves as a link to download eSSENTIAL Accessibility assistive technology software for individuals with physical disabilities. It is being featured as part of a Disability Community Involvement initiative that reflects our commitment to Diversity, Inclusion,Corporate Citizenship and Social Responsibility.
Twitter IconLinkedin Icon

Copyright © 2009-2018 Merck Sharp & Dohme Corp., a subsidiary of Merck & Co., Inc. Kenilworth, NJ, USA. All rights reserved. This website is maintained by Merck Sharp & Dohme Corp., a subsidiary of Merck & Co., Inc., Kenilworth, NJ, USA.