worldwide

worldwide

Bij Merck & Co., Inc., Rahway, N.J., Verenigde Staten, dat buiten de VS en Canada de handelsnaam MSD draagt, omvat onze missie voor het redden en verbeteren van levens ook het respecteren van privacy en het beschermen van persoonsgegevens.

Beoordelingsdatum: 1 september 2023
Ingangsdatum: 1 september 2023

We streven ernaar om zaken te doen in naleving van onze privacywaarden omdat we geloven dat ze staan voor onze onwankelbare toewijding aan ethische en verantwoorde bedrijfspraktijken. We erkennen dat innovatie en nieuwe technologieën tot voortdurende verandering in risico’s, verwachtingen en wetgeving leiden, dus we volgen de standaarden voor privacyverantwoording en zijn van zins om de toepassing van deze waarden direct aan te passen in reactie op deze veranderingen.

Dit beleid definieert onze wereldwijde normen voor het beheer en de bescherming van persoonsgegevens door of namens ons bedrijf, ongeacht het land waaruit deze afkomstig zijn of waarnaar de persoonsgegevens mogen worden overgedragen. Het beschrijft onze belangrijkste verplichtingen ter ondersteuning van de naleving van onze APEC-certificering voor grensoverschrijdende privacyregels, onze Binding Corporate Rules (‘BCR´s’) die zijn goedgekeurd in de Europese Unie en onze zelfcertificering voor het Amerikaans-Europees Data Privacy Framework-programma (DPF), de Britse uitbreiding op het DPF en het Amerikaans-Zwitsers Data Privacy Framework-programma.

Ons bedrijf voldoet aan het Amerikaans-Europees Data Privacy Framework-programma (Amerikaans-Europees DPF), de Britse uitbreiding op het Amerikaans-Europees DPF en het Amerikaans-Zwitsers Data Privacy Framework-programma (Amerikaans-Zwitsers DPF) zoals bepaald door het Amerikaanse Ministerie van Handel. We hebben officieel verklaard aan het Amerikaanse Ministerie van Handel dat we ons houden aan de beginselen van het Amerikaans-Europees Data Privacy Framework (Amerikaans-Europees DPF-beginselen) met betrekking tot de verwerking van persoonsgegevens ontvangen uit de Europese Unie op grond van het Amerikaans-Europees DPF, en uit het Verenigd Koninkrijk (en Gibraltar) op grond van de uitbreiding voor het VK van het Amerikaans-Europees DPF. We hebben officieel verklaard aan het Amerikaanse Ministerie van Handel dat we ons houden aan de beginselen van het Amerikaans-Zwitsers Data Privacy Framework-programma (Amerikaans-Zwitsers DPF-beginselen) met betrekking tot de verwerking van persoonsgegevens die worden ontvangen uit Zwitserland op grond van het Amerikaans-Zwitsers DPF. In geval van tegenstrijdigheden tussen de bepalingen van dit beleid en de Amerikaans-Europese DPF-beginselen en/of de Amerikaans-Zwitserse DPF-beginselen, prevaleren de Beginselen. Meer informatie over het Data Privacy Framework-programma (DPF) en onze nalevingsverklaring vindt u op https://www.dataprivacyframework.gov/.

Dit beleid is van toepassing op onze bedrijfsvoering in elk land en op elke activiteit met persoonsgegevens die we uitvoeren in elke dochteronderneming en elke divisie (inclusief activiteiten uitgevoerd door eventuele opvolgers in ons bedrijf), met inbegrip van, maar niet beperkt tot onze ondersteunende activiteiten voor onderzoek, productie, commerciële of bedrijfsdoeleinden en de gegevensoverdracht die vereist is om deze activiteiten uit te voeren, met inbegrip van, maar niet beperkt tot:

Dit beleid is ook van toepassing op alle mensen van wie wij gegevens verwerken, met inbegrip van, maar niet beperkt tot, professionele zorgverleners en andere klanten; toekomstige, huidige en voormalige medewerkers en hun personen ten laste, patiënten, zorgverleners, onderzoekers en deelnemers aan onderzoeken, leden van wetenschappelijke en ethische commissies, zakenpartners, investeerders en aandeelhouders, overheidsambtenaren en andere stakeholders.

Alle medewerkers en senior leidinggevenden van het bedrijf hebben kernverantwoordelijkheden wat betreft privacy die ze dienen na te leven.

We erkennen dat onbedoelde fouten en vergissingen met betrekking tot de bescherming van persoonsgegevens kunnen leiden tot privacyrisico’s voor personen en reputatie-, bedrijfsvoerings-, financiële en nalevingsrisico’s voor ons bedrijf. Wij zullen alle medewerkers en andere personeelsleden die permanent of regelmatig toegang hebben tot persoonsgegevens en die betrokken zijn bij het verzamelen van gegevens of bij de ontwikkeling van instrumenten voor de verwerking van persoonsgegevens, een passende training over dit beleid geven. Alle medewerkers van ons bedrijf en anderen die gegevens over personen verwerken voor ons bedrijf, dragen de verantwoordelijkheid om begrip te hebben van hun plichten en deze na te volgen, zoals gesteld in dit beleid en de geldende wetgeving.

Onze privacynormen en -waarden

We leven onze privacywaarden na in alles wat we doen dat betrekking heeft op mensen, inclusief de manier waarop we onze privacystandaarden toepassen. Onze vier privacywaarden zijn:

Respect

Vertrouwen

Schade voorkomen

Aan de regels houden

We erkennen dat privacykwesties vaak te maken hebben met de essentie van wie we zijn, hoe we de wereld zien en hoe we onszelf definiëren. Daarom streven we ernaar de perspectieven en belangen van individuen en gemeenschappen te respecteren en eerlijk en transparant te zijn in hoe we gegevens over hen gebruiken en delen.

We weten dat vertrouwen cruciaal is voor ons succes, dus we streven ernaar om het vertrouwen van onze klanten, medewerkers, patiënten en andere stakeholders op te bouwen en te behouden in de manier waarop we respect hebben voor hun privacy en persoonsgegevens beschermen.

We begrijpen dat verkeerd gebruik van informatie over personen zowel tastbare als ontastbare schade kan berokkenen aan personen, dus we trachten om fysieke, financiële, reputatiegebonden en andere soorten privacyschade aan personen te vermijden.

We hebben geleerd dat wet- en regelgeving niet altijd gelijke pas kan houden met de snelle verandering in technologie, datastroom en de bijbehorende verschuivingen in privacyrisico’s en verwachtingen. Daarom streven we ernaar om zowel de geest als het woord van wet- en regelgeving voor privacy en gegevensbescherming na te leven, op een manier die consistentie en efficiëntie stimuleert voor onze wereldwijde bedrijfsvoering.

  1. We sluiten onze privacystandaarden in in alle activiteiten, processen, technologieën en relaties met derde partijen die persoonsgegevens gebruiken. We ontwikkelen privacycontroles in onze processen en technologieën die in lijn zijn met onze privacywaarden en -standaarden en de geldende wetgeving. De onderstaande 8 privacyprincipes vormen een samenvatting van onze privacystandaarden en kerneisen voor processen, activiteiten en de ondersteunende technologieën op een hoog niveau.

    Privacyprincipes

    Onze kernwaarden

    1. Noodzaak – Voordat persoonsgegevens worden verzameld, gebruikt of gedeeld, definiëren en documenteren we de specifieke, legitieme bedrijfsdoelen waarvoor ze nodig zijn.

    • We bepalen en documenteren hoe lang persoonsgegevens nodig zijn voor die gedefinieerde zakelijke doeleinden en de toepasselijke wettelijke vereisten.
    • We verzamelen, gebruiken of delen niet meer persoonsgegevens dan noodzakelijk en we bewaren de gegevens in identificeerbare vorm niet langer dan noodzakelijk voor de gestelde bedrijfsdoeleinden en toepasselijke wettelijke vereisten.
    • We maken de gegevens anoniem wanneer de bedrijfseisen noodzakelijk stellen dat de gegevens over de activiteit of het proces voor langere tijd bewaard worden.
    • We zorgen ervoor dat deze noodzakelijkheidseisen inherent zijn aan eventuele ondersteunende technologie en dat ze worden gecommuniceerd aan derde partijen die de activiteit of het proces ondersteunen.

    2. Eerlijkheid – We verwerken persoonsgegevens niet op een manier die oneerlijk is voor de personen op wie de gegevens betrekking hebben.
    • We stellen vast of het voorgestelde verzamelen, gebruik of een andere vorm van verwerking van persoonsgegevens een waarschijnlijk en/of ernstig risico van tastbare of ontastbare schade aan personen behelst, conform onze privacywaarde van Schade voorkomen.
    • Als de aard van de gegevens, de soorten mensen of de activiteit een waarschijnlijk en/of ernstig risico van tastbare of ontastbare schade aan personen inhouden, zorgen wij ervoor dat het risico van schade wordt gecompenseerd door een overeenkomstig voordeel voor die personen of voor onze missie om levens te redden en te verbeteren, en wordt beperkt door de maatregelen, waarborgen en mechanismen die wij hebben ingesteld.
    • Wanneer het risico groter lijkt dan de voordelen voor personen, passen wij de meest relevante beveiligings- en beschermingsmaatregelen toe, informeren wij personen over dit feit en vragen wij indien mogelijk advies aan de bevoegde regelgevende autoriteit.
    • Wij verwerken gevoelige informatie alleen met de uitdrukkelijke toestemming van de betrokkenen, zoals uitdrukkelijk vereist of uitdrukkelijk toegestaan door de toepasselijke wetgeving,
    • Wanneer het risico zwaarder lijkt te wegen dan de voordelen voor personen, documenteren wij de risicoanalyse en ontwerpen wij alle vereiste mechanismen om de risico’s zoveel mogelijk te beperken.

    3. Transparantie – We verwerken geen persoonsgegevens op wijzen of voor doeleinden die niet transparant zijn.

    • Alle personen over wie persoonsgegevens worden verwerkt volgens dit beleid hebben recht op een exemplaar van dit beleid. We maken kopieën van dit beleid online beschikbaar op https://www.msdprivacy.com/index.html. Het wereldwijde privacybureau verstrekt op verzoek elektronische en/of papieren exemplaren van dit beleid aan onderstaande adressen.
    • Als persoonsgegevens rechtstreeks van personen worden verzameld, stellen we hen, voorafgaand aan de verzameling van de gegevens, hiervan op de hoogte middels een duidelijke, opvallende en eenvoudig toegankelijke privacymelding of gelijkaardig middel met (1) de verwerkingsverantwoordelijke bedrijfsentiteit(en), (2) de contactgegevens van onze Chief Privacy Officer en/of de regionale/lokale Functionaris voor Gegevensbescherming, (3) welke informatie er wordt verzameld, (4) de doeleinden waarvoor ze zal worden gebruikt, (5) de rechtsgrond voor onze verwerking, (6) met wie ze zal worden gedeeld, waaronder eventuele vereisten om persoonsgegevens vrij te geven naar aanleiding van rechtmatige verzoeken door overheidsinstanties, (7) of en hoe wij de persoonsgegevens zullen overdragen aan andere landen, waaronder de relevante landen waar mogelijk, (8) hoelang de gegevens zullen worden bewaard, of de criteria aan de hand waarvan wij die beslissing nemen (9) hoe de betrokkenen een vraag kunnen stellen, een opmerking kunnen indienen of hun rechten met betrekking tot hun persoonsgegevens kunnen uitoefenen, (10) hoe zij hun toestemming die zij hebben verleend, kunnen intrekken, (11) hun recht om een klacht in te dienen bij een toezichthoudende autoriteit, (12) elke verplichting om persoonsgegevens te verstrekken en de gevolgen van het nalaten hiervan, (13) elke geautomatiseerde besluitvorming, inclusief profilering, die we zullen uitvoeren, (14) een link naar dit beleid, waar mogelijk en gepast. Onze uitgebreide privacyverklaringen voor diverse belanghebbenden zijn online beschikbaar op http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html
    • Wanneer persoonsgegevens worden verkregen via observaties, sensoren of andere indirecte middelen, is het wellicht niet mogelijk om een privacymelding aan de persoon te richten ten tijde van de verzameling van de gegevens. In zulke gevallen verzekeren we de persoon via andere middelen van transparantie, bijvoorbeeld geplaatst of gedrukt op het apparaat of de bijbehorende middelen van het apparaat waarmee de gegevens worden verzameld.
    • Wanneer persoonsgegevens via een website, mobiele app of andere online applicatie of middel worden verzameld, passen we de technologiegebonden standaarden toe zoals vermeld in ons Internetprivacybeleid en ons Cookieprivacybeleid om ervoor te zorgen dat er wordt voldaan aan de transparantie-eisen van dit beleid.
    • Wanneer persoonsgegevens worden verzameld van andere bronnen en wanneer het niet specifiek onder leiding is van ons bedrijf, verifiëren we schriftelijk en vooraf dat de aanbieder van de gegevens de personen heeft geïnformeerd over de manieren en doeleinden waarvoor ons bedrijf de informatie zal gebruiken. Als schriftelijke verificatie niet kan worden verkregen van de aanbieder van de gegevens, gebruiken we uitsluitend anonieme gegevens, of informeren we de personen, voordat de persoonsgegevens worden gebruikt, middels een privacymelding of gelijkaardig middel van (1) de verwerkingsverantwoordelijke bedrijfsentiteit(en) voor het verwerken van de gegevens, (2) de contactgegevens van onze Chief Privacy Officer en/of de regionale/lokale Functionaris voor Gegevensbescherming (3) welke informatie ons bedrijf plant te gebruiken, (4) de doeleinden waarvoor ons bedrijf het zal gebruiken, (5) de rechtsgrond voor onze verwerking (6) met wie ons bedrijf de informatie zal delen, (7) of en hoe wij de persoonsgegevens zullen overdragen aan andere landen, waaronder de relevante landen waar mogelijk, (8) hoelang ons bedrijf de informatie zal bewaren, of de criteria aan de hand waarvan wij die beslissing nemen (9) hoe ze een vraag kunnen stellen, een opmerking kunnen plaatsen of hun rechten kunnen uitoefenen met betrekking tot de persoonsgegevens (10) hoe zij hun toestemming die zij hebben verleend, kunnen intrekken, (11) hun recht om een klacht in te dienen bij een toezichthoudende autoriteit, (12) elke verplichting om persoonsgegevens te verstrekken en de gevolgen van het nalaten hiervan (13) elke geautomatiseerde besluitvorming, inclusief profilering, die we zullen uitvoeren, (14) een link naar dit beleid, waar mogelijk en gepast.
    • We zorgen ervoor dat de nodige transparantiemiddelen, waaronder (waar mogelijk) mechanismen die verzoeken van individuele rechten ondersteunen, worden ingesloten in de ondersteunende technologieën, en dat derde partijen die de activiteit of het proces ondersteunen geen persoonsinformatie verwerken op wijzen die tegenstrijdig zijn met de informatie verschaft aan individuen middels privacymeldingen of andere verifieerbare middelen over wat er door ons en door anderen namens ons met de informatie zal worden gedaan.
    • Wanneer we toestemming vragen, verkrijgen we bewijs van toestemming en documenteren we dit in onze ondersteunende technologieën.

    4. Doelbeperking – We gebruiken persoonsgegevens uitsluitend conform de principes van noodzakelijkheid en transparantie.

    • Als nieuwe legitieme bedrijfsdoeleinden worden geïdentificeerd voor persoonsgegevens die eerder werden verzameld, zorgen we ervoor dat we, of de goedkeuring krijgen van de persoon voor het nieuwe gebruik van de persoonsgegevens, of dat het nieuwe bedrijfsdoeleinde verenigbaar is met en wezenlijk gelijk is aan, een doeleinde dat werd omgeschreven in een privacymelding of ander transparant mechanisme dat daarvoor aan de persoon werd verstrekt. We zullen de verenigbaarheid bepalen op basis van (1) elke link tussen de oorspronkelijke doeleinden en het voorgestelde nieuwe doel (2) de redelijke verwachtingen van de persoon, (3) de aard van de persoonsgegevens, (4) de gevolgen van verdere verwerking voor de persoon, en (5) de veiligheidsmaatregelen die we hebben ingevoerd.
    • We passen dit principe niet toe op geanonimiseerde gegevens of als we persoonsgegevens uitsluitend gebruiken voor historische en wetenschappelijke onderzoeksdoeleinden en wanneer (1) een ethische beoordelingscommissie, of een andere competente beoordelaar, heeft vastgesteld dat het risico van dergelijk gebruik voor wat betreft privacy en andere rechten van de persoon acceptabel is, (2) wij passende voorzorgsmaatregelen hebben genomen om gegevensminimalisering te garanderen, (3) de persoonsgegevens pseudogeanonimiseerd zijn en (4) alle andere toepasselijke wetten worden nageleefd.
    • We verzekeren dat doelbeperking wordt toegepast op ondersteunende technologie, met inbegrip van rapportagemogelijkheden en het downstream delen van gegevens.

    5. Gegevenskwaliteit – We houden persoonsgegevens accuraat, volledig en actueel, in overeenstemming met het bedoelde gebruik.

    • We zorgen ervoor dat mechanismen voor periodieke gegevensbeoordeling worden toegepast op ondersteunende technologieën om de juistheid van gegevens te bevestigen tegenover bron- en downstreamsystemen.
    • We zorgen ervoor dat gevoelige informatie wordt gecontroleerd op juistheid en actualiteit, vóór het gebruik, de beoordeling, analyse, melding of andere processen die een risico van oneerlijkheid vormen ten opzichte van personen, indien onjuiste of verouderde gegevens worden gebruikt.
    • Indien wijzigingen worden aangebracht in persoonsgegevens, door ons bedrijf of derde partijen die voor ons bedrijf werken, zorgen we ervoor dat deze wijzigingen tijdig worden gecommuniceerd aan de betrokkenen, waar redelijkerwijs mogelijk.

    6. Veiligheid – We passen beveiligingsmaatregelen toe om persoonsgegevens en gevoelige informatie te beschermen tegen verlies, misbruik en onbevoegde toegang, bekendmaking, wijziging of vernietiging.

    • We hebben een uitgebreid beveiligingsprogramma voor gegevens ingesteld en passen beveiligingsmaatregelen toe die gebaseerd zijn op de gevoeligheid van de informatie en het risiconiveau van de activiteit, rekening houdend met beste praktijken van de huidige technologie en de kosten van implementatie. Onze functionele beleidslijnen voor veiligheid omvatten, maar zijn niet beperkt tot, standaarden over bedrijfscontinuïteit en rampenherstel, encryptie, identiteits- en toegangsbeheer, classificatie van informatie, incidentenbeheer van informatieveiligheid, controle van netwerktoegang, fysieke beveiliging en risicobeheer.

    7. Gegevensoverdracht – Wij zijn verantwoordelijk voor en we waarborgen de privacybescherming voor persoonsgegevens wanneer deze worden overgedragen van of naar andere organisaties of over landgrenzen.

    (1) We dragen persoonsgegevens binnen ons bedrijf over als aan de volgende vereisten wordt voldaan:

    • (1) het delen is noodzakelijk om het doel te bereiken waarvoor de persoonsgegevens oorspronkelijk werden verzameld of een ander legitiem belang van het bedrijf dienen, en (2) het doel waarvoor het zal worden gedeeld, en het feit dat het zal worden gedeeld, in overeenstemming is met de privacyverklaring of met een ander transparantiemechanisme dat eerder aan de persoon is verstrekt op het moment dat de persoonsgegevens oorspronkelijk werden verzameld en de persoon waar nodig toestemming gaf. (3) wanneer een van de dochterondernemingen van ons bedrijf uitsluitend namens een andere dochteronderneming van ons bedrijf optreedt bij het verwerken van persoonsgegevens of (4) deze dochterondernemingen van ons bedrijf waar wettelijk verplicht een interne overeenkomst betreffende gegevensverwerking afsluiten, conform principe 8 van dit beleid. (5) indien de IT-infrastructuur een dergelijke overdracht vereist, mits alle passende veiligheids- en organisatorische maatregelen zijn genomen om een dergelijke overdracht in overeenstemming te brengen met de voorschriften.

    (2) We dragen persoonsgegevens alleen over aan derde partijen of staan hen toe de gegevens te verwerken als aan de volgende eisen is voldaan, en we zijn aansprakelijk voor het garanderen dat derde partijen waarmee we zakendoen voldoen aan deze vereisten:

    • Wanneer de derde partij persoonsgegevens voor of namens ons bedrijf verwerkt en voordat persoonsgegevens aan de derde partij worden verstrekt, nemen wij de volgende stappen: (1) zorgvuldig privacyonderzoek uitvoeren om de privacypraktijken en -risico’s te beoordelen die verbonden zijn aan deze derde partijen, (2) contractuele garantie van deze derde partijen verkrijgen dat ze persoonsgegevens uitsluitend zullen verwerken conform de instructies van ons bedrijf en in naleving van dit beleid, met inbegrip van, maar niet beperkt tot, alle 8 de privacyprincipes en de andere standaarden die in dit beleid worden gesteld, en de geldende wetgeving; dat ze ons bedrijf direct op de hoogte zullen stellen van eventuele privacyincidenten, waaronder een eventueel onvermogen om te kunnen voldoen aan de standaarden zoals beschreven in dit beleid en geldende wetgeving, of beveiligingsincidenten, en samenwerken om onmiddellijk een op zichzelf bestaand voorval op te lossen en om de individuele rechten te behandelen zoals beschreven in onderstaande sectie 2; dat zij geen ander bedrijf zullen inschakelen om de persoonsgegevens te verwerken zonder onze schriftelijke toestemming en zonder een overeenkomst die gelijkwaardige verplichtingen inzake gegevensbescherming oplegt, dat zij alle persoonsgegevens verwijderen of aan ons retourneren, nadat zij klaar zijn met het verlenen van diensten aan ons of op ons verzoek, en dat ze ons bedrijf zullen toestaan controles en audits uit te voeren naar hun praktijken op naleving van deze eisen gedurende de verwerking van de gegevens. Daarnaast, wanneer een derde persoonsgegevens verwerkt die afkomstig zijn uit een land of gebied waar de wetgeving de overdracht van persoonsgegevens beperkt, zullen we ervoor zorgen dat de overdracht aan de derde voldoet aan de eisen voor grensoverschrijdende gegevensoverdracht, zoals beschreven in onderstaande sectie (3).
    • Indien de derde partij persoonsgegevens aan ons bedrijf levert, zorgen we er vooraf voor dat er wordt voldaan aan de transparantie-eisen voor het verzamelen van persoonsgegevens van andere bronnen en niet specifiek onder leiding van ons bedrijf. Ook verkrijgen we een contractuele verklaring van de derde partij waarin gesteld wordt dat ze geen wetten of rechten van een derde partij overtreedt met het leveren van persoonsgegevens aan ons bedrijf.
    • Indien de derde partij gegevens van ons bedrijf ontvangt voor verwerkingsprocessen die niet specifiek onder leiding van ons bedrijf staan, zorgen we er vooraf voor dat de gegevens zijn geanonimiseerd en verkrijgen we schriftelijke verklaringen van de derde partij waarin gesteld wordt dat de gegevens uitsluitend worden gebruikt voor de zakelijke doeleinden die in de overeenkomst zijn gedefinieerd en in navolging van de geldende wetgeving, en dat de partij niet zal trachten de gegevens opnieuw te identificeren.
    • Indien de overdracht aan een derde partij vereist is om de legitieme belangen van de persoon of die van het bedrijf te beschermen kunnen we de informatie overdragen: (1) ter voorkoming van fraude of ter handhaving of bescherming van de rechten en eigendommen van het bedrijf; (2) voor de bescherming van de persoonlijke veiligheid van onze medewerkers of derde partijen op onze terreinen, en (3) om onze bedrijfsmiddelen te beschermen door corrigerende veiligheidsmaatregelen te nemen als we redelijkerwijs vermoeden dat een onwettige activiteit of ernstig wangedrag heeft plaatsgevonden.
    • Indien de derde partij een doelwit vormt voor overname of een meerderheidsbelang door ons bedrijf: (1) voordat we een overeenkomst aangaan om de derde partij over te nemen of een meerderheidsbelang te krijgen, voeren we een zorgvuldig privacyonderzoek uit om de privacypraktijken en -risico’s te beoordelen die verbonden zijn aan de overname van of een meerderheidsbelang in die derde partij en (2) gaan we een overeenkomst voor gegevensoverdracht aan waarin de voorwaarden waaronder persoonsgegevens mogen worden vrijgegeven worden gesteld, evenals de respectievelijke verplichtingen van ons bedrijf en de derde partij.
    • Indien de derde partij alle of een deel van de zaken van ons bedrijf overneemt, nemen we voordat we persoonsgegevens delen met betrekking tot een afstoting van enig deel van de zaken van ons bedrijf, de volgende stappen: (1) we gaan een overeenkomst voor gegevensoverdracht aan waarin de voorwaarden worden gesteld waaronder persoonsgegevens mogen worden vrijgegeven aan de aankoper, waaronder de correcte beperkingen wat betreft het toegestane gebruik van persoonsgegevens en naleving van de standaard zoals beschreven in dit beleid en geldende wetgeving, (2) we controleren alle gegevensonderdelen over personen voordat we ze delen, om de eisen voor het delen te beoordelen, (3) we verkrijgen goedkeuring om persoonsgegevens of gevoelige informatie te delen conform de principes voor transparantie en doelbeperking van dit beleid, en (4) we vereisen van derde partijen om ons bedrijf onmiddellijk op de hoogte te stellen van een eventueel privacyincident, waaronder een onvermogen om te voldoen aan de standaarden zoals beschreven in dit beleid en geldende wetgeving, en samen te werken om onmiddellijk een op zichzelf staand voorval op te lossen of de verwerking van relevante persoonsgegevens stop te zetten.
    (3) Persoonsgegevens worden door of namens ons bedrijf over landgrenzen, waaronder naar de Verenigde Staten van Amerika, overgedragen conform dit beleid. Dit beleid wordt toegepast op overdracht van persoonsgegevens uit elk ander land of gebied waarin de overdracht van persoonsgegevens wettelijk wordt beperkt, naast het naleven van eventuele vereisten opgelegd door dergelijke wetten (inclusief het gebruik van mechanismen die nodig zijn voor grensoverschrijdende overdrachten naar landen die niet dezelfde gegevensbeschermingsnormen hebben als het land van herkomst).

    8. Wettelijk toegestaan – We verwerken persoonsgegevens uitsluitend wanneer aan de geldende wettelijke eisen is voldaan.

    • Hoewel de andere 7 privacyprincipes, alsmede de eisen voor individuele rechten die hieronder staan omschreven, bedoeld zijn om ervoor te zorgen dat aan de eisen van de meeste wetten voor privacy- en gegevensbescherming die wereldwijd van toepassing zijn op ons bedrijf wordt voldaan, moeten we in sommige landen voldoen aan aanvullende eisen, met inbegrip van, maar niet beperkt tot het onderstaande:
      • 1) Indien vereist, zullen we specifieke vormen van toestemming verkrijgen voor bepaalde verwerkingsvormen van persoonsgegevens, inclusief maar niet beperkt tot goedkeuring van een ondernemingsraad en andere vakbonden;
      • 2) Indien vereist, zullen we de verwerking van persoonsgegevens registreren bij of om goedkeuring vragen van de toepasselijke regelgevende autoriteit op het gebied van privacy- of gegevensbescherming;
      • 3) Indien vereist, zullen we ruimere rechten (bijvoorbeeld van toegang en correctie) bieden dan wordt uiteengezet in dit beleid;
      • 4) Indien vereist, zullen we de retentieperiode van persoonsgegevens verder beperken;
      • 5) Indien vereist, zullen we overeenkomsten aangaan met specifieke contractuele clausules, waaronder overeenkomsten voor grensoverschrijdende gegevensoverdracht aan derde partijen.
      • 6) Waar nodig zullen we persoonsgegevens vrijgeven in antwoord op wettige verzoeken van overheidsinstanties, onder meer om te voldoen aan nationale veiligheids- of wetshandhavingsvereisten.

      In geval van tegenstrijdigheid tussen dit beleid en geldende wetgeving, heeft de standaard die meer bescherming biedt aan personen voorgang.

  2. We zullen verzoeken van personen om toegang tot of wijziging, correctie of verwijdering van persoonsgegevens, of om bezwaar te maken tegen de verwerking van persoonsgegevens, of om andere rechten met betrekking tot hun persoonsgegevens uit te oefenen, direct in behandeling nemen.
    1. Toegang, correctie, verwijdering en andere rechten – Onder de wetgeving van de meeste landen waarin we werkzaam zijn, hebben personen het recht om toegang te krijgen tot persoonsgegevens van zichzelf en om persoonsgegevens die onjuist, onvolledig of verouderd zijn te wijzigen, te corrigeren of te verwijderen. We zullen alle verzoeken voor toegang tot of correctie en verwijdering van persoonsgegevens van alle personen respecteren in navolging van onderstaande sectie 3a. Indien een verzoek om toegang tot of correctie of verwijdering van persoonsgegevens onder een geldende wet valt die betere bescherming biedt aan personen, zullen we ervoor zorgen dat aan de aanvullende eisen van die wet wordt voldaan.
      In sommige landen hebben personen mogelijk andere rechten met betrekking tot persoonsgegevens over zichzelf, zoals het recht om de verwerking te beperken, om bezwaar te maken tegen verwerking (zie ook sectie 2b hieronder) en om hun gegevens te laten overdragen aan een andere serviceprovider. We zullen de uitoefening van gegevensrechten respecteren in overeenstemming met toepasselijke wetten. Sommige rechten, zoals het verwijderen van informatie, kunnen worden beperkt op grond van andere wettelijke vereisten of de noodzaak om te voldoen aan lokale nalevingsrapportage; in dat geval zullen wij u informeren over deze beperkingen, voor zover van toepassing.
    2. Keuze – In overeenstemming met onze privacywaarden van “Respect” en “Vertrouwen” respecteren wij individuele verzoeken om bezwaar te maken tegen de verwerking van persoonsgegevens, inclusief maar niet beperkt tot: afzien van deelname aan programma’s of activiteiten waarvoor iemand voorheen heeft aangegeven dat wel te willen doen, de verwerking van persoonsgegevens voor directe marketingcommunicatie, communicatie die op een persoon is gericht op basis van zijn/haar persoonsgegevens en eventuele beoordelingen of beslissingen over een persoon die mogelijk van aanzienlijke invloed op hem/haar zijn, gemaakt met behulp van automatisering of algoritmes.
      1. Tenzij wettelijk verboden kunnen wij van de keuze afwijzen, wanneer een bepaald verzoek ons bedrijf zou hinderen bij de volgende zaken: (1) het naleven van een wet of ethische verplichting. Waar nodig zullen we persoonsgegevens vrijgeven in antwoord op wettige verzoeken van overheidsinstanties, onder meer om te voldoen aan nationale veiligheids- of wetshandhavingsvereisten, (2) het onderzoeken, indienen of verdedigen van juridische vorderingen en (3) het uitvoeren van contracten, het beheren van relaties of deelname aan andere toegestane zakelijke praktijken die in lijn zijn met de principes van transparantie en doelbeperking en zijn aangegaan op grond van de informatie over de personen in kwestie. De beslissing om een keuzeverzoek af te wijzen conform dit beleid wordt binnen vijftien dagen na het nemen van de beslissing gedocumenteerd en gecommuniceerd aan de aanvrager.
  3. Vragen, klachten en opmerkingen met betrekking tot privacy en alle potentiële privacy- of beveiligingsincidenten worden direct in behandeling genomen.
    1. Iedere persoon wiens persoonsgegevens door ons worden verwerkt binnen de reikwijdte van dit beleid kan op ieder gewenst moment een vraag, klacht of opmerking aan ons bedrijf richten, inclusief een verzoek om een lijst met alle dochterondernemingen van ons bedrijf die onder dit beleid vallen. We verwachten van onze medewerkers en anderen die namens ons bedrijf werkzaam zijn dat ze direct melding maken wanneer ze van oordeel zijn dat ze vanwege geldende wetgeving dit beleid niet kunnen navolgen. Vragen, klachten of opmerkingen van een persoon of een kennisgeving van een medewerker of andere persoon die werkzaamheden uitvoert namens ons bedrijf dienen gericht te worden aan het Global Privacy Office:
      1. Per e-mail voor personen die in de Europese Economische Ruimte (EER) wonen naar: euprivacydpo@msd.com
      2. Anders per e-mail naar: msd_privacy_office@msd.com
      3. Per post naar: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, Verenigde Staten, 19454.
    2. Medewerkers en contractmedewerkers dienen het Global Privacy Office of de aangewezen Privacysteward voor hun bedrijfsgebied direct op de hoogte te stellen van vragen, klachten of opmerkingen met betrekking tot de privacypraktijken van ons bedrijf.
    3. Het Global Privacy Office zal, eventueel in samenwerking met het Office of Ethics, de afdeling Legal en/of Compliance, alle vragen, klachten of opmerkingen met betrekking tot de privacypraktijken van ons bedrijf in behandeling nemen, zowel degene die rechtstreeks van onze medewerkers afkomstig zijn als die van andere personen of derde partijen, met inbegrip van, maar niet beperkt tot regelgevende instanties, verantwoordingsinstanties en andere overheidsinstanties. We zullen binnen dertig (30) kalenderdagen antwoord geven aan de persoon of entiteit die de vraag, klacht of opmerking naar voren bracht, tenzij een wet of externe aanvrager binnen kortere tijd antwoord eist of tenzij omstandigheden, zoals een gelijktijdig overheidsonderzoek, een langer tijdsbestek vereisen. De persoon of externe aanvrager zal in dat laatste geval zo spoedig mogelijk schriftelijk bericht worden over de aard van de vertragingsomstandigheden.
    4. Het Global Privacy Office zal in samenwerking met de afdelingen Legal en Compliance medewerking verlenen aan enig verzoek tot informatie, onderzoek of inspectie door een regelgevende instantie op het gebied van privacy.
    5. Voor klachten die niet kunnen worden opgelost tussen ons bedrijf en de persoon die de klacht heeft ingediend, heeft ons bedrijf ingestemd deel te nemen aan onderstaande procedures om tijdens de behandeling van klachten geschillen te beslechten conform dit beleid. Personen die woonachtig zijn in de EER of personen wiens persoonsgegevens onderhevig zijn aan de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER, kunnen ook op ieder gewenst moment vertrouwen op de onderstaande standaard 3.f.:
      1. Voor geschillen met betrekking tot de overdracht van persoonsgegevens in verband met HR-activiteiten in het kader van een werkrelatie van de EER en het Verenigd Koninkrijk naar de VS, zet ons bedrijf zich in om samen te werken met het bevoegde panel van gegevensbeschermingsautoriteiten van de EU of het VK.
      2. voor geschillen met betrekking tot de overdracht van persoonsgegevens in verband met HR-activiteiten in het kader van een werkrelatie van Zwitserland naar de VS, zet ons bedrijf zich in om samen te werken met de Zwitserse FDPIC.
      3. Voor geschillen inzake de overdracht van persoonsgegevens volgens de naleving van ons bedrijf met de Cross-Border Privacy Rules (“CBPR”) van de Asia Pacific Economic Cooperation (“APEC”) in de APEC-landen, heeft ons bedrijf ermee ingestemd om geschillen te laten beslechten door onze verantwoordingsinstantie, BBB National Programs. Voor meer informatie over de reikwijdte van onze deelname of om een privacyverzoek in te dienen via BBB National Programs, klikt u op het officiële zegel onderaan deze pagina.
      4. Voor geschillen waarbij sprake is van de overdracht van persoonsgegevens anders dan met betrekking tot HR-activiteiten volgens het Europees-Amerikaanse Data Privacy Framework-programma (DPF), de Britse uitbreiding op het DPF en het Amerikaans-Zwitsers Data Privacy Framework-programma, heeft ons bedrijf ingestemd met (kosteloze) geschillenbeslechting door een onafhankelijk verhaalsmechanisme, de Data Privacy Framework-services, uitgevoerd door BBB National Programs. Als u geen tijdige bevestiging van uw klacht ontvangt, of als uw klacht niet naar tevredenheid is afgehandeld, kunt u naar https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers gaan voor meer informatie en om een klacht in te dienen.
      5. Voor elk geschil voortvloeiend uit het Amerikaans-Europees Data Privacy Framework-programma (DPF), de Britse uitbreiding op het DPF en het Amerikaans-Zwitsers Data Privacy Framework-programma dat niet kan worden opgelost aan de hand van de stappen die in dit artikel worden beschreven, kunnen personen onder bepaalde voorwaarden beroep doen op bindende arbitrage voor bepaalde restvorderingen die niet zijn opgelost door middel van andere verhaalmechanismen. Zie https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
    6. Alle personen die binnen de EER woonachtig zijn, of personen wiens persoonsgegevens onderhevig zijn aan de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER, en wiens gegevens conform dit beleid worden verwerkt, hebben onder dit beleid op ieder gewenst moment het recht om de eisen van dit beleid als externe begunstigden af te dwingen, waaronder ook het recht om gerechtelijke actie te ondernemen om schending van hun rechten onder dit beleid te remediëren (zoals uiteengezet in sectie 2 hierboven) en het recht op vergoeding van schade opgelopen ten gevolge van deze schending. Personen die woonachtig zijn in de EER of personen wiens persoonsgegevens vallen onder de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER (ter verduidelijking, inclusief de VS), kunnen onder dit beleid een vordering of klacht indienen tegen de dochteronderneming van ons bedrijf die verantwoordelijk is voor de overdracht van de persoonsgegevens uit de EER voor:
      1. het rechtsgebied van de gegevensexporteur die zich in de EER bevindt, of
      2. het rechtsgebied van het land waar onze Europese functionaris voor gegevensbescherming is gevestigd, of
      3. de bevoegde gegevensbeschermingsautoriteiten (met name in de lidstaat waar hij/zij zijn/haar gewone verblijfplaats, zijn/haar werkplek of de plaats van de vermeende schending heeft), of
      4. onze voornaamste gegevensbeschermingsautoriteiten die onze BCR hebben geïnstrueerd: de Franse CNIL.
    7. Ons bedrijf zal binnen dertig (30) kalenderdagen antwoord geven aan de persoon of entiteit die de vraag, klacht of opmerking naar voren bracht, tenzij een wet of externe aanvrager binnen kortere tijd antwoord eist of tenzij omstandigheden een langer tijdsbestek vereisen. De persoon of externe aanvrager zal in dat laatste geval schriftelijk bericht worden.
  4. Wij dragen verantwoording voor het handhaven van onze privacywaarden en -standaarden.
    1. De dochteronderneming van ons bedrijf die verantwoordelijk is voor een handeling die leidt tot een op zich zelf bestaand privacy- of beveiligingsincident is financieel verantwoordelijk voor het bedrag van een schadeclaim of boete die hiervan het gevolg is.
      1. In samenwerking met en onder leiding van het Global Privacy Office draagt de Europese functionaris voor gegevensbescherming de verantwoording om ervoor te zorgen dat de nodige maatregelen worden getroffen voor het in behandeling nemen van enige vermeende overtredingen van dit beleid, door dochterondernemingen van ons bedrijf buiten de EER, die van invloed zijn op personen die woonachtig zijn in de EER of personen wiens persoonsgegevens onderhevig zijn aan de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER. Indien vereist, is Merck, Sharp & Dohme (Europe) Inc., VS-België Branch (“MSD Europe”) verantwoordelijk om de boetes, sancties en schadevergoedingen te betalen voor schendingen van dit beleid, die van invloed zijn op personen die woonachtig zijn in de EER of personen wiens persoonsgegevens vallen onder de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER. Met ondersteuning van het Global Privacy Office en de dochteronderneming van ons bedrijf die buiten de EER is gevestigd en die verantwoordelijk is voor de vermeende overtreding, draagt de Europese functionaris voor gegevensbescherming de verantwoording om aan te tonen dat ons bedrijf niet aansprakelijk is voor de vermeende overtreding. Wanneer een andere dochteronderneming van ons bedrijf verantwoordelijk is voor de handeling die heeft geleid tot de boete, sanctie of schadevergoeding, kan worden vereist dat deze dochteronderneming ieder bedrag dat is betaald door MSD Europe direct vergoedt aan MSD Europe. Als een dochteronderneming van ons bedrijf buiten de EER dit beleid schendt, zijn de rechtbanken of de gegevensbeschermingsautoriteiten in de EER bevoegd en heeft de getroffen persoon de rechten en rechtsmiddelen tegen de dochteronderneming van het bedrijf die verantwoordelijk is voor de overdracht van de persoonsgegevens uit de EERzoals uiteengezet in sectie 3.f. hierboven.
      2. In samenwerking met en onder leiding van het Global Privacy Office draagt Merck Sharp & Dohme LLC. de verantwoording om ervoor te zorgen dat de nodige maatregelen worden getroffen voor het in behandeling nemen van enige vermeende overtredingen van dit beleid die van invloed zijn op personen die woonachtig zijn buiten de EER, en, indien vereist, om de boetes, sancties en schadevergoedingen te betalen voor schendingen van dit beleid die van invloed zijn op personen die woonachtig zijn buiten de EER of personen wiens persoonsgegevens niet vallen onder de wet voor gegevensbescherming van de EER. Wanneer een andere dochteronderneming van ons bedrijf verantwoordelijk is voor de handeling die heeft geleid tot de boete, sanctie of schadevergoeding, kan worden vereist dat deze dochteronderneming ieder bedrag dat is betaald door Merck Sharp & Dohme LLC. direct vergoedt aan Merck Sharp & Dohme LLC.

Toezicht en controle

Om de garantie te bieden aan toezichthouders en andere belanghebbenden dat ons bedrijf verantwoording draagt voor de toewijding aan ethische en verantwoordelijke privacypraktijken, handhaaft het bedrijf een uitgebreide bestuursgroep voor toezicht en controle , onder leiding van een Chief Privacy Officer en met een aangewezen Global Privacy Office (GPO), een toegewezen EU-DPO, DPO’s van landen indien vereist door de wet of lokale autoriteiten, en Privacystewards, die worden aangesteld door senior leidinggevenden en als liaisons optreden tussen de Global Privacy Office en de bestuursgebieden waarin zij werkzaam zijn.

Ons bedrijf beroept zich op de Privacy Accountability Agentsdie wettelijk verplicht zijn om op periodieke basis, de naleving aan te tonen van de eisen van dit beleid en wetgevingen zoals de APEC CBPR’s.

Naast de verzekeringsevaluaties die worden beheerd door het Global Privacy Office, zullen interne en externe audit- en verzekeringsteams nalevingscontroles uitvoeren om te verifiëren dat het bedrijf zich aan dit beleid houdt, inclusief alle beleidsregels, procedures, standaarden en richtlijnen die ondergeschikt zijn aan dit beleid. Er worden corrigerende en preventieve actieplannen ontwikkeld en geïmplementeerd om hiaten aan te pakken die door de audit- en verzekeringsteams worden waargenomen. De resultaten van het auditprogramma worden gecommuniceerd aan de Chief Privacy Officer, de relevante functionaris voor gegevensbescherming en de Privacy en Data Protection Board, die verantwoordelijk zijn voor de rapportage ervan zoals beschreven in dit beleid.

Instanties van privacy- en gegevensbescherming die dit beleid hebben goedgekeurd of die rechtsbevoegdheid hebben over onze praktijken onder dit beleid, hebben het recht om onze naleving hiervan te verifiëren. Wij zullen ons houden aan het advies van deze competente autoriteiten voor wat betreft de interpretatie en toepassing van dit beleid.

Termen die u moet kennen

  • Geanonimiseerd: :het aanpassen, inkorten, doorhalen of anderszijds bewerken of wijzigen van persoonsgegevens, zodat deze onomkeerbaar onmogelijk gebruikt kunnen worden voor het identificeren of lokaliseren van of contact opnemen met een persoon, hetzij alleen of in combinatie met andere informatie.
  • Wetgeving: Alle geldende wetten, regels, voorschriften en bepalingen die de kracht van de wet hebben in alle landen waarin ons bedrijf werkzaam is of waarin persoonsgegevens worden verwerkt door of namens ons bedrijf. Dit omvat alle privacyregelingen op grond waarvan ons bedrijf is goedgekeurd of gecertificeerd, waaronder de EU Binding Corporate Rules (“BCR”), de Cross-Border Privacy Rules (“CBPR”) van de Asia Pacific Economic Cooperation (“APEC”), het Amerikaans-Europees Data Privacy Framework-programma (DPF), de Britse uitbreiding op het DPF en het Amerikaans-Zwitsers Data Privacy Framework-programma – onder de onderzoeks- en handhavingsbevoegdheden van de Amerikaanse Federal Trade Commission.
  • Ons bedrijf. Merck & Co., Inc., Rahway, NJ, VS, haar opvolgers, dochterondernemingen en afdelingen wereldwijd, met uitzondering van joint ventures waar ons bedrijf deel van uitmaakt.
  • Persoonsgegevens: Alle gegevens met betrekking tot een geïdentificeerde of identificeerbare persoon, waaronder gegevens die een persoon identificeren of die gebruikt kunnen worden om een persoon te identificeren, lokaliseren, volgen of benaderen. Persoonlijke informatie omvat zowel direct identificeerbare informatie zoals een naam, identificatienummer of unieke functietitel, en indirect identificeerbare informatie zoals geboortedatum, unieke identificatiecode van een mobiel of draagbaar apparaat, telefoonnummer, evenals sleutelgecodeerde gegevens, online identifiers zoals IP-adressen of persoonlijke activiteiten, gedrag of voorkeuren die kunnen worden verzameld om diensten of producten te leveren.
  • Privacyincident: een overtreding of schending van dit beleid of van een privacy- of gegevensbescherming wet; inclusief een beveiligingsincident. Beslissingen of een privacyincident heeft plaatsgevonden en of dit belangrijk is, worden door het Global Privacy Office, Information Technology Risk Management and Security (ITRMS) en het Office of General Counsel genomen.
  • Verwerking: de uitvoering van een operationele handeling of een reeks operationele handelingen met informatie over mensen, al dan niet automatisch en inclusief maar niet beperkt tot verzameling, opname, organisatie, opslag, inzage, aanpassing, wijziging, opvraging, raadpleging, gebruik, beoordeling, analyse, rapportering, deling, openbaarmaking, verspreiding, doorzending, beschikbaarstelling, afstemming, combinatie, blokkering, wissingn of vernietiging ervan.
  • Inbreuk op persoonsgegevens: een beveiligingsinbreuk die leidt tot toevallige of onwettige vernietiging, verlies, wijziging, onwettige openbaarmaking van of toegang tot persoonsgegevens, of redelijke veronderstelling door ons bedrijf van hetzelfde. Toegang tot persoonsgegevens door of namens ons bedrijf zonder de intentie om dit beleid te schenden wordt niet als een inbreuk op persoonsgegevens gezien, op voorwaarde dat de verkregen informatie alleen verder gebruikt en openbaar gemaakt is zoals toegestaan in dit beleid.
  • Gevoelige informatie: Alle soorten persoonlijke informatie van mensen die een inherent risico van mogelijke schade aan personen met zich meebrengen, waaronder informatie die wettelijk is aangemerkt als gevoelig, met inbegrip van, maar niet beperkt tot informatie met betrekking tot gezondheid, genetica, biometrische data, ras, etnische oorsprong, religie, politieke of filosofische meningen of overtuigingen, criminele antecedenten, precieze gegevens van geolocatie, nummers van bankrekeningen of andere financiële rekeningen, door de overheid uitgegeven identificatienummers, minderjarige kinderen, seksleven, seksuele geaardheid, vakbondslidmaatschap, verzekering, burgerservicenummer en andere door de werkgever of overheid uitgegeven arbeidsvoorwaarden.
  • Derden: alle wettelijke entiteiten, organisaties of personen die niet in bezit zijn van ons bedrijf, of waarin ons bedrijf geen zeggenschapsbelangen heeft, of die niet in dienst zijn van ons bedrijf. Tenzij uitdrukkelijk vermeld in dit beleid, worden dochterondernemingen of afdelingen van ons bedrijf niet geacht aan de eisen van een derde partij te voldoen onder dit beleid, aangezien alle dochterondernemingen of afdelingen persoonsgegevens dienen te verwerken in navolging van dit beleid, met inbegrip van omstandigheden waarin een of meer van de dochterondernemingen van ons bedrijf ondersteuning biedt/bieden aan een of meer andere dochterondernemingen van ons bedrijf bij de verwerking.

Wijzigingen aan dit beleid

Dit beleid kan van tijd tot tijd worden aangepast, in overeenstemming met de eisen van de geldende wetgeving. Wanneer dit beleid wezenlijk wordt veranderd, wordt er gedurende 60 dagen een kennisgeving op de privacywebsite van ons bedrijf geplaatst (https://www.msdprivacy.com/)