1. Privacy

Privacyregels

Bij Merck & Co., Inc. (Kenilworth, NJ, Verenigde Staten), buiten de VS en Canada bekend als MSD, omvat onze missie voor het redden en verbeteren van levens ook het respecteren van privacy en het beschermen van persoonsgegevens.

We streven ernaar om zaken te doen in naleving van onze privacywaarden omdat we geloven dat ze staan voor onze onwankelbare toewijding aan ethische en verantwoorde bedrijfspraktijken. We erkennen dat innovatie en nieuwe technologieën tot voortdurende verandering in risico’s, verwachtingen en wetgeving leiden, dus we volgen de standaarden voor privacyverantwoording en zijn van zins om de toepassing van deze waarden direct aan te passen in reactie op deze veranderingen.

Dit beleid definieert onze wereldwijde standaarden voor beheer en bescherming van persoonsgegevens door of namens ons bedrijf, die direct of indirect afkomstig zijn van een land van de Europese Economische Ruimte (“EER”), Zwitserland of van deelnemende economieën van de Asia Pacific Economic Cooperation (“APEC”) en worden overgedragen aan een ander land, inclusief overdracht tussen de EER en APEC. Het omschrijft onze toewijding tot naleving van onze APEC Cross-Border Privacy Rules-certificering, onze Binding Corporate Rules (“BCRs”), die binnen de Europese Unie zijn goedgekeurd, en onze zelfcertificering voor het Europees-Amerikaanse Privacy Shield. Het is van toepassing op onze bedrijfsvoering in elk land en op elke activiteit met persoonsgegevens die we uitvoeren in elke dochteronderneming en elke divisie (inclusief activiteiten uitgevoerd door eventuele opvolgers in ons bedrijf), met inbegrip van, maar niet beperkt tot onze activiteiten voor onderzoek, productie, commerciële of bedrijfsondersteunende doeleinden, diensten en oplossingen voor de gezondheidszorg en de gegevensoverdracht die vereist is om deze activiteiten uit te voeren, met inbegrip van, maar niet beperkt tot:

  • Onderzoek en productie: beoordelen van wensen en mogelijkheden voor innovatie op medisch gebied en in de gezondheidszorg; onderzoeken in werking stellen, beheren en financieren; beoordelen en werven van onderzoekers, leden voor wetenschappelijke en ethische commissies en zakenpartners om ons onderzoek en de ontwikkeling van onze producten te ondersteunen; werving voor onderzoek; beoordelen van de veiligheid, werkzaamheid en kwaliteit van onze onderzoeks- en op de markt verkrijgbare producten; voldoen aan onze eisen voor productveiligheid en -kwaliteit, waaronder afhandelen en melden van bijwerkingen en klachten over productkwaliteit; aanvragen van goedkeuring en registreren van onze producten bij regelgevende autoriteiten op het gebied van gezondheidszorg; en voldoen aan passende wettelijke, regelgevende of ethische voorschriften;
  • Commercieel: de markten voor onze producten beoordelen; reclame, marketing, verkoop, distributie en levering van onze producten; communiceren en verbintenissen aangaan met klanten uit de professionele gezondheidszorg, gezondheidszorgbetalers, patiënten en andere eindgebruikers van onze producten, alsmede zorgverleners van degenen die onze producten gebruiken; evenementen sponsoren en organiseren; zakenpartners beoordelen en in dienst nemen ter ondersteuning van onze commerciële activiteiten; en voldoen aan passende wettelijke, regelgevende of ethische voorschriften;
  • Bedrijfsondersteuning: werven, aannemen, beheren, ontwikkelen, communiceren met en belonen van medewerkers; secundaire arbeidsvoorwaarden beheren voor medewerkers en hun personen ten laste; uitvoeren van prestatie- en vaardigheidsbeoordelingen voor medewerkers; bieden van training en andere ontwikkelingsprogramma’s; uitvoeren van tucht- en klachtenprocedures; beheren van ethiek- en privacyzaken en instellen van onderzoeken; beheren en verzekeren van onze fysieke en virtuele bedrijfsmiddelen en infrastructuur; aanschaffen en betalen van goederen en diensten; voldoen aan onze plichten voor milieu, gezondheid en veiligheid en andere bedrijfsverantwoordelijkheden; betrokkenheid bij de media; en voldoen aan passende wettelijke, regelgevende of ethische voorschriften.
  • Diensten en oplossingen voor gezondheidszorg: verbeteren van de waarde van zorg die wordt geboden aan patiënten wereldwijd, door middel van op bewijs gebaseerde diensten en oplossingen die zijn toegespitst op klinische diensten, betrokkenheidsoplossingen en gezondheidsanalyses.

Dit beleid is ook van toepassing op alle mensen van wie wij gegevens verwerken, met inbegrip van, maar niet beperkt tot, professionele zorgverleners en andere klanten; toekomstige, huidige en voormalige medewerkers en hun personen ten laste, patiënten, zorgverleners, onderzoekers en deelnemers aan onderzoeken, leden van wetenschappelijke en ethische commissies, zakenpartners, investeerders en aandeelhouders, overheidsambtenaren en andere stakeholders.

Alle medewerkers en senior leidinggevenden van het bedrijf hebben kernverantwoordelijkheden wat betreft privacy die ze dienen na te leven.

We erkennen dat onbedoelde fouten en vergissingen met betrekking tot de bescherming van persoonsgegevens kunnen leiden tot privacyrisico’s voor personen en reputatie-, bedrijfsvoerings-, financiële en nalevingsrisico’s voor ons bedrijf. Alle medewerkers van ons bedrijf en anderen die gegevens over personen verwerken voor ons bedrijf, dragen de verantwoording om begrip te hebben van hun plichten en deze na te volgen, zoals gesteld in dit beleid en de geldende wetgeving.

Onze privacynormen en -waarden

We volgen onze privacywaarden na in alles wat we doen dat betrekking heeft op mensen, inclusief de manier waarop we onze privacystandaarden toepassen. Onze vier privacywaarden zijn:

  • Respect
    We erkennen dat privacyzaken vaak betrekking hebben op de essentie van wie we zijn, hoe we de wereld en onszelf zien, dus we streven ernaar om de perspectieven en belangen van personen en gemeenschappen te respecteren, en om informatie over hen op eerlijke en transparante wijze te gebruiken en te delen.
  • Vertrouwen
    We weten dat vertrouwen cruciaal is voor ons succes, dus we streven ernaar om het vertrouwen van onze klanten, medewerkers, patiënten en andere stakeholders op te bouwen en te behouden in de manier waarop we respect hebben voor hun privacy en persoonsgegevens beschermen.
  • Schade voorkomen
    We begrijpen dat verkeerd gebruik van informatie over personen zowel tastbare als ontastbare schade kan berokkenen aan personen, dus we trachten om fysieke, financiële, reputatiegebonden en andere soorten privacyschade aan personen te vermijden.
  • Aan de regels houden
    We hebben geleerd dat wet- en regelgeving niet altijd gelijke pas kan houden met de snelle verandering in technologie, datastroom en de bijbehorende verschuivingen in privacyrisico’s en verwachtingen. Daarom streven we ernaar om zowel de geest als het woord van wet- en regelgeving voor privacy en gegevensbescherming na te leven, op een manier die consistentie en efficiëntie stimuleert voor onze wereldwijde bedrijfsvoering.

 

  1. We sluiten onze privacystandaarden in in alle activiteiten, processen, technologieën en relaties met derde partijen die persoonsgegevens gebruiken. We ontwikkelen privacycontroles in onze processen en technologieën die in lijn zijn met onze privacywaarden en -standaarden en de geldende wetgeving. De onderstaande 8 privacyprincipes vormen een samenvatting van onze privacystandaarden en kerneisen voor processen, activiteiten en de ondersteunende technologieën op een hoog niveau.
Privacyprincipes Onze kernverplichtingen

 

1. Noodzaak

Voordat persoonsgegevens worden verzameld, gebruikt of gedeeld, definiëren en documenteren we de specifieke, legitieme bedrijfsdoelen waarvoor ze nodig zijn.

 

  • We bepalen en documenteren hoe lang de persoonlijke informatie nodig is voor de vastgestelde bedrijfsdoeleinden.
  • We verzamelen, gebruiken of delen niet meer persoonlijke informatie dan noodzakelijk en we bewaren de gegevens in identificeerbare vorm niet langer dan noodzakelijk voor de gestelde bedrijfsdoeleinden.
  • We maken de gegevens anoniem wanneer de bedrijfseisen noodzakelijk stellen dat de gegevens over de activiteit of het proces voor langere tijd bewaard worden.
  • We zorgen ervoor dat deze noodzakelijkheidseisen inherent zijn aan eventuele ondersteunende technologie en dat ze worden gecommuniceerd aan derde partijen die de activiteit of het proces ondersteunen.

 

2. Eerlijkheid

We verwerken persoonsgegevens niet op een manier die oneerlijk is voor de personen op wie de gegevens betrekking hebben.

 

  • We stellen vast of het voorgestelde verzamelen, gebruik of een andere vorm van verwerking van persoonsgegevens een risico van tastbare of ontastbare schade aan personen behelst, conform onze privacywaarde van Schade voorkomen.
  • Wanneer de aard van de gegevens, persoonstypes of activiteit een inherent risico van tastbare of ontastbare schade aan personen vormt, zorgen we ervoor dat het schaderisico niet opweegt tegen een bijbehorend voordeel voor deze personen of voor onze missie van het redden en verbeteren van levens.
  • Wanneer het risico disproportioneel is aan de voordelen voor personen, verwerken we gevoelige informatie of persoonsgegevens uitsluitend met de uitdrukkelijke goedkeuring van de personen of zoals uitdrukkelijk vereist of toegestaan onder de geldende wetgeving.
  • We documenteren de risicoanalyse en ontwerpen eventueel benodigde mechanismen zodanig dat ze bewijs van goedkeuring verkrijgen en documenteren in de ondersteunende technologieën.

 

3. Transparantie

We verwerken geen persoonsgegevens op wijzen of voor doeleinden die niet transparant zijn.

 

  • Alle personen over wie persoonsgegevens worden verwerkt volgens dit beleid hebben recht op een exemplaar van dit beleid. Exemplaren van dit beleid worden online beschikbaar gesteld op www.msd.com/privacy. Het Privacy Office zal op verzoek elektronische en/of papieren versies van het beleid overleggen aan de geadresseerden die hieronder vermeld staan in sectie 3.a.
  • Wanneer persoonsgegevens rechtstreeks van personen worden verzameld, stellen we hen hiervan vooraf op de hoogte middels een duidelijke, opvallende en eenvoudig toegankelijke privacymelding of gelijkaardig middel met (1) de bedrijfsentiteit(en) verantwoordelijk voor het verwerken, (2) welke informatie er wordt verzameld, (3) de doeleinden waarvoor het zal worden gebruikt, (4) met wie het zal worden gedeeld, waaronder eventuele vereisten om persoonsgegevens vrij te geven naar aanleiding van rechtmatige verzoeken door overheidsinstanties, (5) hoe lang het zal worden bewaard, (6) hoe ze een vraag kunnen stellen, een opmerking kunnen indienen of hun rechten met betrekking tot de informatie kunnen uitoefenen, en (7) een link naar dit beleid, waar mogelijk en gepast. Onze uitgebreide privacymeldingen voor veel van onze stakeholders zijn online beschikbaar op http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html
  • Wanneer persoonsgegevens worden verkregen via observaties, sensoren of andere indirecte middelen, is het wellicht niet mogelijk om een privacymelding aan de persoon te richten ten tijde van de verzameling van de gegevens. In zulke gevallen verzekeren we de persoon via andere middelen van transparantie, bijvoorbeeld geplaatst of gedrukt op het apparaat of de bijbehorende middelen van het apparaat waarmee de gegevens worden verzameld.
  • Wanneer persoonsgegevens via een website, mobiele app of andere online applicatie of middel worden verzameld, passen we de technologiegebonden standaarden toe zoals vermeld in ons Internetprivacybeleid en ons Cookieprivacybeleid om ervoor te zorgen dat er wordt voldaan aan de transparantie-eisen van dit beleid.
  • Wanneer persoonsgegevens worden verzameld van andere bronnen en wanneer het niet specifiek onder leiding is van ons bedrijf, verifiëren we schriftelijk en vooraf dat de aanbieder van de gegevens de personen heeft geïnformeerd over de manieren en doeleinden waarvoor ons bedrijf de informatie zal gebruiken. Als schriftelijke verificatie niet kan worden verkregen van de aanbieder van de gegevens, gebruiken we uitsluitend anonieme gegevens, of informeren we de personen, voordat de gegevens worden gebruikt, middels een privacymelding of gelijkaardig middel van (1) de bedrijfsentiteit(en) verantwoordelijk voor het verwerken van de gegevens, (2) welke informatie ons bedrijf van zins is te gebruiken, (3) de doeleinden waarvoor ons bedrijf het zal gebruiken, (4) met wie ons bedrijf van zins is de informatie te delen, (5) hoe lang ons bedrijf de informatie zal bewaren, (6) hoe ze een vraag kunnen stellen, een opmerking kunnen plaatsen of hun rechten kunnen uitoefenen, en (7) een link naar dit beleid, waar mogelijk en gepast.
  • We zorgen ervoor dat de nodige transparantiemiddelen, waaronder (waar mogelijk) mechanismen die verzoeken van individuele rechten ondersteunen, worden ingesloten in de ondersteunende technologieën, en dat derde partijen die de activiteit of het proces ondersteunen geen persoonsinformatie verwerken op wijzen die tegenstrijdig zijn met de informatie verschaft aan individuen middels privacymeldingen of andere verifieerbare middelen over wat er door ons en door anderen namens ons met de informatie zal worden gedaan.

 

4. Doelbeperking

We gebruiken persoonsgegevens uitsluitend conform de principes van noodzakelijkheid en transparantie.

 

  • Wanneer nieuwe legitieme bedrijfsdoeleinden worden geïdentificeerd voor persoonsgegevens die daarvoor werden verzameld, zorgen we ervoor dat het nieuwe bedrijfsdoeleinde verenigbaar is met, en wezenlijk gelijk is aan, een doeleinde dat werd omgeschreven in een privacymelding of ander transparant mechanisme dat daarvoor aan de persoon werd verstrekt, of verkrijgen we de goedkeuring van de persoon voor de nieuwe wijze van gebruik van de persoonsgegevens.
  • We passen dit principe niet toe op geanonimiseerde gegevens of wanneer we persoonsgegevens uitsluitend gebruiken voor historische en wetenschappelijke onderzoeksdoeleinden en wanneer (1) een ethische beoordelingscommissie, of een andere competente beoordelaar, heeft vastgesteld dat het risico van dergelijk gebruik voor wat betreft privacy en andere rechten van de persoon acceptabel is en (2) dat de geldende wetgeving wordt gehandhaafd.
  • We verzekeren dat doelbeperking wordt toegepast op ondersteunende technologie, met inbegrip van rapportagemogelijkheden en het downstream delen van gegevens.

 

5. Gegevenskwaliteit

We houden persoonsgegevens accuraat, volledig en actueel, in overeenstemming met het bedoelde gebruik.

 

  • We zorgen ervoor dat mechanismen voor periodieke gegevensbeoordeling worden toegepast op ondersteunende technologieën om de juistheid van gegevens te bevestigen tegenover bron- en downstreamsystemen.
  • We zorgen ervoor dat gevoelige informatie wordt gecontroleerd op juistheid en actualiteit, vóór het gebruik, de beoordeling, analyse, melding of andere processen die een risico van oneerlijkheid vormen ten opzichte van personen, indien onjuiste of verouderde gegevens worden gebruikt.
  • Indien wijzigingen worden gemaakt aan persoonsgegevens door ons bedrijf of derde partijen die voor ons bedrijf werken, zorgen we ervoor dat deze wijzigingen tijdig worden gecommuniceerd, waar redelijkerwijs mogelijk.

 

6. Veiligheid

We passen beveiligingsmaatregelen toe om persoonsgegevens en gevoelige informatie te beschermen tegen verlies, misbruik en onbevoegde toegang, bekendmaking, wijziging of vernietiging.

  • We hebben een uitgebreid beveiligingsprogramma voor gegevens ingesteld en we passen beveiligingsmaatregelen toe die gebaseerd zijn op de gevoeligheid van de informatie en het risiconiveau van de activiteit, waarbij de best practices van de huidige technologie en de kosten van implementatie in beschouwing worden genomen. Onze functionele beleidslijnen voor veiligheid omvatten, maar zijn niet beperkt tot, standaarden over bedrijfscontinuïteit en rampenherstel, encryptie, identiteits- en toegangsbeheer, classificatie van informatie, incidentenbeheer van informatieveiligheid, controle van netwerktoegang, fysieke beveiliging en risicobeheer.

 

7. Gegevensoverdracht

We zijn verantwoordelijk voor en behouden de privacybescherming voor persoonsgegevens wanneer deze worden overgedragen van of aan andere organisaties of over landgrenzen.

 

(1) We dragen persoonsgegeven alleen over aan derden of staan hen toe de gegevens te verwerken wanneer aan de volgende eisen is voldaan, en we zijn aansprakelijk voor het garanderen dat derden waarmee we zakendoen voldoen aan deze vereisten:

  • Wanneer de derde partij persoonsgegevens voor of namens ons bedrijf verwerkt en voordat persoonsgegevens aan de derde partij worden verstrekt, nemen wij de volgende stappen: (1) zorgvuldig privacyonderzoek uitvoeren om de privacypraktijken en -risico’s te beoordelen die verbonden zijn aan deze derde partijen, (2) contractuele garantie van deze derde partijen verkrijgen dat ze persoonsgegevens zullen verwerken conform de instructies van ons bedrijf en in naleving van dit beleid, met inbegrip van, maar niet beperkt tot, alle 8 de privacyprincipes en de andere standaarden die in dit beleid worden gesteld, en de geldende wetgeving; dat ze ons bedrijf direct op de hoogte zullen stellen van eventuele privacyincidenten, waaronder een eventueel onvermogen om te kunnen voldoen aan de standaarden zoals beschreven in dit beleid en geldende wetgeving, of beveiligingsincidenten, en samenwerken om onmiddellijk een onderbouwd voorval op te lossen en om de individuele rechten te behandelen zoals beschreven in onderstaande sectie (2); en dat ze ons bedrijf zullen toestaan controles en audits uit te voeren naar hun praktijken op naleving van deze eisen gedurende de verwerking van de gegevens. Daarnaast, wanneer een derde partij persoonsgegevens verwerkt die afkomstig zijn uit een land of gebied waar de wetgeving de overdracht van persoonsgegevens beperkt, zullen we ervoor zorgen dat de overdracht aan de derde partij voldoet aan de eisen voor grensoverschrijdende gegevensoverdracht, zoals beschreven in onderstaande sectie (2). Wanneer een van de dochterondernemingen van ons bedrijf uitsluitend namens een andere dochteronderneming van ons bedrijf optreedt bij het verwerken van persoonsgegevens, zullen deze dochterondernemingen van ons bedrijf waar wettelijk verplicht een interne overeenkomst betreffende gegevensverwerking afsluiten, conform principe 8 van dit beleid.
  • Indien de derde partij persoonsgegevens aan ons bedrijf levert, zorgen we er vooraf voor dat er wordt voldaan aan de transparantie-eisen voor het verzamelen van persoonsgegevens van andere bronnen en niet specifiek onder leiding van ons bedrijf. Ook verkrijgen we een contractuele verklaring van de derde partij waarin gesteld wordt dat ze geen wetten of rechten van een derde partij overtreedt met het leveren van persoonsgegevens aan ons bedrijf.
  • Indien de derde partij gegevens van ons bedrijf ontvangt voor verwerkingsprocessen die niet specifiek onder leiding van ons bedrijf staan, zorgen we er vooraf voor dat de gegevens zijn geanonimiseerd en verkrijgen we schriftelijke verklaringen van de derde partij waarin gesteld wordt dat de gegevens uitsluitend worden gebruikt voor de zakelijke doeleinden die in de overeenkomst zijn gedefinieerd en in navolging van de geldende wetgeving, en dat de partij niet zal trachten de gegevens opnieuw te identificeren.
  • Indien de derde partij een doelwit vormt voor overname of een meerderheidsbelang door ons bedrijf: (1) voordat we een overeenkomst aangaan om de derde partij over te nemen of een meerderheidsbelang te krijgen, voeren we een zorgvuldig privacyonderzoek uit om de privacypraktijken en -risico’s te beoordelen die verbonden zijn aan de overname van of een meerderheidsbelang in die derde partij en (2) gaan we een overeenkomst voor gegevensoverdracht aan waarin de voorwaarden waaronder persoonsgegevens mogen worden vrijgegeven worden gesteld, evenals de respectievelijke verplichtingen van ons bedrijf en de derde partij.
  • Indien de derde partij alle of een deel van de zaken van ons bedrijf overneemt, nemen we voordat we persoonsgegevens delen met betrekking tot (2) Persoonsgegevens worden door of namens ons bedrijf over landgrenzen overgedragen conform dit beleid. Dit beleid wordt toegepast op overdracht van persoonsgegevens uit elk ander land of gebied waarin de overdracht van persoonsgegevens wettelijk wordt beperkt. een afstoting van enig deel van de zaken van ons bedrijf, de volgende stappen: (1) we gaan een overeenkomst voor gegevensoverdracht aan waarin de voorwaarden worden gesteld waaronder persoonsgegevens mogen worden vrijgegeven aan de aankoper, waaronder de correcte beperkingen wat betreft het toegestane gebruik van persoonsgegevens en naleving van de standaard zoals beschreven in dit beleid en geldende wetgeving, (2) we controleren alle gegevensonderdelen over personen voordat we ze delen, om de eisen voor het delen te beoordelen, (3) we verkrijgen goedkeuring om persoonsgegevens of gevoelige informatie te delen conform de principes voor transparantie en doelbeperking van dit beleid, en (4) we vereisen van derden om ons bedrijf onmiddellijk op de hoogte te stellen van een eventueel privacyvoorval, waaronder een onvermogen om te voldoen aan de standaarden zoals beschreven in dit beleid en geldende wetgeving, en samen te werken om onmiddellijk een onderbouwd voorval op te lossen of de verwerking van relevante persoonsgegevens stop te zetten.

 

 

 

8. Wettelijk toestaan

We verwerken persoonsgegevens uitsluitend wanneer aan de geldende wettelijke eisen is voldaan.

 

  • Hoewel de andere 7 privacyprincipes, alsmede de eisen voor individuele rechten die hieronder staan omschreven, bedoeld zijn om ervoor te zorgen dat aan de eisen van de meeste wetten voor privacy- en gegevensbescherming die wereldwijd van toepassing zijn op ons bedrijf wordt voldaan, moeten we in sommige landen voldoen aan aanvullende eisen, met inbegrip van, maar niet beperkt tot het onderstaande:
  1. Indien vereist, zullen we specifieke vormen van toestemming verkrijgen voor bepaalde verwerkingsvormen van persoonsgegevens, inclusief maar niet beperkt tot goedkeuring van een ondernemingsraad en andere vakbonden;
  2. Indien vereist, zullen we de verwerking van persoonsgegevens registreren bij de toepasselijke regelgevende instantie op het gebied van privacy- of gegevensbescherming;
  3. Indien vereist, zullen we ruimere rechten van toegang en correctie bieden dan wordt uiteengezet in dit beleid;
  4. Indien vereist, zullen we de retentieperiode van persoonsgegevens verder beperken;
  5. Indien vereist, zullen we overeenkomsten aangaan met specifieke contractuele clausules, waaronder overeenkomsten voor grensoverschrijdende gegevensoverdracht aan derde partijen; en
  6. Waar vereist zullen we persoonsgegevens op wettelijk verzoek vrijgeven aan overheidsinstanties. Dit omvat verzoeken met betrekking tot nationale veiligheid of wetshandhaving.
In geval van tegenstrijdigheid tussen dit beleid en geldende wetgeving, heeft de standaard die meer bescherming biedt aan personen de overhand.

 

  1. We zullen verzoeken van personen om toegang tot of wijziging, correctie of verwijdering van persoonsgegevens, of om bezwaar te maken tegen de verwerking van persoonsgegevens, direct in behandeling nemen.
    1. Toegang, correctie en verwijdering – Onder de wetgeving van de meeste landen waarin we werkzaam zijn, hebben personen het recht om toegang te krijgen tot persoonsgegevens van zichzelf en om persoonsgegevens die onjuist, onvolledig of verouderd zijn te wijzigen, corrigeren of verwijderen. We zullen alle verzoeken voor toegang tot of correctie en verwijdering van persoonsgegevens van alle personen respecteren in navolging van onderstaande sectie 3a. Indien een verzoek om toegang tot of correctie of verwijdering van persoonsgegevens onder een geldende wet valt die betere bescherming biedt aan personen, zullen we ervoor zorgen dat aan de aanvullende eisen van die wet wordt voldaan.
    2. Keuze – In overeenstemming met onze privacywaarden van “Respect” en “Vertrouwen” respecteren wij individuele verzoeken om bezwaar te maken tegen de verwerking van persoonsgegevens, inclusief maar niet beperkt tot: afzien van deelname aan programma’s of activiteiten waarvoor iemand voorheen heeft aangegeven dat wel te willen doen, de verwerking van persoonsgegevens voor directe marketingcommunicatie, communicatie die op een persoon is gericht op basis van zijn/haar persoonsgegevens en eventuele beoordelingen of beslissingen over een persoon die mogelijk van aanzienlijke invloed op hem/haar zijn, gemaakt met behulp van automatisering of algoritmes.
      1. Tenzij wettelijk verboden kunnen wij de keuze afwijzen, wanneer een bepaald verzoek ons bedrijf zou hinderen bij de volgende zaken: (1) het naleven van een wet of ethische verplichting, inclusief wanneer wij verplicht zijn persoonsgegevens vrij te geven naar aanleiding van wettelijke verzoeken door overheidsinstanties, waaronder verzoeken met betrekking tot nationale veiligheid of wetshandhaving, (2) het onderzoeken, indienen of verdedigen van juridische vorderingen en (3) het uitvoeren van contracten, het beheren van relaties of deelname aan andere toegestane zakelijke praktijken die in lijn zijn met de principes van transparantie en doelbeperking en zijn aangegaan op grond van de informatie over de personen in kwestie. De beslissing om een keuzeverzoek af te wijzen conform dit beleid wordt binnen vijftien dagen na het nemen van de beslissing gedocumenteerd en gecommuniceerd aan de aanvrager.
  2. Vragen, klachten en opmerkingen met betrekking tot privacy en alle potentiële privacy- of beveiligingsincidenten worden direct in behandeling genomen.
    1. Iedere persoon wiens persoonsgegevens door ons worden verwerkt binnen de reikwijdte van dit beleid kan op ieder gewenst moment een vraag, klacht of opmerking aan ons bedrijf richten, inclusief een verzoek om een lijst met alle dochterondernemingen van ons bedrijf die onder dit beleid vallen. We verwachten van onze medewerkers en anderen die namens ons bedrijf werkzaam zijn dat ze direct melding maken wanneer ze van oordeel zijn dat ze vanwege geldende wetgeving dit beleid niet kunnen navolgen. Vragen, klachten of opmerkingen van een persoon of een kennisgeving van een medewerker of andere persoon die werkzaamheden uitvoert namens ons bedrijf dienen gericht te worden aan het Privacy Office:
      1. Per e-mail naar: merck_privacy_office@merck.com
      2. Per fax naar: +1-267-305-1216
      3. Per post naar: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, Verenigde Staten, 19454.
    2. Medewerkers en contractmedewerkers dienen het Privacy Office of de aangewezen Privacy Steward voor hun bedrijfsgebied direct op de hoogte te stellen van vragen, klachten of opmerkingen met betrekking tot de privacypraktijken van ons bedrijf.
    3. Het Privacy Office zal, eventueel in samenwerking met het Office of Ethics, de afdeling Legal en/of Compliance, alle vragen, klachten of opmerkingen met betrekking tot de privacypraktijken van ons bedrijf in behandeling nemen, zowel degene die rechtstreeks van onze medewerkers afkomstig zijn als die van andere personen of derde partijen, met inbegrip van, maar niet beperkt tot regelgevende instanties, verantwoordingsinstanties en andere overheidsinstanties. We zullen binnen dertig (30) kalenderdagen antwoord geven aan de persoon of entiteit die de vraag, klacht of opmerking naar voren bracht, tenzij een wet of externe aanvrager binnen kortere tijd antwoord eist of tenzij omstandigheden, zoals een gelijktijdig overheidsonderzoek, een langer tijdsbestek vereisen. De persoon of externe aanvrager zal in dat laatste geval zo spoedig mogelijk schriftelijk bericht worden over de aard van de vertragingsomstandigheden.
    4. Het Privacy Office zal in samenwerking met de afdelingen Legal en Compliance medewerking verlenen aan enig verzoek tot informatie, onderzoek of inspectie door een regelgevende instantie op het gebied van privacy.
    5. Voor klachten die niet kunnen worden opgelost tussen ons bedrijf en de persoon die de klacht heeft ingediend, heeft ons bedrijf ingestemd deel te nemen aan onderstaande procedures om tijdens de behandeling van klachten geschillen te beslechten conform dit beleid. Personen die woonachtig zijn in de EER of personen wiens persoonsgegevens onderhevig zijn aan de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER, kunnen ook op ieder gewenst moment vertrouwen op de onderstaande standaard 3.f.:
            1. voor geschillen met betrekking tot alle persoonsgegevens die door ons bedrijf worden ontvangen uit Zwitserland, heeft ons bedrijf ingestemd samen te werken met de Zwitserse FDPIC;
            2. voor geschillen met betrekking tot de overdracht naar de Verenigde Staten van persoonsgegevens die betrekking hebben op HR-activiteiten en verzameld zijn in het kader van een werkrelatie binnen de EEA; ons bedrijf zet zich ook in om samen te werken met de betreffende Europese gegevensbeschermingsautoriteit.
            3. voor geschillen met betrekking tot alle andere persoonsgegevens die onder dit beleid vallen, inclusief maar niet beperkt tot de gegevens die betrekking hebben op onze naleving van de Asia Pacific Economic Cooperation (“APEC”) Cross-Border Privacy Rules (“CBPR’s”), het Europees-Amerikaanse Privacy Shield en de US-Swiss Safe Harbor Privacy Principles (“Safe Harbor”), heeft ons bedrijf ingestemd met geschillenbeslechting door TRUSTe, een Amerikaanse dienstverlener op het gebied van geschillenbeslechting. Personen die een vraag of opmerking uiten aan ons bedrijf en die geen reactie krijgen van ons bedrijf, of die van mening zijn dat hun vraag of opmerking niet naar tevredenheid is afgehandeld, dienen contact op te nemen met het programma voor geschillenbeslechting van TRUSTe, op het internet, via e-mail of per fax. Vragen via e-mail of fax dienen Merck & Co., Inc. of MSD te vermelden als het bedrijf waaraan een vraag of opmerking is gericht. Het bericht dient een beschrijving van het privacyprobleem te bevatten, de naam van de persoon die de navraag indient en of TRUSTe de details van de navraag mag delen met ons bedrijf. TRUSTe zal optreden als liaison voor ons bedrijf om deze geschillen te beslechten.
              1. Online
              2. Fax: +1-415-520-3420
              3. Post: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137 San Francisco, CA, Verenigde Staten, 94103-1905
            4. Voor meer informatie over TRUSTe of hoe het geschillenbeslechtingsproces van TRUSTe te werk gaat, kunt u de site van TRUSTe bezoeken of informatie van TRUSTe aanvragen per post of fax, met behulp van bovenstaande contactgegevens. Het proces voor geschillenbeslechting van TRUSTe wordt in het Engels uitgevoerd.
            5. Voor eventuele geschillen onder het Europees-Amerikaanse Privacy Shield die niet opgelost kunnen worden met de stappen zoals beschreven in deze sectie, hebben individuen de optie om een beroep te doen op bindende arbitrage in overeenstemming met de procedures voor het Privacy Shield Panel opgezet onder het Europees-Amerikaanse Privacy Shield.
    1. Alle personen die binnen de EER woonachtig zijn, of personen wiens persoonsgegevens onderhevig zijn aan de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER, en wiens gegevens conform dit beleid worden verwerkt, hebben onder dit beleid op ieder gewenst moment het recht om de eisen van dit beleid als externe begunstigden af te dwingen, waaronder ook het recht om gerechtelijke actie te ondernemen om schending van hun rechten onder dit beleid te remediëren en het recht op vergoeding van schade opgelopen ten gevolge van deze schending. Personen die woonachtig zijn in de EER of personen wiens persoonsgegevens onderhevig zijn aan de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER (ter verduidelijking, inclusief de VS), kunnen onder dit beleid een vordering indienen tegen Merck, Sharp & Dohme (Europa) Inc. - België-filiaal (“MSD Europe”):
      1. In de rechtbanken of met de instantie van gegevensbescherming in het EER-land vanwaar de persoonsgegevens werden overgedragen, of
      2. In de rechtbanken van België of met de Belgische Privacycommissie.
    2. Ons bedrijf zal binnen dertig (30) kalenderdagen antwoord geven aan de persoon of entiteit die de vraag, klacht of opmerking naar voren bracht, tenzij een wet of externe aanvrager binnen kortere tijd antwoord eist of tenzij omstandigheden een langer tijdsbestek vereisen. De persoon of externe aanvrager zal in dat laatste geval schriftelijk bericht worden.
  1. Wij dragen verantwoording voor het handhaven van onze privacywaarden en -standaarden.
    1. De dochteronderneming van ons bedrijf die verantwoordelijk is voor een handeling die leidt tot een gesubstantieerd privacy- of beveiligingsincident is financieel verantwoordelijk voor het bedrag van een schadeclaim of boete die hiervan het gevolg is.
      1. In samenwerking met en onder leiding van het Privacy Office draagt MSD Europe de verantwoording ervoor te zorgen dat de nodige maatregelen worden getroffen voor het in behandeling nemen van enige vermeende overtredingen van dit beleid door dochterondernemingen van ons bedrijf buiten de EER die van invloed zijn op personen die woonachtig zijn in de EER of personen wiens persoonsgegevens onderhevig zijn aan de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER, en, indien vereist, om de boetes, sancties en schadevergoedingen te betalen voor schendingen van dit beleid die van invloed zijn op personen die woonachtig zijn in de EER of personen wiens persoonsgegevens onderhevig zijn aan de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER. Met ondersteuning van het Privacy Office en de dochteronderneming van ons bedrijf die buiten de EER is gevestigd en die verantwoordelijk is voor de vermeende overtreding, draagt MSD Europe de verantwoording om aan te tonen dat ons bedrijf niet aansprakelijk is voor de vermeende overtreding. Wanneer een andere dochteronderneming van ons bedrijf verantwoordelijk is voor de handeling die heeft geleid tot de boete, sanctie of schadevergoeding, kan worden vereist dat deze dochteronderneming ieder bedrag betaald door MSD Europe direct vergoedt aan MSD Europe.
      2. In samenwerking met en onder leiding van het Privacy Office draagt Merck Sharp & Dohme Corp. de verantwoording ervoor te zorgen dat de nodige maatregelen worden getroffen voor het in behandeling nemen van enige vermeende overtredingen van dit beleid die van invloed zijn op personen die woonachtig zijn buiten de EER, en, indien vereist, om de boetes, sancties en schadevergoedingen te betalen voor schendingen van dit beleid die van invloed zijn op personen die woonachtig zijn buiten de EER of personen wiens persoonsgegevens niet onderhevig zijn aan de wet voor gegevensbescherming van de EER. Wanneer een andere dochteronderneming van ons bedrijf verantwoordelijk is voor de handeling die heeft geleid tot de boete, sanctie of schadevergoeding, kan worden vereist dat deze dochteronderneming ieder bedrag betaald door Merck Sharp & Dohme Corp. direct vergoedt aan Merck Sharp & Dohme Corp.

Toezicht en controle

Om de garantie te bieden aan toezichthouders en andere stakeholders dat ons bedrijf verantwoording draagt voor de toewijding aan ethische en verantwoordelijke privacypraktijken, heeft het bedrijf een uitgebreide bestuursgroep voor toezicht en controle ingesteld, onder leiding van een Chief Privacy Officer en met een aangewezen Privacy Office (MPO) en Privacy Stewards die worden aangesteld door senior leidinggevenden en als liaisons optreden tussen de MPO en de bestuursgebieden waarin zij werkzaam zijn.

Ons bedrijf beroept zich op de Privacy Accountability Agents die wettelijk verplicht zijn om op periodieke basis, maar niet minder dan eenmaal per jaar, de naleving aan te tonen van de eisen van dit beleid en wetgevingen zoals de APEC CBPR’s.

Instanties van privacy- en gegevensbescherming die dit beleid hebben goedgekeurd of die rechtsbevoegdheid hebben over onze praktijken onder dit beleid, hebben het recht om onze naleving hiervan te verifiëren. Wij zullen ons houden aan het advies van deze competente autoriteiten voor wat betreft de interpretatie en toepassing van dit beleid.

Termen die u moet kennen

  • Beveiligingsincident: toegang door, of redelijke veronderstelling door ons bedrijf van toegang, gebruik of bekendmaking door of aan onbevoegden van persoonsgegevens. Toegang tot persoonsgegevens door of namens ons bedrijf zonder de intentie om dit beleid te schenden wordt niet als beveiligingsincident gezien, op voorwaarde dat de verkregen informatie alleen verder gebruikt en bekendgemaakt is zoals toegestaan in dit beleid.
  • Derde partij: alle wettelijke entiteiten, organisaties of personen die niet in bezit zijn van ons bedrijf, of waarin ons bedrijf geen zeggenschapsbelangen heeft, of die niet in dienst zijn van ons bedrijf. Tenzij uitdrukkelijk vermeld in dit beleid, worden dochterondernemingen of afdelingen van ons bedrijf niet geacht aan de eisen van een derde partij te voldoen onder dit beleid, aangezien alle dochterondernemingen of afdelingen persoonsgegevens dienen te verwerken in navolging van dit beleid, met inbegrip van omstandigheden waarin een of meer van de dochterondernemingen van ons bedrijf ondersteuning biedt/bieden aan een of meer andere dochterondernemingen van ons bedrijf bij de verwerking.
  • Geanonimiseerd: het aanpassen, inkorten, doorhalen of anderszins bewerken of wijzigen van persoonsgegevens, zodat deze onmogelijk gebruikt kunnen worden voor het identificeren of lokaliseren van of contact opnemen met een persoon.
  • Gevoelige informatie: alle soorten persoonsgegevens die een inherent risico van mogelijke schade aan personen met zich meebrengen, waaronder informatie die wettelijk is aangemerkt als gevoelig, met inbegrip van, maar niet beperkt tot informatie met betrekking tot gezondheid, genetica, ras, etnische oorsprong, religie, politieke of filosofische meningen of overtuigingen, criminele antecedenten, precieze gegevens van geolocatie, nummers van bankrekeningen of andere financiële rekeningen, door de overheid uitgegeven identificatienummers, minderjarige kinderen, seksleven, vakbondslidmaatschap, verzekering, burgerservicenummer en andere door de werkgever of overheid uitgegeven arbeidsvoorwaarden.
  • Ons bedrijf: Merck & Co., Inc. (Kenilworth, NJ, VS), haar opvolgers, dochterondernemingen en afdelingen wereldwijd, met uitzondering van joint ventures waar ons bedrijf deel van uitmaakt.
  • Persoonsgegevens: alle gegevens over een geïdentificeerde of identificeerbare persoon, waaronder gegevens die een persoon identificeren of die gebruikt kunnen worden om een persoon te identificeren, lokaliseren, volgen of benaderen. Onder persoonsgegevens vallen zowel direct identificeerbare gegevens, zoals een naam, identificatienummer of unieke functietitel, als indirect identificeerbare gegevens, zoals een geboortedatum, unieke identificatiecode van mobiel of draagbaar apparaat, telefoonnummer of sleutelgecodeerde gegevens.
  • Privacyincident: een overtreding of schending van dit beleid of een wet voor privacy- of gegevensbescherming; omvat een beveiligingsincident. Beslissingen of een privacyincident heeft plaatsgevonden en of dit belangrijk is, worden door het Privacy Office en het Office of General Counsel genomen.
  • Verwerking: de uitvoering van een operationele handeling of een reeks operationele handelingen met persoonsgegevens, al dan niet automatisch en inclusief, maar niet beperkt tot verzameling, opname, organisatie, opslag, toegang, aanpassing, wijziging, opvraging, raadpleging, gebruik, beoordeling, analyse, verslaggeving, het delen, bekendmaking, verspreiding, overdracht, het beschikbaar maken, afstemming, combinatie, blokkering, het (uit)wissen of de vernietiging ervan.
  • Wetgeving: alle geldende wetten, regels, voorschriften en bepalingen die de kracht van de wet hebben in alle landen waarin ons bedrijf werkzaam is of waarin persoonsgegevens worden verwerkt door of namens ons bedrijf. Hieronder vallen alle privacykaders waaronder ons bedrijf is goedgekeurd of gecertificeerd, met inbegrip van de Asia Pacific Economic Cooperation (“APEC”) Cross-Border Privacy Rules (“CBPR’s”), het Europees-Amerikaanse Privacy Shield – onder de onderzoeks- en handhavingsbevoegdheden van de Amerikaanse Federal Trade Commission – en de US-Swiss Safe Harbor Privacy Principles (“Safe Harbor”). Hieronder valt ook het Beleid van Merck voor Wereldwijde grensoverschrijdende privacyregels, waarin de juridisch bindende bedrijfsregels met betrekking tot privacy worden uiteengezet voor het verwerken van alle persoonsgegevens die door of namens ons bedrijf worden overgedragen vanuit de Europese Economische Ruimte of een APEC-economie.

Wijzigingen aan dit beleid

Dit beleid kan van tijd tot tijd worden aangepast, in navolging van de eisen van de geldende wetgeving. Wanneer dit beleid wezenlijk wordt veranderd, wordt er een kennisgeving op de privacywebsite van ons bedrijf geplaatst (www.msd.com/privacy). De kennisgeving blijft 60 dagen staan.

Ingangsdatum

23 september 2016