Bij Organon strekt onze missie om ingenieuze gezondheidsoplossingen te leveren die mensen in staat stellen hun beste leven te leiden zich uit tot het respecteren van de privacy van personen en het beschermen van persoonsgegevens.

Herzieningsdatum: 01 februari 2021
Ingangsdatum: 1 juni 2021

We streven ernaar om zaken te doen volgens onze privacyprincipes omdat we geloven dat deze garant staan voor ethische en verantwoorde praktijken voor gegevensverwerking. We beseffen dat innovatie en nieuwe technologieën tot voortdurende verandering leiden en en daarom streven we ernaar om onmiddellijk aan te passen hoe we onze privacyprincipes toepassen als reactie op die veranderingen.

Dit beleid definieert onze wereldwijde standaarden voor beheer en bescherming van persoonsgegevens door of namens ons bedrijf, terwijl het zich over landsgrenzen beweegt, ongeacht het land waaruit de persoonsgegevens afkomstig zijn of waarnaar de persoonsgegevens kunnen worden doorgegeven. Het omschrijft onze toewijding tot naleving van onze APEC grensoverschrijdende privacyregels-certificering. Het is van toepassing op onze bedrijfsvoering in elk land, inclusief de gegevensoverdracht die noodzakelijk is om deze activiteiten uit te voeren.

Dit beleid is ook van toepassing op alle mensen van wie wij gegevens verwerken, met inbegrip van, maar niet beperkt tot, professionele zorgverleners en andere klanten; toekomstige, huidige en voormalige medewerkers en van hen afhankelijke personen, patiënten, zorgverleners, onderzoekers en deelnemers aan onderzoeken, leden van wetenschappelijke en ethische commissies, zakenpartners, investeerders en aandeelhouders, overheidsambtenaren en andere belanghebbenden.

Alle medewerkers en senior leidinggevenden van het bedrijf hebben kernverantwoordelijkheden wat betreft privacy die ze dienen na te leven.

We erkennen dat onbedoelde fouten en vergissingen met betrekking tot de bescherming van persoonsgegevens kunnen leiden tot potentiële privacyrisico’s voor personen en reputatie-, bedrijfsvoerings-, financiële- en nalevingsrisico’s voor ons bedrijf. We bieden passende training voor dit beleid aan alle werknemers en andere personen die permanente of reguliere toegang hebben tot persoonsgegevens, betrokken zijn bij de verzameling van gegevens of helpen bij de ontwikkeling van hulpmiddelen die gebruikt worden om persoonsgegevens te verwerken. Alle medewerkers van ons bedrijf en derden die gegevens over personen verwerken voor ons bedrijf, moeten begrijpen wat hun verplichtingen zijn en deze nakomen zoals vermeld in dit beleid en de geldende wetgeving.

Onze privacynormen en -waarden

We volgen onze privacywaarden op in alles wat we doen. Onze vier privacywaarden zijn:

Respect

Vertrouwen

Schade voorkomen

Naleving

We erkennen dat Privacyovertuigingen betrekking hebben op de essentie van wie we zijn, hoe we de wereld en onszelf zien. We streven naar het respecteren van de perspectieven en belangen van personen en gemeenschappen, en gebruiken en delen informatie over hen op eerlijke en transparante manier.

Vertrouwen is cruciaal voor ons succes, dus streven we ernaar het vertrouwen van onze klanten, medewerkers, proefpersonen en andere belanghebbendenbetreffende privacy en bescherming van persoonsgegevens te winnen en te behouden.

Verkeerd gebruik van persoonsgegevens kan zowel tastbare als ontastbare schade berokkenen aan personen, en we proberen daarom het risico op fysieke veiligheid-, financiële, reputatieschade en andere soorten privacyschade te voorkomen.

Wet- en regelgeving houdt niet altijd gelijke tred de snelle verandering in technologie, datastroom en de verschuivingen in privacyrisico’s en verwachtingen. Daarom streven we ernaar om de geest en de letter van privacy- en gegevensbeschermingswet- en regelgeving consistent en efficiënt na te leven.

  1. We verankeren onze privacystandaarden in activiteiten, processen, technologieën en relaties met derde partijen die persoonsgegevens gebruiken. We ontwikkelen privacycontroles in onze processen en technologieën die in lijn zijn met onze privacywaarden en -standaarden en de geldende wetgeving. De onderstaande acht (8) privacyprincipes zijn een samenvatting van onze privacystandaarden en kerneisen voor processen, activiteiten en de ondersteunende technologieën op een hoog niveau.

    Privacyprincipes

    Onze kernwaarden

    1. Noodzaak – Voordat persoonsgegevens worden verzameld, gebruikt of gedeeld, definiëren en documenteren we de specifieke, legitieme bedrijfsdoelen waarvoor ze nodig zijn.

    • We bepalen welke persoonsgegevens nodig zijn en voor hoe lang, voor de vastgestelde bedrijfsdoeleinden en van toepassing zijnde wettelijke vereisten. We documenteren onze bepaling.
    • We verzamelen, gebruiken of delen niet meer persoonsgegevens dan noodzakelijk en we bewaren de gegevens in identificeerbare vorm niet langer dan noodzakelijk voor de gestelde bedrijfsdoeleinden en van toepassing zijnde wettelijke vereisten.
    • We anonimiseren of de-identificeren de persoonsgegevens wanneer zakelijke vereisten het vereisen dat informatiegegevens over de activiteit of het proces waarbij persoonsgegevens betrokken zijn voor een langere periode worden bewaard.
    • We zorgen ervoor dat deze noodzakelijkheidseisen onlosmakelijk verbonden zijn met eventuele ondersteunende technologie en dat ze worden gecommuniceerd aan derde partijen die de activiteit of het proces ondersteunen.

    2. Eerlijkheid – We verwerken persoonsgegevens op een manier die eerlijk is voor de personen op wie de gegevens betrekking hebben.

    • We bepalen of het verzamelen, gebruiken of verwerken van persoonsgegevens een redelijk waarschijnlijk of ernstig risico op tastbare of immateriële schade voor personen inhoudt, conform onze privacywaarde van Schade voorkomen.
    • Als de aard van de gegevens, soort personen of activiteit een redelijk waarschijnlijk en/of ernstig risico van tastbare of immateriële schade aan personen vormt, zorgen we ervoor dat het risico ondergeschikt is aan het bijbehorende voordeel voor deze personen of voor onze missie van het redden en verbeteren van levens, en afgezwakt wordt door de maatregelen, waarborgen en mechanismen die we hebben ingevoerd.
    • Waar het risico de voordelen voor personen lijkt te overtreffen, passen wij de meest relevante beveiligings- en beschermingsmaatregelen toe, stellen wij personen hiervan in kennis en winnen indien vereist het advies in van de bevoegde regelgevende autoriteit.
    • We verwerken gevoelige informatie uitsluitend met de uitdrukkelijke goedkeuring van personen, zoals uitdrukkelijk vereist of toegestaan onder de geldende wetgeving.
    • Wanneer het risico groter lijkt dan de voordelen voor personen, documenteren wij de risicoanalyse en implementeren maatregelen om de risico’s zoveel mogelijk te beperken.

    3. Transparantie – We verwerken persoonsgegevens op wijzen of voor doeleinden die gemakkelijk transparant zijn voor de mensen op wie de gegevens betrekking hebben.

    • Alle personen van wie persoonsgegevens worden verwerkt volgens dit beleid hebben recht op een exemplaar van dit beleid. Exemplaren van dit beleid worden online beschikbaar gesteld op www.organon.com/privacy en overleggen op verzoek elektronische en/of papieren versies van het beleid aan de geadresseerde die hieronder vermeld staan.
    • Als persoonsgegevens rechtstreeks van personen worden verzameld , stellen we hen, voorafgaand aan de verzameling van de gegevens, hiervan op de hoogte middels een duidelijke, opvallende en eenvoudig toegankelijke privacymelding of gelijkwaardig middel met (1) de verwerkingsverantwoordelijke bedrijfsentiteit(en); (2) de contactgegevens van onze Chief Privacy Officer en/of de regionale/lokale Functionaris voor Gegevensbescherming; (3) welke informatie er wordt verzameld; (4) de doeleinden waarvoor het zal worden gebruikt; (5) de rechtsgrond voor onze verwerking van de gegevens; (6) met wie het zal worden gedeeld, waaronder eventuele vereisten om persoonsgegevens vrij te geven naar aanleiding van rechtmatige verzoeken door overheidsinstanties; (7) of en hoe wij de persoonsgegevens zullen overdragen aan andere landen, waaronder het identificeren van de relevante landen waar mogelijk; (8) hoelang de gegevens zullen worden bewaard, of de criteria aan de hand waarvan wij die beslissing nemen; (9) hoe de personen een vraag kunnen stellen, een opmerking kunnen indienen of hun rechten met betrekking tot hun persoonsgegevens kunnen uitoefenen; (10) hoe zij hun toestemming die zij hebben verleend, kunnen intrekken, (11) hun recht om een klacht in te dienen bij een toezichthoudende autoriteit; (12) elke verplichting om persoonsgegevens te verstrekken en de gevolgen van het nalaten hiervan; (13) elke geautomatiseerde besluitvorming, inclusief profilering, die kan worden uitgevoerd; (14) een link naar dit beleid, waar mogelijk en gepast. Onze uitgebreide privacymeldingen voor veel van onze belanghebbenden zijn online beschikbaar op https://www.organon.com/privacy/contact/
    • Als persoonsgegevens worden verkregen via observaties, sensoren of andere indirecte middelen, is het wellicht niet mogelijk om een privacymelding aan de persoon te richten ten tijde van de verzameling van de gegevens. In zulke gevallen verzekeren we de persoon via andere middelen van transparantie, bijvoorbeeld geplaatst of gedrukt op het apparaat of als materialen behorende bij het apparaat waarmee de gegevens worden verzameld.
    • Als persoonsgegevens via een website, mobiele app of andere online applicatie of middel worden verzameld, passen we de technologiegebonden standaarden toe zoals vermeld in ons Internetprivacybeleid en ons Wereldwijd online trackingbeleid om ervoor te zorgen dat er wordt voldaan aan de transparantie-eisen van dit beleid.
    • Als persoonsgegevens worden verzameld van andere bronnen en wanneer het niet specifiek onder leiding is van ons bedrijf, verifiëren we schriftelijk en vooraf dat de aanbieder van de gegevens de personen heeft geïnformeerd over de manieren en doeleinden waarvoor ons bedrijf de informatie zal gebruiken. Als schriftelijke verificatie niet kan worden verkregen van de aanbieder van de gegevens, gebruiken we uitsluitend anonieme of gedeïdentificeerde gegevens, of informeren we de personen, voordat de persoonsgegevens worden gebruikt, middels een privacymelding of gelijkwaardig middel van (1) de verwerkingsverantwoordelijke bedrijfsentiteit(en) voor het verwerken van de gegevens, (2) de contactgegevens van onze Chief Privacy Officer en/of de regionale/lokale Functionaris voor Gegevensbescherming (3) welke informatie ons bedrijf van zins is te gebruiken, (4) de doeleinden waarvoor ons bedrijf het zal gebruiken, (5) de rechtsgrond voor onze verwerking (6) met wie ons bedrijf de informatie zal delen, (7) of en hoe wij de persoonsgegevens zullen overdragen aan andere landen, waaronder identificeren van de relevante landen waar mogelijk, (8) hoelang ons bedrijf de informatie zal bewaren, of de criteria aan de hand waarvan wij die beslissing nemen (9) hoe ze een vraag kunnen stellen, een opmerking kunnen plaatsen of hun rechten kunnen uitoefenen met betrekking tot de persoonsgegevens (10) hoe zij hun toestemming die zij hebben verleend, kunnen intrekken, (11) hun recht om een klacht in te dienen bij een toezichthoudende autoriteit, (12) elke verplichting om persoonsgegevens te verstrekken en de gevolgen van het nalaten hiervan (13) elke geautomatiseerde besluitvorming, inclusief profilering, dat kan worden uitgevoerd, (14) een link naar dit beleid, waar mogelijk en gepast.
    • We zorgen ervoor dat de nodige transparantiemiddelen, waaronder (waar mogelijk) mechanismen die verzoeken van individuele rechten ondersteunen, worden ingesloten in de ondersteunende technologieën, en dat derde partijen die de activiteit of het proces ondersteunen geen persoonsinformatie verwerken op wijzen die tegenstrijdig zijn met de informatie verschaft aan individuen middels privacymeldingen of andere verifieerbare middelen over wat er door ons en door anderen namens ons met de informatie zal worden gedaan.
    • Wanneer we toestemming vragen, verkrijgen we bewijs van toestemming en documenteren we dit in onze ondersteunende technologieën.

    4. Doelbeperking – We gebruiken persoonsgegevens uitsluitend conform de principes van noodzakelijkheid en transparantie.

    • Als nieuwe legitieme bedrijfsdoeleinden worden geïdentificeerd voor persoonsgegevens die eerder werden verzameld, zorgen we ervoor dat we of de goedkeuring krijgen van de persoon voor het nieuwe gebruik van de persoonsgegevens, of dat het nieuwe bedrijfsdoeleinde verenigbaar is met en wezenlijk gelijk is aan, een doeleinde dat werd omgeschreven in een privacymelding of ander transparant mechanisme dat daarvoor aan de persoon werd verstrekt. We zullen de verenigbaarheid bepalen op basis van (1) elke link tussen de oorspronkelijke doeleinden en het voorgestelde nieuwe doel (2) de redelijke verwachtingen van de persoon, (3) de aard van de persoonsgegevens, (4) de gevolgen van verdere verwerking voor de persoon, en (5) de veiligheidsmaatregelen die we hebben ingevoerd.
    • We passen dit principe niet toe op geanonimiseerde of gede-ïdentificeerde gegevens of als we persoonsgegevens uitsluitend gebruiken voor historische en wetenschappelijke onderzoeksdoeleinden en wanneer (1) een ethische beoordelingscommissie, of een andere competente beoordelaar, heeft vastgesteld dat het risico van dergelijk gebruik voor wat betreft privacy en andere rechten van de persoon acceptabel is, (2) wij passende voorzorgsmaatregelen hebben genomen om gegevensminimalisering te garanderen, (3) de persoonsgegevens pseudogeanonimiseerd zijn en (4) alle andere toepasselijke wetten worden nageleefd.
    • We verzekeren dat doelbeperking wordt toegepast op ondersteunende technologie, met inbegrip van rapportagemogelijkheden en het downstream delen van gegevens.

    5. Gegevenskwaliteit – We streven ernaar om persoonsgegevens accuraat, volledig en actueel, in overeenstemming met het bedoelde gebruik te houden.

    • We zorgen ervoor dat mechanismen voor periodieke gegevensbeoordeling worden toegepast op ondersteunende technologieën om de juistheid van gegevens te bevestigen tegenover bron- en downstreamsystemen.
    • We zorgen ervoor dat gevoelige informatie wordt gecontroleerd op juistheid en actualiteit vóór, het gebruik, beoordeling, analyse, melding of andere vorm van verwerking, die een risico op oneerlijkheid vormen ten opzichte van personen indien onjuiste of verouderde gegevens worden gebruikt.
    • Indien wijzigingen worden aangebracht in persoonsgegevens, door ons bedrijf of derde partijen die voor ons bedrijf werken, zorgen we ervoor dat deze wijzigingen tijdig worden gecommuniceerd aan de betrokkenen, waar redelijkerwijs mogelijk.

    6. Veiligheid – We passen beveiligingsmaatre-gelen toe om persoonsgegevens en gevoelige informatie te beschermen tegen verlies, misbruik en onbevoegde toegang, openbaarmaking, wijziging of vernietiging.

    • We hebben een uitgebreid beveiligingsprogramma voor gegevens ingesteld en passen beveiligingsmaatregelen en waarborgen toe die gebaseerd zijn op de aard en gevoeligheid van de informatie en het risiconiveau van de activiteit, rekening houdend met beste praktijken van de huidige technologie en de kosten van implementatie. Onze functionele beleidslijnen voor veiligheid omvatten, maar zijn niet beperkt tot, standaarden over bedrijfscontinuïteit en rampenherstel, encryptie, identiteits- en toegangsbeheer, classificatie van informatie, incidentenbeheer van informatieveiligheid, controle van netwerktoegang, fysieke beveiliging en risicobeheer.

    7. Gegevensover-dracht – We zijn verantwoordelijk voor en borgen de privacybescherming voor persoonsgegevens wanneer deze worden overgedragen van of naar andere organisaties of over landgrenzen.

    (1) We dragen persoonsgegevens over binnen ons bedrijf als aan de volgende vereisten wordt voldaan:

    (a) het delen is noodzakelijk om het doel te bereiken waarvoor de persoonsgegevens oorspronkelijk werden verzameld of een ander legitiem belang van het bedrijf; en (b) het doel waarvoor deze zullen worden gedeeld, en het feit dat deze gedeeld zullen worden, is in overeenstemming met de privacymelding of ander transparantiemechanisme dat eerder aan de persoon werd verstrekt op het moment dat de persoonsgegevens oorspronkelijk werden verzameld, en de persoon waar nodig toestemming gaf; (c) wanneer een van onze dochterondernemingen uitsluitend optreedt namens een andere dochteronderneming van ons bedrijf bij de verwerking van persoonsgegevens; (d) indien vereist door de wet, zullen die dochterondernemingen van ons bedrijf een interne gegevensverwerkingsovereenkomst uitvoeren in overeenstemming met Principe 8 van dit beleid. Of; (e) indien de IT-infrastructuur een dergelijke overdracht vereist, mits alle passende veiligheids- en organisatorische maatregelen zijn genomen om een dergelijke overdracht in overeenstemming te brengen met de voorschriften.

    (2) We dragen persoonsgegeven alleen over aan derde partijen of staan hen toe de gegevens te verwerken als aan de volgende eisen is voldaan, en we bevestigen dat derde partijen voldoen aan deze vereisten:

    • Als de derde partij persoonsgegevens voor of namens ons bedrijf verwerkt en voordat persoonsgegevens aan de derde partij worden verstrekt, nemen wij de volgende stappen: (1) zorgvuldig privacyonderzoek uitvoeren om de privacypraktijken en -risico’s te beoordelen die verbonden zijn een dergelijke derde partij, (2) contractuele garantie van deze derde partijen verkrijgen dat ze (i) persoonsgegevens uitsluitend zullen verwerken conform de instructies van ons bedrijf en in naleving van dit beleid, met inbegrip van, maar niet beperkt tot, alle acht (8) de privacyprincipes en de andere standaarden die in dit beleid worden gesteld, en de geldende wetgeving; (ii) dat ze ons bedrijf direct op de hoogte zullen stellen van eventuele privacyincidenten, waaronder een eventueel onvermogen om te kunnen voldoen aan de standaarden zoals beschreven in dit beleid en geldende wetgeving, of beveiligingsincidenten, en samenwerken om onmiddellijk een op ziczelf bestaand voorval op te lossen en om de individuele rechten te behandelen zoals beschreven in onderstaande sectie 2; (iii) dat zij geen ander bedrijf zullen inschakelen om de persoonsgegevens te verwerken zonder onze schriftelijke toestemming en zonder een overeenkomst die gelijkwaardige verplichtingen inzake gegevensbescherming oplegt; (iv) dat zij alle persoonsgegevens veilig verwijderen of aan ons retourneren, nadat zij klaar zijn met het verlenen van diensten aan ons of op ons verzoek of onze aanwijzing; en (v) dat ze ons bedrijf zullen toestaan controles en audits uit te voeren naar hun praktijken op naleving van deze eisen gedurende de verwerking van de gegevens. Daarnaast, als een derde partij persoonsgegevens verwerkt die afkomstig zijn uit een land of gebied waar de wetgeving de overdracht van persoonsgegevens beperkt, zullen we er tevens voor zorgen dat de overdracht aan de derde partij voldoet aan de eisen voor grensoverschrijdende gegevensoverdracht, zoals beschreven in onderstaande sectie (3).
    • Indien de derde partij persoonsgegevens aan ons bedrijf levert, zorgen we er vooraf voor dat er wordt voldaan aan de transparantie-eisen voor het verzamelen van persoonsgegevens van andere bronnen en niet specifiek onder leiding van ons bedrijf. Ook verkrijgen we een contractuele verklaring van de derde partij waarin gesteld wordt dat ze geen wetten of rechten van een derde partij overtreedt met het leveren van persoonsgegevens aan ons bedrijf.
    • Indien de derde partij gegevens van ons bedrijf ontvangt voor verwerkingsprocessen die niet specifiek onder leiding van ons bedrijf staan , zorgen we er vooraf voor dat de gegevens zijn geanonimiseerd of gedeïdentificeerd en verkrijgen we schriftelijke verklaringen van de derde partij waarin gesteld wordt dat de gegevens uitsluitend worden gebruikt voor de specifieke zakelijke doeleinden die in de overeenkomst zijn gedefinieerd en in navolging van de geldende wetgeving, en dat de partij niet zal trachten de gegevens opnieuw te identificeren.
    • Indien de overdracht aan een derde partij vereist is om de legitieme belangen van de persoon of die van het bedrijf te beschermen, kunnen we de informatie overdragen: (1) ter voorkoming van fraude of ter handhaving of bescherming van de rechten en eigendommen van het bedrijf; (2) voor de bescherming van de persoonlijke veiligheid van onze werknemers of derde partijen op onze terreinen, en (3) om onze bedrijfsmiddelen te beschermen door corrigerende veiligheidsmaatregelen te nemen als we redelijkerwijs vermoeden dat een onwettige activiteit of ernstig wangedrag heeft plaatsgevonden.
    • Indien de derde partij een doelwit vormt voor overname of een meerderheidsbelang door ons bedrijf:, (1) voordat we een overeenkomst aangaan om de derde partij over te nemen of een meerderheidsbelang te verkrijgen, voeren we een zorgvuldig privacyonderzoek uit om de privacypraktijken en -risico’s te beoordelen die verbonden zijn aan de overname van of een meerderheidsbelang in die derde partij en (2) gaan we een overeenkomst voor gegevensoverdracht aan waarin de voorwaarden waaronder persoonsgegevens mogen worden vrijgegeven worden gesteld, evenals de respectievelijke verplichtingen van ons bedrijf en de derde partij.
    • Indien de derde partij alle of een deel van de zaken van ons bedrijf overneemt , nemen we voordat we persoonsgegevens delen met betrekking tot een afstoting van enig deel van de zaken van ons bedrijf, de volgende stappen: (1) we gaan een overeenkomst voor gegevensoverdracht aan waarin de voorwaarden worden gesteld waaronder persoonsgegevens mogen worden vrijgegeven aan de aankoper, waaronder de correcte beperkingen wat betreft het toegestane gebruik van persoonsgegevens en naleving van de standaard zoals beschreven in dit beleid en geldende wetgeving, (2) we minimaliseren het delen van gegevensonderdelen tot wat noodzakelijk is, (3) we verkrijgen goedkeuring om persoonsgegevens of gevoelige informatie te delen conform de principes voor transparantie en doelbeperking van dit beleid, en (4) we vereisen van derde partijen om ons bedrijf onmiddellijk op de hoogte te stellen van een eventueel privacyvoorval, waaronder een onvermogen om te voldoen aan de standaarden zoals beschreven in dit beleid en geldende wetgeving, en samen te werken om onmiddellijk een op zichzelf staand voorval op te lossen of de verwerking van relevante persoonsgegevens stop te zetten.

    (3) Persoonsgegevens worden door of namens ons bedrijf over landgrenzen, waaronder naar de Verenigde Staten van Amerika (USA) waar ons bedrijf het hoofdkantoor heeft, overgedragen conform dit beleid. Dit beleid wordt toegepast op overdracht van persoonsgegevens uit elk ander land of gebied waarin de overdracht van persoonsgegevens wettelijk wordt beperkt, naast het naleven van eventuele vereisten opgelegd door dergelijke wetten (inclusief het gebruik van mechanismen die nodig zijn voor grensoverschrijdende overdrachten naar landen die niet dezelfde gegevensbeschermingsnormen hebben als het land van herkomst).

    8. Wettelijk toegestaan – We verwerken persoonsgegevens uitsluitend wanneer aan de geldende wettelijke eisen is voldaan.

    • Hoewel de andere zeven (7) privacyprincipes, alsmede de eisen voor individuele rechten die hieronder staan omschreven, bedoeld zijn om ervoor te zorgen dat aan de eisen van de meeste wetten voor privacy- en gegevensbescherming die wereldwijd van toepassing zijn op ons bedrijf wordt voldaan, moeten we in sommige landen voldoen aan aanvullende eisen, met inbegrip van, maar niet beperkt tot het onderstaande:

      1) Indien vereist, zullen we specifieke vormen van toestemming verkrijgen voor bepaalde verwerkingsvormen van persoonsgegevens, inclusief maar niet beperkt tot goedkeuring van een ondernemingsraad en andere vakbonden;

      2) Indien vereist, zullen we de verwerking van persoonsgegevens registreren bij of om goedkeuring vragen van de toepasselijke regelgevende autoriteit op het gebied van privacy- of gegevensbescherming;

      3) Indien vereist, zullen we ruimere rechten (bijvoorbeeld van toegang en correctie) bieden dan wordt uiteengezet in dit beleid;

      4) Indien vereist, zullen we de retentieperiode van persoonsgegevens verder beperken;

      5) Indien vereist, zullen we overeenkomsten aangaan met specifieke contractuele clausules, waaronder overeenkomsten voor grensoverschrijdende gegevensoverdracht aan derde partijen; en

      6) Waar nodig zullen we persoonsgegevens vrijgeven in antwoord op wettige verzoeken van overheidsinstanties, onder meer om te voldoen aan nationale veiligheids- of wetshandhavingsvereisten.

      In geval van tegenstrijdigheid tussen dit beleid en geldende wetgeving, heeft de standaard die meer bescherming biedt aan personen voorrang.

  2. We zullen verzoeken van personen om toegang tot of wijziging, correctie of verwijdering van persoonsgegevens, of om bezwaar te maken tegen de verwerking van persoonsgegevens, of om andere rechten met betrekking tot hun persoonsgegevens uit te oefenen, direct in behandeling nemen.
    1. Toegang, correctie, verwijdering en andere rechten – Onder de wetgeving van de meeste landen waarin we werkzaam zijn, hebben personen het recht om te verzoeken om toegang te krijgen tot persoonsgegevens van zichzelf en om persoonsgegevens die onjuist, onvolledig of verouderd zijn te wijzigen, corrigeren of verwijderen. We zullen alle verzoeken voor toegang tot of correctie en verwijdering van persoonsgegevens van alle personen respecteren in navolging van onderstaande sectie 3a, en zoals is toegestaan volgens toepasselijke wetgeving. Indien een verzoek om toegang tot of correctie of verwijdering van persoonsgegevens onder een geldende wet valt die betere bescherming biedt aan personen, zullen we ervoor zorgen dat aan de aanvullende eisen van die wet wordt voldaan. In sommige landen hebben personen mogelijk recht op andere rechten met betrekking tot persoonsgegevens over zichzelf, zoals het recht om de verwerking te beperken, om bezwaar te maken tegen verwerking (zie ook sectie 2b hieronder) en om hun gegevens te laten overdragen aan een andere serviceprovider. We zullen de uitoefening van gegevensrechten respecteren in overeenstemming met toepasselijke wetten. Sommige rechten, zoals het verwijderen van informatie, kunnen worden beperkt op grond van andere regelgevende of wettelijke vereisten of de noodzaak om te voldoen aan lokale nalevingsrapportage; in dat geval, zullen wij u informeren over deze beperkingen, voor zover van toepassing.
    2. Keuze – In overeenstemming met onze privacywaarden van ‘Respect’ en ‘Vertrouwen’ respecteren wij individuele verzoeken om bezwaar te maken tegen de verwerking van persoonsgegevens, inclusief maar niet beperkt tot: afzien van deelname aan programma’s of activiteiten waaraan iemand eerder wel deelnam, verwerking van persoonsgegevens voor directe marketingcommunicatie, communicatie op basis van zijn/haar persoonsgegevens en eventuele beoordelingen of beslissingen over een persoon die mogelijk van aanzienlijke invloed op hem/haar zijn, gemaakt met behulp van automatisering of algoritmes.
      1. Tenzij wettelijk verboden kunnen wij de keuze afwijzen, wanneer een bepaald verzoek ons bedrijf zou hinderen bij de volgende zaken: (1) het naleven van een wet of ethische verplichting, waar nodig zullen we persoonsgegevens vrijgeven in antwoord op wettige verzoeken van overheidsinstanties, onder meer om te voldoen aan nationale veiligheids- of wetshandhavingsvereisten, (2) het onderzoeken, indienen of verdedigen van juridische vorderingen en (3) het uitvoeren van contracten, het beheren van relaties of deelname aan andere toegestane zakelijke praktijken die in lijn zijn met de principes van transparantie en doelbeperking en zijn aangegaan op grond van de informatie over de personen in kwestie. De beslissing om een keuzeverzoek af te wijzen conform dit beleid wordt binnen vijftien (15) dagen na het nemen van de beslissing gedocumenteerd en gecommuniceerd aan de aanvrager, tenzij anders vereist door toepasselijke wetgeving.
  3. Vragen, klachten en opmerkingen met betrekking tot privacy en alle potentiële privacy- of beveiligingsincidenten worden direct in behandeling genomen.
    1. Iedere persoon wiens persoonsgegevens door ons worden verwerkt binnen de reikwijdte van dit beleid kan op ieder gewenst moment een vraag, klacht of opmerking aan ons bedrijf richten, inclusief een verzoek om een lijst met alle dochterondernemingen van ons bedrijf die onder dit beleid vallen. We verwachten van onze medewerkers en anderen die namens ons bedrijf werkzaam zijn dat ze direct melding maken wanneer ze van oordeel zijn dat ze vanwege geldende wetgeving dit beleid niet kunnen navolgen. Vragen, klachten of opmerkingen van een persoon of een kennisgeving van een medewerker of andere persoon die werkzaamheden uitvoert namens ons bedrijf dienen gericht te worden aan het Global Privacy Office:
      1. Per e-mail voor personen die in de Europese Economische Ruimte (EER) wonen naar: euprivacydpo@msdorganon.com
      2. Anders per e-mail naar: privacyoffice@organon.com
      3. Per post naar: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ 07302.
    2. Medewerkers en contractmedewerkers dienen het Global Privacy Office of de aangewezen Business Practice Manager voor hun bedrijfsgebied direct op de hoogte te stellen van vragen, klachten of opmerkingen met betrekking tot de privacypraktijken van ons bedrijf.
    3. Het Global Privacy Office zal, eventueel in samenwerking met collega’s van het Office of Ethics, de afdeling Legal en Compliance, alle vragen, klachten of opmerkingen met betrekking tot de privacypraktijken van ons bedrijf in behandeling nemen, zowel degene die rechtstreeks van onze medewerkers afkomstig zijn als die van andere personen of derde partijen, met inbegrip van, maar niet beperkt tot regelgevende autoriteiten, verantwoordingsplicht inspecteurs en andere overheidsinstanties. We zullen binnen dertig (30) kalenderdagen antwoord geven aan de persoon of entiteit die de vraag, klacht of opmerking naar voren bracht, tenzij een wet of externe aanvrager binnen kortere tijd antwoord eist of tenzij omstandigheden, zoals een gelijktijdig overheidsonderzoek, een langer tijdsbestek vereisen. De persoon of externe aanvrager zal in dat laatste geval zo spoedig mogelijk schriftelijk geïnformeerd worden over de vertraging.
    4. Het Global Privacy Office zal in samenwerking met collega’s van de afdelingen Legal en Compliance medewerking verlenen aan enig verzoek tot informatie, onderzoek of inspectie door een regelgevende instantie op het gebied van privacy.
    5. Alle personen die binnen de EER woonachtig zijn, of personen wiens persoonsgegevens vallen onder de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER, en wiens gegevens conform dit beleid worden verwerkt, hebben waar de EU-modelcontractbepalingen worden gebruikt om hun persoonlijke gegevens over te dragen op ieder gewenst moment het recht om de eisen van de standaard modelcontractbepalingen als externe begunstigden af te dwingen, waaronder ook het recht om gerechtelijke actie te ondernemen om schending van hun rechten onder de standaard modelcontractbepalingen te herstellen en het recht op vergoeding van schade opgelopen ten gevolge van deze schending. Personen die woonachtig zijn in de EER of personen wiens persoonsgegevens vallen onder de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER (inclusief de VS), kunnen onder de standaard modelcontractbepalingen een vordering of klacht indienen tegen het bedrijf met:
      1. De bevoegde gegevensbeschermingsautoriteiten (met name in de lidstaat waar hij/zij zijn/haar gewone verblijfplaats, zijn/haar werkplek of de plaats van de vermeende schending heeft). De contactgegevens van de gegevensbeschermingsautoriteiten vindt u hier: Members | European Data Protection Board (europa.eu)
    6. Ons bedrijf zal binnen de tijdsperiode die wordt toegekend door de toepasselijke wetgeving antwoord geven aan de persoon of entiteit die de vraag, klacht of opmerking naar voren bracht, tenzij een externe aanvrager binnen kortere tijd antwoord eist of tenzij omstandigheden een langer tijdsbestek vereisen. De persoon of externe aanvrager zal in dat laatste geval schriftelijk bericht ontvangen.
  4. Wij dragen verantwoording voor het handhaven van onze privacywaarden en -normen.
    1. De dochteronderneming van ons bedrijf die verantwoordelijk is voor een handeling die leidt tot een op zich zelf bestaand privacy- of beveiligingsincident is financieel verantwoordelijk voor het bedrag van een schadeclaim of boete die hiervan het gevolg is.
      1. In samenwerking met en onder leiding van het Global Privacy Office draagt de Europese functionaris voor gegevensbescherming de verantwoording om ervoor te zorgen dat de nodige maatregelen worden getroffen voor het in behandeling nemen van enige vermeende overtredingen van dit beleid, door dochterondernemingen van ons bedrijf buiten de EER, die van invloed zijn op personen die woonachtig zijn in de EER of personen wiens persoonsgegevens onderhevig zijn aan de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER.

Toezicht en controle

Om de garantie te bieden aan toezichthouders en andere belanghebbenden dat ons bedrijf verantwoording draagt voor de toewijding aan ethische en verantwoordelijke privacypraktijken, handhaaft het bedrijf een uitgebreide bestuursgroep voor toezicht en controle , onder leiding van een Chief Privacy Officer en met een aangewezen Global Privacy Officer??? (GPO), onder toezicht van een Privacy- en Gegevensbeschermingsraad, een toegewezen EU-DPO Data Protection Officer, DPO’s van landen indien vereist door de wet of lokale autoriteiten, en Business Parctice Managers, die worden aangesteld door senior leidinggevenden en als liaisons optreden tussen de Global Privacy Office en de bestuursgebieden waarin zij werkzaam zijn.

Belangrijke termen

  • Beveiligingsincident: een informatiebeveiligingsincident bestaat uit een of meer ongewenste of onverwachte informatiebeveiligingsgebeurtenissen die mogelijk de beveiliging van informatie in gevaar kunnen brengen en de bedrijfsactiviteiten kunnen verzwakken of schaden.
  • Derde partij: alle wettelijke entiteiten, organisaties of persoon die niet in bezit zijn van ons bedrijf, of waarin ons bedrijf geen zeggenschapsbelangen heeft, of die niet in dienst zijn van ons bedrijf. Geen enkel filiaal van het bedrijf mag worden beschouwd als een derde partij.
  • Bedrijf: Organon & Co., haar opvolgers, dochterondernemingen en divisies wereldwijd, met uitzondering van joint ventures waarin ons bedrijf partij is.
  • Geanonimiseerd: het aanpassen, inkorten, doorhalen of anderszins bewerken of wijzigen van persoonsgegevens, zodat deze onomkeerbaar onmogelijk gebruikt kunnen worden voor het identificeren of lokaliseren van of contact opnemen met een persoon, hetzij alleen of in combinatie met andere informatie.
  • Gedeïdentificeerd: de verwijdering van directe en indirecte persoonlijke identificatie, waarbij de originele identificatiegegevens vaak afzonderlijk worden bewaard
  • Gevoelige informatie: alle soorten persoonsgegevens die een inherent risico van mogelijke schade aan personen met zich meebrengen, waaronder informatie die wettelijk is aangemerkt als gevoelig, met inbegrip van, maar niet beperkt tot informatie met betrekking tot gezondheid, genetica, biometrie, ras, etnische oorsprong, religie, politieke of filosofische meningen of overtuigingen, criminele antecedenten, precieze gegevens van geolocatie, nummers van bankrekeningen of andere financiële rekeningen, door de overheid uitgegeven identificatienummers, minderjarige kinderen, seksleven, seksuele oriëntatie, vakbondslidmaatschap, verzekering, burgerservicenummer en andere door de werkgever of overheid uitgegeven arbeidsvoorwaarden.
  • Inbreuk op persoonsgegevens: Een beveiligingsinbreuk die leidt tot toevallige of onwettige vernietiging, verlies, wijziging, onwettige openbaarmaking van of toegang tot persoonsgegevens, of redelijke veronderstelling door ons bedrijf van hetzelfde. Toegang tot persoonsgegevens door of namens ons bedrijf zonder de intentie om dit beleid te schenden wordt niet als een inbreuk op persoonsgegevens gezien, op voorwaarde dat de verkregen informatie alleen verder gebruikt en openbaar gemaakt is zoals toegestaan in dit beleid.
  • Persoonsgegevens: alle gegevens met betrekking tot een geïdentificeerde of identificeerbare persoon, waaronder gegevens die een persoon identificeren of die gebruikt kunnen worden om een persoon te identificeren, lokaliseren, volgen of benaderen. Onder persoonsgegevens vallen zowel direct identificeerbare gegevens, zoals een naam, identificatienummer of unieke functietitel, als indirect identificeerbare gegevens, zoals een geboortedatum, unieke identificatiecode van mobiel of draagbaar apparaat, telefoonnummer of sleutelgecodeerde gegevens, online identificators zoals IP-adressen of persoonlijke activiteiten, gedragingen of voorkeuren die kunnen worden verzameld om diensten of producten te leveren.
  • Privacyincident: een overtreding van dit beleid of van een privacy- of gegevensbescherming wet; inclusief een beveiligingsincident. Beslissingen of een privacyincident heeft plaatsgevonden en of dit tot een inbreuk op de persoonsgegevens moet worden verheven, worden door het Global Privacy Office, Business Technology Risk Management (BTRM) en Legal.
  • Verwerking: de uitvoering van een operationele handeling of een reeks operationele handelingen met persoonsgegevens, al dan niet automatisch en inclusief, maar niet beperkt tot, verzameling, opname, organisatie, opslag, toegang, aanpassing, wijziging, opvraging, raadpleging, gebruik, beoordeling, analyse, verslaggeving, het delen, bekendmaking, verspreiding, overdracht, het beschikbaar maken, afstemming, combinatie, blokkering, het (uit)wissen of de vernietiging ervan.
  • Wetgeving: alle geldende wetten, regels, voorschriften en bepalingen die de geldigheid van wetgeving hebben in alle landen waarin ons bedrijf werkzaam is of waarin persoonsgegevens worden verwerkt door of namens ons bedrijf. Hieronder vallen alle privacykaders waaronder ons bedrijf is goedgekeurd of gecertificeerd, met inbegrip van de Economische samenwerking Azië – Stille Oceaan (‘APEC’), grensoverschrijdende privacyregels (‘CBPR’s’).

Wijzigingen aan dit beleid

Dit beleid kan van tijd tot tijd worden aangepast, in overeenstemming met de eisen van de geldende wetgeving. Wanneer dit beleid wezenlijk wordt veranderd, wordt er gedurende zestig (60) kalenderdagen een kennisgeving op de privacywebsite van ons bedrijf geplaatst (https://www.organon.com/privacy)