Novartis – Generelle retningslinjer for personvern for forretningspartnere

Novartis – Generelle retningslinjer for personvern for forretningspartnere

19. juni 2018

Disse Retningslinjene for personvern rettes til:

• Helsepersonell som vi oppretter eller har et forhold til;
• Våre kunder eller mulige framtidige kunder som er fysiske personer (eksempelvis selvstendige farmasøyter);
• Representanter for eller kontaktpersoner hos våre kunder eller mulig framtidige kunder som er juridiske enheter (eksempelvis grossister med farmasøytiske produkter).

Du mottar disse Retningslinjene for personvern fordi Novartis Norge AS, Postboks 4284 Nydalen, N-0401 Oslo, telefon +47 23 05 20 00 behandler informasjon om deg som utgjør “personopplysninger” og Novartis Norge AS mener at beskyttelse av dine personopplysninger og ditt personvern er svært viktig.

Novartis Norge AS er ansvarlig for behandlingen av dine personopplysninger i og med at selskapet bestemmer hvorfor og hvordan de skal behandles, og er derfor “dataansvarlig”. Selskapet kan utføre disse oppgavene alene eller sammen med andre selskap i Novartiskonsernet som da vil opptre som med-dataansvarlig. I disse Retningslinjene for personvern viser “vi” eller “oss” til Novartis Norge AS.

Vi inviterer deg til å lese nøye gjennom disse Retningslinjene for personvern som gir en mer utførlig beskrivelse av i hvilken kontekst vi behandler personopplysningene dine og der vi forklarer dine rettigheter og våre forpliktelser i forbindelse med denne behandlingen.

Dersom du har spørsmål knyttet til behandlingen av personopplysningene dine, ber vi deg kontakte [email protected].

1. Hva slags informasjon har vi om deg?

Denne informasjonen kan vi enten ha mottatt fra deg, fra dine forretningspartnere (det vil si den juridiske enheten du arbeider for), fra en tredjepart (for eksempel legemiddelfirmaer) eller den kan være innhentet gjennom offentlig tilgjengelige kilder (som PubMed, Clinical Trials.gov, nettsider som tilhører kongresser eller universiteter), som har fått ditt samtykke til å gi oss slike personopplysninger der det er nødvendige i henhold til gjeldende lov. Vi samler inn ulike typer personopplysninger om deg, inkludert:

• Generelle opplysninger og identifikasjonsinformasjon (som navn, fornavn og etternavn, kjønn, e-post og/eller postadresse, fast- og mobiltelefonnummer);
• Din funksjon (for eksempel tittel, stilling, navn på selskap, og for helsepersonell også første spesialitet, andre spesialitet, eksamensår, publikasjoner, kongressaktiviteter, priser, biografi, utdanning, lenker til universiteter, ekspertise og deltakelse i/bidrag til kliniske forsøk, retningslinjer, redaktørgrupper og organisasjoner);
• Betalingsinformasjon (for eksempel kredittkortinformasjon, bankkonto, MVA eller annet skatteidentifikasjonsnummer);
• Novartis unike forretningspartner-ID og profil;
• Dine elektroniske identifikasjonsdata der dette kreves for å levere produkter eller tjenester til vårt selskap (for eksempel innlogging, tilgangsrettigheter, passord, kortnummer, IP-adresse, online identifikatorer/cookies, logger, tilgangs- og tilkoblingstider, opptak av bilde eller lyd som kortbilder, CCTV eller stemmeopptak);
• Informasjon om dine preferanser med tanke på kommunikasjonskanaler og frekvens;
• Data du oppgir til oss for eksempel når du fyller ut skjemaer eller under møter du deltar i, eller når du besvarer spørsmål i en undersøkelse;
• Data som knytter seg til våre produkter og tjenester; og
• Informasjon om vitenskapelig og medisinsk aktivitet/samhandling du har med oss, inkludert mulige framtidige samhandlinger.

Hvis du har til hensikt å gi oss personopplysninger om andre personer (for eksempel dine kolleger), må du gi en kopi av disse Retningslinjene for personvern til de aktuelle enkeltpersonene, direkte eller gjennom deres arbeidsgiver.

1. I hvilke sammenhenger bruker vi personopplysningene dine, og hvorfor er det nødvendig?
   1. Rettslig grunnlag for behandlingen

Vi vil ikke behandle personopplysningene dine dersom det ikke finnes hjemmel i loven for det aktuelle formålet. Derfor vil vi kun behandle personopplysningene dine dersom:

• Vi har innhentet ditt samtykke på forhånd;
• Behandlingen er nødvendig for å oppfylle avtalen med deg eller utføre tiltak på din anmodning før avtaleinngåelse;
• Behandlingen er nødvendig for å oppfylle våre juridiske eller regulatoriske forpliktelser; eller
• Behandlingen er nødvendig for å verne våre berettigede interesser, og ditt vern av personopplysninger går ikke foran dette.

Merk at når vi behandler personopplysningene dine på dette grunnlaget, søker vi alltid å opprettholde en balanse mellom våre legitime interesser og ditt personvern. Eksempler på slike «legitime interesser» er aktiviteter som innebærer behandling av data for å:

• Utvikle et nært og tillitvekkende samarbeid med helsepersonell;
• Promotere Novartis’ innovasjon innen legemidler;
• Administrere Novartis’ menneskelige og økonomiske ressurser og optimalisere samarbeidet med helsepersonell;
• Sikre at riktig medisin i henhold til en velinformert helsepersonells faglige vurdering, når pasienten;
• Dra fordel av kostnadseffektive tjenester (f.eks. kan vi velge å bruke bestemte plattformer som tilbys av leverandører for å behandle data);
• Tilby våre produkter og tjenester til kundene våre;
• Forhindre svindel og kriminell aktivitet, misbruk av våre produkter eller tjenester samt sikring av IT-systemer, arkitektur og nettverk;
• Selge en del av vår virksomhet eller dennes aktiva eller muliggjøre oppkjøp av tredjepart av hele eller deler av vår virksomhet eller aktiva; og
• Oppfylle våre selskapsrelaterte og sosiale ansvarsmål.
  2. Formål med behandlingen

Vi behandler alltid personopplysningene dine for et spesifikt formål og behandler kun de personopplysningene som er relevante for dette formålet. Vi behandler personopplysningene dine særlig for følgende formål:

• Håndtere vårt forhold til deg (for eksempel gjennom våre databaser);
• Implementere oppgaver som forberedelse til eller oppfyllelse av eksisterende kontrakter;
• Bevise transaksjoner;
• Gi deg adekvat og oppdatert informasjon om sykdom, legemidler samt våre produkter og tjenester;
• Forbedre kvaliteten på tjenestene våre ved å tilpasse vårt tilbud til dine spesifikke behov;
• Besvare dine forespørsler og gi deg effektiv støtte;
• Sende deg undersøkelser (for eksempel å hjelpe oss med å forbedre din framtidige samhandling med oss); 
• Sende deg informasjon om produkter eller tjenester som vi markedsfører;
• Håndtere kommunikasjonen og interaksjonen med deg (for eksempel gjennom driften av en database som inneholder registrering av samhandling med helsepersonell eller håndtere planlegging av besøk så vel som rapportering etter besøk);
• Spore aktiviteten vår (for eksempel måling av interaksjon eller salg, antall avtaler/besøk);
• Invitere deg til møter som arrangeres av oss (for eksempel medisinske møter, foredrag, konferanser);
• Gi deg tilgang til våre opplæringsmoduler som gir deg muligheten til å utføre bestemte tjenester for oss;
• Administrere våre IT-ressurser, inklusive administrering av infrastruktur og driftskontinuitet;
• Ivareta selskapets økonomiske interesser og sørge for etterlevelse og rapportering (som for eksempel etterlevelse av selskapets retningslinjer og lokale lovpålagte krav, rapportering av skatt og skattefradrag, håndtering av angivelige tilfeller av tjenesteforsømmelse eller svindel, gjennomføring av revisjoner, forsvar mot søksmål);
• Håndtere fusjoner og oppkjøp som involverer vårt selskap;
• Arkivering og registrering;
• Regninger og fakturaer; og
• Eventuelle andre formål knyttet til lov- og myndighetskrav.

3. Hvem har tilgang til personopplysningene dine, og hvem overføres de til?

Vi vil ikke selge, dele eller på annen måte overføre personopplysningene dine til andre tredjeparter enn de som er nevnt i disse Retningslinjene for personvern.

I forbindelse med gjennomføring av aktivitetene våre, og med de samme formålene som listet opp i disse Retningslinjene for personvern, kan personopplysningene dine bli gjort tilgjengelig for eller overført til følgende kategorier av mottakere på et trenger-å-vite grunnlag for å oppfylle slike formål:

• Vårt personell (inklusive personell, avdelinger eller andre selskaper i Novartis-gruppen);
• Våre uavhengige agenter eller meglere (hvis noen);
• Våre leverandører av varer og tjenester;
• Våre leverandører av IT-systemer og skyløsninger samt databaser og konsulenter;
• Våre forretningspartnere som tilbyr produkter eller tjenester sammen med oss eller med våre datterselskaper eller tilknyttede selskaper;
• Tredjeparter som vi overfører rettigheter eller forpliktelser til; samt
• Våre rådgivere og eksterne advokater i forbindelse med salg eller overføring av en del av virksomheten eller dennes aktiva.

De tredjepartene som er nevnt over er kontraktsmessig forpliktet til å beskytte personopplysningene dine med hensyn til konfidensialitet og sikkerhet i samsvar med gjeldende lovgivning.

Personopplysningene dine kan også gjøres tilgjengelige for eller overføres til enhver nasjonal og/eller internasjonal, regulatorisk, utøvende, offentlig organ eller rettsinstans der vi er forpliktet til å gjøre dette etter gjeldende lover og regler eller på deres anmodning.

De personopplysningene vi samler inn fra deg kan også bli behandlet, gjort tilgjengelig eller lagret i et land utenfor det landet der Novartis Norge AS ligger, der man kanskje ikke tilbyr samme beskyttelsesnivå for personopplysninger.

Dersom vi overfører personopplysningene dine til eksterne selskaper i andre jurisdiksjoner, vil vi sørge for å beskytte personopplysningene dine ved å (i) bruke det beskyttelsesnivået som kreves i henhold til de nasjonale lovene for databeskyttelse/personvern som gjelder for Novartis Norge AS, (ii) opptre i samsvar med våre retningslinjer og standarder og, (iii) når det gjelder Novartis selskap som er etablert i det europeiske økonomiske samarbeidsområdet (det vil si medlemslandene i EU samt Island, Liechtenstein og Norge «EØS»), med mindre annet er oppgitt, kun overføre personopplysningene dine på grunnlag av alminnelige kontraktbetingelser godkjent av EU-kommisjonen. Du kan be om ytterligere informasjon i forbindelse med overføring av personopplysninger internasjonalt og få en kopi av de relevante sikkerhetstiltakene som er utarbeidet ved å benytte deg av rettighetene dine som beskrevet i avsnitt 6 under.

For overføring av personopplysninger mellom selskapene i Novartis-gruppen, har Novartis-gruppen vedtatt «Binding Corporate Rules» (bindende konsernregler), et system av prinsipper, regler og verktøy som følger av EU-lovgivning, med det formål å sikre effektive beskyttelsesnivåer ved overføring av personopplysninger utenfor EØS og Sveits. Les mer om bindende konsernregler i Novartis ved å klikke her https://www.novartis.com/sites/www.novartis.com/files/bcr-individual-rights-2012.pdf.

4. Hvordan beskytter vi personopplysningene dine?

Vi har iverksatt hensiktsmessige tekniske og organisatoriske tiltak for å sørge for tilfredsstillende grad av sikkerhet og konfidensialitet med hensyn til personopplysningene dine.

Disse tiltakene tar hensyn til:

1. Hvor avansert teknologien er;
2. Kostnader i forbindelse med implementering av teknologien;
3. Type opplysninger; og
4. Risikoen ved behandlingen.

Formålet er å beskytte opplysningene mot utilsiktet eller ulovlig destruksjon eller endring, utilsiktet tap, uautorisert utlevering eller tilgang, samt mot andre ulovlige former for behandling.

I tillegg gjelder følgende når vi behandler personopplysningene dine, vi:

• Innhenter og behandler kun personopplysninger som er tilstrekkelige, relevante og begrenset til det omfang som er nødvendig for å kunne oppfylle ovennevnte formål; og
• Sikrer at personopplysningene er oppdaterte og korrekte.

Vedrørende dette siste punktet kan vi komme til å be deg om å bekrefte personopplysningene vi har om deg. Du blir også bedt om uoppfordret å informere oss ved eventuelle endringer i dine personlige forhold, slik at vi kan sikre at personopplysningene dine hele tiden er oppdaterte.

5. Hvor lenge lagrer vi personopplysningene dine?

Vi vil kun beholde personopplysningene dine så lenge som nødvendig for å kunne oppfylle det formål de ble innhentet for eller for å samsvare med juridiske eller regulatoriske krav.

Personopplysningene vi har om deg i vår database som ikke er knyttet til en spesifikk kontrakt vil bli lagret i 24 måneder etter din siste samhandling med oss.

For kontrakter er oppbevaringsperioden den tiden din (eller ditt selskaps) kontrakt varer, pluss foreldelsesperioden til de juridiske kravene i denne kontrakten, såfremt ikke juridiske eller regulatoriske planer overstyrer og krever en lengre eller kortere oppbevaringsperiode. Når denne perioden utløper blir personopplysningene dine fjernet fra våre aktive systemer.

Personopplysninger som er samlet inn og behandlet i forbindelse med en tvist blir sletter (i) så snart det er inngått et forlik, (ii) så snart det er avsagt en rettskraftig dom eller (iii) når kravet blir foreldet.

6. Hvilke rettigheter har du, og hvordan kan du utøve dem?

Du kan benytte deg av følgende rettigheter under de forhold og innenfor de grensene som er fastsatt i loven:

• Retten til tilgang til personopplysningene dine som behandles hos oss og til å be om korrigering eller oppdatering av disse dersom du mener at informasjonen om deg er feil, ugyldig eller ufullstendig;
• Retten til å be om at personopplysningene dine slettes eller begrenses til spesielle behandlingskategorier;
• Retten til når som helst å trekke tilbake samtykket ditt uten at det går utover det lovmessige grunnlaget for behandlingen før tilbaketrekkingen av samtykket;
• Retten til å motsette deg, helt eller delvis, behandlingen av personopplysningene dine;
• Retten til å protestere mot en kommunikasjonskanal som brukes til direkte markedsføringsformål; og
• Retten til dataportabilitet, det vil si at personopplysningene du har oppgitt til oss returneres til deg eller overføres til den personen du har valgt, i et strukturert, ofte brukt og maskinlesbart format, uten at vi motsetter oss dette og i samsvar med dine plikter med hensyn til konfidensialitet. Dersom du har spørsmål eller ønsker å benytte deg av rettighetene nevnt ovenfor, kan du sende en e-post til [email protected] eller et brev til Novartis Healthcare A/S, Edvard Thomsens Vej 14, DK-2300 København S adressert til Head Data Privacy Nordics med en skannet kopi av legitimasjon for identifiseringsformål, i den forståelse at vi kun vil bruke slike opplysninger til å verifisere identiteten din og ikke vil beholde den skannede kopien etter at verifiseringen er utført. Når du sender oss en slik skannet kopi, ber vi deg sørge for å sladde bildet, fødselsnummer, eventuelt bankkontonummer og lignende. Dersom du ikke er tilfreds med måten vi behandler personopplysningene dine på, kan du henvende deg til vår datavernansvarlige [email protected], som vil se nærmere på saken. Du har også rett til å klage til de relevante personvernmyndighetene (Datatilsynet), i tillegg til rettighetene nevnt ovenfor.

7. Hvordan blir du informert om endringer i Retningslinjene for personvern?

Alle fremtidige endringer eller tillegg til behandlingen av personopplysningene dine, slik det er beskrevet i disse Retningslinjene for personvern, vil bli varslet på forhånd via en personlig melding gjennom vanlige kommunikasjonskanaler (for eksempel e-post eller via våre internettsider).