Retningslinjer for personvern - Novartis legemiddelovervåking, medisinsk informasjon og kvalitetsklager
September 2022
Disse Retningslinjene for personvern gjelder:
- de som rapporterer om uønskede hendelser med pasientsikkerhetsinformasjon som gjelder våre produkter
- enkeltpersoner som ber om medisinsk informasjon
- enkeltpersoner som sender inn kvalitetsklage på våre produkter
Novartis er svært opptatt av å beskytte dine personopplysninger og å være åpen om den informasjonen vi samler inn og hva vi gjør med den.
Disse Retningslinjene for personvern inneholder informasjon om hvordan Novartis Norge AS, Postboks 4284 Nydalen, N-0401 Oslo, telefon +47 23 05 20 00, behandler dine personopplysninger i egenskap av å være dataansvarlig. Selskapet kan komme til å utøve dette ansvaret alene eller sammen med andre selskap(er) i Novartis-gruppen der disse handler som “med-dataansvarlig(e)”- i disse Retningslinjene for personvern referer “vi” eller “oss” til Novartis Norge AS.
Vi ber deg lese grundig gjennom disse Retningslinjene for personvern da de inneholder informasjon som er viktig for deg.
Dersom du har spørsmål knyttet til behandlingen av personopplysningene dine, ber vi deg kontakte [email protected].
I hvilke sammenhenger bruker vi dine personopplysninger, og hvorfor er det nødvendig?
Vi kan behandle dine personopplysninger for følgende formål:
Formål |
Rettslig grunnlag |
Overvåke sikkerheten til medisinske produkter (legemidler) og medisinsk utstyr, for å avdekke, vurdere, følge opp og forebygge uønskede hendelser og rapportere bivirkninger til helsemyndighetene |
Novartis’ legitim interesse Etterlevelse av rettslige krav til legemidlers og medisinsk utstyrs sikkerhet og for å sikre at legemidler er trygge. For å beskytte et individs rettigheter. |
Besvare forespørsler om medisinsk informasjon, som produkttilgjengelighet, kliniske data, dosering og administrasjon, formulering og stabilitet, interaksjon med andre legemidler eller mat og spesielle pasientpopulasjoner, som for eksempel gravide |
|
Håndtere kvalitetsklager på våre produkter, som manglende effekt, bruk. |
|
Gjennomføre ikke-intervensjonsstudier ved å bruke sikkerhetsinformasjon for å vurdere risisko for fosterskade hviset legemiddel brukes under graviditet. For dette formålet kan vi til tider følge opp med relevant helsepersonell for å samle inn informasjon om svangerskapet og utviklingen av barnet etter fødsel l |
|
Gi tilstrekkelig og oppdatert informasjon om sykdom, legemidler samt våre produkter og tjenester |
Novartis’ legitim interesse |
Sikre samsvar med våre retningslinjer og gjeldende lover, samt gjennomføre revisjoner og å forsvare oss i eventuelle rettstvister samt opplærings- eller utdanningsformål innad eller utenfor Novartis Norge AS |
Novartis’ legitim interesse Behandlingen er nødvendig for å etablere, utøve eller forsvare oss mot rettslige krav. |
Vi vil ikke behandle personopplysningene dine dersom det ikke finnes hjemmel i loven for det aktuelle formålet. Derfor vil vi behandle dine personopplysninger på grunnlag av:
- at dette er nødvendig for å overholde våre juridiske forpliktelser med tanke på sikkerheten av medisinske produkter og medisinsk utstyr, basert på FOR-2009-12-18-1839 Forskrift om legemidler kap.10 og FOR-2021-05-09-1476 Forskrift om medisinsk utstyr
- at dette er nødvendig av hensyn til allmennheten med tanke på folkehelse,
- at dette er nødvendig for våre berettigede interesser og ikke i urimelig grad påvirker dine interesser eller grunnleggende rettigheter og friheter.
Merk at når vi behandler personopplysningene dine på dette grunnlaget, søker vi alltid å opprettholde en balanse mellom våre berettigede interesser og ditt personvern. Eksempler på slike «berettigede interesser» er aktiviteter som innebærer behandling av data for å:
- gi svar på spørsmål du har sendt oss og gi ytterligere informasjon i forbindelse med dette;
- dra fordel av kostnadseffektive tjenester (f.eks. kan vi velge å bruke bestemte plattformer som tilbys av leverandører for å behandle data);
- forhindre svindel og kriminell aktivitet, misbruk av tjenester og produkter samt sikring av IT-systemer, arkitektur og nettverk; og
- oppfylle våre selskapsrelaterte og sosiale ansvarsmål.
Hva slags informasjon har vi om deg?
Hvis du rapporterer en uønsket hendelse vedrørende et av våre produkter, sender en kvalitetsklage eller ber om medisinsk informasjon, vil vi be om ditt navn og kontaktinformasjon for å kunne kontakte deg i tilfelle det blir behov for ytterligere informasjon og/eller for å svare på forespørselen din. Vi vil også samle inn informasjon om kvalifikasjonene dine for å fastslå om du er helsepersonell eller forbruker.
Ved melding om uønskede hendelser vil vi også behandle følgende datakategorier:
- Pasientinformasjonsdata, for eksempel: nummer, alfabetisk identifikasjonskode slik den framgår i meldeskjemaet om uønskede hendelser, demografisk informasjon (alder, fødselsdato, kjønn, etnisitet, vekt, høyde,);
- Helsedata: behandlinger, undersøkelsesresultater, typer uønskede hendelser, person- eller familiehistorie, sykdommer og tilhørende hendelser, risikofaktorer; informasjon om hvordan forskrevne medisiner er brukt, samt behandlingsforløpet.
I tillegg kan vi, hvis det er nødvendig for å kunne vurdere en uønsket hendelse, også samle inn og behandle:
- Informasjon knyttet til familiebakgrunn og opphavet til personen, hvorvidt det dreier seg om en nyfødt, informasjon om graviditet og/eller amming;
- Yrkesrelaterte data: nåværende og tidligere yrke (bare der dette kan rettferdiggjøres med tanke på vurdering av den uønskede hendelsen);
- Informasjon om bruk av tobakk, alkohol, narkotika;
- Informasjon om livsstil, livsvaner og atferd, inkludert for eksempel: avhengighet, fysisk trening (intensitet, frekvens, varighet), diett og spiseatferd;
- Seksualliv/prevensjon;
- Etnisitet, bare i saker der preparatomtalen omfatter spesifikk informasjon knyttet til etnisk opprinnelse og i henhold til de kriteriene som er definert i preparatomtalen.
Hvem har tilgang til personopplysningene dine, og hvem overføres de til?
Vi vil ikke selge, dele eller på annen måte overføre dine personopplysninger til andre tredjeparter enn de som er nevnt i disse Retningslinjene for personvern.
I forbindelse med våre aktiviteter, og med de samme formålene som listet opp i disse Retningslinjene for personvern, kan personopplysningene dine bli gjort tilgjengelig for eller overført til:
- Lederne for legemiddelsikkerhet / medisinsk informasjon / kvalitetssikring og deres team;
- Berettigede medlemmer i avdeling for juridiske forhold og regulatorisk avdeling om kravet hører inn under deres ansvar;
- Revisjonsavdelingen for å kontrollere samsvar med regulatoriske eller interne krav;
- Andre selskaper i Novartis Group, særlig Novartis AG, uten tilgang til identiteten til varsleren;
- Andre legemiddelselskaper eller medisinsk utstyr-selskaper hvis produkter kan være berørt (uten identiteten til rapportøren);
- Helsepersonell som er berørt av rapporten;
- Helsemyndigheter, inkludert det europeiske legemiddelbyrået (EMA) som kontrollerer EUs database EudraVigilance (https://www.ema.europa.eu), og det amerikanske overvåkningsorganet for medisinske produkter (FDA); og
- En nasjonal eller internasjonal regulatorisk myndighet eller domstol hvor vi ved lov eller pålegg er pålagt å overføre personinformasjon.
- Tjenesteytere som handler på vegne av Novartis-selskaper, som leverandører av IT-systemer, hosting og andre tjenesteytere eller leverandører av tjenester for behandling av uønskede hendelser, e-handlingstjenester for uønskede hendelser (kundesenter spesielt). De tredjepartene som er nevnt over er kontraktsmessig forpliktet til å beskytte personopplysningene dine med hensyn til konfidensialitet og sikkerhet i samsvar med gjeldende lovgivning.
Personopplysningene dine kan også gjøres tilgjengelige for, eller overføres til, ethvert nasjonalt og/eller internasjonalt, regulatorisk, utøvende, offentlig organ eller rettsinstans der vi er forpliktet til å gjøre dette etter gjeldende lover og regler eller på deres forespørsel. De personopplysningene vi samler inn fra deg kan også behandles, gjøres tilgjengelige eller lagres i et land utenfor det landet vi har virksomhet i, der man kanskje ikke tilbyr samme beskyttelsesnivå ved behandling av personopplysninger.
Dersom vi overfører personopplysningene dine til eksterne selskaper i andre jurisdiksjoner, vil vi sørge for å beskytte personopplysningene dine ved å (i) bruke det beskyttelsesnivået som kreves i henhold til de nasjonale lovene for databeskyttelse/personvern som gjelder for Novartis Norge A/S, (ii) opptre i samsvar med våre retningslinjer og standarder og, (iii) når det gjelder Novartis-selskap som er etablert i det europeiske økonomiske samarbeidsområdet (det vil si medlemslandene i EU samt Island, Liechtenstein og Norge – «EØS»), med mindre annet er oppgitt, kun overføre personopplysningene dine på grunnlag av standard kontraktbetingelser godkjent av EU-kommisjonen. Du kan be om ytterligere informasjon i forbindelse med overføring av personopplysninger internasjonalt og få en kopi av de relevante sikkerhetstiltakene som er utarbeidet ved å benytte deg av rettighetene dine som beskrevet nedenfor.
For overføring av personopplysninger mellom selskapene i Novartis-gruppen, har konsernet vedtatt «Binding Corporate Rules» (bindende konsernregler), et system av prinsipper, regler og verktøy som følger av EU-lovgivning, med det formål å sikre effektive beskyttelsesnivåer ved overføring av personopplysninger utenfor EØS og Sveits. Les mer om Novartis Binding Corporate Rules ved å klikke her https://www.novartis.com/sites/www.novartis.com/files/bcr-individual-rights-2012.pdf.
Hvor lenge lagrer vi personopplysningene dine?
Vi vil kun lagre personopplysningene som er nevnt over så lenge vi med rimelighet vurderer det som nødvendig for å oppnå de formålene som framgår av disse Retningslinjene for personvern og slik det kreves og/eller er tillatt i henhold til gjeldende lover.
Hvilke rettigheter har du, og hvordan kan du utøve dem?
Du har rett til:
- tilgang til personopplysningene dine som behandles hos oss og til å be om korrigering eller oppdatering av disse dersom du mener at informasjonen om deg er feil, ugyldig eller ufullstendig;
- be om retting eller sletting av personopplysninger som er unøyaktige eller som behandles for formål som ikke er oppgitt over.
- be om at behandlingen av personopplysningene dine begrenses til spesifikke behandlingskategorier;
- sende en klage til relevante personvernmyndighetene (Datatilsynet).
Hvordan kontakter du oss?
Dersom du har spørsmål eller ønsker å benytte deg av rettighetene nevnt ovenfor, kan du sende en e-post til [email protected] eller et brev til Novartis Healthcare A/S, Edvard Thomsens Vej 14, 2300 København S, adressert til Head Data Privacy Nordics med en skannet kopi av legitimasjon for identifiseringsformål, i den forståelse at vi kun vil bruke slike opplysninger til å verifisere identiteten din og ikke vil beholde den skannede kopien etter at verifiseringen er utført. Når du sender oss en slik skannet kopi, ber vi deg sørge for å sladde bildet og fødselsnummer eller lignende.
Dersom du ikke er tilfreds med måten vi behandler personopplysningene dine på, kan du henvende deg til vår datavernansvarlige [email protected], som vil se nærmere på saken.
Du har også rett til å klage til de relevante personvernmyndighetene (Datatilsynet), i tillegg til rettighetene nevnt ovenfor.
Hvordan blir du informert om endringer i våre Retningslinjer for personvern?
Alle fremtidige endringer eller tillegg til behandlingen av personopplysningene dine, slik det er beskrevet i disse Retningslinjene for personvern, vil bli varslet på forhånd via en personlig melding gjennom vanlige kommunikasjonskanaler (for eksempel e-post eller via våre internettsteder).