PRIVACY NOTICE FOR ADVERSE EVENTS AND PRODUCT COMPLAINTS
This Privacy Notice is intended to explain how Boston Scientific collects and processes your personal data for the purposes of complying with its legal obligations to manage adverse events reporting and product complaints.
Purpose and Legal Basis
Any personal data provided to us in the context of an adverse event, a product complaint or any other activities in the context of vigilance will be solely used for the following purposes: prevention, monitoring, evaluation and management of adverse events.
In some instances, personal data provided to Boston Scientific in the context of a medical inquiry may be used to answer this inquiry, follow up on such inquiry and, where required by law (such as for vigilance, management of complaints and product safety), we may also be required to report the adverse event and the related personal data to regulatory authorities. Such data will not be used for any other purposes.
The legal basis for the processing of your personal data in this context is the fulfillment of our legal obligation to comply with adverse events reporting laws and regulations and medical device regulations. Whenever necessary for conducting vigilance reporting, health data may be collected and processed, and such processing would be based on reasons of public interest ensuring high standards of quality and safety of health care and of medicinal products or medical devices (Articles 6(1)(c) and 9(2)(i)) of the GDPR) .
Personal Data Collected
Only data relevant to the purpose of the processing, namely management of vigilance and product complaints, will be processed.
Only the following personal data related to the individual affected by the adverse event, which are strictly necessary to answer our legal obligation, are processed:
a) Data indirectly identifying the individual affected by the adverse event:
- Age, year of birth/date of birth sex, weight, height;
- The individual’s identification number (alphanumeric code, alphabetical identification code - excluding the National Registry number of the individual)
- Information relating to the product concerned by the adverse event report: drug, device or product used, serial number, etc.
- Health data, including: medical treatments provided, test results, nature of the adverse event, personal or family history, associated illnesses or events, risk factors, information on how the drug was prescribed and used and how the healthcare professionals have been involved in the management of the disease or the adverse event.
b) Contact information of the reporting individual or any healthcare professionals who might provide details on such adverse event on behalf of the affected persons, if applicable:
- Name, first name, postal and electronic contact information, phone number, and, if applicable, the specialty of the healthcare professional.
In case a notification of an adverse event or product complaint would be carried out directly by an affected individual to Boston Scientific, it may have the effect of removing the secret of the affected individual’s identity. Processing of the individual’s personal data will, however, be strictly limited to what Boston Scientific needs to know to fulfill its obligations of vigilance and for a period strictly limited to what is necessary to meet those obligations.
In case the reporting individual is not the affected individual, the reporting individual must share this privacy notice to the affected individual.
Data Recipients
Boston Scientific may share the personal data you provided with Boston Scientific Group companies and affiliates, business partners and service providers, where required to operate Boston Scientific global vigilance and product complaint database and to fulfil our obligations of medical device legislation or product safety. Your personal data might be accessible on a need-to-know basis to authorized personnel, i.e. those in charge of ensuring vigilance, addressing adverse event reporting and products complaints, audit staff in charge of ensuring compliance with regulatory obligations as well as personnel of Boston Scientific’s service providers in charge of vigilance databases.
When transferring information to the United States, Boston Scientific takes steps to ensure that your personal data is transferred and processed securely, in accordance with European Union requirements. Boston Scientific signed standard contractual clauses between its EU entities and its US entities. Boston Scientific also ensured the lawful transfer of your data to host providers located outside the EU by signing standard contractual clauses of the European Commission.
Boston Scientific is also obliged to report certain vigilance and product relevant information to Health Authorities worldwide, including some with a level of data protection that is less protective than in the EU. The reports contain details about the incident but will only contain limited personal data:
- Patients: Information as provided, including age or date/year of birth (where permitted by regulations) and gender, weight and height (note that patient name will never be provided)
- Reporting Individuals: Information provided in the report to allow the regulatory authority to follow up with the reporting individual, including name, profession (if the report is made by a healthcare professional), initials, postal address, email and phone number.
Data Retention and security measures
Data is retained for a minimum of 10 years after the withdrawal of the medical device in the last country where the product is marketed (i.e. from the date of withdrawal of the medical device which triggered the claim or the health adverse event reporting) and a maximum of seventy years when there is no legal or regulatory retention period defined. When these deadlines expire, the data is archived in an anonymized form in line with applicable data protection laws.
Boston Scientific has taken appropriate steps to ensure that your data remain secure and confidential at all time.
Privacy Rights
At any time, you are entitled to:
- Be informed about and access information we may process relating to you regarding vigilance;
- Request any inaccuracies to be corrected;
- In some circumstances, request for limitation of processing of your personal data.
But please be informed that to the extent that the processing of your information is conducted to comply with a legal obligation imposed on Boston Scientific, you cannot object, request to delete or ask for the portability of those information.
To exercise these rights, you are invited to contact:
Boston Scientific International SA
Parc Val St Quentin Bat H
2 rue Rene Caudron Voisins Le Bretonneux, 78960 France
Tel:+33-1-39-30-97-00
Or Boston Scientific European Data Protection Officer:
- By e-mail: at EuropePrivacy@bsci.com; or
- By postal mail: at Boston Scientific, c/Ribera del Loira, 46 Edificio 2, Madrid, Spain
AVIS DE CONFIDENTIALITÉ ÉVÉNEMENT INDÉSIRABLE DE SANTÉ ET PLAINTE PRODUIT
Cet avis de confidentialité vise à expliquer comment Boston Scientific collecte et utilise les données personnelles afin de se conformer à ses obligations concernant la gestion des signalements d’événements indésirables et les réclamations produits.
Objectif du traitement et base légale
Toute donnée personnelle qui nous est fournie dans le contexte d’un évènement indésirable, d’une réclamation produit ou de toute autre activité liée à la matériovigilance sera seulement utilisée pour les objectifs suivants : la prévention, le suivi, l'évaluation, la gestion des événements indésirables de santé.
Dans certains cas, des données personnelles fournies à Boston Scientific dans le contexte d’une demande de renseignement médicale pourront être utilisées pour répondre à cette demande, opérer un suivi sur cette demande et, dans les cas requis par la loi (telles que la matériovigilance, la gestion des réclamations et de la sécurité des produits), nous pourrions être amenés à notifier l’évènement de santé indésirable et les données personnelles attenantes aux autorités compétentes.
Ces données ne seront pas utilisées dans d’autres buts. La base juridique du traitement de vos données personnelles est l’accomplissement de notre obligation de nous conformer avec les législations et règlementations en matière de signalement d’évènements indésirables et de la réglementation sur les dispositifs médicaux. Lorsque cela est nécessaire pour la réalisation des signalements de matériovigilance, des données personnelles de santé peuvent faire partie du traitement et ce traitement serait fondé sur des raisons d'intérêt public en vue d’assurer des standards élevés de qualité et de sécurité de soins de santé et de produits médicinaux ou de dispositifs médicaux (article 6(1) (c) et 9(2)(i) du RGPD).
Données personnelles collectées
Seules les données pertinentes à la finalité du traitement, à savoir la gestion des matériovigilances et des réclamations produits, peuvent être traitées.
Seulement les données relatives à la personne exposée par l'événement indésirable de santé, qui sont strictement nécessaires et laissées à l'appréciation de l'événement seront collectées :
a) Données identifiant indirectement la personne exposée à l'événement indésirable de santé : :
- Âge, année de naissance/date de naissance, sexe, poids et taille; ou
- Numéro d'identification de la personne (code alphanumérique, code d'identification alphabétique (à l'exception du numéro de registre national de l'individu)
- Les informations relatives au dispositif concerné par la déclaration de l'événement indésirable de santé : type de médicament, dispositif ou produit utilisé, numéro de série, de lot etc.
- Données de santé, y compris : traitements administrés, résultats des tests, nature du ou des effets indésirables, historique personnel ou familial, maladies ou événements associés, facteurs de risque, informations sur la façon dont le dispositif médical a été prescrit et utilisé et comment les professionnels de santé ont été impliqués dans la prise en charge de la maladie ou de l’événement indésirable de santé.
b) Les coordonnées de la personne qui a signalé l'événement indésirable de santé ou de tout professionnel de la santé qui pourrait en fournir des détails :
- Nom, prénom, coordonnées postales, électroniques, téléphone, le cas échéant spécialité du professionnel de santé.
Si la notification de l'événement indésirable de santé était effectuée directement par la personne exposée, cela aura pour effet de supprimer le secret de son identité. Le traitement de l’identité de la personne exposée doit cependant se limiter à ce que le responsable de traitement a besoin de savoir pour satisfaire ses obligations en matière de matériovigilance et pendant une période strictement limitée à ce qui est nécessaire pour respecter ses obligations.
Destinataires des données
Boston Scientific peut partager les données personnelles fournies par vous avec le Groupe Boston Scientific et ses filiales, partenaires commerciaux et fournisseurs de services lorsque cela est nécessaire à la gestion de la base de données globale de matériovigilance et de réclamations des produits et pour remplir nos obligations concernant la législation sur les dispositifs médicaux et la sécurité des produits. Vos données personnelles peuvent être accessibles sur la base du droit de savoir quant au personnel autorisé, c'est-à-dire les personnes en charge d'assurer la matériovigilance, de traiter les signalements d'événements indésirables de santé et les réclamations et le personnel d'audit en charge du respect des obligations réglementaires, ainsi que le personnel des fournisseurs des bases de données de matériovigilance Boston Scientific (sous-traitants).
Pour transférer légalement des données à caractère personnel vers les Etats Unis, Boston Scientific prend les mesures nécessaires afin d’assurer que vos données personnelles sont transférées et traitées de façon sécurisée, en accord avec les exigences de l’Union européenne. Boston Scientific a signé les Clauses contractuelles types de la Commission européenne entre ses filiales établies dans l’UE, en Suisse et celles domiciliées aux États-Unis. Boston Scientific a également assuré le transfert licite de vos données vers des hébergeurs situés en dehors de l'UE en signant des clauses contractuelles types de la Commission Européenne. Boston Scientific est également tenu de signaler certaines informations pertinentes en matière de matériovigilance et de sécurité produits aux autorités sanitaires du monde entier, y compris certaines situées dans un pays ayant un niveau de protection des données moins protecteur que dans l’UE. Les rapports contiennent des détails sur l’incident, mais ne contiendront que des données personnelles limitées :
• Patients : Informations fournies, y compris l’âge ou la date/année de naissance (lorsque la réglementation le permet), le sexe, le poids et la taille (notez que le nom du patient ne sera jamais fourni)
• Personnes déclarantes : Renseignements fournis dans le rapport pour permettre à l’autorité compétente de faire un suivi auprès de la personne déclarante, y compris le nom, la profession (si le rapport est fait par un professionnel de santé), les initiales, l’adresse postale, le courriel et le numéro de téléphone.
Conservation des données et mesures de sécurité
Les données sont conservées pour une durée minimum de 10 ans après le retrait du dispositif du dernier pays dans lequel il était en circulation (c’est à dire depuis la date de retrait du dispositif médical qui a généré la réclamation l’objet ou le signalement de l’évènement de santé indésirable) et une durée maximum de soixante-dix ans lorsqu’il n’y a pas de durée de rétention définie dans la loi ou de façon réglementaire. Lorsque ces délais expirent, les données sont archivées sous une forme anonyme en vertu des législations applicables sur la protection des données. Boston Scientific a pris les mesures appropriées pour garantir que vos données restent sécurisées et confidentielles à tout moment.
Droits de confidentialité
À tout moment, vous avez droit à :
- Être informés et accéder aux informations stockées sur vous concernant les rapports de matériovigilance de Boston Scientific ;
- Demander que toute inexactitude soit corrigée ;
- Dans certaines circonstances, demander la restriction de l'accès à vos informations ou limiter le traitement.
Nous vous informons que dans la mesure où le traitement de vos informations est effectué pour se conformer à une obligation légale imposée à Boston Scientific, vous ne pouvez pas vous y opposer, demander à supprimer ou demander la portabilité de ces informations.
Pour exercer ces droits, vous êtes invités à contacter:
Boston Scientific International SA
Parc Val St Quentin Bat H
2 rue Rene Caudron Voisins Le Bretonneux, 78960 France
Tel:+33-1-39-30-97-00
Ou la déléguée à la protection des données Europe de Boston Scientific:
- Par courriel : à EuropePrivacy@bsci.com; ou
- Par courrier postal : à Boston Scientific, c/Ribera del Loira, 46 Edificio 2, Madrid, Espagne