PIPEDA en u: privacywet in Canada

U hoeft geen nieuwsjunk te zijn om te weten dat digitale gegevens meer risico lopen dan ooit tevoren. Toegang tot gezondheidsinformatie, bankzaken en andere transacties maken het leven gemakkelijker, maar ze brengen onze informatie in gevaar door cybercriminelen, overheidssnuffel en eenvoudige menselijke fouten. Dientengevolge doen overheden en industrieën hun best om een ​​veilige sfeer voor gegevensoverdracht en opslag te creëren.


Dergelijke voorschriften zoals de Algemene Verordening Gegevensbescherming (AVG) van Europa zijn opgesteld om ervoor te zorgen dat zowel consumenten als organisaties worden beschermd door de wet.

Gelukkig is Canada een van de eerste landen die op deze behoefte anticipeert en dienovereenkomstig reageert.

De behoefte aan gegevensbescherming in Canada

Volgens een gepubliceerd rapport waarin de Canadese digitale groei en trends in de sector worden geschetst, heeft meer dan 80 procent van de Canadezen in het jaar voorafgaand aan de publicatie van het onderzoek (2018) ten minste één online transactie uitgevoerd. Trends geven aan dat online platforms voor kleding, reizen en huishoudelijke artikelen in aantal en verkeer zullen toenemen.

Naast e-commerce zorgen trends zoals werken op afstand, online gamen en contentstreaming ervoor dat meer Canadezen internet zullen gebruiken voor werk en recreatie. Dit benadrukt de toenemende afhankelijkheid van e-commerce en de noodzaak van strengere regelgeving met betrekking tot het verzamelen, opslaan en gebruiken van gegevens.

privacy is geen misdaad

Al in 1996 besefte de Canadese regering de noodzaak van wetten voor gegevensbescherming en reageerde door een reeks leidende principes te creëren, de Model Care for the Protection of Personal Information, waarmee online bedrijven moeten leven en zaken moeten doen.

Deze principes werden in 2000 geformaliseerd en in de wet omgezet met de oprichting van de wet op de bescherming van persoonsgegevens en elektronische documenten (PIPEDA), die in 2015 opnieuw werd bijgewerkt en een einddatum van 1 november 2018 vaststelde voor naleving. Een andere update werd geïntroduceerd en geïmplementeerd in januari, 2018 en mei 2019.

PIPEDA is goedgekeurd door de EU-commissie voor digitale regulering en is in feite ongeveer zes maanden ouder dan de definitieve versie van de AVG. Naast normen zoals de huidige richtlijnen voor toegankelijkheid van websites en andere privacywetten, is PIPEDA ontworpen om ervoor te zorgen dat internet een veilig en toegankelijk platform is voor iedereen die het nodig heeft of wil gebruiken.

Wat is PIPEDA?

De wet op de bescherming van persoonsgegevens en de elektronische documenten heeft betrekking op alle bedrijven of organisaties in de particuliere sector die persoonlijke informatie verzamelen en / of gebruiken tijdens het zakendoen.

Voor de toepassing van deze voorschriften worden dergelijke organisaties gedefinieerd als elke onderneming waarvan het hoofddoel commercieel is, waaronder verkoop, leasing, ruilhandel met het publiek, organisaties die zich bezighouden met lidmaatschapsgerelateerde ondernemingen en organisaties die fondsen werven en verzamelen. Dit geldt ook voor donorlijsten en bedragen, tenzij deze informatie wettelijk verplicht is.Pipeda-logo

De PIPEDA-voorschriften zijn bedoeld voor alle Canadese provincies, hoewel velen hun eigen, vergelijkbare voorschriften hebben met betrekking tot het verzamelen en beschermen van gegevens. Die provincies zijn Alberta, British Columbia en Quebec; Labrador, New Brunswick, Newfoundland, Nova Scotia en Ontario hebben voorschriften opgesteld met betrekking tot het verzamelen, gebruiken en opslaan van gezondheidsgerelateerde gegevens.

PIPEDA omvat ook informatie die over de Canadese grenzen wordt verzonden en federaal gereguleerde organisaties zoals:

  • Luchthavens, luchtvaartmaatschappijen en luchtvervoer
  • Lokale banken en geautoriseerde buitenlandse financiële instellingen
  • Interprovinciale of internationale transportbedrijven
  • Telecommunicatiebedrijven
  • Radio- en tv-omroepen
  • Boren op zee

Who is not Bound by PIPEDA?

Het doel van PIPEDA is om brede bescherming en een uniforme set richtlijnen voor gegevensverzameling te bieden. Maar niet iedereen is aan deze regels gebonden.

Deze organisaties en omstandigheden worden niet gereguleerd door PIPEDA:

  • Informatie verzameld door overheidsinstanties en valt onder de Privacywet.
  • Provinciale of territoriale regeringen en agenten
  • Zakelijke contactgegevens verzameld, opgeslagen en / of gebruikt voor zaken met betrekking tot werk of professionele doeleinden
  • Informatie verzameld door individuen voor persoonlijk gebruik, zoals wenskaartlijsten
  • Informatie die door organisaties wordt verzameld, gebruikt en / of opgeslagen voor artistieke, journalistieke en literaire doeleinden
  • Non-profitorganisaties, indien niet betrokken bij commerciële activiteiten
  • Politieke partijen en organisaties, voor gebruik bij niet-commerciële activiteiten

De meeste scholen, gemeenten en openbare medische voorzieningen vallen onder de wet- en regelgeving in hun provincie, hoewel PIPEDA in sommige gevallen van toepassing kan zijn.

Persoonlijke informatie definiëren

Nu je een basiskennis hebt over wie PIPEDA dekt, vraag je je misschien af ​​wat het dekt. De overheid definieert persoonlijke informatie als alles wat u, uw locatie en uw arbeidsstatus kan identificeren, waaronder:pipeda cybersecurity

  • Namen, adressen, leeftijd, account- of ID-nummers, inkomen, bloedgroep of etnische afkomst
  • Meningen, antwoorden op enquêtes, opmerkingen, sociale of burgerlijke staat en vermelding van disciplinaire maatregelen
  • Werkgelegenheid, gezondheids-, militaire, krediet- en financiële gegevens
  • Bewijs van geschillen tussen een consument en handelaar

De leidende principes van PIPEDA

De reikwijdte van PIPEDA definieert niet haar reikwijdte buiten de Canadese grenzen, maar het federale gerechtshof in Canada heeft bepaald dat organisaties buiten Canada moeten voldoen aan de naleving als hun activiteiten en belangen verweven zijn met Canadese belangen.

Het volgen van de PIPEDA-richtlijnen zorgt er niet alleen voor dat u aan de regels blijft voldoen, updates van deze verordening zijn bedoeld om deze in overeenstemming te houden met de wetten voor het verzamelen / opslaan van gegevens in andere landen. Dit zal ons in staat stellen de financiële mogelijkheden in het buitenland verder uit te breiden en daarbij onze eigen informatie – en die van Canadese burgers – te beschermen.

Vergrendelknop

Als u niet zeker bent van of niet bekend bent met de PIPEDA-richtlijnen, volgen hier de 10 leidende principes waarop de PIPEDA-richtlijnen zijn gebaseerd en de reden voor elk daarvan. Deze principes van eerlijk informatiegebruik worden verder uitgewerkt in de tekst van Bijlage 1 van de PIPEDA-verordening.

1. Verantwoording

Omdat u verantwoordelijk bent voor de persoonlijke informatie die u verzamelt en beheert, moet u een gekwalificeerde privacyfunctionaris aanstellen met als enig doel de naleving van PIPEDA te garanderen.

2. Identificatiedoeleinden

U moet bekendmaken welke gegevens u verzamelt en waarom u deze nodig heeft vóór of op het moment van gegevensverzameling.

3. Geïnformeerde toestemming

U moet individuen informeren en hun toestemming vragen voor het verzamelen, gebruiken of openbaar maken van hun persoonlijke informatie. Vrijstellingen zijn van toepassing in gevallen waarin er wettelijke, medische of veiligheidsredenen zijn die een dergelijke geïnformeerde toestemming onmogelijk of onpraktisch maken.

4. Verzameling beperken

Alle verzamelde persoonlijke informatie moet op eerlijke en wettige wijze worden verzameld en moet worden beperkt tot alleen die informatie die nodig is voor de wettelijke doeleinden die door de organisatie zijn geïdentificeerd.

5. Beperking van openbaarmaking, retentie en gebruik

Persoonlijke informatie kan alleen worden gebruikt of openbaar gemaakt voor het vermelde doel van verzameling. Alle informatie die u verzamelt, kan alleen worden bewaard voor de tijd die wordt beschreven om aan die doeleinden te voldoen, en u moet verdere toestemming van de persoon verkrijgen als die voorwaarden veranderen of als dit wettelijk verplicht is.

6. Nauwkeurigheid van gegevens

Alle persoonlijke of gevoelige gegevens moeten zo nauwkeurig, volledig en actueel mogelijk zijn om het beoogde doel te bereiken.

7. Gegevensbeveiliging

U bent verantwoordelijk voor het beschermen van persoonlijke informatie door middel van passende beveiligingsnormen tegen verlies, diefstal, kopiëren, wijziging, openbaarmaking, ongeoorloofde toegang of gebruik.

8. Openheid en transparantiepictogram voor transparantie van gegevens

U moet volledig transparant zijn over uw gegevensverzameling / -bewaring. opslagbeleid en -praktijken. Dit beleid en deze procedures moeten direct beschikbaar, toegankelijk en begrijpelijk zijn voor individuen en overheidsinstanties.

9. Individuele toegang

Elke persoon die om informatie over persoonlijke gegevens en gegevensbeheer / -bescherming vraagt, moet worden geïnformeerd over het bestaan, het gebruik en de openbaarmaking van hun informatie en volledige toegang tot dergelijke gegevens krijgen. Ze hebben ook het recht om de nauwkeurigheid en volledigheid aan te vechten en om wijziging van hun gegevens te vragen.

Uw recht om dergelijke verzoeken te weigeren is beperkt tot commerciële eigendoms-, juridische of veiligheidsredenen, met inbegrip van redenen die onder het recht inzake geschillen of betrekkingen tussen advocaat en cliënt vallen.

10. Uitdagende naleving

Individuen hebben het recht om de conformiteit van een organisatie met de principes van PIPEDA aan te vechten en die uitdaging te richten aan de PO van de organisatie die verantwoordelijk is voor de naleving van PIPEDA.

In overeenstemming blijven met de OPC

Voor elk van de principes is er een manier waarop u ervoor kunt zorgen dat u zich aan de regels houdt en controle of bestraffing door de Office of the Privacy Commissioner kunt voorkomen. Hier zijn 10 eenvoudige tips die zijn ontworpen om u uit de problemen te houden.

  1. Zorg ervoor dat uw privacybeleid zichtbaar is op uw website aan bezoekers en de privacyfunctionaris van uw organisatie (PO).
  2. Informeer en train medewerkers over uw privacyprotocollen, en zorg ervoor dat ze contactgegevens hebben voor uw PO.
  3. Onthoud dat de bok bij jou stopt. U bent verantwoordelijk voor de naleving en zorgt ervoor dat alle medewerkers goed zijn opgeleid en over de tools beschikken die ze nodig hebben.het verzamelen van persoonlijke informatie cybersecurity
  4. Verfijn uw vereisten en procedures voor gegevensverzameling. Als u persoonlijke informatie over iemand verzamelt, inclusief personeel en klanten, verzamel dan alleen wat u nodig heeft en zorg ervoor dat deze wordt opgeslagen in een veilige omgeving.
  5. Maak gebruik van een SIN optioneel. Tenzij er een wettelijke reden is om dit te doen, mag u van klanten niet eisen dat ze hun SIN bekendmaken bij het invullen van formulieren op uw website.
  6. Maak geen kopieën van persoonlijke of overheids-ID’s. Soms moet u iemands identiteit of woonplaats verifiëren. Uw personeel kan het rijbewijs of een ander identiteitsbewijs van de overheid bekijken, maar ze hoeven geen kopie te maken of te bewaren.
  7. Informeer klanten wanneer ze op video worden opgenomen of opgenomen. Als u videobewakingsapparatuur op uw terrein gebruikt of inkomende oproepen opneemt, plaats dan borden en informeer bellers hierover en probeer geen kopieën te bewaren tenzij ze nodig zijn voor uw zakelijk gebruik.
  8. Bescherm alle persoonlijke informatie. Het verzamelen van informatie is onvermijdelijk, vooral in de gezondheidszorg of de financiële sector. Als u dergelijke gegevens wel nodig heeft, verzamel dan alleen wat u nodig heeft, informeer klanten over welke gegevens u verzamelt en waarom, en bewaar deze door veilige opslag en door een VPN op alle apparaten en netwerken te installeren. Maar houd er rekening mee dat gratis VPN’s mogelijk niet zo betrouwbaar en veilig zijn.
  9. Reageer snel op verzoeken om toegang. U heeft de plicht om te voldoen aan alle protocollen voor gegevensverzameling en u bent verantwoordelijk om te reageren op verzoeken van klanten of sollicitanten om hun informatie. Reageer snel en volledig wanneer u een wettig verzoek ontvangt.
  10. Wees transparant. Zorg ervoor dat u, zodra u over uw privacybeleid beschikt, volledig transparant bent over uw behoeften op het gebied van gegevensverzameling, gebruik en eventuele beveiligingsmaatregelen voor gegevensbescherming.

Wat gebeurt er als u niet voldoet aan PIPEDA?

Als u zich zorgen maakt over uw status, kunt u contact opnemen met de PO die is toegewezen aan uw organisatie of branche. Een van de nieuwere vereisten onder de bijgewerkte verordening is de invoering van verplichte meldingen van datalekken.

Vanaf 1 november 2018 zijn organisaties die onder de PIPEDA-regelgeving vallen wettelijk verplicht om de Privacy Commissioner of Canada op de hoogte te stellen zodra ze kennis krijgen van inbreuken op de veiligheidsmaatregelen die persoonlijke informatie met zich meebrengen die een reëel risico inhoudt op het veroorzaken van aanzienlijke schade aan werknemers, consumenten en andere individuen.

Canadese vlag

Volgens de wet moeten deze bedrijven en organisaties ook alle individuen informeren die door dergelijke inbreuken worden getroffen. Ze moeten ook gegevens over al dergelijke inbreuken bewaren gedurende een periode van ten minste twee jaar, zelfs als dergelijke inbreuken al waren gemeld aan de Canadese Privacy Commissioner.

Het is in uw eigen belang om een ​​werkproces te ontwikkelen om het risico op aanzienlijke schade te beoordelen, aangezien het betrekking heeft op uw organisatie en de juridische definitie van aanzienlijke schade. De Privacy Commissioner of Canada raadt u aan om rekening te houden met de gevoeligheid van de betrokken persoonlijke informatie en de waarschijnlijkheid dat dergelijke informatie wordt misbruikt als deze wordt onthuld of geopend door een onbevoegde persoon of groep.

Een dergelijk risico kan worden berekend door de juiste vragen te stellen over de aard van de inbreuk, zoals intentie, en of het is beschermd met behulp van de huidige protocollen, normen en beste praktijken voor gegevensbescherming. Als u bewust en opzettelijk de nieuwe PIPEDA-vereisten voor meldingen van datalekken en het bewaren van gegevens negeert, worden er boetes opgelegd tot CAD $ 100.000.

Laatste gedachten

In een steeds meer mondiale economie is het essentieel dat de naleving van alle relevante regelgeving wordt gehandhaafd. Canada is al lang een leider als het gaat om het beschermen van de privacy van zijn burgers en bedrijfsleiders.

Verbeteringen aan onze privacywetten dienen om Canadezen te informeren over hun rechten als het gaat om digitale transacties en om ervoor te zorgen dat we onze internationale zakelijke belangen blijven uitbreiden.

Als u een website-eigenaar bent die bezorgd is over uw PIPEDA-naleving, zijn er een aantal gidsen en publicaties van de overheid beschikbaar om u te helpen uw niveau van paraatheid te meten en aan de slag te gaan. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Adblock
detector