De AVG en wat het betekent voor Canada

De AVG is een van de belangrijkste gegevensbeschermingswetgeving die de afgelopen 20 jaar is uitgebracht. Het bevat een reeks alomvattende richtlijnen die alle leden van de Europese Unie moeten volgen en het heeft betrekking op gegevensprivacy- en beschermingswetten voor elk bedrijf dat de gegevens van hun klanten gebruikt. GDPR-logo


Gezien de snelle toename van gegevens die worden gebruikt bij marketing en het maken van profielen door bedrijven over de hele wereld, heeft dit geresulteerd in een grote opschudding van de gegevenswetgeving en heeft het al uiteenlopende gevolgen gehad.

Hieronder vindt u een overzicht van de AVG en wat dit betekent voor de Canadese wetgeving en haar bedrijven. U vindt ook uitleg over de meest vergelijkbare verzameling voorschriften met de AVG in Canada – PIPEDA. Verder vindt u een overzicht van recente nieuwe verhalen over de AVG en de effecten ervan op Canada, evenals belangrijke documenten waarin beide wetgevingsstukken worden uitgelegd.

Wat is de GDPR?

De AVG of Algemene Verordening Gegevensbescherming is een verordening die de richtlijn gegevensbescherming vervangt die formeel wordt gevolgd door leden van de Europese Unie. De GDPR werd overeengekomen in april 2016 en werd van kracht in het voorjaar van 2018, met een nalevingsdeadline voor bedrijven die getroffen zijn door de GDPR van 25 mei 2018.

De AVG heeft verstrekkende gevolgen voor digitale bedrijven, zowel in de EU als over de hele wereld, aangezien het niet alleen gevolgen heeft voor bedrijven die worden gehost door de EU of haar lidstaten, maar ook voor bedrijven die zaken doen met burgers van die lidstaten. De GDPR is dus misschien wel de meest uitgebreide internetinformatiewetgeving die tot nu toe is aangenomen.

gdpr betekenis

De AVG is een lang document, maar de belangrijkste knelpunten voor de vereisten – en die gelden voor elk lid van de Europese Unie – zijn onder meer:

  • de anonimisering van verzamelde gegevens om de privacy van burgers te beschermen
  • de vereiste toestemming van de consument voor de verwerking van hun gegevens
  • het verstrekken van meldingen aan consumenten bij verlies of inbreuk op hun gegevens
  • de veilige afhandeling van gegevensoverdrachten over landsgrenzen heen
  • de eis van een door bedrijven zelf aangestelde functionaris voor gegevensbescherming om de naleving van de AVG te waarborgen

Kortom, de AVG vereist dat bedrijven die zaken doen met gegevens van EU-burgers (wat in wezen betekent dat elk bedrijf in de moderne tijd) bepaalde maatregelen moeten nemen om die gegevens te beschermen. Dit omvat zowel de verwerking als de verplaatsing van gegevens, evenals de verkoop en mogelijk gebruik of misbruik door het eerste bedrijf of andere bedrijven.

Wat is toestemming?

Toestemming, zoals beschreven in de AVG, is alleen meetbaar als deze dubbelzinnig is gegeven door de persoon in kwestie. Daarom moet elke klant wiens gegevens door een bedrijf of dienst worden gebruikt, expliciet toestemming geven voor het gebruik van hun gegevens op een schriftelijke of mondelinge manier.

Voorbeeld van toestemming van de AVG

Eerdere toestemmingsmethoden, zoals toegestaan ​​door de vorige richtlijn, zijn niet langer aanvaardbaar. Deze illegale middelen voor het verkrijgen van toestemming zijn onder meer:

  • Opt-out-toestemming, waarbij wordt uitgegaan van toestemming van een persoon, tenzij anders vermeld.
  • Impliciete toestemming, zoals gegevensverwerking die nodig is voor het opstellen van een contract.
  • Toestemming afgeleid van een onevenwichtige macht.
  • Continue toestemming, zoals verkregen van bedrijven wanneer ze een klant van het ene plan naar het andere overstappen.

Volgens de AVG moet toestemming zijn:

  • Expliciet
  • Herhaald wanneer een klant van dienst of contract verandert
  • Specifiek
  • Voeg een optie voor intrekking of weigering toe
  • Kennis van direct marketing
  • Het intrekken of weigeren van toestemming moet net zo eenvoudig zijn als het geven van toestemming en gebruikers moeten van dit recht op de hoogte worden gesteld
  • Boven de 16, anders ouderlijke toestemming vereist

Hoe ver reikt de GDPR?

Er is enige verwarring ontstaan ​​over het bereik van de AVG omdat het een EU-wet is. Uiteraard is de AVG van toepassing op elk bedrijf binnen de EU. Deze wet is van invloed op elke lidstaat van de coalitie, zodat niet elke staat verschillende wetten hoeft te schrijven die met elkaar in conflict kunnen komen.

Algemene verordening gegevensbescherming van de EU - Achtergrond

Bovendien is elk EU-bedrijf dat goederen of diensten op de markt brengt aan inwoners van de EU onderworpen aan de AVG. Dit omvat bedrijven die in andere landen zijn gevestigd. Amazon, dat bijvoorbeeld aan klanten over de hele wereld verkoopt, is onderworpen aan de vereisten van de AVG als ze producten verkopen aan een EU-burger. Dit is de reden waarom de AVG zulke brede gevolgen heeft gehad voor de wereldwijde handel.

Dit heeft al een grote belasting veroorzaakt voor bedrijven die niet over de middelen of vooruitziendheid beschikken om hun gedrag aan te passen, met als resultaat verschillende boetes of doordat sommige bedrijven de levering of diensten aan EU-burgers stopzetten.

GDPR-bijzonderheden

Eigenaars van Canadese bedrijven moeten op de hoogte zijn van de belangrijkste artikelen binnen de AVG die rechtstreeks van invloed zijn op hun activiteiten en handel.

De artikelen 17 en 18 geven beide consumenten meer controle over hun persoonsgegevens, zelfs en vooral als deze automatisch worden verwerkt door een website of systeem. Dit ‘recht op overdraagbaarheid’ stelt consumenten ook in staat hun persoonsgegevens veel gemakkelijker dan voorheen tussen dienstverleners over te dragen. Dit moedigt klanten aan om vaker van internetservice voor draadloze serviceproviders te wisselen op zoek naar een betere deal.

Bovendien zorgt artikel 18 ervoor dat consumenten het recht hebben om hun persoonlijke gegevens onder specifieke omstandigheden te wissen – dit wordt het “recht op verwijdering” genoemd.

De artikelen 23 en 30 schrijven voor dat alle bedrijven die gegevens voor hun klanten verwerken, redelijke gegevensbeschermingsmaatregelen moeten nemen. Dit beschermt de gegevens van hun klanten tegen misbruik en voorkomt dat hun gegevens of privacy verloren gaan of onnodig worden blootgesteld. Dit is zowel relevant voor misbruik door het bedrijf zelf als door externe krachten of individuen.

De artikelen 31 en 32 hebben betrekking op meldingen van datalekken. Artikel 31 vereist in het bijzonder dat alle voor de verwerking verantwoordelijken (dat wil zeggen alle werknemers die tot op zekere hoogte met persoonsgegevens omgaan) alle toezichthoudende autoriteiten (waaronder managers of chief executive officers) binnen 72 uur na de aanvankelijke bekendheid met de inbreuk in kennis moeten stellen van inbreuken op persoonsgegevens. Er moeten ook specifieke details over de inbreuk worden verstrekt; dit omvat de aard van de inbreuk en het aantal betrokkenen.

GDPR-gegevens

Artikel 32 heeft dan betrekking op de klantenkant. Het vereist met name dat voor de verwerking verantwoordelijken de proefpersonen van die gegevens zo snel mogelijk op de hoogte stellen dat hun gegevens zijn geschonden of verloren zijn gegaan, vooral wanneer hun rechten of vrijheden in gevaar worden gebracht.

De artikelen 33 en 33 bis hebben beide betrekking op effectbeoordelingen van gegevensbescherming. Dit zijn vereiste procedures die bedrijven moeten ondergaan om preventief risico’s voor de gegevens van hun klanten te identificeren. Ze moeten ook nalevingsbeoordelingen uitvoeren; deze zorgen ervoor dat alle geïdentificeerde risico’s worden aangepakt en niet worden genegeerd of afgedaan als onwaarschijnlijk.

Artikel 35 heeft betrekking op de bovengenoemde functionarissen voor gegevensbescherming. Het beschrijft dat elk bedrijf dat gegevens over de gezondheid van een klant of proefpersoon, demografische informatie, genetische informatie of andere belangrijke (d.w.z. identificerende) gegevens verwerkt, ook een aangewezen functionaris voor gegevensbescherming moet hebben. De taken van dergelijke functionarissen omvatten het adviseren van hun gastbedrijven over de naleving van de AVG en het optreden als tussenpersoon tussen toezichthoudende autoriteiten en GDPR-ambtenaren.

Uiteraard heeft de overgrote meerderheid van bedrijven die überhaupt met enige vorm van gegevens omgaan, automatisch een functionaris voor gegevensbescherming nodig. Er wordt echter niet gespecificeerd dat de functionaris voor gegevensbescherming een nieuwe werknemer moet zijn; bedrijven kunnen een bestaande werknemer overnemen in de functie, mits de taken van de functie naar behoren worden vervuld.

De artikelen 36 en 37 zijn dus geschreven om de positie van de functionaris voor gegevensbescherming te schetsen en ervoor te zorgen dat zijn verantwoordelijkheden glashelder zijn. Dit omvat procedures voor het waarborgen van de naleving van de AVG en procedures met rapportage door de toezichthoudende autoriteit.

Artikel 45 gaat over uitgebreide vereisten inzake gegevensbescherming. Dit heeft betrekking op internationale bedrijven, die ze identificeren als onderwerp onder de GDPR-regelgeving als ze omgaan met gegevens over EU-burgers. Het is er in wezen om ervoor te zorgen dat geen enkel internationaal bedrijf aan het GDPR-net ontsnapt.

Ten slotte gaat artikel 79 in op sancties voor niet-naleving van de AVG.

Wat zijn de gevolgen van niet-naleving van de AVG??

Hoewel de eerdere gegevensregelmaatregel van de EU, de richtlijn gegevensbescherming, relatief lakse sancties had, heeft de AVG veel zwaardere gevolgen voor niet-naleving. In deze nieuwe wetgeving hebben toezichthouders veel meer bevoegdheden om betekenisvolle veranderingen door te voeren voor de gevolgen in hun in dienst zijnde bedrijven. Bovendien kunnen toezichthouders nu eventuele niet-nalevingproblemen die zij vinden onderzoeken en corrigeren.

gdpr-logo op een laptop

Andere bevoegdheden zijn onder meer de mogelijkheid om audits uit te voeren om naleving te garanderen, waarschuwingen uit te vaardigen, bedrijven te vragen specifieke verbeteringen aan te brengen, termijnen voor die verbeteringen voor te schrijven, het wissen van gegevens van burgers te bevelen en te voorkomen dat bedrijven gegevens overdragen aan andere bedrijven. Alle verwerkingsverantwoordelijken, dat wil zeggen werknemers die met de gegevens van klanten omgaan, vallen onder de bevoegdheden van de toezichthoudende autoriteiten.

Bovendien biedt de AVG de toezichthoudende autoriteiten de mogelijkheid om veel hogere boetes uit te vaardigen dan voorheen. Elke boete voor niet-naleving wordt bepaald op basis van de omstandigheden van de fout en boetes zijn niet nodig tenzij een toezichthoudende autoriteit dit nodig acht. Boetes kunnen oplopen tot twee of vier procent van de wereldwijde jaaromzet of € 10 miljoen of € 20 miljoen, afhankelijk van welke van beide het grootst is.

Op welke gegevens is de AVG van toepassing?

In grote lijnen is de GDPR van toepassing op alle persoonsgegevens, net als zijn voorganger, de Data Protection Act. Dit omvat persoonlijke maar algemene gegevens, zoals het IP-adres van een persoon. Maar het bevat ook gevoelige gegevens die uniek zijn voor een individu – dit verschilt van gegevens zoals het bovenstaande IP-adres, die theoretisch door meer dan één individu zouden kunnen worden gebruikt.

Gevoelige gegevens omvatten genetische of biometrische gegevens. Het wordt over het algemeen begrepen als gegevens die niet met een andere persoon kunnen worden gedeeld. Persoonlijke gegevens omvatten ook namen, foto’s, e-mailadressen, bankgegevens of berichten op sociale netwerksites.

Op wie is de AVG van toepassing?

Zoals hierboven beschreven, moet elk bedrijf dat goederen of diensten verkoopt of verkoopt aan inwoners van de EU, ongeacht de locatie van dat bedrijf, zich houden aan de voorschriften die worden beschreven in de AVG. Als ze deze regels niet naleven, moeten ze de vereiste boetes betalen of verbeteringen aanbrengen.

Op dit moment zijn websites die niet voldoen aan de AVG niet toegankelijk voor EU-lidstaten. Zo werden zowel de Chicago Tribune als de LA Times tijdelijk geblokkeerd voor leden van de EU totdat ze GDPR-naleving bereikten.

Wat zijn de doelen van GDPR?

De AVG is duidelijk een uitgebreid stuk wetgeving, maar wat zijn de doelstellingen en de huidige richtlijnen maken meetbare vooruitgang in de richting van die doelen?

GDPR-doelen

Het doel van de AVG is het definiëren van gestandaardiseerde wetten voor gegevensbescherming in alle lidstaten van de Europese Unie. Vóór de richtlijn van de jaren negentig werden de gegevensbeschermingswetten grotendeels overgelaten aan de beslissingen van elke lidstaat, waardoor handel en wetshandhaving een veel gecompliceerder en moeilijkere aangelegenheid werden. Bovendien waren de gegevensrechten van consumenten niet erg bekend en werden ze vaak geschonden door bedrijven met het oog op uitbuiting.

Door gegevensbeschermingswetten in de hele EU te standaardiseren, zal de AVG naar verluidt:

  • de privacy en gegevensrechten van alle inwoners van de EU verbeteren
  • die inwoners helpen hun gebruik van persoonlijke gegevens te begrijpen
  • de uitvoer van persoonsgegevens buiten de EU aanpakken
  • de regelgevende instanties betere bevoegdheden geven om op te treden tegen bedrijven of organisaties die de nieuwe regelgeving overtreden
  • vereenvoudig de regelgeving voor internationale bedrijven, zodat ze niet voor elke lidstaat van de EU afzonderlijke gegevenswetten hoeven te onthouden
  • vereisen dat nieuwe bedrijven zich houden aan de GDPR-voorschriften

Deze doelen zijn belangrijk in de moderne economische wereld omdat de gegevens van gebruikers aantoonbaar een handelsartikel op zich zijn.

Marketeers en bedrijven voor alle soorten producten en diensten gebruiken de gegevens die ze verzamelen van zowel hun consumenten als de consumenten van andere websites of diensten om hun producten beter aan die consumenten te verkopen. Overweeg Facebook of vergelijkbare websites voor sociale netwerken. Deze websites verkopen de gegevens die ze over hun gebruikers verzamelen vaak aan marketingbedrijven, die die gegevens vervolgens verkopen aan daadwerkelijke producerende bedrijven of diensten.

Gewapend met specifieke gegevens kunnen bedrijven vervolgens een individu targeten door advertenties te leveren die specifiek zijn afgestemd op hun interesses. Als alternatief kunnen ze hun marketingeffectiviteit vergroten door zich te richten op specifieke demografische groepen of individuen.

gdpr recht op toegang

Dit lijkt natuurlijk discriminerend en de wettigheid ervan is erg grijs. Een van de grootste manieren waarop dit type datagebruik als slecht wordt beschouwd, is omdat het noodzakelijkerwijs informatie over individuen gebruikt die ‘privé-informatie’ kan vormen. Een goed voorbeeld zijn browsegegevens, die marketingbedrijven gebruiken om consumentengewoonten of demografische feiten te extrapoleren.

Deze schijnbare schending van de privacy maakt deel uit van de AVG. De primaire focus ligt op het teruggeven van meer privacy aan de burgers van de EU.

Wat betekenen GDPR-wetten voor Canada?

Als een land met veel bedrijven en organisaties die regelmatig zaken doen met EU-bedrijven of burgers, zijn de GDPR-voorschriften de grootste zorg van veel Canadese mensen. Als basisvoorbeeld moet elke Canadese website die de aankoop van goederen of diensten in euro’s toestaat of leveringen aan Europese burgers levert, voldoen aan de AVG.

Naleving van de AVG voor Canadese organisaties en burgers is bijzonder belangrijk omdat veel Canadese privacywetten al erg veel op de AVG lijken. Het kan dus gemakkelijk zijn voor bedrijven of individuen om compliance te verwarren terwijl ze in feite niet in overeenstemming zijn.

PIPEDA

Canada heeft zijn eigen GDPR-achtige wetgeving die is ontworpen om de persoonlijke gegevens van consumenten te beschermen tegen particuliere organisaties in heel Canada. Deze wet – de wet op de bescherming van persoonlijke informatie en elektronische documenten – is geschreven om regels te verstrekken voor het verzamelen, gebruiken en openbaar maken van persoonlijke informatie voor alle Canadese particuliere bedrijven. Het werd oorspronkelijk uitgevaardigd in 2000, maar is onlangs bijgewerkt in de nasleep van de AVG.

Pipeda-logo

PIPEDA is momenteel van toepassing op elke particuliere sectororganisatie in Canada die persoonsgegevens gebruikt in het kader van een commerciële activiteit. Een commerciële activiteit, gedefinieerd door deze wet, is elke transactie, gedrag of actie met een commercieel karakter. Dit omvat het kopen, verkopen, leasen, fondsenwerving of lidmaatschapstransities.

De gebieden Québec, British Columbia en Alberta hebben echter al vergelijkbare privacywetten voor de particuliere sector. Deze lijken erg op PIPEDA en daarom worden organisaties binnen die gebieden die deze wetten volgen vaak beschouwd als vrijgesteld van PIPEDA, zolang transacties met betrekking tot die bedrijven of organisaties plaatsvinden in die provincies. Als een bedrijf in Alberta een internationale transactie zou uitvoeren, zou die transactie onderhevig zijn aan de door PIPEDA beschreven voorschriften.

Net als de AVG zijn alle bedrijven die in Canada opereren en omgaan met persoonlijke informatie die op enig moment de internationale of provinciale grenzen overschrijdt, onderworpen aan de PIPEDA-regelgeving. Als gevolg hiervan is het voor bedrijven vaak gemakkelijker om PIPEDA-naleving te waarborgen in plaats van territoriale of provinciale naleving.

Bovendien zijn alle federaal gereguleerde organisaties in Canada onderworpen aan PIPEDA. Dit omvat banken, luchtvaartmaatschappijen, telecommunicatiebedrijven en radio- en televisieomroepen.

Onder PIPEDA wordt persoonlijke informatie gedefinieerd als feitelijke of subjectieve informatie die al dan niet is vastgelegd over een identificeerbare persoon. Dit omvat vergelijkbare factoren als de definitie van de AVG, waaronder leeftijd, ID-nummers, etnische afkomst, bloedgroep, kredietgegevens en meer. Het bevat echter ook meer subjectieve informatie zoals opmerkingen op sociale media, sociale status, meningen of disciplinaire maatregelen.

PIPEDA doet niet betrekking hebben op zakelijke contactinformatie die uitsluitend wordt gebruikt om met een persoon te communiceren in verband met hun beroep of hun standplaats. Bovendien heeft PIPEDA geen betrekking op het gebruik of de openbaarmaking van informatie die uitsluitend voor persoonlijke doeleinden wordt gebruikt, zoals informatie verkregen uit een wenskaartlijst. Het verzamelen of gebruiken van persoonlijke informatie voor artistieke, literaire of journalistieke doeleinden is ook niet onderworpen aan de door PIPEDA beschreven voorschriften.

Hierdoor worden non-profit- of liefdadigheidsgroepen, politieke partijen en verenigingen en artistieke groepen uitgesloten.

statistieken van de nationale cyberbeveiligingsalliantie

Alle Canadese bedrijven moeten 10 principes voor eerlijke informatie volgen, die zijn uiteengezet in Schema 1 in PIPEDA:

  • verantwoording
  • identificerende doeleinden
  • toestemming
  • beperkende collectie
  • beperking van gebruik, openbaarmaking en retentie
  • nauwkeurigheid
  • beveiligingen
  • openheid
  • individuele toegang
  • uitdagende compliance

PIPEDA-toestemming lijkt ook erg op toestemming zoals beschreven in de AVG. De belangrijkste knelpunten zijn:

  • bedrijven moeten toestemming verkrijgen om persoonlijke informatie te verzamelen of te gebruiken
  • verzamelde informatie mag alleen worden gebruikt als een individu daarmee heeft ingestemd
  • u moet uw verzameling en gebruik van informatie beperken tot “wat een redelijk persoon in de gegeven omstandigheden geschikt acht”
  • individuen moeten op elk moment de mogelijkheid hebben om fouten in hun informatie in te zien en te wijzigen of te corrigeren

Toestemming onder PIPEDA is expliciet, opzettelijk en specifiek.

Verschillen tussen de GDPR en PIPEDA

Kort samengevat is PIPEDA op verschillende punten iets minder streng dan de GDPR. Canadese bedrijven zijn bijvoorbeeld verplicht om inbreuken op de beveiliging te melden die een reëel risico op schade voor proefpersonen opleveren. Dit rapport moet echter ‘zo snel mogelijk’ komen dan binnen 72 uur, zoals voorgeschreven door de AVG.

gdpr vs pipeda

Er zijn echter veel oproepen gedaan om de Canadese wetgeving inzake gegevensbescherming na de GDPR nog verder bij te werken.

Hoe GDPR-naleving in Canada te waarborgen

Alle Canadese organisaties moeten hun gegevensverwerkingsactiviteiten herzien en deze vergelijken met de voorschriften die zijn beschreven in de AVG.

Ten eerste moeten alle Canadese organisaties of individuen die onderworpen zijn aan GDPR-naleving het document fysiek lezen als ze de tijd hebben. Hoewel het in een zeer legale taal is geschreven, is het niet moeilijk te lezen en is het langer dan ingewikkeld. Iedereen die al bekend is met de richtlijnen voor naleving van PIPEDA, zou veel moeten vinden dat vergelijkbaar is in de AVG.

Een extra tactiek is het onderzoeken van andere organisaties die onder de AVG vallen. U kunt rechtstreeks contact opnemen met die organisaties of bedrijven en hen om advies over naleving vragen, of onderzoeken wat zij uiterlijk doen en hun inspanningen kopiëren.Canada en de EU

Natuurlijk moet uw eigen website of bedrijf grondig worden onderzocht. Als u deel uitmaakt van een internationaal bedrijf, moet u al een functionaris voor gegevensbescherming benoemen; dit is een van hun belangrijkste taken. Besteed veel tijd aan het onderzoeken van uw methoden voor gegevensverzameling, zowel opzettelijk als onopzettelijk, om naleving van de AVG te garanderen. De AVG maakt geen onderscheid tussen onopzettelijke en opzettelijke schendingen van haar voorschriften.

Goede strategieën omvatten het in kaart brengen hoe de gegevens die u verzamelt uw systemen binnenkomen, onderzoeken hoe de gegevens worden opgeslagen, onderzoeken hoe de gegevens worden overgedragen tussen verschillende bedrijven of over de grenzen heen, en ten slotte onderzoeken hoe de gegevens worden verwijderd (of helemaal niet). Hierdoor krijgt u een goed inzicht in hoe gegevens zich door uw organisatie verplaatsen en waar u beter op moet letten of uw procedures moet wijzigen.

U moet ook alle contracten of toestemmingsformulieren die u momenteel heeft met EU-burgers onderzoeken om er zeker van te zijn dat het contract voldoet aan de GDPR-voorschriften. Het kan zijn dat uw eerdere contracten of voorwaarden niet in overeenstemming zijn. U moet ook alle contracten die u heeft met gegevensverwerkers (d.w.z. alle werknemers in uw bedrijf die de gegevens van uw klanten of consumenten verwerken) controleren om ervoor te zorgen dat hun taken correct zijn vastgelegd.

Elke gegevensverwerker wiens contract geen GDPR-voorschriften bevat, kan bijvoorbeeld reden hebben om op te staan ​​als hij beweert dat u hem beveelt iets te doen dat niet in zijn contract staat.

Het kan ook een goed idee zijn om een ​​juridisch adviseur te raadplegen. Ze kunnen mogelijk uw eigen contracten en de wetgeving van de AVG interpreteren en ervoor zorgen dat er geen blinde vlekken zijn die u niet ziet en dat er geen nalevingsproblemen zijn. Aangezien de AVG al is verstreken en de nalevingsdeadline al lang voorbij is, is er geen tijd meer om te wachten op bedrijven die gegevens gebruiken.

GDPR rechtmatigheid

Ten slotte kunnen die Canadese bedrijven die de afgelopen jaren al PIPEDA-compatibel waren, ontdekken dat het merendeel van hun gegevensinfrastructuur al GDPR-compatibel is. U kunt ook vertrouwen op uw PIPEDA-nalevingsprocedures om het bovenstaande advies op te volgen, hoewel het nog steeds belangrijk is om op de hoogte te zijn van de grote verschillen tussen de wetgevingen.

Aanbevolen digitale privacyhulpmiddelen

  • Beste VPN-services
  • Beste VPN’s voor Netflix
  • Beste wachtwoordbeheerder
  • Meest veilige browsers

Recent GDPR-nieuws in Canada

Eenjarige impact van de AVG op Canadese bedrijven

Tot dusver heeft de GDPR al een aanzienlijke invloed gehad op de Canadese privacywet, met name omdat deze updates heeft geïnspireerd tot de Canadese PIPEDA-wetgeving. Dit komt gedeeltelijk doordat veel Canadese bedrijven in een of andere mate ook internationaal zaken doen. Er werd gedacht dat het bijwerken van PIPEDA om het meer op de GDPR te laten lijken, de bedrijfsstroom van Canada naar EU-landen zal verbeteren.

Als een kleiner voorbeeld worden veel van de termen die in de AVG worden gebruikt, vaak gebruikt door Canadese wetgevers en andere professionals. De AVG heeft veel bedrijven en individuen ertoe gedwongen veel sneller vertrouwd te raken met de concepten en ideeën die in de wetgeving aanwezig zijn dan iemand zich had voorgesteld.

Europa’s nieuwe wetten inzake gegevensprivacy kunnen Canadezen ten goede komen

Gebruikers van veel Canadese websites en bedrijven hebben al e-mails ontvangen met updates over het privacybeleid en contractovereenkomsten van die bedrijven. De reden hiervoor is dat de goedkeuring door het EU-Parlement van de AVG vereist dat bedrijven die zaken doen met EU-burgers, zich moeten houden aan de nieuwe wetgeving inzake gegevensbescherming.

Microsoft-logo

Dit is echter goed nieuws voor veel Canadese burgers. De AVG is een inspirerende, bijgewerkte kijk op de bestaande wetgeving inzake gegevensprivacy en moedigt veel grote bedrijven aan om consumentvriendelijke praktijken te hanteren met betrekking tot hun gegevens en het gebruik ervan. Microsoft neemt bijvoorbeeld de GDPR-rechten over op haar gebruikers over de hele wereld, niet alleen in de EU. Apple heeft een vergelijkbare trend gevolgd.

Anderen, zoals Facebook, hebben verklaard dat ze van plan zijn transparanter te zijn, hoewel sommigen hen hebben bekritiseerd omdat ze hun meldingsrichtlijnen notoir moeilijk hebben gemaakt om af te zien van.

Canada om gegevenswetten bij te werken naar GDPR-standaard

Sinds de GDPR van kracht werd op 25 mei 2018, heeft het als katalysator gewerkt voor andere landen om hun eigen gegevensprivacywetten bij te werken en nieuwe kijk op wat verantwoordelijk gegevensgebruik betekent, aangemoedigd. Argentinië en Japan behoorden tot de eerste bedrijven die hun nationale wetgeving inzake gegevensbescherming in overeenstemming brachten met de GDPR. Dit komt grotendeels omdat veel van hun bedrijven internationaal zaken doen en het aannemen van vergelijkbare wetten het zakendoen over de hele linie vergemakkelijkt.

Canada wil nu precies hetzelfde doen door de PIPEDA-wetgeving bij te werken. Deze updates zijn echter niet per se zo strikt als de AVG.

Daarnaast zullen in de nabije toekomst nieuwe nationale concentraties op het gebied van digitale en datatransformatie plaatsvinden. Deze zullen de rol van netneutraliteit bij gegevensbescherming voor Canadezen opnieuw onderzoeken en nagaan hoe nieuwe wetten het beste kunnen worden aangenomen of bestaande PIPEDA-wetgeving kan worden aangepast.

Updates voor PIPEDA

Het Office of the Privacy Commissioner of Canada heeft een nieuwe meldplicht voor inbreuken voor bedrijven vrijgegeven. Dit is een officiële update van PIPEDA, die voor het eerst een wet werd in 2000. Het zal gevolgen hebben voor organisaties uit de particuliere sector die zaken doen met of opereren met Canadezen.

privacy is geen misdaad

De updates hebben met name betrekking op het melden van datalekken. Hoewel deze updates niet zo strikt zijn als de updates die momenteel door de AVG worden aangenomen, zijn ze veel explicieter en zullen ze resulteren in meer consistente rapportage van datalekken dan eerdere wetgeving.

Kortom, een organisatie die onderworpen is aan PIPEDA moet zich melden bij het kantoor van de privacycommissaris als een datalek kan leiden tot een reëel risico op aanzienlijke schade en individuen op de hoogte moet brengen van de inbreuk op de beveiliging. Gegevens over inbreuken op de beveiliging moeten twee jaar worden bewaard. Sommigen hebben opgemerkt dat deze stappen niet zijn voltooid, maar in ieder geval in de juiste geest van betere gegevensbescherming.

Gevolgen van GDPR-boetes voor Canada

Aangezien de nieuwe wetgeving van de AVG ertoe heeft geleid dat verschillende bedrijven met boetes zijn geconfronteerd, zijn deze boetes onder de loep genomen door Canadese bedrijven. In het bijzonder zijn British Airways en Marriott International beboet met respectievelijk 183,4 miljoen Britse ponden en 99,2 miljoen Britse ponden.

Deze voorbeelden hebben voor Canadese bedrijven waardevolle inzichten opgeleverd om de daadwerkelijke resultaten van niet-naleving van de AVG uit de eerste hand te zien. Onder de AVG kunnen organisaties die deze voorschriften hebben overtreden een boete krijgen van maximaal 4% van hun jaaromzet of € 20 miljoen, afhankelijk van welke van de twee het grootst is. Bedrijven kunnen zo de potentiële risico’s van overtreding van de GDPR-regelgeving afwegen. Opgemerkt moet worden dat de daadwerkelijke GDPR-boetes door de autoriteiten worden opgelegd en niet als vooraf vastgestelde bedragen worden verdeeld.

GDPR-bronnen

  • Gids voor Canadese PIPEDA-wetgeving
  • Bureau van de privacy-commissaris van Canada – PIPEDA in het kort
  • Office of the Privacy Commissioner of Canada – PIPEDA Compliance Help for Companies
  • Bureau van de Privacy Commissioner of Canada – PIPEDA Main Resource
  • Officiële algemene juridische tekst van de AVG
  • Checklist voor naleving van de AVG
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map