Canada’s Personal Information Protection and Electronic Documents Act (PIPEDA)

We hebben op onze blog al vele malen gesproken over privacy en gegevensbescherming; over het onderwerp in het algemeen, over GDPR, LGPD en zelfs CCPA, maar nog nooit hebben we het onderwerp PIPEDA - The Personal Information Protection and Electronic Documents Act - aangesneden. Dus in dit artikel gaan we een kijkje nemen naar de privacywetgeving in Canada, de huidige wetgeving en toekomstige wetsvoorstellen.

Het land heeft twee federale wetten, die worden gehandhaafd door het Office of the Privacy Commissioner of Canada (OPC), de gespecialiseerde instelling die verantwoordelijk is voor de omgang met en de bescherming van privacyrechten, het equivalent van de Data Protection Authority (DPA) in de EU. Volgens de officiële website van het OPC ( die zeer uitgebreid is en waar je zeker naar moet kijken als je een Canadese website-eigenaar bent) zijn de federale privacywetten van het land de volgende:

De privacywet

De Privacywet regelt hoe de overheid omgaat met persoonsgegevens van haar burgers, met gegevens die worden gebruikt voor de uitvoering van overheidsbeleid en met landelijke programma's. Het stelt dat de Canadezen het recht hebben om te weten wanneer en hoe hun persoonlijke gegevens worden verzameld en hoe ze worden gebruikt door overheidsinstanties. Deze wet beschermt de persoonlijke informatie die in het bezit is van deze instellingen en geeft burgers het recht op toegang tot hun gegevens. De Privacy Act is gewoonlijk van toepassing op de volgende diensten die door de overheid worden verleend:

• arbeidsverzekering

• pensioenuitkeringen

• openbare veiligheid en federaal beleid

• belastinginning en -teruggave

• grensbeveiliging.

De Wet Bescherming Persoonsgegevens en Elektronische Documenten (PIPEDA)

PIPEDA regelt de manier waarop de particuliere sector met persoonsgegevens omgaat en werd voor het laatst herzien in mei 2019. Volgens de OPC definieert PIPEDA persoonsgegevens als subjectieve informatie over een identificeerbaar individu "in welke vorm dan ook zoals:

• leeftijd, naam, ID-nummers, inkomen, etnische afkomst of bloedgroep;

• meningen, evaluaties, opmerkingen, sociale status of disciplinaire maatregelen; en

• werknemersdossiers, kredietdossiers, leningdossiers, medische dossiers, het bestaan van een geschil tussen een consument en een handelaar, voornemens (bijvoorbeeld om goederen of diensten te verwerven of van baan te veranderen)".

Om PIPEDA-conform te zijn, moet een bedrijf altijd de toestemming van het individu krijgen voordat het zijn persoonlijke gegevens verzamelt en die gegevens kunnen alleen worden gebruikt voor het enige doel waarvoor ze zijn verzameld. Er is een nieuwe toestemming nodig als de gegevens op een andere manier worden vrijgegeven en gebruikt dan waarvoor de persoon eerder toestemming heeft gegeven. Mensen hebben te allen tijde recht op toegang tot hun gegevens en betwisten de juistheid ervan. Dit klinkt misschien heel streng, maar houd er rekening mee dat de GDPR strenger is dan en beter gedefinieerd. Terwijl voor PIPEDA toestemming "uitdrukkelijk" of "impliciet" kan zijn, wat ruimte laat voor discussie, moet de GDPR toestemming zeer specifiek zijn. Een ander zeer groot verschil heeft te maken met de boetes, waarbij de PIPEDA-boetes veel lager zijn (CAD$100.000, ongeveer €65.000) dan de GDPR-boetes (€20 miljoen of 4% van de jaarlijkse omzet van het bedrijf). Extraterritoriale toepasbaarheid en data-inbreuken worden ook verschillend behandeld. U kunt een uitgebreidere vergelijking tussen PIPEDA en GDPR maken door deze brochurete raadplegen .

Naast PIPEDA en de Privacywet zijn er ook regionale privacywetten, die per provincie verschillen. Zo hebben Alberta en British Columbia bijvoorbeeld data privacy wetten aangenomen om de informatie van werknemers beter te reguleren, en verschillende andere provincies, waaronder Ontario, hebben gezondheidsgerelateerde privacy wetten om de informatie van medische patiënten beter te beschermen. Er zijn ook privacywetten die sectorspecifiek zijn, zoals de Bank Act, die de nauwkeurigheid van gegevens waarborgt en de openbaarmaking van informatie beperkt.

De Uitvoeringswet Digitaal Handvest, 2020

Deze pandemie heeft de manier waarop mensen leven zeker veranderd, waardoor ze meer dan ooit met elkaar in contact komen door middel van technologie. Meer persoonlijke informatie dan ooit tevoren wordt via online media overgedragen, vooral met de huidige overstap van kantoren naar WFH, waarbij de meeste juridische documenten van bedrijven nu online worden overgedragen. Natuurlijk gebeurt dit overal ter wereld, maar de Canadese regering zag dit als een opstapje om hun huidige privacywetgeving te verbeteren, en op deze terreinen stelde de Canadese minister van Innovatie, Wetenschap en Industrie, Navdeep Bains, een nieuw wetsproject voor: de Digital Charter Implementation Act, 2020.

"De COVID-19 pandemie heeft de digitale transformatie versneld die de manier waarop de Canadezen werken, toegang hebben tot informatie, toegang hebben tot diensten en verbinding maken met hun dierbaren verandert. Deze transformatie maakt de bezorgdheid over privacy en de manier waarop bedrijven met de gegevens van de Canadezen omgaan, belangrijker dan ooit. Nu de Canadezen steeds meer vertrouwen op technologie hebben we een systeem nodig waarbij ze weten hoe hun gegevens worden gebruikt en waar ze controle hebben over de manier waarop ermee wordt omgegaan. Om Canada te laten slagen en om onze bedrijven in staat te stellen te innoveren in deze nieuwe realiteit, hebben we een systeem nodig dat gebaseerd is op vertrouwen, met duidelijke regels en handhaving. Deze wetgeving is een belangrijke stap in de richting van dit doel. - Navdeep Bains, Minister van Innovatie, Wetenschap en Industrie, bron: de regering van Canada, canada.ca.

Tot slot zijn er veranderingen en verbeteringen in gang gezet, maar hier bij Visitor Analytics doen we altijd ons best om op de hoogte te blijven van internationale wetten en om de beste privacyconforme webanalysetool op de markt aan te bieden, zodat onze gebruikers veilig zijn voor rechtszaken en boetes.