Focus op Canada: Grensoverschrijdende gegevensprivacy in het vizier

Canadese bedrijven houden het privacybeleid in de gaten dat van invloed kan zijn op hun gebruik van buitenlandse cloud-diensten en gegevensverwerkers - met name in de VS. Recente beslissingen over het verblijf van gegevens beginnen door te werken op nationaal, provinciaal en internationaal niveau. Deze maatregelen, ook wel datalokalisatie genoemd, kunnen ertoe leiden dat persoonsgegevens van Canadezen alleen in Canada mogen worden verwerkt en opgeslagen.

Grensoverschrijdende gegevensstromen staan al jaren op de Canadese beleidsagenda, of het nu gaat om de VS of om andere handelspartners. Maar de gegevensstroom met de VS is een grotere prioriteit geworden door de toenemende invloed van Big Tech, de groeiende bezorgdheid over de privacy van consumenten en de aanhoudende repercussies van de Amerikaanse bepalingen inzake toezicht en gegevensverzameling in de Patriot Act.

Deze zomer kwam de toereikendheid van de gegevensbescherming in de VS opnieuw in het geding toen het Europese hooggerechtshof het Privacy Shield, een regeling voor de doorgifte van gegevens tussen de Europese Unie en de VS, ongeldig verklaarde. Terwijl de EU en de VS onderhandelen over een vervanging, hebben juridische waarnemers gesuggereerd dat de uitspraak een domino-effect zou kunnen hebben in andere landen, waaronder Canada.[1] Een voorbeeld is Israël, waar de Israëlische autoriteit voor privacybescherming in september verklaarde dat het ook nieuwe mechanismen zou moeten vinden voor gegevensoverdrachten naar de VS.[2]

Gezien deze bezorgdheid hebben multinationale aanbieders van clouddiensten, waaronder Mimecast, hubs opgezet in Canada en andere landen om hun zakelijke klanten meer opties te bieden voor het routeren en opslaan van zakelijke e-mail, klanteninformatie en andere gegevens.

Canada's regels en voorstellen inzake gegevensverblijf

De gemiddelde Canadees maakt zich ook zorgen over de overdracht van zijn persoonsgegevens naar het buitenland - althans volgens 75% van de Brits-Colombianen die reageerden op een enquête over gegevensprivacy.[3] En 81% van de Canadese bedrijven zegt dat de bescherming van de persoonsgegevens van hun klanten belangrijk is - een stijging ten opzichte van 62% in 2011.[4]

nieuwe privacywetten voorgesteld door Ottawa en de provincies kunnen deze kwesties eindelijk aanpakken, met inbegrip van enkele van de vragen betreffende Canadese gegevensopslag in de VS en andere landen, hoewel dit waarschijnlijk nog maanden zal duren. In de tussentijd blijven bedrijven in onzekerheid over de manier waarop zij sommige van hun meest kritische activiteiten moeten uitvoeren. Hier zijn vijf belangrijke ontwikkelingen die de uitkomst zullen beïnvloeden:

• Federale maatregelen: Het Canadese Office of the Privacy Commissioner (OPC) heeft onlangs een eis uitgevaardigd en vervolgens weer ingetrokken dat bedrijven uitdrukkelijke toestemming moeten krijgen voor de overdracht van persoonsgegevens aan dienstverleners buiten Canada.[5] Het OPC heeft benadrukt dat bedrijven hun klanten moeten informeren wanneer hun informatie in het buitenland zou kunnen worden verwerkt, waar deze toegankelijk zou kunnen zijn voor wetshandhavingsinstanties en nationale veiligheidsdiensten. De kwestie van het verblijf van gegevens wordt ook besproken in het kader van een herziening van Canada's Personal Information Protection and Electronic Documents Act (PIPEDA).
• Voorgestelde wetgeving in Quebec: Quebec heeft onlangs een nieuw wetsvoorstel inzake gegevensprivacy ingediend dat bedrijven verplicht een privacy-effectbeoordeling uit te voeren alvorens persoonlijke informatie naar landen buiten de provincie te verzenden om daar te worden verwerkt.
• Initiatieven van BC: British Columbia daarentegen, dat vereist dat provinciale agentschappen alle persoonsgegevens in Canada opslaan, heeft deze beperking tijdelijk versoepeld als gevolg van COVID-19. Meer in het algemeen is BC echter bezig met het actualiseren van zijn wet inzake gegevensprivacy, een proces dat raadpleging van het publiek over vereisten inzake gegevensverblijf en aanverwante kwesties omvat.[6]
• Corporate Pushback: Groepen zoals de Business Council of Canada en de Investment Industry Association of Canada (IIAC) hebben zich uitgesproken tegen de Canadese vereisten inzake verblijfsvergunning voor gegevens. Zelfs de invoering van nieuwe openbaarmakings- en toestemmingsvoorschriften voor het gebruik van externe verwerkers in het buitenland zou onwerkbaar en ondoeltreffend zijn, aldus de IIAC. Om uit te leggen waarom dergelijke maatregelen onwerkbaar zouden zijn, verwees de IIAC naar de enorme hoeveelheid cliëntgegevens die nodig zijn voor beleggingsbeheer, met inbegrip van persoonlijke identificatie, bankgegevens, lijsten van activa, passiva, belastingen, details over familieleden en meer.
• De nieuwe Noord-Amerikaanse handelsovereenkomst: Grensoverschrijdende gegevensstromen worden ook behandeld in de overeenkomst tussen Canada en de VS en Mexico (CUSMA). Het pact uit 2018, dat de Noord-Amerikaanse Vrijhandelsovereenkomst (NAFTA) vervangt, is op 1 juli in werking getreden en bepaalt: "Geen enkele partij zal de grensoverschrijdende overdracht van informatie verbieden of beperken." [7] Maar er is ruimte voor verschillende interpretaties. De Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) wijst er bijvoorbeeld op dat de overeenkomst ook bepalingen bevat voor nationale overheden om de persoonsgegevens te beschermen van partijen die betrokken zijn bij digitale handel. Bovendien merkt de OESO op dat er nu wereldwijd meer dan 200 gegevensbeschermingsvoorschriften zijn met betrekking tot gegevensoverdracht en lokale opslagvereisten. "Overheden actualiseren datagerelateerde regelgeving en stellen steeds vaker voorwaarden aan de overdracht van gegevens over de grenzen heen of eisen dat gegevens lokaal worden opgeslagen," schrijft de organisatie.[8]

In het licht van deze en andere aanstaande wijzigingen in de grensoverschrijdende regelgeving voor gegevensprivacy heeft Michael McEvoy, de Britse commissaris voor privacy in Columbia, meegewerkt aan een artikel met advies over de bescherming van persoonsgegevens en het minimaliseren van de juridische, financiële en operationele risico's die bedrijven kunnen lopen als ze niet aan de regels voldoen. "Voor bedrijven die zich bezighouden met grensoverschrijdende transacties tussen Canada en de VS," legt hij uit, "is het absoluut noodzakelijk om de wet- en regelgeving aan beide zijden van de grens te begrijpen en een geschikt compliance-programma voor cyberbeveiliging te hebben." [9]

De kern van de zaak

Gezien de nationale, provinciale en internationale debatten die nu over gegevensbescherming worden gevoerd, worden grensoverschrijdende gegevensstromen tussen Canada en de VS steeds kritischer bekeken. Dit heeft Canadese bedrijven ertoe gebracht de vele ontwikkelingen die van invloed kunnen zijn op de manier waarop zij met de essentiële gegevens van hun bedrijf omgaan, nauwlettend in de gaten te houden.

[1] "The End of the 'Privacy Shield' Is an Opportunity for Canadian Business," Lawson Lundell LLP

[2] "Israeli Privacy Protection Authority Declares Privacy Shield Inadequate," Geneva Internet Platform

[3] "British Columbians Want Action on Privacy Protection," BC Freedom of Information and Privacy Association

[4] "2019-20 enquête onder Canadese bedrijven over privacy-gerelateerde kwesties," Office of the Privacy Commissioner of Canada

[5] "Bank zorgt voor openheid en vergelijkbare bescherming voor persoonsgegevens die aan derden worden doorgegeven," Office of the Privacy Commissioner of Canada

[6] Toespraak van Michael McEvoy, commissaris voor informatie en privacy in British Columbia

[7] "As New NAFTA Takes Effect, Much Remed Undone," New York Times

[8] "Trade and Cross-Border Data Flows," Organisatie voor Economische Samenwerking en Ontwikkeling

[9] "Kritieke nalevingsproblemen op het gebied van cyberbeveiliging voor Canadese en Amerikaanse bedrijven die over de grens opereren," Business Law Today