Focus op Canada: Beleid gegevensbescherming in de maak voor verandering

Het Canadese beleid inzake gegevensbescherming staat op het punt ingrijpend te worden gewijzigd - en Canadese bedrijven zullen te maken krijgen met voortdurende onzekerheid en verwarring naarmate de verschillende voorstellen de komende maanden worden besproken.

Op nationaal en provinciaal niveau wordt een krachtiger privacybeleid ontwikkeld, ondersteund door een strengere handhaving. De Canadese bedrijven hebben hun beleidsvoorkeuren kenbaar gemaakt, waarbij zij hun steun hebben uitgesproken voor nieuwe benaderingen van het verzamelen en gebruiken van persoonsgegevens, de voortzetting van grensoverschrijdende gegevensstromen en een betere afstemming van de regels tussen de provincies en Ottawa.

Canada wordt beschouwd als een pionier op het gebied van gegevensbescherming. De Personal Information Protection and Electronic Documents Act (PIPEDA), de federale wet van het land inzake het verzamelen, gebruiken en openbaar maken van persoonsgegevens, trad in 2001 in werking - lang vóór wetten in veel andere landen. Maar technologische, cybercriminele en internationale ontwikkelingen hebben de PIPEDA ingehaald, en de meesten zijn het erover eens dat de wet nu aan een grondige update toe is.

Het Canadese privacydebat wordt ook beïnvloed door de Algemene verordening gegevensbescherming (GDPR) van de Europese Unie, die een wereldwijde impact heeft gehad vanwege de gevolgen voor trans-Atlantisch zakendoen. De EU heeft de Canadese privacyregels "adequaat" bevonden voor de bescherming van gegevens van Europese burgers binnen haar grenzen, terwijl landen als de VS niet aan deze norm voor gegevensprivacy voldeden . Toch vragen sommige waarnemers zich af of de verouderende Canadese privacyregels bij hun volgende herziening wel aan de GDPR-norm zullen voldoen.

Om deze en andere redenen werkte de federale regering aan een herziening van de PIPEDA toen Quebec een nieuw wetsvoorstel inzake gegevensbescherming indiende, [1] gevolgd door beleidsvoorstellen in British Columbia en Ontario. [2] Aangezien Quebec als eerste kwam, heeft de wetgeving van dat land de meeste aandacht getrokken.

Quebec wetsvoorstel leidt beleidsdebat

Canada's commissaris voor de bescherming van de persoonlijke levenssfeer, Daniel Therrien, heeft gezegd dat een aantal bepalingen in het wetsontwerp van Quebec in overeenstemming zijn met de federale denkbeelden, [3] hoewel er nog geen nationale wetgeving is ingevoerd. Therrien was het bijvoorbeeld in het algemeen eens met de strengere handhavingsbepalingen in Quebec's "Bill 64". Maar hij waarschuwde voor bepalingen die de stroom van gegevens buiten Quebec zouden kunnen belemmeren.

Veel van de bepalingen van wetsvoorstel 64 zijn een afspiegeling van de GDPR van de EU. Het wetsvoorstel beoogt de voorschriften te verduidelijken met betrekking tot de toestemming die van individuen is vereist voordat hun persoonsgegevens worden verzameld, gebruikt of vrijgegeven aan een derde partij, zoals een gegevensverwerker. Juridische waarnemers noemen een aantal bepalingen potentieel problematisch voor bedrijven, waaronder boetes van 10 miljoen dollar (ongeveer 7,5 miljoen euro) of 2% van de wereldwijde omzet, afhankelijk van welk bedrag hoger is, voor overtredingen.

Een ander onderdeel van wetsvoorstel 64 zou gevolgen hebben voor het ingezetenschap van gegevens, waarbij een verklaring over de gevolgen voor de persoonlijke levenssfeer verplicht wordt gesteld voordat persoonsgegevens buiten Québec worden verwerkt. [4] Het ingezetenschap van gegevens is een gebied waarover in Canada enige verwarring is ontstaan, waarbij het Office of the Privacy Commissioner onlangs een vereiste heeft uitgevaardigd en vervolgens weer heeft ingetrokken dat bedrijven uitdrukkelijke toestemming moeten krijgen voor de overdracht van persoonsgegevens aan dienstverleners buiten Canada. [5]

Over deze en talloze andere details in federale en provinciale beleidsvoorstellen zal de komende maanden verder worden gediscussieerd, onder meer over het "recht om te worden vergeten", meldingsplichten voor datalekken en meer. Andere ontwikkelingen die van invloed kunnen zijn op het nationale beleid, zijn onder meer een gecoördineerde collectieve rechtszaak die in drie provincies is aangespannen tegen het verzamelen van persoonsgegevens door een grote technische multinational. [6] En temidden van een toch al ingewikkelde omgeving heeft COVID regeringsfunctionarissen ertoe aangezet enkele privacyregels met betrekking tot gerelateerde persoonsgegevens te versoepelen. [7]

Bedrijven uiten hun bezorgdheid

"Het is van cruciaal belang dat de particuliere sector een rol speelt bij het vormgeven van Canada's datastrategie," schreef de Business Council of Canada in een beleidsdocument waarin de consensus van grote Canadese bedrijven en dochterondernemingen van buitenlandse multinationals werd verwoord. "Iedereen zit in de datahandel." [8] Een greep uit de aanbevelingen van de raad

• De PIPEDA moet voorzien in rechtsgronden voor toestemming, uitzonderingen en alternatieven - ook voor het gebruik van algoritmen voor geautomatiseerde besluitvorming.
• Canadezen moeten een, zij het beperkt, recht hebben om bedrijven te verzoeken hun persoonlijke informatie te wissen.
• De handhaving van de privacywetgeving moet worden versterkt in het geval van ernstige schendingen.
• Vrijwillige nalevingsmethoden, zoals voorafgaande goedkeuring van gebruikssituaties of het zelf melden van onbedoeld misbruik, moeten zonder sancties worden toegepast.
• In toekomstige internationale handelsovereenkomsten moeten bepalingen worden opgenomen tegen vereisten inzake lokalisatie/verblijfplaats van gegevens en andere belemmeringen voor grensoverschrijdende gegevensstromen.
• De federale regering moet samenwerken met de provincies om de datastrategieën op elkaar af te stemmen en een nationale markt voor de vrije stroom van gegevens te creëren.

De afhaalmaaltijd

Terwijl Canadese beleidsmakers en bedrijfsleiders debatteren over nieuwe wetgeving inzake gegevensbescherming, worden Canadese bedrijven aangemoedigd om zich voor te bereiden op strengere voorschriften en handhaving. Het kan twee jaar duren voordat de maatregelen van kracht worden, maar de klok tikt nu al.

[1] " Bill 64, An Act to Modernize Legislative Provisions as Regards the Protection of Personal Information ," Nationale Vergadering van Quebec

[2] " Raadpleging: Versterking van de privacybescherming in Ontario ," Ontario Ministry of Government and Consumer Services

[3] " Verschijning voor de commissie voor instellingen van de Nationale Assemblee van Quebec inzake wetsvoorstel 64, een wet tot modernisering van de wetgevingsbepalingen betreffende de bescherming van persoonsgegevens ," Office of the Privacy Commissioner of Canada

[4] " Voorgestelde wijzigingen van de wet van Quebec op de bescherming van persoonlijke informatie: Gevolgen voor de ondernemingen ," BLG

[5] " Bank zorgt voor openheid en vergelijkbare bescherming voor persoonlijke informatie die aan derden wordt doorgegeven ," Office of the Privacy Commissioner of Canada

[6] " Google wordt in Canada geconfronteerd met een groepsgeding waarin wordt beweerd dat het de elektronica van Canadezen zonder hun toestemming verandert in traceerapparatuur ," Branch MacMaster LLP

[7] " A Framework for the Government of Canada to Assess Privacy-Impactful Initiatives in Response to COVID-19 ," Office of the Privacy Commissioner of Canada

[8] " Data Driven ," Business Council of Canada