Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Wat is PIPEDA-naleving?

Startpagina Woordenlijst Wat is PIPEDA-naleving?

Wat is PIPEDA en hoe kunnen PIPEDA-nalevingsvereisten van toepassing zijn op een bedrijf dat actief is in Canada? Lees verder om erachter te komen.

Waar staat PIPEDA voor? Personal Information Protection and Electronic Documents Act.

Wat is PIPEDA?

PIPEDA (Personal Information Protection and Electronic Documents Act) is de federale privacywetgeving voor organisaties in de private sector in Canada. PIPEDA werd in 2000 wet om vertrouwen en gegevensprivacy in e-commerce te bevorderen. Sindsdien is het uitgebreid naar andere sectoren zoals bankwezen, media en entertainment en de zorgsector.

PIPEDA regelt het verzamelen, gebruiken en openbaar maken van persoonlijk identificeerbare informatie (PII) en erkent het recht van individuen op privacy met betrekking tot hun persoonlijke gegevens. Het reguleert ook de noodzaak voor organisaties om PII te verzamelen, gebruiken of openbaar te maken op een manier die als passend wordt beschouwd.

Net als de General Data Protection Regulation (GDPR) van de Europese Unie, hebben individuen onder PIPEDA het recht om toegang te krijgen tot PII die door een organisatie wordt bewaard, te bepalen wie verantwoordelijk is voor het verzamelen ervan, te begrijpen waarom het wordt verzameld en de juistheid ervan te betwisten.

PIPEDA is ontworpen om de meldingsplicht voor datalekken in Canada in overeenstemming te houden met die van de handelspartners van het land. Volgens een analyse van de Canadese overheid in 2017 wordt de wet momenteel geacht een gelijkwaardig niveau van privacybescherming te bieden als de GDPR, waardoor de vrije doorgifte van persoonsgegevens van de EU naar Canadese organisaties mogelijk is.

Wat is PIPEDA-naleving?

Wat is persoonlijke informatie (PII) onder PIPEDA?

PIPEDA in Canada regelt het gebruik, verzamelen en openbaar maken van persoonlijke informatie. Volgens de wet omvat PII feitelijke of subjectieve informatie, al dan niet vastgelegd, over een identificeerbaar individu. Dit omvat PII in elke vorm, die in de volgende categorieën valt:

Directe identificatoren:

  • Leeftijd, naam en ID-nummer
  • Ras, nationaliteit of etniciteit
  • Het bloedtype van een individu
  • DNA
  • Burgerlijke staat
  • Medische informatie (vergelijkbaar met de Health Insurance Portability and Accountability Act [HIPAA] in de VS)

Subjectieve informatie:

  • Meningen, beoordelingen en opmerkingen
  • Sociale status

Werkgerelateerde gegevens:

  • Medische, onderwijs- en arbeidsdossiers
  • Sociale verzekeringsnummer of rijbewijs
  • Personeelsdossiers, kredietgeschiedenis en financiële gegevens
  • Disciplinaire maatregelen

Wat valt niet onder PIPEDA?

Over het algemeen kunnen gegevens die niet als PII onder PIPEDA worden beschouwd, onder meer omvatten:

  • Persoonlijke informatie die wordt verwerkt door federale overheidsinstellingen die onder de Canadese Privacy Act vallen
  • De provinciale of territoriale overheden en hun vertegenwoordigers
  • Zakelijke contactinformatie die uitsluitend wordt verkregen, gebruikt of openbaar gemaakt om met die persoon te communiceren over zijn of haar werk of beroep
  • Het verkrijgen, gebruiken of openbaar maken van persoonlijke informatie door een individu uitsluitend voor persoonlijke doeleinden
  • Het verkrijgen, gebruiken of openbaar maken van persoonlijke informatie door een organisatie voor niet-commercieel gebruik, zoals journalistieke, artistieke of literaire doeleinden

Waarom is PIPEDA-naleving belangrijk?

Elke organisatie in de private sector die PII verzamelt, opslaat en verspreidt, inclusief beschermde gezondheidsinformatie (PHI), als onderdeel van haar commerciële activiteiten binnen de Canadese grenzen, moet voldoen aan PIPEDA. De wet legt de nadruk op commerciële activiteiten die specifiek zijn voor de bepalingen van de wet. Het is belangrijk op te merken dat er veel commerciële activiteiten zijn, maar niet alle vallen onder PIPEDA.

Onder PIPEDA verwijst commerciële activiteit naar een bepaalde transactie, handeling of gedraging, of een reguliere handelswijze die commercieel van aard is, waaronder de verkoop, ruil of verhuur van donorlijsten, ledenlijsten of andere fondsenwervingslijsten. Elk bedrijf dat in Canada is geregistreerd en voldoet aan deze definitie van een commerciële activiteit, moet PIPEDA-naleving aantonen. Het toezicht op deze naleving ligt bij het Office of the Privacy Commissioner of Canada.

Zelfs voor bedrijven die in een ander land zijn gevestigd, kan PIPEDA van toepassing zijn. Op basis van de PIPEDA-bepalingen met betrekking tot internationale handel moeten alle organisaties die gegevens van Canadese inwoners verwerken voor commerciële doeleinden zich houden aan de privacywetgeving van Canada.

Organisaties die niet onder PIPEDA-naleving vallen

PIPEDA-naleving is niet van toepassing op non-profitorganisaties, goede doelen en politieke partijen, tenzij zij zich bezighouden met commerciële activiteiten naast hun kernactiviteiten.

PIPEDA is mogelijk ook niet noodzakelijkerwijs van toepassing op provinciaal gereguleerde organisaties en activiteiten die vergelijkbare privacywetgeving hebben aangenomen. Provincies met vergelijkbare wetgeving als PIPEDA zijn onder andere Quebec, British Columbia, Alberta, Ontario, New Brunswick, Nova Scotia, Newfoundland en Labrador.

PIPEDA is ook van toepassing op interprovinciale en internationale transacties door organisaties die over grenzen heen opereren en organisaties die onder de Canadese federale overheid vallen. Dit omvat telecommunicatiebedrijven, banken en transportbedrijven.

Voor provincies met vergelijkbare wetgeving blijft de wet van toepassing op PII die wordt verzameld, gebruikt of openbaar gemaakt door federaal gereguleerde organisaties—namelijk federale werken, ondernemingen of bedrijven (FWUB’s). Dit omvat:

  • Interprovinciaal vrachtvervoer
  • Banken
  • Luchthavens en luchtvaartmaatschappijen
  • Radio- en televisiestations
  • Telecommunicatiebedrijven, waaronder internetproviders, mobiele of vaste telefoonbedrijven en kabelmaatschappijen
  • Spoorwegen, kanalen, pijpleidingen en veerboten die grenzen overschrijden

Wat is de geografische reikwijdte van PIPEDA?

PIPEDA is van toepassing op organisaties in de private sector in Canada die federaal gereguleerd zijn en persoonlijke informatie verzamelen, gebruiken of openbaar maken in hun commerciële activiteiten. Deze organisaties hoeven niet in Canada gevestigd te zijn. De wet is van toepassing zolang zij persoonlijke informatie van Canadezen verzamelen, gebruiken of openbaar maken en als het bedrijf activiteiten in Canada heeft. Dit geldt ongeacht de provincie of het territorium waar het bedrijf is gevestigd en of die provincie vergelijkbare privacywetgeving heeft.

Wat zijn de 10 principes van PIPEDA?

Om aan PIPEDA te voldoen, moet een organisatie de 10 eerlijke informatieprincipes van PIPEDA volgen. Deze principes beschrijven de normen voor het verzamelen, gebruiken en openbaar maken van persoonlijke informatie en de rechten van gebruikers. Deze principes vormen de basisideeën waarop de wetgeving is gebaseerd.

Verantwoordelijkheid. Organisaties zijn verantwoordelijk voor de persoonlijke informatie onder hun beheer en moeten een persoon aanstellen die verantwoordelijk is voor de naleving van PIPEDA binnen de organisatie. Dit omvat alle informatie die mogelijk aan een externe leverancier wordt overgedragen voor verwerking. 

Doeleinden identificeren. De doeleinden waarvoor PII wordt verzameld, moeten door de organisatie worden vastgesteld op of vóór het moment van verzamelen.

Toestemming. De kennis en toestemming van een individu zijn vereist voordat PII wordt verzameld, gebruikt of openbaar gemaakt. Organisaties kunnen opt-in of opt-out opties implementeren om toestemming van individuen te verkrijgen, afhankelijk van de gevoeligheid van de verzamelde persoonlijke informatie.

Beperking van verzameling. Het verzamelen van PII is beperkt tot wat noodzakelijk is voor de door de organisatie vastgestelde doeleinden. De informatie moet op eerlijke en wettige wijze worden verzameld.

Beperking van gebruik, openbaarmaking en bewaring. PII mag niet worden gebruikt of openbaar gemaakt voor andere doeleinden dan waarvoor deze is verzameld, behalve met toestemming van het individu of indien wettelijk vereist. PII mag alleen worden bewaard zolang dat nodig is om die doeleinden te vervullen.

Nauwkeurigheid. Door een organisatie verzamelde PII moet accuraat, volledig en up-to-date zijn, voor zover nodig voor het doel waarvoor deze wordt gebruikt.

Beveiligingsmaatregelen. PII moet worden beschermd door beveiligingsmaatregelen die passend zijn voor de gevoeligheid van de informatie.

Openheid. Een organisatie moet specifieke informatie over haar beleid en praktijken met betrekking tot het beheer van PII beschikbaar stellen aan degenen die erom vragen.

Individuele toegang. Op verzoek moet een individu worden geïnformeerd over het bestaan, gebruik en de openbaarmaking van PII en toegang krijgen tot die informatie. Een individu moet de juistheid en volledigheid van de informatie kunnen betwisten en deze indien nodig kunnen laten aanpassen.

Naleving aanvechten. Een individu moet elk bezwaar met betrekking tot naleving van deze principes kunnen richten aan de aangewezen persoon die verantwoordelijk is voor de naleving van de gegevenswetgeving binnen de organisatie.

Hoe verschilt PIPEDA van GDPR?

De Canadese PIPEDA en de Europese GDPR zijn vergelijkbare wetten omdat ze beide gegevensprivacy reguleren en gebruikers meer controle over hun gegevens geven. Er zijn echter enkele belangrijke verschillen tussen de twee:

Rechtsbevoegdheid. GDPR is van toepassing op alle bedrijven in de Europese Economische Ruimte (EER) en niet-EER-bedrijven die diensten verlenen aan of het gedrag volgen van EER-inwoners. PIPEDA is echter niet in elke Canadese provincie van toepassing. Het geldt niet noodzakelijk voor provincies met vergelijkbare wetgeving.

Toepassing. Terwijl PIPEDA van toepassing is op veel organisaties in de private sector die persoonsgegevens verwerken voor commerciële doeleinden, geldt GDPR voor elke organisatie die PII van EER-inwoners verzamelt en gebruikt.

Toestemming. Waar de GDPR actieve toestemming van gebruikers vereist voor gegevensverzameling en -verwerking, staat PIPEDA impliciete of expliciete toestemming toe, afhankelijk van de gevoeligheid van de verzamelde informatie.

Deze twee privacywetten verschillen mogelijk in reikwijdte en nalevingsvereisten, maar ze leggen beide de nadruk op verantwoordelijkheid en transparantie bij organisaties die persoonsgegevens verzamelen. Of een organisatie nu in Europa of Canada opereert, ze moet voldoen aan de toepasselijke privacywetgeving om juridische gevolgen te voorkomen. Daarom moeten organisaties grondige protocollen voor risicobeheer op het gebied van cyberbeveiliging toepassen.

Datalekken onder PIPEDA

Sinds november 2018 moeten organisaties die onder PIPEDA vallen en een datalek ervaren, bepalen of de toegang tot of het verlies van persoonlijke informatie een risico op aanzienlijke schade voor individuen kan veroorzaken. Een datalek volgens PIPEDA verwijst naar het verlies van, ongeautoriseerde toegang tot of ongeoorloofde openbaarmaking van PII die door een organisatie wordt bewaard.

PIPEDA-naleving vereist dat zodra een organisatie zich bewust is van een datalek, deze het lek moet melden aan het Office of the Privacy Commissioner of Canada door een meldingsformulier voor datalekken in te vullen.

Een organisatie moet ook de getroffen individuen zo snel mogelijk op de hoogte stellen van het lek. De wet vereist dat organisaties gedurende twee jaar een administratie bijhouden van alle datalekken. Het niet volgen van de procedures voor het melden van datalekken is een overtreding van PIPEDA.

PIPEDA en communicatie van gevoelige inhoud

In een steeds digitalere wereld is naleving van privacywetgeving zoals PIPEDA niet alleen een wettelijke verplichting, maar ook een goede zakelijke praktijk. Digitale communicatie van PII binnen, naar en uit organisaties moet voldoen aan de eisen van PIPEDA. Niet voldoen aan of niet kunnen aantonen van naleving van PIPEDA kan leiden tot aanzienlijke boetes en sancties.

Het Kiteworks-platform verenigt communicatie van gevoelige inhoud—e-mail, bestandsoverdracht, file transfer, beheerde bestandsoverdracht, webformulieren en application programming interface (API)-protocollen—tot één kanaal. Geconsolideerde metadata stelt organisaties in staat risico’s te beheren en proactief potentiële privacy- en nalevingsproblemen te identificeren door uniforme beveiligings- en governancebeleid toe te passen die bijhouden en controleren waar gegevens naartoe gaan, wie er toegang toe heeft en hoe deze gedeeld worden. Dit Private Content Network maakt gestroomlijnd beheer, strikte naleving, proactieve dreigingsdetectie en snelle incidentrespons mogelijk.

Plan een aangepaste demo van het Kiteworks-platform om te ontdekken hoe het PII verenigt, volgt, beheert en beveiligt.

 

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks