Kanadas Datenschutzreformen: 5 wichtige Anforderungen an personenbezogene Daten

Jul 27, 2023
Share

Trotz der modernen Gewohnheit, jeden Moment des Lebens online zu teilen, gibt es immer noch viele Dinge, die wir privat halten möchten – ja sogar müssen: Finanz- und Gesundheitsdaten, Standortdaten und Identitätsinformationen, um nur einige zu nennen. Und dennoch haben wir uns daran gewöhnt, die unaufhörliche Verbreitung dieser Daten weltweit an unbekannte Orte und zu unbekannten Zwecken zu akzeptieren.

Datenschutzgesetze hingegen zielen darauf ab, die sichere und angemessene Nutzung solcher Informationen zu regeln und diejenigen zur Rechenschaft zu ziehen, die dies nicht tun. Wenn Sie Daten besitzen, speichern oder auch nur andere anweisen, Daten zu nutzen, sind Sie für den Zugriff auf und die Weitergabe dieser Daten verantwortlich.

Hier werden wir uns drei solcher Gesetze und Anforderungen für Unternehmen ansehen, die in Kanada Geschäfte tätigen oder Informationen verarbeiten, die kanadischen Staatsbürgern gehören: PIPEDA, CPPA und Quebec Law 25.

Entwicklungen im kanadischen Datenschutzrecht

Ab 2021 neue Vorschriften traten in ganz Kanada in Kraft (z. B. Quebec-Gesetz 64 Und Gesetz zur Umsetzung der Digitalcharta 2022Die meisten der wichtigsten Bestimmungen treten jeweils im September nacheinander in Kraft; der letzte Abschnitt, der unter anderem die Datenportabilität betrifft, tritt im September 2024 in Kraft. Diese Aktualisierungen (bzw. „Reformen“) spiegeln die veränderten Erwartungen der Öffentlichkeit an die Nutzung, Weitergabe und Speicherung ihrer Daten wider.

Beginnen wir mit einem sehr allgemeinen Überblick über drei wichtige Datenschutzbestimmungen:

  • Das Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA) – ursprünglich im April 2000 erlassen, um persönliche Daten wie Gesundheitsdaten zu schützen (PHIDer kanadische Datenschutz (PIPEDA) bildet seit über zwanzig Jahren die Grundlage der Datenschutzgesetzgebung in Kanada, insbesondere im Finanzbereich. Ziel des PIPEDA war es, den elektronischen Handel durch den Schutz personenbezogener Daten und die „Gewährung der Nutzung elektronischer Mittel zur Kommunikation oder Aufzeichnung von Informationen oder Transaktionen“ zu fördern. Anders ausgedrückt: Die Versprechen des Internets bargen auch erhebliche Risiken, weshalb ein rechtliches Eingreifen zum Schutz der Nutzer und zur Überwachung und Meldung von Datenlecks erforderlich war.
  • Das Verbraucherschutzgesetz (CPPADer erste Teil des Digital Charter Implementation Act (2022) – der PIPEDA ersetzen wird – aktualisiert viele der Kernprinzipien durch umfassendere Richtlinien und noch strengere Strafen und befasst sich mit neuen Technologien wie künstlicher Intelligenz (KI). Diese Änderungen bringen PIPEDA in Einklang mit vielen der neuen Datenschutzgesetze. EU-Datenschutz-Grundverordnung Anforderungen, einschließlich grenzüberschreitender Geldtransfers.
  • Das Quebec-Gesetz (Gesetzesentwurf 64Das Gesetz zielt außerdem darauf ab, PIPEDA in dieser Region zu modernisieren und aktualisierte, präskriptive Richtlinien für Datenschutzbewertungen, Systemprüfungen, Meldungen von Datenschutzverletzungen und den Umgang mit Daten (z. B. Einwilligung, das „Recht auf Vergessenwerden“ und Anonymisierung/Löschung zur Entfernung personenbezogener Daten) festzulegen. Ähnlich wie CPPA sieht Gesetzesentwurf 64 eine Verantwortung der Führungsebene für die Einhaltung der Vorschriften und Anforderungen vor. grenzüberschreitende ÜberweisungenDie

5 Anforderungen an persönliche Informationen

Jeder Gesetzesakt enthält wichtige Maßnahmen, die Unternehmen im Rahmen ihrer Datensicherheitsmaßnahmen ergreifen müssen:

  1. Rechenschaftspflicht (PIPEDA 4.1 – Prinzip 1Eine Organisation ist für die in ihrem Besitz befindlichen personenbezogenen Daten verantwortlich. Wie bereits erwähnt, bedeutet dies, bestimmte Personen mit der Überwachung der ordnungsgemäßen täglichen Erfassung und Verarbeitung sensibler Daten zu beauftragen. Ihre Organisation „muss Richtlinien und Verfahren zur Umsetzung dieser Grundsätze implementieren, einschließlich der Einführung von Verfahren zum Schutz personenbezogener Daten, der Bearbeitung von Beschwerden und der Schulung der Mitarbeiter, damit diese die Richtlinien und Verfahren der Organisation erläutern können.“
  1. Beschränkung der Nutzung, Weitergabe und Aufbewahrung (PIPEDA 4.5 – Grundsatz 5) – „Personenbezogene Daten dürfen nur für die Zwecke verwendet oder weitergegeben werden, für die sie erhoben wurden, es sei denn“, es liegt eine Einwilligung oder eine entsprechende Anforderung vor. Diese Daten dürfen nur so lange aufbewahrt werden, wie es für die Erfüllung dieser Zwecke erforderlich ist. Um diese Anforderung zu erfüllen, müssen Sie Richtlinien und Verfahren zur Kontrolle von Aufbewahrungsfristen und des Zugriffsminimums (Least User Access, LUA) dokumentieren.
  1. Schutzmaßnahmen (PIPEDA 4.7 – Prinzip 7) – Die Einhaltung der Richtlinien zur Datennutzung erfolgt durch „der Sensibilität der Informationen angemessene Sicherheitsvorkehrungen“. Dies bedeutet im Wesentlichen die Identifizierung und Klassifizierung von Daten, um deren Schutz durch Zugriffskontrolle und Verschlüsselung auf Grundlage von „Menge, Verteilung, Format und Speichermethode der Informationen“ zu gewährleisten. Je sensibler die Informationen, desto strenger die Kontrollen, wie z. B. „organisatorische Maßnahmen und Sicherheitsfreigaben“. Dies umfasst auch die sachgerechte (automatisierte) Datenvernichtung und -entsorgung.
  1. Anonymisierung—Gesetzesentwurf C-27 PIPEDA ergänzt die Bestimmungen um „neue Anforderungen für die Verwendung anonymisierter Daten und Verbote der Re-Identifizierung“. Dies liegt daran, dass selbst anonymisierte Daten nicht ausreichen, um die Verwendung von anonymisierten Informationen zu ermöglichen. Auch anonymisierte Daten gelten noch als personenbezogene Daten.und unterliegt den Verpflichtungen all jener, die diese Daten speichern oder mit anderen Parteien oder zu anderen Zwecken teilen.
  1. Datenschutz-Folgenabschätzungen (DSFA) gemäß Quebecer Gesetz 25 sind obligatorische Verfahren, die sicherstellen, dass sowohl die Informationen als auch die Systeme zu ihrer Erfassung regelmäßig geprüft werden und den Anforderungen an die Vertraulichkeit entsprechen. Eine Datenschutz-Folgenabschätzung umfasst die Identifizierung von Risiken, die Dokumentation und Meldung von Datenschutzverletzungen sowie die Ermittlung potenzieller Schäden durch unrechtmäßige Datennutzung. Die DSFA trägt zur Vermeidung von Datenschutzverletzungen bei, indem sie das System zur Löschung oder Anonymisierung personenbezogener Daten definiert, sobald der Zweck ihrer Erhebung erfüllt ist.

Wie Cyera Compliance-Bemühungen unterstützt

Die Einhaltung der aktualisierten Datenschutzgesetze ist eine anspruchsvolle Aufgabe. Cyera bietet Ihnen die Grundlage für einen effektiven Schutz vor Datenschutzverletzungen durch umfassende Datenanalyse, Kontextinformationen zu aktuellen Sicherheitsmaßnahmen, Identifizierung von Nutzern mit Datenzugriff sowie Dateneigenschaften wie Alter, Typ und Aufbewahrungsdauer.

Mit Cyera erstellen Sie automatisch ein Inventar sensibler Daten, sodass Sie jederzeit wissen, welche Daten Sie besitzen, wo sie gespeichert sind und welche Risiken damit verbunden sind. Ein Dateninventar ist die Grundlage für Verantwortlichkeit, sachgemäße Nutzung, die Anwendung von Schutzmaßnahmen und die Durchführung von Datenschutz-Folgenabschätzungen (DSFA), denn nur wer seine Daten kennt, kann sie schützen.

Um Ihre Compliance-Dokumentation zu optimieren, ermöglicht Cyera die Prüfung von Sicherheitskontrollen für sensible Daten. Dabei wird angezeigt, ob Daten verschlüsselt, tokenisiert, gehasht oder im Klartext vorliegen. Sie erhalten Einblick in Benutzer, Rollen, Berechtigungen und Nutzungsabsichten und können so den Zugriff auf Daten nach dem Prinzip der minimalen Berechtigungen angemessen durchsetzen. Die Überwachung von Datenspeicherzugriffen, Protokollierung, Backups und Fehlkonfigurationen, die sensible Daten offenlegen könnten, gewährleistet die Verantwortlichkeit für die Datenverwaltung.

Das Ignorieren von Sicherheitslücken und ein zu freizügiger Zugriff, der zu Datenverlust führen kann, oder die Aufbewahrung personenbezogener Daten über den erforderlichen Aufbewahrungszeitraum hinaus stellen Risiken für Ihr Unternehmen dar. Cyera identifiziert Benutzer mit Datenzugriff und erstellt Berichte darüber. Zwecke dieses ZugriffsWenn Ihre Kundendaten veraltet sind (über die in Ihrer Aufbewahrungsrichtlinie festgelegte Frist hinaus) oder mit einem ehemaligen Mitarbeiter in Verbindung stehen, erkennt Cyera das Vorhandensein solcher Daten.

Cyera verfolgt einen datenzentrierten Sicherheitsansatz, indem es die Gefährdung Ihrer ruhenden und genutzten Daten analysiert und mehrere Verteidigungsebenen implementiert. Da Cyera den Datenkontext ganzheitlich auf Ihre gesamte Datenlandschaft ausweitet, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, den Speicherort ihrer Daten zu kennen, Risiken zu erkennen und umgehend Maßnahmen zur Behebung von Schwachstellen und zur Sicherstellung der Compliance zu ergreifen, ohne den Geschäftsbetrieb zu beeinträchtigen.

Erfahren Sie, wie Cyera Sie bei der Erreichung Ihrer Datenschutzziele und der Verbesserung Ihres Cybersicherheitsbewusstseins unterstützen kann. Demo vereinbaren Heute.

Share