Quebec Law 25: Was ist neu?

Im Jahr 2021 verabschiedete Quebec das Gesetz 25, das die Datenschutzrechte der Einwohner von Quebec im Vergleich zu Kanadas föderalem Datenschutzregime, dem Personal Information Protection and Electronic Documents Act (PIPEDA), erheblich erweiterte.

Die folgenden Tabellen veranschaulichen die wichtigsten Ähnlichkeiten und Unterschiede zwischen PIPEDA und Law 25. Die Einhaltung von PIPEDA ist notwendig, reicht aber nicht aus, um Gesetz 25 einzuhalten, da mit letzterem Gesetz mehrere neue oder erweiterte Datenschutzrechte und Schutzmaßnahmen eingeführt werden.

Wie dieser direkte Vergleich zeigt, bestehen die wichtigsten Unterschiede zwischen PIPEDA und Gesetz 25 darin, dass letzteres Folgendes beinhaltet:

• Die Pflicht, DPIAs unter bestimmten Umständen durchzuführen;
• detailliertere Einwilligungsanforderungen;
• umfassendere Meldepflichten bei Verstößen; und
• Zusätzliche Rechte für betroffene Personen, wodurch das Recht von Quebec besser mit der DSGVO in Einklang gebracht wird

Gesetz 25 wurde über einen Zeitraum von drei Jahren schrittweise eingeführt und ist nun in vollem Umfang in Kraft. Unternehmen, die die Vorschriften nicht einhalten, müssen mit Bußgeldern von 15.000 bis 25.000.000 CAD rechnen. Das sind 4 Prozent des Bruttoumsatzes des Vorjahres, je nachdem, welcher Betrag höher ist.

‍Wie Cyera hilft

Cyera ist vereint, KI-native Datensicherheitsplattform scannt Ihren gesamten Datenbestand, einschließlich SaaS, IaaS, PaaS, DBaaS und lokalen Datenspeichern. Es verfügt über vortrainierte Klassifikatoren, die auf die meisten wichtigen regulatorischen Rahmenbedingungen — einschließlich PIPEDA — abgestimmt sind. So können Sie die personenbezogenen Daten Ihrer Kunden schnell identifizieren, unabhängig davon, wo sie sich befinden, und Richtlinien anwenden, um sie zu schützen.

Die erstklassigen Datenerfassungs- und Klassifizierungsfunktionen von Cyera machen es viel einfacher, auf Zugriffsanfragen von Subjekten zu antworten, einschließlich der Validierung der Zerstörung von Daten aufgrund des Antrags einer Person auf Löschung oder der Rückverfolgung der Quelle der personenbezogenen Daten einer Person.

Cyera vereinfacht auch die Vorbereitung von DPIAs. Cyera überwacht Änderungen an Datensicherheitskonfigurationen und Zugriffskontrollen und hilft Ihnen dabei, die Auswirkungen der Einführung, Entwicklung oder Überarbeitung Ihrer Informationssysteme auf die Datensicherheit zu analysieren. Darüber hinaus kann Cyera eine Warnung ausgeben, wenn personenbezogene Daten von Kunden außerhalb von Quebec entdeckt werden. Auf diese Weise können Sie sicherstellen, dass personenbezogene Daten nur an die Länder gesendet werden, für die DPIAs durchgeführt wurden.

Darüber hinaus ist Cyeras Identitätszugriff hilft Ihnen bei der Erstellung eines Benutzerkatalogs mit Zugriff auf Ihre Daten, einschließlich interner und externer Entitäten sowie menschlicher und nichtmenschlicher Identitäten (NHIs) wie IoT-Geräte und KI-Copiloten. Es hilft Ihnen bei der Implementierung von Zero-Trust-Praktiken, indem Identitäten hervorgehoben werden, die unsichere Passwörter verwenden oder die Multifaktor-Authentifizierung nicht aktivieren. Und indem es hilft, übermäßige Berechtigungen und veraltete Identitäten zu identifizieren, unterstützt es auch das Prinzip der geringsten Rechte.

Cyera zeigt Ihnen nicht nur, wer Zugriff auf Ihre Daten hat, sondern auch, was sie damit machen. Diese Funktion ist wichtig, um die erweiterten Meldepflichten von Gesetz 25 zu erfüllen, zu denen nicht nur unbefugte, sondern auch unbefugte Zugriffe gehören benutzen von personenbezogenen Daten im Sinne eines „Vertraulichkeitsvorfalls“.

Die kürzlich veröffentlichten DataPort- und Cyera MCP-Servertools von Cyera können Ihnen auch dabei helfen, Gesetz 25 einzuhalten. DataPort ist eine verwaltete Snowflake-Instanz, die Ihre Cyera-Daten verwendet, um saubere, analysebereite Datensätze zu erstellen. Und mit Cyera MCP können Sie Ihren bevorzugten KI-Chatbot in Ihr Cyera Data Warehouse integrieren. Mithilfe der Eingabeaufforderungen in natürlicher Sprache können Sie Ihre größten Compliance-Risiken schnell identifizieren und Vorschläge zur Behebung erhalten.

Endlich Cyeras Bewertung des Datenrisikos und Bereitschaft zu Sicherheitslücken Dienste helfen Ihnen dabei, das Beste aus Ihrer Cybera-Bereitstellung herauszuholen. Cyera nutzt seine Datensicherheitsplattform und erstellt Ihnen einen umfassenden Risikobericht, in dem Ihre Datenangriffsfläche abgebildet und die anfälligsten Punkte hervorgehoben werden. Unsere virtuellen CISOs bewerten Ihre Sicherheitslage und Ihre Fähigkeiten zur Reaktion auf Vorfälle auf der Grundlage gezielter Kontrollen aus wichtigen Branchenstandards wie ISO 27001 oder NIST CSF. Auf der Grundlage dieser Ergebnisse kann Cyera eine priorisierte Liste von Empfehlungen und eine Roadmap für kontinuierliche Verbesserungen erstellen, einschließlich Zeitplänen und Meilensteinen.

‍Risiko minimieren, Nutzen maximieren

Cyera hilft Ihnen dabei, Ihre Daten während ihres gesamten Lebenszyklus zu identifizieren, zu klassifizieren und zu sichern, von der Erfassung bis zur endgültigen Zerstörung. In Bezug auf diesen letzten Punkt ist die Datenminimierung ein wichtiger Anwendungsfall für die Cyera-Plattform. Viele Cyera-Kunden entdecken Petabyte an redundanten, veralteten oder trivialen (ROT) Daten, die sicher vernichtet werden sollten. Diese Unternehmen erfüllen nicht nur die Anforderungen an Datenminimierung und Aufbewahrung, sondern sparen auch jeden Monat Zehntausende von Dollar an reduzierten Datenspeicherkosten ein.

Gleichzeitig sind sie auch in der Lage, selbstbewusst KI-Tools einzusetzen, um den größtmöglichen Nutzen aus ihren Daten herauszuholen, auch wenn sie diese Daten vor unbefugter Nutzung oder unbefugtem Zugriff schützen. Fordern Sie noch heute eine Demo an, um zu erfahren, wie Cyera Ihre personenbezogenen Daten von der Einhaltung gesetzlicher Verpflichtungen in Unternehmenswerte umwandeln kann.