Der Gesetzentwurf 64 von Québec ist ein Gesetz, das 2021 verabschiedet wurde, um das Gesetz über den privaten Sektor der kanadischen Provinz zu modernisieren und die Standards für den Schutz personenbezogener Daten zu verbessern. Der Gesetzentwurf 64 ähnelt in seinem Umfang der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Eine wichtige Bestimmung des Gesetzes ist das Gesetz 25, das die Datenschutzbehörde von Québec – die Commission d’accès à l’information du Québec – ermächtigt, Anforderungen wie die Durchführung von Datenschutz-Folgenabschätzungen vor der Übermittlung personenbezogener Daten außerhalb der Provinz durchzusetzen. Die kanadischen Behörden haben die Datenschutzanforderungen des Gesetzes 25 schrittweise im September 2022 und 2023 umgesetzt, wobei weitere Durchsetzungsmaßnahmen im September 2024 beginnen sollen.
Dieser Beitrag untersucht die wichtigsten Anforderungen des Gesetzes 25 in Bezug auf den Datenschutz Dritter und empfiehlt bewährte Verfahren zur Erfüllung dieser Anforderungen.
Zusammenfassung des Gesetzes 25 von Québec
Das ursprünglich im Jahr 2021 verabschiedete Gesetz 25 von Québec enthält Anforderungen, die die Erhebung, Verwendung und Weitergabe personenbezogener Daten regeln. Das Gesetz:
- Gilt für alle in Québec ansässigen und/oder in Québec tätigen Unternehmen, die personenbezogene Daten von Personen mit Wohnsitz in der Provinz erheben, verwenden oder weitergeben.
- Erfordert die Durchführung obligatorischer Datenschutz-Folgenabschätzungen (PIAs) für die Übermittlung personenbezogener Daten außerhalb von Québec.
- Enthält verbindliche Bestimmungen in allen Outsourcing-Verträgen (z. B. mit Dritten).
- Verhängt Strafen in Höhe von 10 Millionen CAD oder 2 % des weltweiten Umsatzes bis zu 25 Millionen CAD oder 4 % des weltweiten Umsatzes für Verstöße.
Unternehmen, die in Québec geschäftlich tätig sind, sollten ihre Datenschutzpraktiken in Bezug auf Daten von Dritten überprüfen, ähnlich wie dies von Unternehmen verlangt wird, die in Singapur oder der Europäischen Union tätig sind.
Gesetz 25 von Québec Anforderungen an das Risikomanagement durch Dritte
Die nachstehende Tabelle fasst ausgewählte Bestimmungen des Gesetzes 25 zusammen, die sich auf den Datenschutz durch Dritte beziehen.
Hinweis: Die in dieser Tabelle dargestellten Informationen sind eine Zusammenfassung der Anforderungen des Gesetzes 25 und stellen daher keine umfassende rechtliche Beratung dar. Bitte konsultieren Sie den vollständigen Gesetzestext und den Rechtsbeistand Ihrer Organisation, um die beste Vorgehensweise für Ihr Unternehmen zu ermitteln.
| Wählen Sie QuébecLaw 25 Anforderungen | Bewährte Praktiken im Risikomanagement für Dritte |
|---|---|
| Gültig ab 22. September 2022 | |
| Im Falle eines Vertraulichkeitsvorfalls, der personenbezogene Daten betrifft:
a. Ergreifung angemessener Maßnahmen, um das Risiko eines Schadens für die betroffenen Personen zu verringern und zu verhindern, dass sich ähnliche Vorfälle wieder ereignen. b. Benachrichtigung der Kommission und der betroffenen Person, wenn der Vorfall das Risiko eines ernsthaften Schadens darstellt. c. Sie führen ein Verzeichnis der Vorfälle, von dem der Kommission auf Anfrage eine Kopie vorzulegen ist. |
Reagieren Sie auf die Auswirkungen, berichten Sie darüber und mildern Sie sie. Datenschutzvorfälle bei Drittanbietern durch zentrale Verwaltung von Anbietern, Durchführung von Ereignisbewertungen, Bewertung identifizierter Risiken, Abgleich mit kontinuierlicher Cyberüberwachung und Zugriff auf Leitlinien zur Behebung von Problemen. Zu den wichtigsten Funktionen Ihres Programms zur Reaktion auf Vorfälle durch Dritte sollten gehören:
* Kontinuierlich aktualisierte und anpassbare Fragebögen zum Ereignis- und Vorfallmanagement |
| Legen Sie Praktiken fest, die es Ihnen ermöglichen, im Falle eines Vertraulichkeitsvorfalls, bei dem personenbezogene Daten betroffen sind, angemessen und schnell zu reagieren (z. B. Plan für die Reaktion auf einen Vorfall und Personalanweisung). | Erwägen Sie, Ihre Vorgehensweisen bei der Reaktion auf Vorfälle anhand eines branchenüblichen Best-Practice-Rahmens für das Vorfallmanagement zu strukturieren, beispielsweise dem Leitfaden „Computer Security Incident Handling Guide, SP 800-61” des National Institute of Standards and Technology (NIST). |
| Machen Sie eine Bestandsaufnahme der personenbezogenen Daten, die sich in Ihrem Unternehmen (oder in dessen Namen bei einem Dritten) befinden, und bewerten Sie deren Sensibilität. | Beginnen Sie mit der Erstellung einer Karte, um die Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten oder N-ten Parteien zu identifizieren, um Informationspfade zu visualisieren und gefährdete Daten zu ermitteln. |
| Gültig ab 22. September 2023 | |
| Durchführung einer Datenschutz-Folgenabschätzung (Privacy Impact Assessment, PIA), wenn dies gesetzlich vorgeschrieben ist, z. B. bevor personenbezogene Daten außerhalb von Québec weitergegeben werden. | Eine interne Untersuchung durchführen Datenschutz-Folgenabschätzung (PIA) Fokussierung auf die sensibelsten datenschutzrelevanten Daten und Geschäftsprozesse mit dem höchsten Risiko. Nutzen Sie die PIA, um die Ursache, Art und Schwere des potenziellen Risikos zu bewerten und Empfehlungen zur Minderung der identifizierten Risiken und zur Gewährleistung der Einhaltung der Datenschutzbestimmungen zu geben.
Bewerten Sie dann die Datenschutzkontrollen des Anbieters mithilfe einer speziellen Umfrage nach Gesetz 25. Die Umfrage sollte darauf ausgerichtet sein, Risiken zu ermitteln und sie den Kontrollen zuzuordnen, um einen klaren Überblick über potenzielle Schwachstellen zu erhalten. |
| Vernichtung der personenbezogenen Daten, wenn der Zweck ihrer Erhebung erreicht ist, oder Anonymisierung für die Verwendung zu ernsthaften und rechtmäßigen Zwecken, vorbehaltlich der Bedingungen und einer gesetzlich festgelegten Aufbewahrungsfrist. | Automatisieren Sie Austrittsverfahren um das Risiko Ihrer Organisation nach Vertragsabschluss zu verringern. Suchen Sie nach Lösungen, die Ihnen Folgendes ermöglichen:
* Planen Sie Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden. |
| Da sich das Inventar personenbezogener Daten ständig weiterentwickelt, ist es wichtig, es auf dem neuesten Stand zu halten, um Änderungen in Ihrem Unternehmen zu berücksichtigen (z. B. neue Sammlung personenbezogener Daten für ein Projekt) und sicherzustellen, dass Sie Ihre Maßnahmen angemessen planen und allen Ihren Verpflichtungen nachkommen. | Überwachen Sie kontinuierlich Datenverstöße durch Dritte. Identifizieren Sie Arten und Mengen gestohlener Daten, Compliance- und Regulierungsprobleme sowie Echtzeit-Benachrichtigungen über Datenverstöße durch Anbieter. |
| Bewertung der Einhaltung der Datenschutzgesetze im Rahmen des Projekts. | Befolgen Sie Datenschutzbestimmungen, indem Sie Risiken und Reaktionen auf Kontrollen zuordnen, prozentuale Konformitätsbewertungen ermitteln und stakeholder-spezifische Berichte erstellen. |
| Umsetzung von Strategien und Maßnahmen, um diese Risiken zu vermeiden oder wirksam zu verringern. | Automatisieren Sie die Risikoermittlung auf der Grundlage festgelegter Schwellenwerte und ergänzen Sie die Verfahren durch Workflows, die erkannte Risiken zur sofortigen Überprüfung und Beseitigung an die zuständigen Beteiligten weiterleiten.
Empfehlung spezifischer Abhilfemaßnahmen oder Bereitschaft, kompensierende Kontrollen zu akzeptieren, wenn Kontrollmängel bei den Datenschutzpraktiken festgestellt werden. |
Organisationen, die das Gesetz 25 einhalten müssen, sollten sicherstellen, dass Dritte, die personenbezogene Daten von Bürgern aus Québec verarbeiten, über Kontrollmechanismen zum Schutz dieser Daten verfügen. Prevalent bietet eine skalierbare Plattform für das Risikomanagement von Dritten, die sich mit Datenschutzrisiken befasst. Die Prevalent-Plattform:
- Schafft eine solide Grundlage für den Schutz von Daten Dritter innerhalb eines umfassenden TPRM-Programms.
- Ermöglicht Teams die Erstellung und Durchsetzung von Datenschutzbestimmungen in Verträgen und misst kontinuierlich die Einhaltung dieser Bestimmungen während des gesamten Lieferantenlebenszyklus.
- Verschafft Transparenz darüber, wo sich Daten befinden, wie sie fließen und wer Zugriff darauf hat
- Bewertet und überwacht kontinuierlich Datenschutzrisiken durch Dritte gemäß gängigen Branchenstandards.
- Beschleunigt die Identifizierung und Behebung von Risiken und mindert so die Kosten und den Schaden für den guten Ruf.
- Erstellung gezielter Berichte für Aufsichtsbehörden, Anbieter und interne Interessengruppen
- Überwacht kontinuierlich auf Verstöße und beschleunigt die Reaktion auf Vorfälle, um das Risiko eines schädlichen und kostspieligen Vorfalls im Bereich der Datensicherheit zu mindern.
Mit Prevalent verfügen Ihre Sicherheits- und Datenschutzteams über eine einzige, kollaborative Plattform, um Datenschutzbewertungen durchzuführen und sowohl externe als auch interne Datenschutzrisiken zu minimieren.
Laden Sie das Handbuch zur Einhaltung von Datenschutzbestimmungen durch Dritte herunter, um mehr darüber zu erfahren, wie Prevalent Ihnen bei der Bewältigung Ihrer Herausforderungen im Bereich Datenschutz helfen kann. Oder vereinbaren Sie einen Termin für eine Demo, um zu besprechen, wie wir Ihre spezifischen Anforderungen erfüllen können.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
