Datenschutz und Risikomanagement für Drittparteien

Québec Bill 64 ist ein Gesetz, das 2021 verabschiedet wurde, um das Gesetz der kanadischen Provinz über den privaten Sektor zu modernisieren und die Standards für den Schutz personenbezogener Daten zu verbessern. Eine wichtige Bestimmung des Gesetzentwurfs ist das Gesetz 25, das Anforderungen an die Erhebung, Nutzung und Übermittlung personenbezogener Daten enthält und die Datenschutzbehörde von Québec - die Commission d'accès à l'information du Québec - ermächtigt, Anforderungen wie die Durchführung von Datenschutz-Folgenabschätzungen vor der Übermittlung personenbezogener Daten außerhalb der Provinz durchzusetzen.

Die kanadischen Behörden setzten die Datenschutzanforderungen des Gesetzes Nr. 25 schrittweise im September 2022 und 2023 um, wobei die zusätzliche Durchsetzung im September 2024 beginnen soll.

Das Gesetz gilt für alle Unternehmen, die in Québec niedergelassen sind und/oder in Québec geschäftlich tätig sind und personenbezogene Daten von in der Provinz ansässigen Personen erheben, verwenden oder weitergeben, und sieht bei Verstößen Strafen in Höhe von 10 Millionen CAD oder 2 % des weltweiten Umsatzes bis zu 25 Millionen CAD oder 4 % des weltweiten Umsatzes vor.

Unternehmen, die in Québec tätig sind, sollten ihre bestehenden Praktiken zum Schutz der Daten Dritter überprüfen, um festzustellen, ob die derzeitigen Verfahren mit dem Gesetz übereinstimmen.

Relevante Anforderungen

  • die Erhebung, Verwendung und Weitergabe personenbezogener Daten von in Quebec ansässigen Personen regeln

  • Durchführung von obligatorischen Datenschutz-Folgenabschätzungen (PIAs) für die Übermittlung personenbezogener Daten außerhalb von Quebec

  • Aufnahme verbindlicher Bestimmungen in alle Outsourcing-Verträge (z. B. mit Dritten)

Québec Gesetz 25 TPRM Anforderungen

Die folgende Tabelle fasst ausgewählte Bestimmungen des Gesetzes 25 zusammen, die sich auf den Schutz von Daten Dritter beziehen, und zeigt, wie die Prevalent Third-Party Risk Management (TPRM)-Plattform dazu beitragen kann, die Anforderungen zu erfüllen.

Hinweis: Die Informationen in dieser Tabelle stellen eine Zusammenfassung der Anforderungen des Gesetzes 25 dar und sind daher nicht als umfassende Rechtsberatung zu verstehen. Bitte konsultieren Sie den vollständigen Wortlaut des Gesetzes und den Rechtsbeistand Ihres Unternehmens, um die beste Vorgehensweise für Ihr Unternehmen zu bestimmen.

Wählen Sie Québec Law 25 Anforderungen Bewährte Praktiken im Risikomanagement für Dritte
Gültig ab 22. September 2022
Im Falle eines Vertraulichkeitsvorfalls, der personenbezogene Daten betrifft:

a. Ergreifung angemessener Maßnahmen, um das Risiko eines Schadens für die betroffenen Personen zu verringern und zu verhindern, dass sich ähnliche Vorfälle wieder ereignen.

b. Benachrichtigung der Kommission und der betroffenen Person, wenn der Vorfall das Risiko eines ernsthaften Schadens darstellt.

c. Sie führen ein Verzeichnis der Vorfälle, von dem der Kommission auf Anfrage eine Kopie vorzulegen ist.

Reagieren Sie auf die Auswirkungen, berichten Sie darüber und mildern Sie sie. Datenschutzvorfälle bei Drittanbietern durch zentrale Verwaltung von Anbietern, Durchführung von Ereignisbewertungen, Bewertung identifizierter Risiken, Abgleich mit kontinuierlicher Cyberüberwachung und Zugriff auf Leitlinien zur Behebung von Problemen. Zu den wichtigsten Funktionen Ihres Programms zur Reaktion auf Vorfälle durch Dritte sollten gehören:

  • Ständig aktualisierte und anpassbare Fragebögen zum Ereignis- und Störungsmanagement
  • Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
  • Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
  • Proaktive Lieferantenberichterstattung
  • Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahl und markierten Antworten für jeden Anbieter
  • Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
  • Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
  • Integrierte Berichtsvorlagen für interne und externe Beteiligte
Legen Sie Praktiken fest, die es Ihnen ermöglichen, im Falle eines Vertraulichkeitsvorfalls, bei dem personenbezogene Daten betroffen sind, angemessen und schnell zu reagieren (z. B. Plan für die Reaktion auf einen Vorfall und Personalanweisung). Ziehen Sie in Erwägung, die Verfahren zur Reaktion auf Vorfälle auf der Grundlage eines branchenüblichen Rahmens für bewährte Verfahren für das Management von Vorfällen zu strukturieren, z. B. des National Institute of Standards and Technology (NIST) Computer Security Incident Handling Guide, SP 800-61.
Machen Sie eine Bestandsaufnahme der personenbezogenen Daten, die sich in Ihrem Unternehmen (oder in dessen Namen bei einem Dritten) befinden, und bewerten Sie deren Sensibilität. Beginnen Sie mit der Erstellung einer Karte, um die Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten oder N-ten Parteien zu identifizieren, um Informationspfade zu visualisieren und gefährdete Daten zu ermitteln.
Gültig ab 22. September 2023
Durchführung einer Datenschutz-Folgenabschätzung (Privacy Impact Assessment, PIA), wenn dies gesetzlich vorgeschrieben ist, z. B. bevor personenbezogene Daten außerhalb von Québec weitergegeben werden. Eine interne Untersuchung durchführen Datenschutz-Folgenabschätzung (PIA) Fokussierung auf die sensibelsten datenschutzrelevanten Daten und Geschäftsprozesse mit dem höchsten Risiko. Nutzen Sie die PIA, um die Ursache, Art und Schwere des potenziellen Risikos zu bewerten und Empfehlungen zur Minderung der identifizierten Risiken und zur Gewährleistung der Einhaltung der Datenschutzbestimmungen zu geben.

Bewerten Sie dann die Datenschutzkontrollen des Anbieters mithilfe einer speziellen Umfrage nach Gesetz 25. Die Umfrage sollte darauf ausgerichtet sein, Risiken zu ermitteln und sie den Kontrollen zuzuordnen, um einen klaren Überblick über potenzielle Schwachstellen zu erhalten.

Vernichtung der personenbezogenen Daten, wenn der Zweck ihrer Erhebung erreicht ist, oder Anonymisierung für die Verwendung zu ernsthaften und rechtmäßigen Zwecken, vorbehaltlich der Bedingungen und einer gesetzlich festgelegten Aufbewahrungsfrist. Automatisieren Sie Austrittsverfahren um das Risiko Ihrer Organisation nach Vertragsabschluss zu verringern. Suchen Sie nach Lösungen, die Ihnen Folgendes ermöglichen:

  • Planen Sie Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden.
    Erstellen Sie anpassbare Vertragsbewertungen, um den Status zu bewerten.
  • Anpassung von Umfragen und Arbeitsabläufen zur Berichterstattung über Systemzugriff, Datenvernichtung, Zugriffsverwaltung, Einhaltung aller relevanten Gesetze, Abschlusszahlungen und mehr
  • Zentrale Speicherung und Verwaltung von Dokumenten und Zertifizierungen, wie NDAs, SLAs, SOWs und Verträge
    Nutzen Sie die integrierte automatische Dokumentenanalyse.
  • Ergreifung von Maßnahmen zur Verringerung des Anbieterrisikos mit Empfehlungen und Anleitungen zur Abhilfe
  • Visualisierung und Berücksichtigung von Compliance-Anforderungen durch Zuordnung von Bewertungsergebnissen zu anderen Vorschriften und Rahmenwerken
Da sich das Inventar personenbezogener Daten ständig weiterentwickelt, ist es wichtig, es auf dem neuesten Stand zu halten, um Änderungen in Ihrem Unternehmen zu berücksichtigen (z. B. neue Sammlung personenbezogener Daten für ein Projekt) und sicherzustellen, dass Sie Ihre Maßnahmen angemessen planen und allen Ihren Verpflichtungen nachkommen. Kontinuierliche Überwachung auf Datenschutzverletzungen durch Dritte. Identifizieren Sie Art und Menge der gestohlenen Daten, Probleme mit der Einhaltung von Vorschriften und Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen durch Anbieter.
Bewertung der Einhaltung der Datenschutzgesetze im Rahmen des Projekts. Erfüllen Sie Datenschutzbestimmungen, indem Sie Risiken und Reaktionen auf Kontrollen abbilden, prozentuale Konformitätsbewertungen erhalten und stakeholderspezifische Berichte erstellen.
Umsetzung von Strategien und Maßnahmen, um diese Risiken zu vermeiden oder wirksam zu verringern. Automatisieren Sie die Risikoermittlung auf der Grundlage festgelegter Schwellenwerte und ergänzen Sie die Verfahren durch Workflows, die erkannte Risiken zur sofortigen Überprüfung und Beseitigung an die zuständigen Beteiligten weiterleiten.

Empfehlung spezifischer Abhilfemaßnahmen oder Bereitschaft, kompensierende Kontrollen zu akzeptieren, wenn Kontrollmängel bei den Datenschutzpraktiken festgestellt werden.