Der Personal Information Protection and Electronic Documents Act (PIPEDA) ist ein kanadisches Gesetz, das regelt, wie der kanadische Privatsektor personenbezogene Daten im Rahmen kommerzieller Aktivitäten verwendet und offenlegt. PIPEDA wurde im April 2000 gegründet, aber das Gesetz trat erst am 1. Januar 2004 vollständig in Kraft.
Ähnlich wie die neuere Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) stellt Kanadas PIPEDA einen neuen Fokus auf den Schutz personenbezogener Daten im Digitalen. Weltweit sorgen sich viele zunehmend darum, sicherzustellen, dass ihre personenbezogenen Daten ethisch korrekt behandelt und ordnungsgemäß gesichert werden. So wie sich die DSGVO im Wesentlichen auf den Schutz der Daten europäischer Bürger konzentriert, konzentriert sich PIPEDA auf den Schutz der privaten personenbezogenen Daten von Kanadiern.
Zehn PIPEDA-Prinzipien
PIPEDA ist ein umfassendes Gesetz, das zehn Datenschutzgrundsätze für „faire Informationen“ umfasst; diese gelten als Grundregeln der Gesetzgebung. Der Zweck dieser Grundsätze besteht darin, jedem Einzelnen die Kontrolle darüber zu geben, was mit seinen Informationen geschieht.
- Verantwortlichkeit – Dieses Prinzip definiert, dass die Organisation für alle personenbezogenen Daten unter ihrer Kontrolle verantwortlich ist
- Identifizierungszwecke – Die Organisation muss erklären, warum personenbezogene Daten vor ihrer Erfassung benötigt werden
- Zustimmung – Alle gesammelten personenbezogenen Daten müssen mit der aussagekräftigen Zustimmung der Person erfolgen
- Sammlung einschränken – Es dürfen nur notwendige Daten erhoben werden, und dies muss jederzeit fair und rechtmäßig sein
- Nutzung, Offenlegung und Aufbewahrung einschränken – Dieses Prinzip setzt voraus, dass die Daten nur für den ursprünglich vorgesehenen Zweck verwendet werden dürfen und dass die Daten nach ihrer Verwendung sicher vernichtet werden müssen
- Genauigkeit – alle erhobenen Daten MÜSSEN genau, vollständig und so aktuell wie möglich sein
- Schutzmaßnahmen – Alle gesammelten Daten müssen mit angemessener Sicherheit geschützt werden, um die Datenintegrität zu wahren
- Offenheit – Die Daten erhebende Organisation muss die während der Datenerhebung durchgeführten Richtlinien und Prozesse veröffentlichen
- Individueller Zugriff – Jede Person hat das Recht, auf Anfrage die gespeicherten Daten einzusehen und ihre Richtigkeit anzufechten
- Anfechtung der Compliance – Eine Einzelperson darf die Einhaltung eines dieser Prinzipien durch eine Organisation anfechten
All diese Prinzipien gelten, wenn es um eine PIPEDA-konforme Hosting-Infrastruktur geht; Der Hauptfokus liegt jedoch auf den PIPEDA-Sicherheitsvorkehrungen, da der Hosting-Provider direkte Kontrolle über diese Elemente hat
PIPEDA-Hosting-Schutzmaßnahmen
Das Hosting-Sicherheitsprinzip von PIPEDA legt nicht direkt fest, welche besonderen Sicherheitsmaßnahmen in der Hosting-Infrastruktur implementiert werden müssen; Stattdessen liegt die Verantwortung beim Hosting-Anbieter, „sicherzustellen, dass er die in seiner Obhut befindlichen personenbezogenen Daten angemessen schützt, wenn sich Technologien weiterentwickeln und neue Risiken auftauchen.“
Dies bedeutet, dass das Prinzip der Schutzmaßnahmen für Hosting-Anbieter von zentraler Bedeutung ist, da Schutztools bereits in der Hosting-Infrastruktur implementiert sein müssen. Es muss eine Sicherheitsrichtlinie erstellt werden, die den Schutz aller digitalen Aufzeichnungen umfasst und unbefugte Änderungen oder Verwendungen, Zugriffe, Replikation, Offenlegung, Verlust oder Diebstahl verhindert.
Schutzmethoden werden auf ähnliche Weise kategorisiert wie diejenigen, die in der Sicherheitsregel des Health Insurance Portability and Accountability Act von 1996 (HIPAA) aufgeführt sind. Während HIPAA die Notwendigkeit technischer, administrativer und physischer Schutzmaßnahmen vorschreibt, verweist PIPEDA auf technische, organisatorische und physische Schutzanforderungen.
Technische Sicherheitsvorkehrungen
Die technischen Sicherheitsvorkehrungen konzentrieren sich auf mehrere Schlüsselbereiche. Verschlüsselung ist eine der wichtigsten Sicherheitsvorkehrungen, da sie Daten bei Verlust oder Diebstahl schützt. Die Verschlüsselung erlaubt nur einem autorisierten Benutzer oder System mit einem privaten Schlüssel den Zugriff auf die Daten. Wenn Sie den Schlüssel nicht haben, sind die Daten verschlüsselt und können nicht entschlüsselt werden. Stellen Sie sicher, dass Sie einen Hosting-Anbieter wählen, der ruhende Daten proaktiv verschlüsselt.
Verwalten der Benutzeraktivität ist ein weiterer wichtiger Schutz; Benutzerkonten müssen mit komplexen Passwörtern mit mehreren Zeichen gesichert werden. Der Zugriff auf Daten muss nach dem Prinzip der geringsten Rechte kontrolliert werden, was bedeutet, dass Sie nur Zugriff auf die minimale Datenmenge haben, die zur Erfüllung der jeweiligen Aufgabe erforderlich ist. Es muss eine Zugriffssteuerungsliste (ACL) gepflegt werden, normalerweise in Form von Active Directory-Sicherheitsgruppen. Die ACLs gewähren dem relevanten Benutzer nur zu bestimmten Zeiten oder an bestimmten Orten privilegierten Zugriff.
Detaillierte Protokollierung sollte in der gesamten Organisation aktiviert werden. Die Protokollierung soll es Systemadministratoren ermöglichen zu überprüfen, wer wann und warum Zugriff auf personenbezogene Daten hatte. Protokolle können in eine SIEM-Plattform eingespeist werden, die auf intelligente Weise Benutzertrends beim Zugriff auf Daten untersuchen kann. Warnungen können durch unerwartete Aktivitäten ausgelöst werden, wie z. B. Datenzugriff außerhalb der Geschäftszeiten oder durch eine Person, die mit den Daten der Person verbunden ist.
Ebenso Intrusion Protection Systems (IPS) kann an strategischen Punkten innerhalb des Cloud-Netzwerks implementiert werden, um mit der Firewall zusammenzuarbeiten, indem Pakete überprüft werden, die die Firewall bereits als legitim akzeptiert hat. Das IPS befindet sich direkt im Netzwerk und schützt vor lokalen Schwachstellen auf Hardwareebene
Netzwerk-Firewalls sind auch sehr wichtig. Sie sind darauf ausgelegt, die Netzwerkinfrastruktur intrinsisch zu sichern und PIPEDA-Systeme innerhalb des Anwendungsbereichs zu isolieren und zu schützen. Dies führt zu einer vollständig privat verwalteten Umgebung. Hardware- und Software-Firewalls werden strategisch um den Perimeter und interne Netzwerke herum installiert. Eine Web Application Firewall (WAF) sollte in Betracht gezogen werden, wenn die Organisationen stark auf Webserver angewiesen sind. Eine WAF ist ein richtliniendefiniertes Gerät, das Webanwendungen schützt, indem es den Datenverkehr über Network Edge Protection überwacht und filtert
Ein Schlüsselprinzip von PIPEDA ist die Wahrung der Integrität der gesammelten personenbezogenen Daten. Eine der einfachsten Möglichkeiten, dies zu erreichen, ist eine sicherheitsdefinierte Sicherungslösung an Ort und Stelle. Sollten Daten versehentlich gelöscht werden, können die Daten im Handumdrehen wiederhergestellt werden.
Organisatorische Schutzmaßnahmen
Organisatorische Sicherheitsvorkehrungen werden in der Regel durch die Verwaltung der Compliance einer Organisation durchgesetzt, einschließlich der Verfahren und Prozesse, die vom Management zum Schutz von Daten eingerichtet wurden. Bildungsprogramme sind ein grundlegender Bestandteil dieses Ziels. Schulungen tragen dazu bei, eine Kultur des Datenschutzbewusstseins zu schaffen, und können das Risiko eines Verstoßes gegen die PIPEDA-Regeln erheblich verringern. Die Schulungen konzentrieren sich in der Regel auf Cybersicherheitsrisiken und -trends, Datenschutzbestimmungen und ein Verständnis der Strafen, die im Falle einer Datenschutzverletzung gegen die Organisation und den Einzelnen verhängt werden könnten.
Andere interne Best Practices einzuhalten sind eine aufgeräumte Bildschirm- und aufgeräumte Schreibtischrichtlinie. Ein klarer Bildschirm weist darauf hin, dass Ihre Mitarbeiter, wenn sie ihren Schreibtisch für längere Zeit verlassen, sich von ihren Computern abmelden und dass sie ihre Computer sperren sollten, wenn sie den Arbeitsplatz verlassen, auch nur für einen Moment. Eine Clean-Desk-Richtlinie schreibt vor, dass Mitarbeiter ihre Schreibtische von allen Materialien, einschließlich Wechseldatenträgern, Haftnotizen und Visitenkarten, zusammen mit allen Notizen und Dokumenten leeren, wenn sie sie unbeaufsichtigt lassen.
Alle Mitarbeiter müssen einer Sicherheitsüberprüfung unterzogen werden wenn die Arbeit den Umgang mit sensiblen Informationen beinhaltet. Die Sorgfaltspflicht erfordert Hintergrundprüfungen, bevor Mitarbeitern der Zugriff auf personenbezogene Datensysteme gewährt wird. Alle Berichte über Mitarbeiterschnüffelei müssen vollständig untersucht werden, und wenn proaktive Maßnahmen fehlschlagen, sollten Disziplinarmaßnahmen in Betracht gezogen werden.
Physische Schutzmaßnahmen
Die PIPEDA-Compliance verlangt von Hosting-Unternehmen, personenbezogene Daten physisch zu schützen. Die Öffentlichkeit sollte keine vertraulichen Daten einsehen können, daher muss der Zugang zu sensiblen Orten wie einem Hosting-Rechenzentrum eingeschränkt werden. Wählen Sie einen Hosting-Anbieter, der die Sicherheit von Rechenzentren ernst nimmt. Ein Rechenzentrum sollte ein inhärent sicheres Gelände sein, das rund um die Uhr überwacht wird, oft mit Sicherheitspersonal vor Ort und Fernüberwachung. Innerhalb des Rechenzentrums sind die Räume verschlossen und der Zugang wird autorisiertem Personal mit Schlüsselkarten kontrolliert.
Büros, Türen und Schränke sind verschlossen zu halten. Sicherheitskameras und physische Zugangsrichtlinien sind weitere Beispiele für „angemessene“ physische Kontrollen.
PIPEDA-Aktualisierung 2018
Seit seiner ursprünglichen Inkraftsetzung hat PIPEDA vorgeschrieben, dass jedes in Kanada tätige Unternehmen ein Datenschutzprogramm implementiert haben muss. Am 1. November 2018 wurden die Datenschutzregeln innerhalb von PIPEDA aktualisiert, was eine weitere Due Diligence vorschreibt und die Strenge der Regeln erhöht.
Unternehmen sind nun verpflichtet, alle Daten in ihren Systemen zu kontrollieren und zu verwalten und angemessene Zugriffsbeschränkungen für Systeme festzulegen, um sie angemessen zu schützen. Organisationen, die mit kanadischen Bürgerdaten im In- und Ausland umgehen, müssen nun die folgenden neuen Aufgaben erfüllen:
- Versenden Sie Benachrichtigungen an betroffene Benutzer über jede Datenschutzverletzung, die ein „echtes Risiko erheblichen Schadens für eine Person“ mit sich bringt, wie z. B. finanzielle Verluste
- Melden Sie Datenschutzverletzungen dem kanadischen Datenschutzbeauftragten
- Bewahren Sie Aufzeichnungen über Datenschutzverletzungen auf
Die Cloud-Richtlinien des Office of the Privacy Commissioner wurden am 14. Dezember aktualisiert. Diese Richtlinien beziehen sich speziell auf die Cloud; Sie lassen sich jedoch gut auf Beziehungen mit jedem Hosting-Anbieter übertragen. In den FAQs heißt es, dass PIPEDA „Cloud Computing nicht verbietet, selbst wenn der Cloud-Anbieter in einem anderen Land sitzt“. Sie können dann die Cloud nutzen – das ist ganz klar. Die Parameter darüber hinaus sind wie folgt:
- Stellen Sie sicher, dass Sie die Zustimmung jeder Person einholen
- Schützen Sie alle Daten, die Sie sammeln
- Stellen Sie sicher, dass Sie personenbezogene Daten für angemessene Zwecke erfassen
- Beschränken Sie das Sammeln personenbezogener Daten auf die von Ihnen angegebenen Zwecke
- Stellen Sie diese Zwecke Ihren Nutzern zur Verfügung
- Machen Sie Ihre Datenschutzpraktiken den Nutzern bekannt
PIPEDA-Richtlinien speziell für Hosting und Drittanbieter
Ähnlich der Anforderung des Business Associates Agreement (BAA) für die HIPAA-Konformität in der US-Gesundheitsbranche schreibt PIPEDA vor, dass Sie die Verantwortung für alle Daten tragen müssen, wenn diese an Dritte übertragen oder von diesen verarbeitet werden.
Die Regeln sind nicht ganz so streng wie die BAA von HIPAA, die einen Vertrag erfordert. PIPEDA verlangt, dass jede Organisation, die einen Dritten einsetzt, durch „vertragliche oder andere Mittel“ prüfen muss, ob der Datenschutz ordnungsgemäß vorhanden ist.
Jede Organisation, die einen Cloud-Anbieter oder Hosting-Service nutzt, sollte überprüfen, ob das System die strengen Vorgaben der PIPEDA-Compliance einhält – insbesondere die Vertragssprache beachten, die sich mit dem Umgang mit personenbezogenen Daten befasst.
Bedeutung von Anbieterbeziehungen für die Fortsetzung der PIPEDA-Compliance
Wenn Compliance-Parameter strenger werden, wenden sich Unternehmen zunehmend an IT-Partner mit Nischen-Expertise, um diese neuen und spezifischen regulatorischen Parameter zu erfüllen. Aus diesem Grund und da Cloud Computing und andere Systeme von Drittanbietern in der Branche so weit verbreitet sind, ist es wichtig, dass Unternehmen darauf achten, dass alle Anbieter, die mit ihren Daten umgehen, dieselben Richtlinien befolgen.
Wenn Sie die PIPEDA-Konformität erfüllen möchten, kann ein Drittanbieter sicherlich helfen. Es ist jedoch wichtig sicherzustellen, dass der von Ihnen gewählte Host über eine Aufzeichnung in Bezug auf die Einhaltung von Vorschriften verfügt und sich darauf spezialisiert hat. Bei Atlantic.Net ist unser Compliance-Hosting von unabhängigen Prüfern zertifiziert und geprüft. Wir haben über 25 Jahre Erfahrung in der Branche; Kontaktieren Sie uns, um zu sehen, wie wir Ihnen helfen können.