Wet 25 van Quebec, officieel de Wet tot modernisering van wetgevende bepalingen inzake de bescherming van persoonlijke informatie, heeft het privacylandschap van de provincie ingrijpend veranderd. Aangenomen in september 2021 en ingevoerd in drie fasen (september 2022, september 2023 en september 2024), heeft de wet de verplichtingen van bedrijven die persoonlijke informatie van inwoners van Quebec verzamelen aanzienlijk versterkt. Op veel punten strenger dan de federale PIPEDA, brengt Wet 25 Quebec in lijn met de hoogste internationale standaarden op het gebied van gegevensbescherming. Voor Nederlandse bedrijven die vertrouwd zijn met de AVG biedt Wet 25 interessante parallellen en belangrijke verschillen met het Europese kader. Deze gids behandelt de essentiele verplichtingen die elk bedrijf dat in Quebec actief is moet begrijpen.
Toepassingsgebied
Wet 25 wijzigt twee bestaande wetten: de Wet bescherming persoonlijke informatie in de private sector en de Wet inzake toegang tot documenten van overheidsorganen. De wet is van toepassing op elk bedrijf dat persoonlijke informatie van inwoners van Quebec verzamelt, bezit, gebruikt of openbaar maakt, ongeacht of het bedrijf in Quebec gevestigd is.
Extraterritoriale werking. Een bedrijf gevestigd in Toronto, New York, Amsterdam of Parijs dat producten of diensten aanbiedt aan consumenten in Quebec of hun gegevens verzamelt, valt onder Wet 25. Deze extraterritoriale werking brengt de wet van Quebec nauw in lijn met de Europese AVG. Voor Nederlandse bedrijven betekent dit dat zij bij klanten in Quebec naast de AVG ook Wet 25 moeten naleven.
Interactie met PIPEDA. Voor intraprovinciale commerciele activiteiten in Quebec vervangt Wet 25 PIPEDA (de federale privacywet van Canada). PIPEDA blijft echter van toepassing op interprovinciale en internationale activiteiten. Bedrijven die zowel in Quebec als in andere provincies actief zijn, moeten aan beide regelgevingskaders voldoen.
Verplichte privacyfunctionaris
Sinds september 2022 moet elk bedrijf dat onder Wet 25 valt een persoon aanwijzen die verantwoordelijk is voor de bescherming van persoonlijke informatie (PRPI). Standaard valt deze verantwoordelijkheid toe aan de persoon met de hoogste autoriteit in de organisatie (directeur, voorzitter).
Delegatie. De functie kan schriftelijk worden gedelegeerd aan een medewerker of een derde. De identiteit en contactgegevens van de PRPI moeten op de website van het bedrijf worden gepubliceerd.
Rol. De PRPI houdt toezicht op de naleving van de organisatie, keurt de praktijken voor bescherming van persoonlijke informatie goed, fungeert als contactpunt voor klachten en toegangsverzoeken en zorgt voor naleving van wettelijke verplichtingen. Deze rol is vergelijkbaar met die van de FG (Functionaris voor de Gegevensbescherming) onder de Europese AVG. In Nederland houdt de AP (Autoriteit Persoonsgegevens) toezicht op de naleving van de verplichting om een FG aan te wijzen.
Versterkte toestemmingsvereisten
Wet 25 heeft de toestemmingsvereisten in vergelijking met het vorige regime aanzienlijk versterkt.
Uitdrukkelijke, vrije en geinformeerde toestemming. Toestemming moet worden gegeven voor specifieke doeleinden en apart worden gevraagd voor elk doeleinde. Formulieren die meerdere doeleinden in een enkel selectievakje bundelen, zijn niet langer conform.
Afzonderlijke toestemming voor elk doeleinde. Als u informatie verzamelt om een bestelling te verwerken EN om marketingnewsletters te verzenden, moet u twee afzonderlijke toestemmingen verkrijgen. Toestemming voor de transactie vormt geen toestemming voor marketing.
Toestemming voor minderjarigen. Voor kinderen jonger dan 14 jaar moet toestemming worden gegeven door de persoon met ouderlijk gezag. Voor jongeren van 14 tot 17 jaar is de eigen toestemming van de minderjarige voldoende, maar deze moet voldoen aan de vereisten van duidelijkheid en specificiteit.
Verbod op toestemming als voorwaarde voor dienstverlening. U mag een dienst niet weigeren of discriminerende voorwaarden opleggen aan een persoon die toestemming weigert voor het verzamelen van informatie die niet noodzakelijk is voor het verlenen van de dienst.
Privacybeleid en transparantie
Wet 25 stelt precieze eisen aan privacybeleid.
Verplichte inhoud. Uw beleid moet bevatten:
- Contactgegevens van de persoon verantwoordelijk voor de bescherming van persoonlijke informatie
- Soorten verzamelde persoonlijke informatie
- Doeleinden van verzameling
- Middelen van verzameling
- Rechten van betrokkenen en hoe deze uit te oefenen
- Informatie over overdrachten van persoonlijke informatie buiten Quebec
- Bewaar- en vernietigingsbeleid en -praktijken
Toegankelijkheid. Het beleid moet in duidelijke, eenvoudige taal zijn geschreven en op de website van het bedrijf zijn gepubliceerd. De Commission d’acces a l’information du Quebec (CAI) heeft benadrukt dat overmatig lange beleidsregels in juridisch jargon niet aan het duidelijkheidsvereiste voldoen.
Kennisgeving bij verzameling. Naast het algemene beleid moet u op het moment van verzameling een specifieke kennisgeving verstrekken met de beoogde doeleinden, de gebruikte middelen, de rechten van de persoon en, indien van toepassing, overdrachten buiten Quebec.
Privacy-impactbeoordelingen (PIB)
Sinds september 2023 is een privacy-impactbeoordeling (PIB) verplicht voor:
- Elk project voor de aanschaf, ontwikkeling of herontwerp van een informatiesysteem met persoonlijke informatie
- Elke openbaarmaking van persoonlijke informatie buiten Quebec
De PIB moet privacyrisico’s analyseren en mitigatiemaatregelen voorstellen. Deze hoeft niet te worden gepubliceerd, maar moet worden gedocumenteerd en op verzoek beschikbaar zijn voor de CAI.
Individuele rechten
Wet 25 verleent individuen verschillende fundamentele rechten:
Recht van toegang. Elke persoon kan toegang verzoeken tot de persoonlijke informatie die u over hem of haar bezit. U moet binnen 30 dagen antwoorden.
Recht op rectificatie. Individuen kunnen verzoeken om correctie van onnauwkeurige of onvolledige informatie.
Recht op de-indexering (recht om vergeten te worden). Wanneer de verspreiding van persoonlijke informatie in strijd is met de wet of een gerechtelijk bevel, kan het individu eisen dat de verspreiding wordt stopgezet, de-indexering door een zoekmachine of verwijdering van de link die toegang biedt tot de informatie.
Recht op overdraagbaarheid. Sinds september 2024 kunnen individuen verzoeken om mededeling van hun persoonlijke informatie in een gestructureerd, gangbaar technologisch formaat, of om overdracht ervan aan een andere organisatie.
Recht om toestemming in te trekken. Elke persoon kan de toestemming op elk moment intrekken. De intrekking heeft effect voor de toekomst zonder de rechtmatigheid van eerdere verwerking aan te tasten.
Verplichte melding van datalekken
Wet 25 vereist verplichte melding van vertrouwelijkheidsincidenten (onbevoegde toegang tot, gebruik of openbaarmaking van persoonlijke informatie, of verlies van persoonlijke informatie).
Aan de CAI. U moet elk incident dat een risico van ernstige schade voor getroffen individuen oplevert melden aan de Commission d’acces a l’information du Quebec.
Aan getroffen individuen. De melding moet snel zijn en een beschrijving van het incident, de betrokken informatie, de stappen die het individu kan nemen ter bescherming en de contactgegevens van iemand in uw organisatie bevatten.
Incidentenregister. U moet een register bijhouden van alle vertrouwelijkheidsincidenten, ook die welke geen risico van ernstige schade opleveren. Dit register moet ten minste vijf jaar worden bewaard.
Sancties en handhaving
Wet 25 heeft aanzienlijke administratieve geldboetes (AGB) en strafrechtelijke sancties ingevoerd:
Administratieve geldboetes. De CAI kan AGB opleggen tot 10 miljoen CAD of 2% van de wereldwijde omzet van het voorgaande boekjaar, naargelang welk bedrag hoger is. Deze sancties worden rechtstreeks door de CAI opgelegd zonder tussenkomst van de rechter.
Strafrechtelijke sancties. Strafbare feiten kunnen resulteren in boetes van 15.000 tot 25 miljoen CAD of 4% van de wereldwijde omzet. Deze bedragen brengen Wet 25 in lijn met de sanctieschaal van de Europese AVG. Voor Nederlandse bedrijven zijn deze bedragen vergelijkbaar met de sancties die de AP kan opleggen.
Privaatrechtelijke actie. Individuen kunnen civiele procedures instellen voor schade als gevolg van een schending van Wet 25. De rechter kan punitive schadevergoeding toekennen van ten minste 1.000 CAD wanneer de inbreuk opzettelijk is of het gevolg van grove nalatigheid.
Overdrachten buiten Quebec
Wet 25 reguleert overdrachten van persoonlijke informatie buiten Quebec strikt. Voor elke overdracht moet u:
- Een privacy-impactbeoordeling uitvoeren
- Ervoor zorgen dat het rechtsgebied van bestemming een adequaat gelijkwaardig beschermingsniveau biedt
- Een contractuele overeenkomst sluiten die de overdracht regelt
- Informatie over de overdracht publiceren in uw privacybeleid
Deze aanpak is vergelijkbaar met het mechanisme van Standaard Contractuele Clausules (SCCs) onder de AVG. Nederlandse bedrijven die al internationale overdrachten beheren onder de AVG zullen deze vereisten herkenbaar vinden.
Vier benaderingen voor naleving van Wet 25
Een gespecialiseerde advocaat inhuren
Kosten: 5.000 tot 15.000 CAD voor een uitgebreid nalevingsprogramma. Tijdlijn: 4 tot 8 weken.
Voor bedrijven met complexe gegevensstromen of internationale overdrachten blijft een Quebec-privacyadvocaat de meest grondige optie.
Een generiek AI-hulpmiddel gebruiken
Schijnbare kosten: $ 0. Werkelijke kosten: de Wet 25-specifieke lacunes die het niet zal dekken.
Generieke AI-hulpmiddelen zijn niet bekend met de specifieke vereisten van Wet 25 (PRPI, PIB, overdraagbaarheid, de-indexering) en produceren beleidsregels die mogelijk PIPEDA maar niet de wet van Quebec bevredigen.
Een gratis sjabloon kopieren
Kosten: $ 0. Risico: hoog.
Gratis sjablonen zijn doorgaans opgesteld voor PIPEDA of de AVG, niet voor Wet 25. Ze laten Quebec-specifieke vereisten achterwege.
Een gespecialiseerde generator voor juridische documenten gebruiken
Kosten: 19,90 € tot 49,90 €. Tijdlijn: minder dan 10 minuten.
Een gespecialiseerde generator die de vereisten van Wet 25 integreert, produceert privacybeleidsregels aangepast aan het Quebec-kader, inclusief de verplichte PRPI-vermeldingen, overdraagbaarheidsrechten en de-indexeringsbepalingen.
Conclusie
Controleer uw naleving van Wet 25 met onze gratis compliancescanner die Canadese regelgeving dekt.
Wet 25 heeft Quebec aan de top geplaatst van de bescherming van persoonlijke informatie in Noord-Amerika. Met sancties tot 25 miljoen CAD of 4% van de wereldwijde omzet zijn de gevolgen van niet-naleving potentieel verwoestend. Het aanwijzen van een PRPI, het bijwerken van uw privacybeleid, het uitvoeren van PIB’s en het vaststellen van procedures voor incidentmelding zijn niet langer optioneel — het zijn wettelijke verplichtingen. Elke dag zonder naleving is een dag van onnodige blootstelling aan regelgevingsrisico.