Volstaat een Europees AVG-privacybeleid voor PIPEDA?

Nee. Hoewel beide regimes gemeenschappelijke beginselen delen, laat een voor de AVG geschreven beleid doorgaans de specifieke terminologie en verplichtingen van PIPEDA weg: verwijzing naar de tien beginselen van Bijlage 1, aanwijzing van een Canadese privacyfunctionaris, meldingsprocedure bij het OPC op grond van de artikelen 10.1 tot en met 10.3, en vermelding van het recht om een klacht in te dienen bij de Commissaris. Een AVG-beleid hergebruiken zonder aanpassing laat reele compliancehiaten achter.

Is een apart beleid nodig voor Quebec?

Ja, in de meeste gevallen. Wet 25 van Quebec stelt eisen die PIPEDA niet dekt: afzonderlijke toestemming per doel, openbare aanwijzing van de verantwoordelijke voor de bescherming van persoonsgegevens (RPRPI), gegevensbeschermingseffectbeoordelingen en een recht op overdraagbaarheid. Bedrijven die zowel Quebec als de rest van Canada bedienen, moeten ofwel twee beleidsdocumenten opstellen, ofwel een geunificeerd beleid dat beide kaders dekt met duidelijk afgebakende secties.

Hoe vaak moet een privacybeleid worden bijgewerkt?

Minimaal eenmaal per jaar, plus bij elke materiele wijziging van uw praktijken (nieuwe dienst, nieuwe verwerker, doelwijziging, nieuw opslagland). PIPEDA legt geen vaste frequentie op, maar het transparantiebeginsel vereist dat het beleid uw werkelijke praktijken te allen tijde weerspiegelt. Substantiele wijzigingen moeten actief aan de betrokkenen worden gecommuniceerd, niet alleen passief op de site geplaatst.

Wat riskeert een bedrijf zonder PIPEDA-conform beleid?

Onder het huidige PIPEDA kan het Office of the Privacy Commissioner of Canada (OPC) bevindingen publiceren waarin de organisatie wordt genoemd, zaken doorverwijzen naar het Federale Hof (dat naleving kan opleggen en schadevergoeding kan toekennen) en specifieke boetes opleggen tot 100.000 CAD voor inbreuken op de meldplicht. Eenmaal aangenomen, zal wetsvoorstel C-27 de administratieve sancties verhogen tot 10 miljoen CAD of 3 % van de wereldwijde bruto-omzet — een kwantitatieve sprong die de aard van het risico zal veranderen.

Geldt PIPEDA voor niet-Canadese bedrijven?

Ja, zodra een buitenlands bedrijf persoonsgegevens van Canadese inwoners verzamelt of verwerkt in het kader van commerciele activiteiten met een reele en substantiele band met Canada (verkoop van producten, advertentietargeting, online diensten toegankelijk vanuit Canada). Een Europese webwinkel die levert aan Canada, of een Amerikaanse SaaS met Canadese klanten, vallen eronder. De extraterritoriale reikwijdte is nu duidelijk vastgesteld door de Canadese rechtspraak.

PIPEDA-privacybeleid: Sjabloon

Elke Canadese organisatie uit de private sector die online persoonsgegevens verzamelt, heeft een verplichting: een privacybeleid publiceren dat voldoet aan de Personal Information Protection and Electronic Documents Act (PIPEDA). Maar wat is precies een “conform beleid”? Welke vermeldingen zijn verplicht en welke onderscheiden een generiek sjabloon van een document dat het Office of the Privacy Commissioner of Canada (OPC) bij een klacht voldoende zal achten? Deze gids beschrijft de exacte vereisten, stelt een conforme sjabloonstructuur voor en identificeert de secties die de meeste gratis sjablonen weglaten. Voor Nederlandse bedrijven die al onder de AVG vallen, is kennis van deze verschillen bijzonder relevant wanneer zij Canadese klanten bedienen.

Waarom PIPEDA een privacybeleid vereist

Het achtste beginsel van Bijlage 1 van PIPEDA — openheid — vereist dat “het beleid en de praktijken van een organisatie met betrekking tot het beheer van persoonlijke informatie” “gemakkelijk beschikbaar” zijn. Het privacybeleid dat op uw website is gepubliceerd, is het belangrijkste instrument van deze verplichting. Het is geen marketingdocument of defensieve disclaimer: het is de openbare en afdwingbare verbintenis van uw organisatie tegenover de personen wier gegevens zij verwerkt.

Een cumulatieve verplichting. PIPEDA vereist een beleid op grond van het transparantiebeginsel, maar ook op grond van het beginsel van doelbepaling (tweede beginsel): de doeleinden van de verzameling moeten worden meegedeeld voor of op het moment van de verzameling. Zonder toegankelijk beleid is gegevensverzameling via uw site technisch niet conform vanaf het eerste bezoek.

Een afdwingbare verplichting. Eenmaal gepubliceerd bindt uw beleid u. Als u verklaart dat u geen gegevens met derden deelt en een onderzoek toont aan dat er een overdracht heeft plaatsgevonden naar een niet-vermelde analyseaanbieder, schendt u zowel uw eigen verbintenis als het zesde beginsel (beperking van gebruik, openbaarmaking en bewaring). Juist daarom is een generiek beleid dat van een andere site is gekopieerd gevaarlijk: het weerspiegelt uw werkelijke praktijken niet.

Voor het algemene PIPEDA-kader en de toepassing ervan, raadpleeg onze volledige gids voor Canadese bedrijven.

De 10 verplichte vermeldingen in uw PIPEDA-beleid

Het OPC heeft gedetailleerde richtsnoeren gepubliceerd over de verwachte inhoud van een conform privacybeleid. Hier zijn de essentiele elementen, geordend volgens de logica van de tien beginselen van Bijlage 1.

1. Identiteit van de organisatie en contactgegevens van de privacyfunctionaris. Uw beleid moet de juridische entiteit noemen die de gegevens controleert en duidelijk de persoon aanwijzen die verantwoordelijk is voor PIPEDA-compliance. De contactgegevens moeten direct contact mogelijk maken (e-mail en postadres). Een eenvoudig “contact@…” zonder naam van een verantwoordelijke is onvoldoende.

2. Soorten verzamelde gegevens. Geef een specifieke lijst van de gegevenscategorieen: naam, e-mailadres, IP-adres, locatiegegevens, apparaat-ID, surfgedrag, transactiegegevens, door de gebruiker ingediende inhoud. Het detailniveau moet een gewone persoon in staat stellen te weten wat hem of haar betreft.

3. Doeleinden van de verzameling. Geef voor elke categorie aan waarom u de gegevens verzamelt: uitvoering van een bestelling, accountbeheer, sitebeveiliging, audiencemeting, marketing, wettelijke verplichtingen. Het tweede beginsel verbiedt verzameling “voor het geval dat”: elke verzameling moet een gedocumenteerd doel hebben.

4. Toestemmingsbasis. Specificeer welk type toestemming u verkrijgt (uitdrukkelijk of impliciet) per categorie van doel en hoe de gebruiker deze kan intrekken. Voor gevoelige gegevens (gezondheid, financien, biometrie) is uitdrukkelijke toestemming verplicht.

5. Ontvangers en derden. Identificeer de categorieen derden waarmee u gegevens deelt: betalingsproviders, hosting, analysediensten, marketingverwerkers, zakelijke partners. Specificeer het doel van elke overdracht. Als u Google Analytics, Meta, Stripe of een Amerikaanse e-mailprovider gebruikt, moeten zij worden vermeld.

6. Grensoverschrijdende overdrachten. Als gegevens Canada verlaten, moet uw beleid dit expliciet vermelden en de bestemmingslanden identificeren. Het OPC heeft verduidelijkt dat gebruikers moeten worden geinformeerd dat hun gegevens onderworpen kunnen zijn aan buitenlandse wetten, waaronder wetten die toegang door buitenlandse overheidsinstanties toestaan.

7. Beveiligingsmaatregelen. Beschrijf op niet-technische wijze de maatregelen die de gegevens beschermen: versleuteling tijdens overdracht (HTTPS), versleuteling in rust, toegangscontroles, monitoring, back-ups. Het zevende beginsel vereist maatregelen die in verhouding staan tot de gevoeligheid van de gegevens.

8. Bewaartermijnen. Geef aan hoe lang u elke gegevenscategorie bewaart en op grond van welke criteria (duur van de klantrelatie + wettelijke fiscale en boekhoudkundige verplichtingen). Een vage formule als “zo lang als nodig” is onvoldoende.

9. Rechten van betrokkenen. Vermeld de rechten die de persoon onder PIPEDA kan uitoefenen: toegang tot zijn gegevens, correctie van onjuistheden, intrekking van toestemming, klacht bij de privacyfunctionaris en daarna bij het OPC. Beschrijf de praktische procedure voor de uitoefening van elk recht (formulier, specifieke e-mail, antwoordtermijn).

10. Procedure voor inbreuken en klachten. Geef aan hoe de organisatie inbreuken op de beveiligingsmaatregelen behandelt en hoe de gebruiker een klacht kan indienen. Deze sectie wordt hieronder uitgebreider behandeld omdat de meeste sjablonen haar weglaten.

Verschillen met een AVG-beleid

Als u ook in Europa actief bent, beschikt u mogelijk al over een AVG-privacybeleid. Kunt u dit eenvoudigweg opnieuw publiceren voor Canada? Het korte antwoord is nee. Voor inzicht in de verschillen, zie onze vergelijking PIPEDA vs AVG.

Terminologie en verwijzingen. PIPEDA gebruikt “persoonlijke informatie” en niet “persoonsgegevens”; “inbreuk op beveiligingsmaatregelen” en niet “datalek”; “Office of the Privacy Commissioner of Canada” en niet “toezichthoudende autoriteit” of “Autoriteit Persoonsgegevens”. Een beleid dat spreekt van een “toezichthoudende autoriteit” zonder het OPC te noemen is ongeschikt voor een Canadees publiek.

Rechtsgrondslagen. De AVG noemt zes rechtsgrondslagen (artikel 6): toestemming, contract, wettelijke verplichting, vitale belangen, taak van algemeen belang, gerechtvaardigde belangen. PIPEDA werkt vrijwel uitsluitend op basis van toestemming (met beperkte uitzonderingen voorzien in artikel 7). Een beleid dat onder PIPEDA “gerechtvaardigde belangen” inroept, is juridisch ongegrond.

Rechten van betrokkenen. De AVG noemt acht expliciete rechten (toegang, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar, geautomatiseerde besluitvorming, klacht). PIPEDA erkent drie duidelijke rechten: toegang, correctie, klacht. Het “recht om vergeten te worden” bestaat formeel niet onder PIPEDA — al evolueert de rechtspraak. Een beleid dat niet-bestaande rechten belooft, kan een niet-afdwingbare verwachting wekken.

Melding van inbreuken. De AVG legt 72 uur op om de autoriteit te informeren. PIPEDA vereist een melding aan het OPC “zodra praktisch mogelijk” wanneer de inbreuk een reeel risico op aanzienlijke schade vormt, zonder vaste termijn. De modaliteiten verschillen voldoende om een eigen redactie te rechtvaardigen.

De inbreuksectie: wat sjablonen vergeten

Sinds november 2018 leggen de artikelen 10.1 tot en met 10.3 van PIPEDA een meldingsplicht op voor inbreuken op beveiligingsmaatregelen. Deze verplichting heeft een rechtstreekse consequentie voor uw privacybeleid: het moet de inbreukprocedure publiek beschrijven, omdat gebruikers het recht hebben te weten hoe zij gewaarschuwd worden als hun gegevens worden gecompromitteerd.

Elementen die in deze sectie moeten worden opgenomen:

De toezegging van de organisatie om elke inbreuk te beoordelen op basis van het criterium “reeel risico op aanzienlijke schade” (RRAS)
Het gebruikte meldingskanaal (directe e-mail, brief, melding in het klantaccount)
De doeltermijn voor melding na detectie
De toezegging om het OPC te informeren wanneer RRAS wordt vastgesteld
Het bijhouden van een intern register van alle inbreuken, ook die de RRAS-drempel niet halen
De mogelijkheid voor de gebruiker om inzage te vragen in zijn eigen historische meldingen

Waarom deze sectie zo zeldzaam is. De gratis online beschikbare generieke sjablonen zijn meestal opgesteld voor 2018 of gekopieerd van Europese sjablonen. Zij vermelden zelden RRAS, nooit het interne register en geven zelden een duidelijk meldingskanaal. Het is een massieve nalevingskloof die het OPC bij een onderzoek gemakkelijk kan opmerken.

Het niet naleven van de meldingsplicht is strafbaar met specifieke boetes tot 100.000 CAD — de enige direct gekwantificeerde geldelijke sanctie in het huidige PIPEDA.

Vier benaderingen voor het opstellen van uw beleid

Privacy-advocaat

Kosten: 2.500 tot 8.000 CAD. Termijn: 2 tot 4 weken.

Een gespecialiseerde Canadese advocaat audit uw werkelijke gegevensstromen, stelt een op maat gemaakt beleid op en past het aan bij regelgevende veranderingen. Het is de meest grondige optie, aanbevolen voor bedrijven die gevoelige gegevens verwerken (gezondheid, financien, gegevens van minderjarigen) of die in meerdere Canadese rechtsgebieden actief zijn (PIPEDA + Wet 25 + Alberta PIPA + B.C. PIPA).

Gratis online sjabloon

Kosten: 0 CAD. Risico: hoog.

Gratis sjablonen zijn generiek, vaak opgesteld onder een ander juridisch regime (AVG, CCPA), en nooit aangepast aan uw specifieke activiteit. Ze laten doorgaans de inbreuksectie weg, vermelden het OPC niet correct en wekken een vals gevoel van naleving. In geval van een klacht zijn ze ontoereikend.

Generieke AI-tool (ChatGPT en gelijkwaardige)

Schijnbare kosten: 0 CAD. Werkelijke kosten: de hiaten die hij laat.

Een generalistische AI-assistent produceert een tekst die op een conform beleid lijkt, maar kan uw werkelijke praktijken niet auditen, kent de meest recente versie van de OPC-richtsnoeren niet en verwart PIPEDA vaak met andere regimes. Het resultaat slaagt voor de visuele toets, niet voor de juridische.

Gespecialiseerde generator voor juridische documenten

Kosten: 14,90 tot 49,90 CAD. Termijn: minder dan 10 minuten.

Een gespecialiseerde generator stelt gerichte vragen over uw activiteit, uw gegevenscategorieen, uw verwerkers en uw rechtsgebied, en produceert vervolgens een beleid dat de specifieke vereisten van PIPEDA behandelt — inclusief de inbreuksectie, de Canadese rechten en de verwijzingen naar het OPC. De WebLegal-compliancescanner dekt de PIPEDA-vereisten en identificeert de hiaten in uw huidige beleid. Deze aanpak biedt de beste verhouding tussen grondigheid en kosten voor de meerderheid van Canadese online bedrijven.

Conclusie

Een PIPEDA-conform privacybeleid is geen kopie van een Europees sjabloon en geen output van een generieke generator. Het is een document dat uw werkelijke praktijken weerspiegelt, de tien beginselen van Bijlage 1 integreert, de Canadese autoriteiten correct noemt en een robuuste inbreuksectie bevat. Met wetsvoorstel C-27 dat de sancties zal verhogen tot 10 miljoen CAD of 3 % van de wereldwijde omzet, zal het verschil tussen een “redelijk” beleid en een werkelijk conform beleid snel een belangrijk financieel risico worden. Handel voordat deze overgang dwingend wordt.