Für Internetnutzer in Quebec ist Bill 25 seit mehreren Monaten ein Synonym für „Pop-up“-Fenster, in denen sie um ihre Zustimmung gebeten werden. Für Unternehmen bereitet dies oft Kopfzerbrechen. Eine Handvoll von ihnen würden sich daran halten, und die Mehrheit hat nicht die Absicht, sich daran zu halten. Experten argumentieren jedoch, dass Ressourcen und einfache Leitfäden zur Verfügung stehen, um dieses komplexe Gesetz zu bändigen.
Gepostet um 1:52 Uhr.
Aktualisiert um 6:00 Uhr.
3 %
Laut einer im Juni 2023 von der Interdisciplinary Cybersecurity Research Group (GRIC) der University of Sherbrooke unter 100 KMU und NPOs in Quebec durchgeführten Umfrage gaben 40 % an, dass sie für Gesetz 25 bereit seien. In Wirklichkeit sind es nach der Analyse nur knapp 3 % war. Im vergangenen Februar kam eine Umfrage des französischen Unternehmens Axeptio zu einem ähnlichen Ergebnis: 5 % der Unternehmen konnten als konform gelten.
In drei Etappen
Der Gesetz zur Modernisierung der gesetzlichen Bestimmungen zum Schutz personenbezogener Datenoder Gesetz 25, das im September 2021 verabschiedet wurde und sich an der europäischen Gesetzgebung orientiert, sieht drei Phasen vor, die jeweils etwas mehr von den Unternehmen verlangen, die personenbezogene Daten verarbeiten.
Seit September 2022 müssen sie insbesondere eine Person benennen, die für den Schutz dieser Informationen verantwortlich ist, und jeden Vorfall der Kommission für den Zugang zu Informationen (CAI) melden.
Im September 2023 wurde die Verpflichtung zur Einhaltung der Einwilligungsregeln umgesetzt (daher das Erscheinen von Fenstern auf den meisten Websites) und eine „Bewertung von Faktoren im Zusammenhang mit dem Privatleben (EFVP)“ entwickelt.
Der letzte Schritt im September 2024 betrifft das Recht auf „Portabilität“, wonach jeder eine Kopie der ihn betreffenden Daten anfordern kann.
Das Gesetz sieht Höchststrafen von 25 Millionen vor.
Eine harte Einschätzung
Eine der Anforderungen, die am anspruchsvollsten erscheint, ist die Bewertung von Datenschutzfaktoren. Dieser einschüchternde Begriff wird von der für die Umsetzung von Gesetz 25 zuständigen Stelle, dem CAI, in einem 60-seitigen Leitfaden erläutert.
Genau aus diesem Grund hat Emeline Manson, Trainerin für Betrugsprävention und Cybersicherheit, beschlossen, ein kostenloses Tool auf den Markt zu bringen. Im Wesentlichen muss das EFVP für jedes Unternehmen erstellt werden, das Dienstleistungen im Zusammenhang mit personenbezogenen Daten anbietet oder diese außerhalb von Quebec kommuniziert.
FOTO MATHIEU CHEVALIER, ZUR VERFÜGUNG GESTELLT VON EMELINE MANSON
Emeline Manson, Trainerin für Betrugsprävention und Cybersicherheit und Präsidentin der Firma CY-clic
Da haben wir eine Organisation, die sich das anschaut und sich sagt: „Was mache ich konkret morgen früh?“ Es ist entmutigend, wirklich entmutigend.
Emeline Manson, Trainerin für Betrugsprävention und Cybersicherheit und Präsidentin der Firma CY-clic
Der Trainer mag das Konzept der „Compliance“ nicht und betont lieber das Sicherheitsverhalten eines Unternehmens.
„Unser Ziel ist es, es weniger groß zu machen, es unterhaltsamer, beruhigender und weniger schuldbewusst zu machen. Der Ruf der Cybersicherheit und Bill 25 sind derzeit eine große Schuld. »
Kleine Schritte
Ihrer Meinung nach geht es vor allem darum, eine Bestandsaufnahme der von einem Unternehmen verwalteten personenbezogenen Daten vorzunehmen, festzustellen, wie diese gespeichert werden, und wirksame Maßnahmen zu deren Schutz zu ergreifen.
„Die Access to Information Commission möchte Beweise dafür haben, dass wir die Frage zumindest gestellt haben. Wenn wir es nicht dokumentieren, wenn es nirgendwo niedergeschrieben ist, ist es so, als hätten wir nicht darüber nachgedacht. Wenn die Kommission zu uns kommt, müssen wir ihr nachweisen können, dass wir diese Einschätzung vorgenommen haben, dass wir diese Überlegungen angestellt haben, dass wir diesen Schritt getan haben. »
Anstatt kleine und mittelständische Unternehmen mit unüberwindbaren Forderungen zu terrorisieren, hat MMich Manson sagt, er bevorzuge die „Methode der kleinen Schritte“. „Wenn du den ganzen Berg siehst, entmutigt dich das und du tust nichts. Es ist schlimmer, als es in kleinen Portionen zu tun, es so gut wie möglich zu machen und dabei nachweisen zu können, dass man sich in einem Prozess befindet, dem man nachzukommen versucht hat. »
Erweitern Sie die Debatte
Für Nicolas Duguay, Co-Generaldirektor von In-Sec-M, einer Organisation, die wichtige Akteure der Cybersicherheit zusammenbringt, müssen wir die Einhaltung von Gesetz 25 aus einer breiteren Perspektive betrachten.
FOTO CATHERINE LEFEBVRE, ARCHIV, BESONDERE ZUSAMMENARBEIT
Nicolas Duguay, Co-Generaldirektor von In-Sec-M
Seit Jahren ermutigt die Regierung von Quebec private Organisationen aller Größen zur Digitalisierung, ohne jedoch sicherzustellen, dass Cybersicherheitsstrukturen vorhanden sind. Dies erklärt insbesondere, warum es zu einer explosionsartigen Zunahme von Cyberangriffen kommt.
Nicolas Duguay, Co-Generaldirektor von In-Sec-M
Anstatt sich ausschließlich auf die Einhaltung von Bill 25 zu konzentrieren, hat seine Organisation ein von Quebec subventioniertes Programm namens MaLoi25 ins Leben gerufen, das auch die sogenannte „Cyber-Resilienz“ integriert.
Er räumt ein, dass es bisher, sagen wir mal, nur minimal sei, Unternehmern zuzuhören.
„Ich werde aufgefordert, Reden und Präsentationen zu halten, ich frage die Leute systematisch: „Wer hat schon einmal von Gesetz 25 gehört?“ Ich habe immer eine Minderheit von Leuten, die ihre Hand heben. Es gibt wirklich eine Kommunikationslücke. »
Warten auf Bußgelder
MaLoi25 bietet eine Selbstdiagnose als Ausgangspunkt, eine Grundlage für die anschließende Unterstützung zu einem versprochenen „vorteilhaften“ Preis. Auch wenn Herr Duguay nicht genau sagen kann, was aus den Tausenden durchgeführten Selbstdiagnosen hervorgeht, macht er folgende allgemeine Beobachtung: „Es ist typisch, und das gilt nicht nur für den Schutz personenbezogener Daten oder die Cybersicherheit: Es herrscht eine gewisse Offenheit.“ die wir hier in Unternehmen beobachten. Wir warten auf die Sanktionen. Ich habe den Eindruck, dass es ab dem Tag, an dem die Gesetzesvorlage eintrifft, einen ziemlich starken Anstieg der Anfragen nach Gesetz 25 geben wird Die Presse, Der Montreal Journal oder auf Radio-Canada werden wir sehen, dass ein solches Unternehmen von der Regierung von Quebec ausgewählt und mit einer Geldstrafe belegt wurde. Was natürlich nicht morgen ist. »
