anonym.legal

By · Last updated 2026-06-06

Tilbage til BlogGDPR & Overholdelse

OPC Canada: PIPEDA, Bill C-27 og EU-Tilstrækkelighed 2025

Canadas privatlivslov er under forandring. Bill C-27 vil erstatte PIPEDA med stærkere regler. Canadas EU-dataoverførselsaftale er til gennemgang i 2026. Her er, hvad du skal vide.

June 6, 202610 min læsning
Canada OPCPIPEDA Bill C-27SIN detectionCanadian privacy lawEU adequacy

Canadas privatlivslov er under forandring. Office of the Privacy Commissioner (OPC) håndhæver PIPEDA i dag. Bill C-27 ville erstatte PIPEDA med stærkere regler. Canadas EU-dataoverførselsaftale er også til gennemgang i 2026. Her er, hvad du skal vide.

Canadas Nuværende Privatlivslov

PIPEDA er Canadas primære privatlivslov for den private sektor. Den har været i kraft siden 2001. Den dækker virksomheder i føderalt regulerede brancher. Den gælder også i provinser uden egne privatlivslove.

Tre provinser har egne love: Alberta, British Columbia og Quebec.

Quebecs Lov 25 er den strengeste. Den trådte i kraft i faser i 2022 og 2023. Den kræver privatlivskonsekvensanalyser og en navngivet privatlivsansvarlig. Den er langt tættere på EUs GDPR end den gamle PIPEDA.

OPC behandlede over 400 PIPEDA-klager i 2024. Det udstedte bindende ordrer mod Tim Hortons for indsamling af lokationsdata uden samtykke. Adskillige sundhedsapp-operatører modtog også ordrer det år.

Bill C-27: Tre Nye Love

Bill C-27 er på vej gennem Parlamentet. Det har tre dele.

Consumer Privacy Protection Act (CPPA) erstatter PIPEDA. Vigtige ændringer:

  • Formålsbegrænsninger og datareduktionsregler.
  • Stærkere samtykkeregler.
  • Bøder op til 3% af global omsætning eller CAD $10M — det største af de to.
  • Dataportabilitetsrettigheder.
  • Oplysningsregler for automatiserede beslutninger.

Artificial Intelligence and Data Act (AIDA) tilføjer AI-regler:

  • Risikobaserede regler for AI-systemer.
  • Påkrævede risikovurderinger for højpåvirkning-AI.
  • Oplysningsregler for AI, der påvirker mennesker.
  • Forbud mod AI bygget til at forårsage skade.

Personal Information and Data Protection Tribunal Act opretter et nyt klagenævn. Dette erstatter den nuværende Federal Court-proces.

Se, hvordan Canada sammenlignes med andre privatlivslove i vores globale privatlivscompliance-guide.

Canadisk PII: Hvad Der Skal Detekteres

Canadiske filer indeholder unikke ID-typer. Dit værktøj skal håndtere dem alle.

SIN (Social Insurance Number): Ni cifre. Format: XXX-XXX-XXX. Det bruger Luhn-tjekket. SIN optræder i skatteformularer, lønjournaler og ydelesfiler. Det er det mest følsomme canadiske ID.

Provinsielle sundhedskort-numre: Canada har 13 provinser og territorier. Hver bruger et andet format. Der er ingen føderal standard. Vigtige formater:

  • Ontario OHIP: 10 cifre plus en 2-bogstavskode.
  • Alberta AHCIP: 9-cifret Personal Health Number.
  • BC Services Card: 10-cifret PHN.
  • Quebec RAMQ: 12 tegn — indkoder efternavn-initialer og fødselsdato.

Et kompatibelt værktøj skal understøtte alle 13 formater.

CRA Business Number: Ni cifre. Udstedt af Canada Revenue Agency.

Tosproget PII: Engelsk og Fransk

Canada er officielt tosproglig. Føderale formularer blander ofte begge sprog på én side.

Fransk PII har egne behov:

  • Navne: Franske navne bruger accenterede bogstaver. Et værktøj, der overser accenter, vil overse enheder.
  • Adresser: Quebec-adresser bruger franske termer — Rue, Avenue, Boulevard, Chemin. Parser-software skal håndtere disse.
  • RAMQ-numre: Quebecs sundhedsnummer indkoder efternavn-initialer. Detektion skal være franskbevidst.

For et sammenligningsperspektiv, se, hvordan Indiens DPDPA håndterer flersproget PII.

EU-Tilstrækkelighedsrisikoen i 2026

Canadas EU-tilstrækkelighedsafgørelse er fra 2001. Det var den allerførste, Europa-Kommissionen udstedte. Den har bestået alle hidtidige gennemgange.

2026-gennemgangen er anderledes. To spørgsmål skiller sig ud.

For det første: Canadas C-26 cybersikkerhedslov (2024) kræver, at kritiske firmaer rapporterer hændelser til CSE. CSE er Canadas efterretningsagentur for signaler. Kommissionen vil undersøge, om CSEs adgang til disse data er i konflikt med GDPR.

For det andet: Canada kører stadig under PIPEDA. Kommissionen har påpeget PIPEDAs håndhævelse som svag. CPPA er endnu ikke i kraft.

Hvis tilstrækkelighed suspenderes eller tilbagekaldes, skal alle EU-Canada-overførsler øjeblikkelig skifte til Standardkontraktklausuler eller Bindende Virksomhedsregler.

Begynd at planlægge nu. At vente på afgørelsen er for sent.

For kontekst om, hvordan tilstrækkelighedsrisiko har påvirket virksomheder, se vores GDPR-bødeguide.

Minimumskrav til Compliance

For organisationer med canadiske operationer er det tekniske minimum:

  1. SIN-detektion med Luhn-tjek.
  2. To-sproget engelsk og fransk PII-behandling.
  3. Ontario OHIP sundhedskort-detektion.
  4. Quebec RAMQ sundhedskort-detektion.
  5. Alle 13 provinsielle formater for fuld CPPA-beredskab.

Kilder

Relaterede Artikler

GDPR & Overholdelse

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Overholdelse

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Overholdelse

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klar til at beskytte dine data?

Begynd at anonymisere PII med 285+ enhedstyper på tværs af 48 sprog.

Start Gratis PrøveperiodeSe Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.