anonym.legal

By · Last updated 2026-06-05

Tilbake til BloggGDPR & Overholdelse

OPC Canada: Fra PIPEDA til Bill C-27

Canadas OPC håndhever PIPEDA mens Parlamentet behandler Bill C-27's AI- og datalov. Canada beholder EU GDPR-adekvans under gjennomgang i 2026.

June 5, 202610 min lesing
Canada OPCPIPEDA Bill C-27SIN detectionCanadian privacy lawEU adequacy

Canadas personvernlovgivning er i endring. Office of the Privacy Commissioner (OPC) håndhever PIPEDA i dag. Bill C-27 ville erstatte PIPEDA med sterkere regler. Canadas EU-dataoverføringsavtale er også oppe til gjennomgang i 2026. Her er det du trenger å vite.

Canadas gjeldende personvernlov

PIPEDA er Canadas viktigste personvernlov for privat sektor. Den har vært i kraft siden 2001. Den dekker selskaper i føderalt regulerte bransjer. Den gjelder også i provinser uten egne personvernlover.

Tre provinser har egne lover: Alberta, British Columbia og Quebec.

Quebes lov 25 er den strengeste. Den trådte i kraft i faser i 2022 og 2023. Den krever personvernkonsekvensutredninger og en navngitt personvernansvarlig. Den ligner langt mer på EUs GDPR enn gamle PIPEDA.

OPC behandlet over 400 PIPEDA-klager i 2024. Det utstedte bindende pålegg mot Tim Hortons for innsamling av lokasjonsdata uten samtykke. Flere helse-app-operatører mottok også pålegg det året.

Bill C-27: Tre nye lover

Bill C-27 er under behandling i Parlamentet. Den har tre deler.

Consumer Privacy Protection Act (CPPA) erstatter PIPEDA. Viktige endringer:

  • Formålsgrenser og datamengdereduksjonsregler.
  • Sterkere samtykkeregler.
  • Bøter opptil 3 % av global omsetning eller CAD 10 millioner – avhengig av hva som er størst.
  • Rettigheter til dataportering.
  • Regler for åpenhet om automatiserte beslutninger.

Artificial Intelligence and Data Act (AIDA) legger til AI-regler:

  • Risikobaserte regler for AI-systemer.
  • Påkrevde risikovurderinger for høyrisikobasert AI.
  • Krav om åpenhet for AI som påvirker folk.
  • Forbud mot AI bygget for å forårsake skade.

Personal Information and Data Protection Tribunal Act oppretter et nytt klagorgan. Dette erstatter den gjeldende Federal Court-prosessen.

Se hvordan Canada sammenlignes med andre personvernlover i vår globale personvernsamsvarsveiledning.

Kanadisk PII: Hva du må detektere

Kanadiske filer inneholder unike ID-typer. Verktøyet ditt må håndtere alle.

SIN (Social Insurance Number): Ni sifre. Format: XXX-XXX-XXX. Det bruker Luhn-kontroll. SIN forekommer i skjemaer, lønnsregistre og trygderegistre. Det er den mest sensitive kanadiske ID-en.

Provinsielle helsekortsnumre: Canada har 13 provinser og territorier. Hver bruker et annet format. Det finnes ingen føderal standard. Viktige formater:

  • Ontario OHIP: 10 sifre pluss en 2-bokstavs kode.
  • Alberta AHCIP: 9-sifret Personal Health Number.
  • BC Services Card: 10-sifret PHN.
  • Quebec RAMQ: 12 tegn – koder etternavn-initialer og fødselsdato.

Et samsvarende verktøy må støtte alle 13 formater.

CRA Business Number: Ni sifre. Utstedt av Canada Revenue Agency.

Tospråklig PII: Engelsk og fransk

Canada er offisielt tospråklig. Føderale skjemaer blander ofte begge språk på én side.

Fransk PII har egne behov:

  • Navn: Franske navn bruker aksentuerte bokstaver. Et verktøy som ikke gjenkjenner aksenter, vil gå glipp av enheter.
  • Adresser: Quebec-adresser bruker franske termer – Rue, Avenue, Boulevard, Chemin. Parsere må håndtere disse.
  • RAMQ-numre: Quebecs helsenummer koder etternavn-initialer. Deteksjon må være franskbevisst.

For et sideblikk, se hvordan Indias DPDPA håndterer flerspråklig PII.

EU-adekvansrisikoen i 2026

Canadas EU-adekvansavgjørelse er fra 2001. Det var den aller første som EU-kommisjonen ga. Den har bestått alle gjennomganger hittil.

Gjennomgangen i 2026 er annerledes. To problemer utmerker seg.

For det første: Canadas C-26-lov om cybersikkerhet (2024) krever at kritiske selskaper rapporterer hendelser til CSE. CSE er Canadas etterretningsbyrå for signaler. Kommisjonen vil sjekke om CSEs tilgang til disse dataene er i strid med GDPR.

For det andre: Canada opererer fortsatt under PIPEDA. Kommisjonen har påpekt at PIPEDAs håndhevelse er svak. CPPA er ennå ikke i kraft.

Dersom adekvansen suspenderes eller trekkes tilbake, må alle EU–Canada-overføringer umiddelbart byttes til SCCs eller BCRs.

Begynn planleggingen nå. Å vente på avgjørelsen er for sent.

For kontekst om hvordan adekvansrisiko har rammet selskaper, se vår GDPR-bøteguide.

Minimumskrav for samsvar

For organisasjoner med kanadiske operasjoner er det tekniske minimumsgrunnlaget:

  1. SIN-deteksjon med Luhn-kontroll.
  2. Tospråklig engelsk og fransk PII-behandling.
  3. Ontario OHIP-helsekortsdeteksjon.
  4. Quebec RAMQ-helsekortsdeteksjon.
  5. Alle 13 provinsformater for full CPPA-beredskap.

Kilder

Relaterte Artikler

GDPR & Overholdelse

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Overholdelse

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Overholdelse

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klar til å beskytte dataene dine?

Begynn å anonymisere PII med 285+ enhetstyper på 48 språk.

Start Gratis PrøveperiodeSe Funksjoner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.