Datatilsynet og Norsk akkreditering har inngått en samarbeidsavtale om akkreditering av sertifiseringsorganer under personvernforordningen. Avtalen er et første steg i å legge til rette for et verktøy som vil bidra til å sikre bedre etterlevelse av personvernregelverket i Norge.
Norske virksomheter kan bruke en rekke verktøy for å sikre etterlevelse av personvernforordningen. Forordningen legger blant annet opp til sertifisering som et av flere alternative tiltak som kan benyttes. En virksomhet kan få sertifisering etter personvernforordningen dersom et godkjent sertifiseringsorgan vurderer at virksomheten tar personvern på alvor og oppfyller bestemte krav til behandlingen av personopplysninger.
For at et sertifiseringsorgan skal kunne utstede sertifiseringer, må det være etablert og godkjent, altså være «akkreditert». Hittil har det ikke blitt etablert mekanismer for personvernsertifisering med utgangspunkt i personvernforordningen i Norge.
- Med denne samarbeidsavtalen mellom Datatilsynet og Norsk akkreditering er vi nå ett skritt nærmere en slik sertifiseringsmekanisme, sier direktør i Datatilsynet, Line Coll.
Partene signerte den nye avtalen fredag 23. juni. Til venstre Datatilsynets direktør Line Coll, til høyre Norsk Akkreditering sin direktør Cecilie Laake.
Avtalen vil legge til rette for at sertifiseringsorganer i Norge nå kan akkrediteres av Norsk akkreditering. Sertifiseringsorganene vil dermed kunne sertifisere virksomheters behandlingsaktiviteter. Det neste steget er å offentliggjøre Datatilsynets tilleggskrav for akkreditering av sertifiseringsorganer, som vil skje i løpet av høsten 2023. Datatilsynet vil i den forbindelse også tilby mer praktisk veiledning om sertifisering under personvernforordningen.
Det er per i dag kun én sertifiseringsordning, eller et såkalt europeisk personvernsegl, på europeisk nivå, med kriterier som har blitt godkjent av Personvernrådet: Europrivacy (europrivacy.org). Hvis noen organisasjoner i Norge ønsker å bli sertifiseringsorganer, og selv kunne tilby sertifisering under Europrivacy, vil de først måtte akkrediteres av Norsk akkreditering.
Norsk akkreditering tilbyr ikke sertifisering, men akkrediterer sertifiseringsorgan som utfører sertifisering. Det vil si at Norsk akkreditering kan bekrefte at sertifiseringsorganet har kompetanse og evne til å utføre sertifiseringsprosessen i samsvar med gitte krav. Prosessen for å bli akkreditert som sertifiseringsorgan er beskrevet på Norsk akkrediterings nettsider (akkreditert.no).
Videre er det per i dag ingen norske, nasjonale sertifiseringsordninger med kriterier godkjent av Datatilsynet. Vi håper at inngåelse av samarbeidsavtalen med Norsk akkreditering vil føre til at flere norske virksomheter vurderer å lage sertifiseringskriterier som kan godkjennes av Datatilsynet. Vi oppfordrer derfor til å ta kontakt med oss på for å diskutere mulighetene
- Sertifisering under personvernforordningen er noe som vi håper at kan gi norske virksomheter et konkurransefortrinn, samtidig som at det vil kunne gi bedre personvern for de registrerte, avslutter Coll.
Les vår artikkel om sertifisering og sertifiseringsorganer.
Samarbeidsavtale mellom Datatilsynet og Norsk akkreditering (pdf).