Alle atferdsnormer skal overvåkes av et kontrollorgan som er akkreditert av Datatilsynet. Vi har nå publisert våre krav til kontrollorganet som skal akkrediteres, og er slik i stand til å motta og vurdere alle sider av en atferdsnorm og eventuelt godkjenne den.
En atferdsnorm (bransjenorm) er et sett med regler og retningslinjer for hvordan virksomheter i en spesifikk bransje skal innrette seg for å etterleve kravene i personvernforordningen. De skal utarbeides av sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere.
Det finnes per i dag ingen atferdsnormer som er godkjent av Datatilsynet. Dette kommer av at personvernforordningen introduserte et krav om at hver atferdsnorm må ha tilknyttet et akkreditert kontrollorgan. Dette kontrollorganet har ansvar for at medlemmene av atferdsnormen faktisk etterlever den.
I Norge er det Datatilsynet som skal akkreditere kontrollorganer etter personvernforordningen. Vi har derfor nå utarbeidet hvilke krav som må oppfylles av kontrollorganene for at de skal kunne bli akkreditert. Disse kravene baseres på personvernforordningen artikkel 41 nr. 2 og Det europeiske personvernrådet (EDPB) sine retningslinjer om atferdsnormer og kontrollorganer (edpb.europa.eu, engelsk, pdf).
Kravene deles opp i åtte kategorier: uavhengighet, interessekonflikt, dybdekunnskap, fastsatte prosedyrer og strukturer, åpenhet i klagebehandling, kommunikasjon med kompetent tilsynsmyndighet, mekanismer for gjennomgang og rettstilling.
Datatilsynet oppmuntrer de som ønsker å utarbeide en atferdsnorm som trenger godkjenning fra oss, til å starte samtalen internt i bransjen og lese om hvordan man går fram for å lage en atferdsnorm.
Hvis dere har spørsmål underveis i prosessen, kan dere sende en epost til .