Datatilsynets tilleggskrav til akkreditering av sertifiseringsorganer er klare

Norske virksomheter som ønsker å tilby personvernsertifisering, må først akkrediteres av Norsk akkreditering. Kravene i både EN-ISO/IEC 17065/2012 og Datatilsynets tilleggskrav må oppfylles for å bli akkreditert. 

Virksomheten akkrediteres etter spesifikke ordninger som har fått kriteriene godkjent av enten Datatilsynet eller Det europeiske personvernrådet (EDPB). Vi har nå publisert våre tilleggskrav til akkreditering av sertifiseringsorganer.

Dette betyr at virksomheter som er interessert i å tilby personvernsertifisering nå kan:

  • bli kjent med hva de må gjøre hvis de vil være et sertifiseringsorgan
  • søke Norsk akkreditering om å bli et akkreditert sertifiseringsorgan

Det finnes per i dag ingen norske ordninger med kriterier som er godkjent av Datatilsynet. Det finnes per i dag minst et europeisk personvernsegl, som er en ordning med kriterier som har blitt godkjent av Personvernrådet og som kan brukes også i Norge.

En oversikt over nasjonale og europeiske sertifiseringsordninger finnes på Personvernrådets nettside (edpb.europa.eu)

Liste med krav til sertifiseringsorganet

I Norge er det Norsk akkreditering som skal akkreditere sertifiseringsorganer etter personvernforordningen, men både kravene i EN-ISO/IEC 17065/2012 og Datatilsynets tilleggskrav må oppfylles.

Vi har nå utarbeidet hvilke tilleggskrav som må oppfylles av sertifiseringsorganene for at de skal kunne bli akkreditert. Disse kravene baseres på personvernforordningen artikkel 43 nr. 2 og Personvernrådet sine retningslinjer om akkreditering av sertifiseringsorganer etter personvernforordningen artikkel 43 (edpb.europa.eu, engelsk, pdf).

Strukturen til kravene følger strukturen til EN-ISO/IEC 17065/2012 og inneholder blant annet:

  • forord, normative referanser, termer og definisjoner,
  • generelle krav til akkreditering,
  • krav til ressurser
  • prosesskrav
  • krav til styringssystemer
  • ytterligere tilleggskrav

Les mer om sertifisering og sertifiseringsorganer og last ned tillegskravene fra Datatilsynet.

Ta kontakt

Datatilsynet oppmuntrer de som er interessert i enten å lage en norsk eller europeisk sertifiseringsordning, eller å tilby personvernsertifisering etter et allerede eksisterende europeisk personvernsegl, om å ta kontakt med oss ved å sende en epost til .