Sertifisering og sertifiseringsorganer

Sertifisering kan både ha fordeler for virksomheter som behandler personopplysninger og for den registrerte. Datatilsynet har som oppgave å oppmuntre til og legge til rette for etableringen av mekanismer for personvernsertifisering samt personvernsegl og -merker.

Sertifisering er en formalisert form for evaluering som skal lede til utstedelse av et sertifikat (Store Norske Leksikon). Det er ikke obligatorisk for virksomheter å bli sertifisert etter personvernforordningen, men sertifisering kan ha flere fordeler. For eksempel kan personvernsertifisering være en måte å demonstrere etterlevelse av personvernregelverket på. Fortalen til personvernforordningen fremhever at sertifiseringsmekanismer kan hjelpe de registrerte med raskt å vurdere nivået for vern av personopplysninger i et produkt eller en tjeneste. Slik kan personvernsertifisering vise at en virksomhet tar personopplysningsvern på alvor og bidra til tillitt mellom virksomheten og de registrerte.

Personvernsertifisering i Norge og EØS

En virksomhet kan få sertifisering etter personvernforordningen dersom et godkjent sertifiseringsorgan (se lenger ned i artikkelen) vurderer at virksomheten tar personvern på alvor og kan oppfylle bestemte krav til behandlingen av personopplysninger. Dette innebærer at den behandlingsansvarlige eller databehandleren i virksomheten legger frem en forespørsel om sertifisering til sertifiseringsorganet, sammen med dokumentasjon som muliggjør en vurdering av virksomhetens vern av personopplysninger.

For at en nasjonal mekanisme for sertifisering skal kunne etableres i Norge, må Datatilsynet godkjenne kriteriene for sertifisering. Sertifiseringen utstedes deretter enten av Datatilsynet eller av egne sertifiseringsorganer.

Personvernforordningen (GDPR) har regler om sertifisering i artikkel 42 (lovdata.no). Forordningen har også regler om felles sertifisering i EØS-landene, noe som kan resultere i utstedelse av et europeisk personvernsegl.

Status per september 2020

Det er foreløpig ikke etablert mekanismer for personvernsertifisering i medhold av personvernforordningen i Norge. Det betyr at det inntil videre ikke er mulig å bli sertifisert etter forordningens artikkel 42 i Norge.

Det europeiske personvernrådet (EDPB) har foreløpig ikke godkjent kriterier for felles sertifisering i EØS. Dermed eksisterer det per nå ikke en godkjent sertifiseringsmekanisme som resulterer i utstedelse av det europeiske personvernseglet.

Sertifiseringsorganene

Sertifiseringsorganene omtales i personvernforordningen artikkel 43. For at et sertifiseringsorgan skal kunne utstede sertifiseringer, må det være etablert og godkjent (være akkreditert). En slik godkjenning gis enten av Datatilsynet eller av Norsk Akkreditering (akkreditert.no).

Sertifiseringsorganene godkjennes på bakgrunn av vilkårene i artikkel 43 nr. 2. Datatilsynet skal utarbeide nærmere krav for godkjenningen, og utkast til kravene skal legges frem for Personvernrådet.

Status for arbeidet med sertifisering og godkjenning av sertifiseringsorganer

Datatilsynet vil starte arbeidet med krav for godkjenning (akkreditering) av sertifiseringsorganer og kriterier for sertifisering i løpet av 2020/2021. Vi antar at disse kravene kommer på plass tidligst i 2021.

Personvernrådet har kommet med uttalelser om enkelte lands krav for akkreditering av sertifiseringsorganer.
Oversikt over Personvernrådets uttalelser (edpb.europa.eu)

Retningslinjer fra Personvernrådet

Retningslinjer om sertifisering

Personvernrådet har vedtatt retningslinjer om sertifisering. De tar sikte på å identifisere overordnede vilkår som kan være relevante for alle typer sertifiseringsordninger. Retningslinjene kan være relevante for sertifiseringsorganer som lager utkast til en sertifiseringskriterier, samt dataansvarlige og databehandlere som ønsker å definere sin egen personvernstrategi.

Les retningslinjene om sertifisering (edpb.europa.eu)

Retningslinjer om akkreditering av sertifiseringsorganer

Personvernrådet har vedtatt retningslinjer om akkreditering av sertifiseringsorganer. De gir en innføring i hva sertifisering innebærer, med særlig fokus på hva som skal til for å bli akkreditert som et sertifiseringsorgan. Retningslinjene er særlig relevante for interessenter som ønsker å bli akkreditert som sertifiseringsorgan. 

Les retningslinjene om akkreditering av sertifiseringsorganer (edpb.europa.eu)

Retningslinjer om atferdsnormer og kontrollorganer

Personvernrådet har vedtatt retningslinjer om atferdsnormer og kontrollorganer. De gir en innføring i hva atferdsnormer er, samt prosedyren for innsending og vurdering av atferdsnormer.

Les retningslinjene om atferdsnormer og kontrollorganer (edpb.europa.eu)