Sertifisering kan både ha fordeler for virksomheter som behandler personopplysninger og for den registrerte. Datatilsynet har som oppgave å oppmuntre til og legge til rette for etableringen av mekanismer for personvernsertifisering samt personvernsegl og -merker.
Sertifisering er en formalisert form for evaluering som skal lede til utstedelse av et sertifikat (Store Norske Leksikon). Det er ikke obligatorisk for virksomheter å bli sertifisert etter personvernforordningen, men sertifisering kan ha flere fordeler. For eksempel kan personvernsertifisering være en måte å demonstrere etterlevelse av personvernregelverket på. Fortalen til personvernforordningen fremhever at sertifiseringsmekanismer kan hjelpe de registrerte med raskt å vurdere nivået for vern av personopplysninger i et produkt eller en tjeneste. Slik kan personvernsertifisering vise at en virksomhet tar personopplysningsvern på alvor og bidra til tillitt mellom virksomheten og de registrerte.
En virksomhet kan få sertifisering etter personvernforordningen dersom et godkjent sertifiseringsorgan (se lenger ned i artikkelen) vurderer at virksomheten tar personvern på alvor og kan oppfylle bestemte krav til behandlingen av personopplysninger. Dette innebærer at den behandlingsansvarlige eller databehandleren legger frem en forespørsel om sertifisering til sertifiseringsorganet, sammen med dokumentasjon som muliggjør en vurdering av virksomhetens vern av personopplysninger.
For at en nasjonal mekanisme for sertifisering skal kunne etableres i Norge, må Datatilsynet godkjenne kriteriene for sertifisering. Det kan også etableres EØS-dekkende mekanismer for sertifisering, hvor Det europeiske personvernrådet (EDPB) må godkjenne kriteriene for sertifisering. Sertifiseringen utstedes deretter av egne sertifiseringsorganer som er blitt akkreditert.
Personvernforordningen (GDPR) har regler om sertifisering i artikkel 42 (lovdata.no). Forordningen har også regler om felles sertifisering i EØS-landene, noe som kan resultere i utstedelse av et europeisk personvernsegl.
Det er foreløpig ikke etablert mekanismer for personvernsertifisering i medhold av personvernforordningen i Norge.
Det europeiske personvernrådet (EDPB) har foreløpig godkjent ett sett med kriterier for felles sertifisering i EØS, som inngår i sertifiseringsordningen Europrivacy (europrivacy.org). Dermed eksisterer det per nå én godkjent sertifiseringsmekanisme som vil kunne resultere i utstedelse av et europeisk personvernsegl. Det er foreløpig ingen sertifiseringsorganer som er akkreditert, men vi forstår at det pågår akkrediteringsprosesser i enkelte land. Det betyr at det inntil videre ikke er mulig å bli sertifisert etter forordningens artikkel 42 i Norge.
Når Datatilsynet offentliggjør sine tilleggskrav til akkreditering av sertifiseringsorganer i løpet av høsten 2023, vil det være mulig å søke Norsk akkreditering om å bli et akkreditert sertifiseringsorgan for Europrivacy i Norge.
Sertifiseringsorganene omtales i personvernforordningen artikkel 43. For at et sertifiseringsorgan skal kunne utstede sertifiseringer, må det være etablert og godkjent (være akkreditert). Akkreditering er den offisielle godkjenningen for at tjenester utføres i samsvar med en internasjonal standard. For sertifiseringsorganer etablert i Norge gis akkreditering av Norsk Akkreditering (akkreditert.no).
Sertifiseringsorganene akkrediteres i samsvar med standard NS-EN ISO/IEC 17065:2012 - krav til sertifiseringsorganer for produkter, prosesser og tjenester, og Datatilsynets tilleggskrav for akkreditering av sertifiseringsorganer. Datatilsynets tilleggskrav vil offentliggjøres høsten 2023.
Datatilsynet og Norsk akkreditering har inngått en samarbeidsavtale om akkreditering av sertifiseringsorganer under personvernforordningen. Datatilsynet har også utarbeidet tilleggskrav for akkreditering av sertifiseringsorganer. Tilleggskravene vil offentliggjøres på Datatilsynets nettside etter sommeren.
Personvernrådet har kommet med en uttalelse om Norges tilleggskrav for akkreditering av sertifiseringsorganer (edpb.europa.eu).
Oversikt over Personvernrådets uttalelser (edpb.europa.eu)
Personvernrådet har vedtatt flere retningslinjer om sertifisering, både om sertifisering under personvernforordningen artikkel 42 og 43 og om sertifisering som overføringsverktøy. De tar sikte på å identifisere overordnede vilkår som kan være relevante for alle typer sertifiseringsordninger. Retningslinjene kan være relevante for de som vil lage utkast til et sett med sertifiseringskriterier.
Les retningslinjer om sertifisering som overføringsverktøy (edpb.europa.eu)
Personvernrådet har vedtatt retningslinjer om akkreditering av sertifiseringsorganer. De gir en innføring i hva sertifisering innebærer, med særlig fokus på hva som skal til for å bli akkreditert som et sertifiseringsorgan. Retningslinjene er særlig relevante for interessenter som ønsker å bli akkreditert som sertifiseringsorgan.
Les retningslinjene om akkreditering av sertifiseringsorganer (edpb.europa.eu)
Personvernrådet har vedtatt retningslinjer om atferdsnormer og kontrollorganer. De gir en innføring i hva atferdsnormer er, samt prosedyren for innsending og vurdering av atferdsnormer.
Les retningslinjene om atferdsnormer og kontrollorganer (edpb.europa.eu)