Sertifisering kan både ha fordeler for virksomheter som behandler personopplysninger og for den registrerte. Datatilsynet har som oppgave å oppmuntre til og legge til rette for etableringen av mekanismer for personvernsertifisering, samt personvernsegl og -merker.
Sertifisering er en formalisert form for evaluering som skal lede til utstedelse av et sertifikat. Det er ikke obligatorisk for virksomheter å bli sertifisert etter personvernforordningen, men en sertifisering kan ha flere fordeler. For eksempel kan personvernsertifisering være en måte å demonstrere etterlevelse av personvernregelverket på.
Fortalen til personvernforordningen fremhever at sertifiseringsmekanismer kan hjelpe de registrerte med raskt å vurdere nivået på vern av personopplysninger i et produkt eller en tjeneste. Slik kan personvernsertifisering vise at en virksomhet tar personopplysningsvern på alvor og bidra til tillitt mellom virksomheten og de registrerte.
En virksomhet kan få sertifisering etter personvernforordningen dersom et godkjent sertifiseringsorgan (se lenger ned i artikkelen) vurderer at virksomheten tar personvern på alvor og kan oppfylle bestemte krav til behandlingen av personopplysninger. Dette innebærer at den behandlingsansvarlige eller databehandleren legger frem en forespørsel om sertifisering til sertifiseringsorganet, sammen med dokumentasjon som muliggjør en vurdering av virksomhetens vern av personopplysninger.
For at en nasjonal mekanisme for sertifisering skal kunne etableres i Norge, må Datatilsynet godkjenne kriteriene for sertifisering. Det kan også etableres EØS-dekkende mekanismer for sertifisering, hvor Det europeiske personvernrådet (EDPB) må godkjenne kriteriene for sertifisering. Sertifiseringen utstedes deretter av egne sertifiseringsorganer som er blitt akkreditert.
Personvernforordningen (GDPR) har regler om sertifisering i artikkel 42 (lovdata.no). Forordningen har også regler om felles sertifisering i EØS-landene, noe som kan resultere i utstedelse av et europeisk personvernsegl.
Sertifiseringsordninger etter personvernforordningen består av to deler:
Datatilsynet vurderer kun kriteriene, mens hele ordningen, inkludert samsvarsmetodikken og testmetodene, vurderes av Norsk akkreditering som en del av prosessen for å akkreditere sertifiseringsorganet.
Å lage en sertifiseringsordning etter personvernforordningen er en krevende og lang prosess. Gjennom hele prosessen er det viktig å utføre grundig arbeid for å sikre at kriteriene møter markedets behov, og at de er klare, konsistente og verifiserbare. Under er en kort oppsummering av prosessen:
Hvis du er interessert i å utvikle en sertifiseringsordning, ta kontakt med oss på for å få mer informasjon og for å starte diskusjonen.
Det er foreløpig ikke etablert mekanismer for personvernsertifisering i medhold av personvernforordningen i Norge. Datatilsynet har imidlertid offentliggjort våre tilleggskrav til akkreditering av sertifiseringsorganer. Dette betyr at det er nå mulig å søke Norsk akkreditering om:
Det europeiske personvernrådet (EDPB) har godkjent ett sett med kriterier for felles sertifisering i EØS, som inngår i sertifiseringsordningen Europrivacy (europrivacy.org). Dermed eksisterer det per nå én godkjent sertifiseringsmekanisme som vil kunne resultere i utstedelse av et europeisk personvernsegl. Det er foreløpig ingen sertifiseringsorganer som er akkreditert, men vi forstår at det pågår akkrediteringsprosesser i enkelte land.
Hvis du er interessert i å bli et akkreditert sertifiseringsorgan som tilbyr europeisk personvernsegl, ta kontakt med Norsk Akkreditering (akkreditert.no) for å høre om mulighetene til dette.
Sertifiseringsorganene omtales i personvernforordningen artikkel 43. For at et sertifiseringsorgan skal kunne utstede sertifiseringer, må det være etablert og godkjent (være akkreditert). Akkreditering er den offisielle godkjenningen for at tjenester utføres i samsvar med en internasjonal standard. For sertifiseringsorganer etablert i Norge gis akkreditering av Norsk Akkreditering.
Sertifiseringsorganene akkrediteres i samsvar med standard NS-EN ISO/IEC 17065:2012 - krav til sertifiseringsorganer for produkter, prosesser og tjenester, og Datatilsynets tilleggskrav for akkreditering av sertifiseringsorganer.
Det er Norsk akkreditering som har ansvar for akkreditering av sertifiseringsorganene under personvernforordningen.
Les mer om prosessen for å bli akkreditert som sertifiseringsorgan (akkreditert.no)
Les mer om samarbeidet mellom Datatilsynet og Norsk akkreditering
I bilaget til samarbeidsavtalen mellom Datatilsynet og Norsk akkreditering, kan du finne mer informasjon om selve prosessen for å gjennomgå en sertifiseringsordning, samt oppgavefordelingen mellom Datatilsynet og Norsk akkreditering.
Datatilsynets tilleggskrav for akkreditering av sertifiseringsorganer (norsk, pdf)
Bilag til samarbeidsavtalen mellom Datatilsynet og Norsk Akkreditering (pdf)
Personvernrådet har vedtatt flere retningslinjer om sertifisering, både om sertifisering under personvernforordningen artikkel 42 og 43 og om sertifisering som overføringsverktøy. De tar sikte på å identifisere overordnede vilkår som kan være relevante for alle typer sertifiseringsordninger. Retningslinjene kan være relevante for de som vil lage utkast til et sett med sertifiseringskriterier.
Les retningslinjer om sertifisering som overføringsverktøy (edpb.europa.eu)
Personvernrådet har vedtatt retningslinjer om akkreditering av sertifiseringsorganer. De gir en innføring i hva sertifisering innebærer, med særlig fokus på hva som skal til for å bli akkreditert som et sertifiseringsorgan. Retningslinjene er særlig relevante for interessenter som ønsker å bli akkreditert som sertifiseringsorgan.
Les retningslinjene om akkreditering av sertifiseringsorganer (edpb.europa.eu)