En atferdsnorm (bransjenorm) er et regelsett for en spesifikk bransje. Det er frivillig å utarbeide en slik norm. Normen skal gi konkrete regler og retningslinjer for hvordan virksomhetene skal innrette seg for å etterleve kravene i personvernforordninga.
Normen skal utvikles av bransjen selv, men godkjennes av Datatilsynet. Hvis normen gjelder behandlingsaktiviteter i flere europeiske land, skal Det europeiske personvernrådet (EDPB) komme med en uttalelse om normen. Datatilsynet skal ta uttalelsen med i betraktningen før en eventuell godkjennelse gis. Både Datatilsynet og Personvernrådet skal offentliggjøre den godkjente normen.
Personvernrådet har vedtatt retningslinjer for atferdsnormer (edpb.europa.eu). Der er det informasjon om hvilke krav de europeiske datatilsynsmyndighetene stiller for at en søknad skal kunne tas til behandling, og for at en atferdsnorm skal kunne godkjennes. Det forventes at de som skal - eller vurderer å - utarbeide en atferdsnorm setter seg inn i disse kravene.
Retningslinjene skal gi praktisk støtte og tolkningshjelp til artikkel 40 og 41 i personvernforordningen. De skal bidra til å klargjøre prosedyrer og regler i forbindelse med innsending, godkjenning og publisering av atferdsnormer både på et nasjonalt og europeiske nivå. De gir videre et klart rammeverk for alle kompetente datatilsynsmyndigheter, Personvernrådet og EU-kommisjonen når innsendte atferdsnormer skal vurderes. Rammeverket sikrer konsistens, og bidrar til å strømlinjeforme prosedyren som benyttes i vurderingen.
Merk at Personvernrådet har kommet til at kontrollorganer er obligatoriske. Det betyr at alle atferdsnormer må inneholde egnede kontrollmekanismer for å overvåke overholdelse av atferdsnormen, samt tiltak for å håndtere eventuelle brudd. Kontrollorganet skal godkjennes av Datatilsynet.