Sertifisering og sertifiseringsorganer

Sertifisering kan både ha fordeler for virksomheter som behandler personopplysninger og for den registrerte. Datatilsynet har som oppgave å oppmuntre til og legge til rette for etableringen av mekanismer for personvernsertifisering, samt personvernsegl og -merker.

Sertifisering er en formalisert form for evaluering som skal lede til utstedelse av et sertifikat. Det er ikke obligatorisk for virksomheter å bli sertifisert etter personvernforordningen, men en sertifisering kan ha flere fordeler. For eksempel kan personvernsertifisering være en måte å demonstrere etterlevelse av personvernregelverket på.

Fortalen til personvernforordningen fremhever at sertifiseringsmekanismer kan hjelpe de registrerte med raskt å vurdere nivået på vern av personopplysninger i et produkt eller en tjeneste. Slik kan personvernsertifisering vise at en virksomhet tar personopplysningsvern på alvor og bidra til tillitt mellom virksomheten og de registrerte.

Personvernsertifisering i Norge og EØS

En virksomhet kan få sertifisering etter personvernforordningen dersom et godkjent sertifiseringsorgan (se lenger ned i artikkelen) vurderer at virksomheten tar personvern på alvor og kan oppfylle bestemte krav til behandlingen av personopplysninger. Dette innebærer at den behandlingsansvarlige eller databehandleren legger frem en forespørsel om sertifisering til sertifiseringsorganet, sammen med dokumentasjon som muliggjør en vurdering av virksomhetens vern av personopplysninger.

For at en nasjonal mekanisme for sertifisering skal kunne etableres i Norge, må Datatilsynet godkjenne kriteriene for sertifisering. Det kan også etableres EØS-dekkende mekanismer for sertifisering, hvor Det europeiske personvernrådet (EDPB) må godkjenne kriteriene for sertifisering. Sertifiseringen utstedes deretter av egne sertifiseringsorganer som er blitt akkreditert.

Personvernforordningen (GDPR) har regler om sertifisering i artikkel 42 (lovdata.no). Forordningen har også regler om felles sertifisering i EØS-landene, noe som kan resultere i utstedelse av et europeisk personvernsegl.

Utvikle en sertifiseringsordning

Sertifiseringsordninger etter personvernforordningen består av to deler:

  • Kriterier som spesifiserer hva som kreves for å oppnå god nok personvernbeskyttelse for å få utstedt et bestemt sertifikat. Kriteriene er egentlig «standarden» som et produkt eller en tjeneste vurderes opp mot i en samsvarsvurdering.
  • Samsvarsmetodikk og testmetoder som brukes av sertifiseringsorganet for å utføre samsvarsvurderingen.

Datatilsynet vurderer kun kriteriene, mens hele ordningen, inkludert samsvarsmetodikken og testmetodene, vurderes av Norsk akkreditering som en del av prosessen for å akkreditere sertifiseringsorganet.

Å lage en sertifiseringsordning etter personvernforordningen er en krevende og lang prosess. Gjennom hele prosessen er det viktig å utføre grundig arbeid for å sikre at kriteriene møter markedets behov, og at de er klare, konsistente og verifiserbare. Under er en kort oppsummering av prosessen:

  1. Forståelse av formål og omfang: Det må først defineres hva sertifiseringsordningen skal og ikke skal dekke, og hvordan den kan bidra til å sikre ivaretakelse av personvernprinsippene.

    Det er viktig å vurdere hvilke behandlingsaktiviteter som skal kunne sertifiseres, og om ordningen skal rette seg mot spesifikke aktiviteter eller teknologier. Dette krever også en grundig forståelse av det aktuelle markedet som ordningen skal rette seg mot, og de aktuelle behovene for økt tillit som sertifisering skal bistå med. Sertifiseringen skal dekke kun spesifikke behandlingsaktiviteter som inngår i et produkt eller tjenesten til en virksomhet heller enn virksomheten selv.

    Sertifisering kan enten være spesifikk (f.eks. begrenset til noen typer behandlingsaktivitet eller noen få artikler i personvernforordningen) eller generell. Det er vanligvis lettere og raskere å lage spesifikke sertifiseringsordninger, fordi omfanget er snevrere.
  2. Utvikling av sertifiseringskriterier og -ordningen: Sertifiseringskriteriene må spesifisere hvordan den sertifiserte virksomheten skal håndtere personopplysninger i henhold til de spesifikke behandlingsaktivitetene ordningen dekker.

    Det er viktig at kriteriene går ut over en gjengivelse av personvernforordningens ordlyd, skaper en standard for best praksis og tilfører en merverdi som faktisk kan forbedre overholdelsen av personvernreglene. Kriteriene skal være praktiske og lette å forstå, samt tydelig beskrive hvordan de skal implementeres og evalueres i praksis.
  3. Godkjennelse av kriteriene og gjennomgang av ordningen: For at en sertifiseringsordning skal bli gyldig etter personvernforordningen, må kriteriene godkjennes av Datatilsynet (for norske sertifiseringsordninger) eller Det europeiske personvernrådet (for europeiske personvernsegl). Datatilsynet eller Personvernrådet vil vurdere om kriteriene er egnet til å forbedre personvern og øke tilliten. Norsk akkreditering må også gjennomgå ordningen for å sikre at den oppfyller kravene i NS-EN ISO/IEC 17065:2012 og Datatilsynets tilleggskrav for akkreditering av sertifiseringsorganer.

Hvis du er interessert i å utvikle en sertifiseringsordning, ta kontakt med oss på for å få mer informasjon og for å starte diskusjonen.

Status

Det er foreløpig ikke etablert mekanismer for personvernsertifisering i medhold av personvernforordningen i Norge. Datatilsynet har imidlertid offentliggjort våre tilleggskrav til akkreditering av sertifiseringsorganer. Dette betyr at det er nå mulig å søke Norsk akkreditering om:

  • å gjennomgå en kanditat sertifiseringsordning
  • å bli et akkreditert sertifiseringsorgan for godkjente sertifiseringsordninger som dekker norske virksomheter, f.eks. europeiske personvernsegl.

Det europeiske personvernrådet (EDPB) har godkjent ett sett med kriterier for felles sertifisering i EØS, som inngår i sertifiseringsordningen Europrivacy (europrivacy.org). Dermed eksisterer det per nå én godkjent sertifiseringsmekanisme som vil kunne resultere i utstedelse av et europeisk personvernsegl. Det er foreløpig ingen sertifiseringsorganer som er akkreditert, men vi forstår at det pågår akkrediteringsprosesser i enkelte land.

Hvis du er interessert i å bli et akkreditert sertifiseringsorgan som tilbyr europeisk personvernsegl, ta kontakt med Norsk Akkreditering (akkreditert.no) for å høre om mulighetene til dette.

Sertifiseringsorganene

Sertifiseringsorganene omtales i personvernforordningen artikkel 43. For at et sertifiseringsorgan skal kunne utstede sertifiseringer, må det være etablert og godkjent (være akkreditert). Akkreditering er den offisielle godkjenningen for at tjenester utføres i samsvar med en internasjonal standard. For sertifiseringsorganer etablert i Norge gis akkreditering av Norsk Akkreditering.

Sertifiseringsorganene akkrediteres i samsvar med standard NS-EN ISO/IEC 17065:2012 - krav til sertifiseringsorganer for produkter, prosesser og tjenester, og Datatilsynets tilleggskrav for akkreditering av sertifiseringsorganer. 

Det er Norsk akkreditering som har ansvar for akkreditering av sertifiseringsorganene under personvernforordningen.
Les mer om prosessen for å bli akkreditert som sertifiseringsorgan (akkreditert.no) 
Les mer om samarbeidet mellom Datatilsynet og Norsk akkreditering

I bilaget til samarbeidsavtalen mellom Datatilsynet og Norsk akkreditering, kan du finne mer informasjon om selve prosessen for å gjennomgå en sertifiseringsordning, samt oppgavefordelingen mellom Datatilsynet og Norsk akkreditering.

Last ned

Retningslinjer fra Personvernrådet

Retningslinjer om sertifisering

Personvernrådet har vedtatt flere retningslinjer om sertifisering, både om sertifisering under personvernforordningen artikkel 42 og 43 og om sertifisering som overføringsverktøy. De tar sikte på å identifisere overordnede vilkår som kan være relevante for alle typer sertifiseringsordninger. Retningslinjene kan være relevante for de som vil lage utkast til et sett med sertifiseringskriterier.

Les retningslinjer om sertifisering etter artikkel 42 og 43 i personvernforordningen (edpb.europa.eu)

Les retningslinjer om sertifisering som overføringsverktøy (edpb.europa.eu)

Retningslinjer om akkreditering av sertifiseringsorganer

Personvernrådet har vedtatt retningslinjer om akkreditering av sertifiseringsorganer. De gir en innføring i hva sertifisering innebærer, med særlig fokus på hva som skal til for å bli akkreditert som et sertifiseringsorgan. Retningslinjene er særlig relevante for interessenter som ønsker å bli akkreditert som sertifiseringsorgan. 

Les retningslinjene om akkreditering av sertifiseringsorganer (edpb.europa.eu)