Ny vejledning om certificeringsordninger

Dato: 23-04-2021

Datatilsynet har udgivet en ny vejledning om certificeringsordninger, som er en måde, hvorpå en organisation kan opnå et certifikat, der demonstrerer, at den overholder GDPR.

Datatilsynet har lavet en ny vejledning om certificeringsordninger, som erstatter tilsynets vejledning om adfærdskodekser og certificeringsordninger fra januar 2018 (opdateret december 2018) i forhold til den del af vejledningen, som omhandler certificeringsordninger. Vejledningen henvender sig primært til virksomheder og myndigheder, som overvejer at udarbejde eller tilmelde sig en certificeringsordning.

I vejledningen får du bl.a. en introduktion til, hvad en databeskyttelsesretlig certificeringsordning er, hvem der kan udarbejde en certificeringsordning, hvad man kan bruge en certificeringsordning til, og hvordan en certificeringsordning godkendes. Du kan også læse om, hvordan man som myndighed eller virksomhed tilslutter sig en certificeringsordning.

Kort sagt – hvad er en certificeringsordning?

Databeskyttelsesforordningen indeholder en række tiltag, der skal gøre det lettere at overholde reglerne for databeskyttelse. Et af disse tiltag er muligheden for at udarbejde såkaldte certificeringsordninger, hvor virksomheder og myndigheder kan opnå en databeskyttelsesretlig certificering.

En certificeringsordning er en ordning, hvor et akkrediteret (godkendt) certificeringsorgan laver en form for blåstempling af, at en virksomhed eller en myndigheds behandling af personoplysninger lever op til nogle specifikke databeskyttelsesretlige kriterier. Kriterierne, som certificeringsordningen bygger på, skal være godkendt af Datatilsynet for at være gyldige i Danmark.

Med en certificering følger et certifikat, som kan være med til at demonstrere, at virksomheden eller myndigheden overholder databeskyttelsesreglerne, når de behandler personoplysninger. Det gælder over for Datatilsynet, såvel som over for borgere og eventuelle andre interessenter. Derfor opfordrer Datatilsynet i høj grad til at udarbejde certificeringsordninger.

Hvem kan lave en certificeringsordning?

Databeskyttelsesforordningen indeholder ingen anvisninger af, hvem der skal tage initiativ til at udarbejde en certificeringsordning og giver således mulighed for, at flere forskellige interessenter kan udvikle certificeringsordninger. Datatilsynet forventer dog, at certificeringsordninger primært vil blive udarbejdet af certificeringsorganer – eventuelt i samarbejde med andre interessenter, der designer og udvikler de kriterier, som certificeringsordningen bygger på.

Et certificeringsorgan skal godkendes (akkrediteres), før organet kan udstede certificeringer. I Danmark sker akkrediteringen gennem den danske akkrediteringsfond, DANAK.

For at blive akkrediteret skal certificeringsorganet opfylde en række krav, som bl.a. er fastsat i databeskyttelsesforordningen, ISO/IEC 17065/2012 og nogle supplerende akkrediteringskrav, som er udarbejdet af Datatilsynet. De supplerende krav er tilgængelige på både dansk og på engelsk.

Datatilsynet bistår gerne med yderligere vejledning i form af mødedeltagelse og lignende til virksomheder eller myndigheder, der overvejer at udarbejde en certificeringsordning.

Hvordan kan man blive certificeret?

Hvis din organisation ønsker at blive certificeret inden for en godkendt certificeringsordning, skal organisationen ansøge om certificering hos det/de certificeringsorganer, der udbyder den pågældende ordning.

På nuværende tidspunkt foreligger der ingen godkendte certificeringsordninger på hverken dansk eller europæisk niveau. Datatilsynet håber dog, at den nye vejledning kan bidrage til at fremme udarbejdelsen af databeskyttelsesretlige certificeringsordninger i Danmark.

Vil du vide mere?

Læs den nye vejledning her.

Den nye vejledning skal ses som et supplement til Det Europæiske Databeskyttelsesråds (EDPB’s) vejledninger om certificering og udarbejdelse af certificeringskriterier og akkreditering af certificeringsorganer.