Supplerende akkrediteringskrav for certificeringsorganer

Publiceret 30-03-2021

For at blive et akkrediteret certificeringsorgan skal man bl.a. opfylde en række krav, som er udarbejdet af Datatilsynet. Datatilsynet offentliggør nu disse supplerende akkrediteringskrav.

For nogle virksomheder og myndigheder kan det synes uoverskueligt at skulle sætte sig ind i og forstå databeskyttelsesforordningens mange forskelligartede regler. Forordningen indeholder derfor en række tiltag, der skal gøre det lettere at overholde reglerne for databeskyttelse. Et af disse tiltag er muligheden for at udarbejde såkaldte certificeringsordninger, hvor virksomheder og myndigheder kan opnå en databeskyttelsesretlig certificering.

En certificering er en form for blåstempling af, at en virksomheds eller myndigheds behandling af personoplysninger lever op til nogle specifikke krav i en bestemt certificeringsordning.

Med en certificering følger et certifikat, som kan være med til at demonstrere, at virksomheden eller myndigheden overholder reglerne for databeskyttelse, når de behandler personoplysninger. Det gælder over for Datatilsynet, såvel som over for borgere og eventuelle andre interessenter. Derfor opfordrer Datatilsynet i høj grad til at udarbejde certificeringsordninger.

Certificeringer kan imidlertid kun gives af godkendte (akkrediterede) certificeringsorganer.

Hvordan bliver man et certificeringsorgan?

Et certificeringsorgan skal godkendes (akkrediteres), før organet kan udstede certificeringer.

For at blive akkrediteret skal certificeringsorganet opfylde en række krav, som bl.a. er fastsat i databeskyttelsesforordningen og i standarden ISO/IEC 17065/2012.

Ifølge forordningen skal Datatilsynet udarbejde nogle krav, som supplerer akkrediteringskravene i ISO/IEC 17065/2012 og forelægge dem for Det Europæiske Databeskyttelsesråd (EDPB). Det har tilsynet gjort, og EDPB har vedtaget en udtalelse om kravene.

I forlængelse af dette forløb offentliggør Datatilsynet hermed sine supplerende akkrediteringskrav for certificeringsorganer. Kravene er tilgængelige på dansk og på engelsk.

Hvordan kommer du i gang med en certificeringsordning?

Indtil videre foreligger der ingen godkendte databeskyttelsesretlige certificeringsordninger på hverken dansk eller europæisk niveau.

Hvis du som virksomhed eller myndighed overvejer at udarbejde en certificeringsordning, anbefaler Datatilsynet, at du i første omgang læser EDPB’s vejledninger om henholdsvis certificering og udarbejdelse af certificeringskriterier og akkreditering af certificeringsorganer

Du kan også læse tilsynets egen vejledning om adfærdskodekser og certificeringsordninger (vejledningen er under revision, men kan læses i sin nuværende form). Datatilsynet forventer i løbet af foråret at offentliggøre en ny vejledning, der alene omhandler certificeringsordninger og særligt henvender sig til virksomheder og myndigheder, der overvejer at udarbejde eller tilmelde sig en certificeringsordning.

Datatilsynet bistår endvidere gerne med yderligere vejledning i form af mødedeltagelse og lignende til virksomheder eller myndigheder, der overvejer at udarbejde certificeringsordninger.

Find de supplerende akkrediteringskrav for certificeringsorganer her

Den danske version af kravene
Den engelske version af kravene

§

De relevante bestemmelser i databeskyttelsesforordningen er artikel 42, 43 og 83 og præambelbetragtninger nr. 81 og 100.