Datatilsynet och Norsk Akkreditering har ingått ett samarbetsavtal om ackreditering av certifieringsorgan enligt dataskyddsförordningen (GDPR). Avtalet är ett första steg för att skapa ett verktyg som kommer att bidra till bättre efterlevnad av dataskyddsbestämmelserna i Norge.
Norska organisationer kan använda ett antal verktyg för att säkerställa efterlevnad av GDPR. Förordningen föreskriver certifiering som en av flera alternativa åtgärder som kan användas. En organisation kan erhålla certifiering enligt GDPR om ett godkänt certifieringsorgan bedömer att organisationen tar dataskydd på allvar och uppfyller vissa krav för behandling av personuppgifter.
För att ett certifieringsorgan ska kunna utfärda certifieringar måste det vara etablerat och godkänt, dvs. vara ackrediterat. Hittills har inga mekanismer för integritetscertifiering baserat på GDPR etablerats i Norge.
Avtalet kommer att underlätta att certifieringsorgan i Norge nu kan ackrediteras av Norsk Akkreditering. Certifieringsorganen kommer därmed att kunna certifiera organisationers behandlingsaktiviteter. Nästa steg är att publicera Datatilsynets ytterligare krav för ackreditering av certifieringsorgan, vilket kommer att ske under hösten 2023. I samband med detta kommer Datatilsynet också att erbjuda mer praktisk vägledning om certifiering enligt GDPR.
För närvarande finns det bara ett certifieringssystem, eller ett så kallat europeiskt integritetsmärke, på europeisk nivå, med kriterier som har godkänts av rådet för dataskydd, Europrivacy (europrivacy.org). Om några organisationer i Norge vill bli certifieringsorgan och erbjuda certifiering enligt Europrivacy, måste de först ackrediteras av Norsk Akkreditering.
Norsk Akkreditering erbjuder inte certifiering, men ackrediterar certifieringsorgan som utför certifiering. Det innebär att Norsk Akkreditering kan bekräfta att certifieringsorganet har kompetens och förmåga att genomföra certifieringsprocessen i enlighet med givna krav. Processen för att bli ackrediterad som certifieringsorgan beskrivs på Norsk Akkrediterings webbplats (akkreditert.no).
Dessutom finns det för närvarande inga norska nationella certifieringsordningar med kriterier som godkänts av Datatilsynet. Datatilsynet hoppas att samarbetsavtalet med Norsk Akkreditering kommer att leda till att fler norska organisationer överväger att skapa certifieringskriterier som kan godkännas av Datatilsynet.