Integritetsskyddsmyndigheten (IMY) har fastställt krav för ackreditering av certifieringsorgan. Kraven ska tillämpas av Styrelsen för ackreditering och teknisk kontroll (Swedac) vid ackreditering av certifieringsorgan som ska utfärda certifieringar enligt dataskyddsförordningen (GDPR).
IMY:s beslut gör det nu möjligt för certifieringsorgan som vill utfärda certifikat i Sverige att starta upp sin verksamhet. Det kan gälla certifikat för personuppgiftsbehandling inom hela EES-området, så kallade europeiska dataskyddssigill (EU data protection seal), eller certifikat för personuppgiftsbehandling som främst sker i Sverige. Genom att bli ackrediterade av Swedac säkerställs certifieringsorganens kompetens och oberoende.
Certifikaten ska utfärdas enligt certifieringsordningar som godkänts av behörig tillsynsmyndighet eller Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB). På så vis garanteras en hög nivå av dataskydd för de personuppgiftsbehandlingar som blir certifierade.
Med IMY:s beslut är det möjligt att ansöka om ackreditering av certifieringsorgan hos Swedac. För den som vill ansöka om att få en certifieringsordning godkänd ska däremot en ansökan lämnas in till IMY.