Skickliga inom dataskydd? Certifiera er!
Det ställs idag höga krav på företag gällande regelefterlevnad. Inte minst inom dataskydd. Felaktigheter eller underlåtenhet att möta kraven kan straffas med sanktionsavgifter. För att enkelt kunna visa upp sin höga nivå för regelefterlevnad i kommersiella sammanhang och därigenom blir attraktiva som leverantörer av tjänster eller produkter kan ett företag välja att bli certifierat för personuppgiftsbehandling. Ett bevis på att företaget är skickliga inom dataskydd. Hur går detta till?
Den allmänna dataskyddsförordningen (GDPR) erbjuder två alternativ för att tydliggöra och underlätta sin efterlevnad av GDPR: 1) uppförandekod och 2) certifiering. Att ha investerat i och att ha en sådan mekanism på plats bör kunna utgöra en konkurrensfördel genom att den tydligt visar på en hög nivå för regelefterlevnad. Den bör även vara till hjälp och tidsbesparande för de som deltar som anbudsgivare i upphandlingsprocesser.
Uppförandekod
Det första alternativet, en uppförandekod, innebär att en viss bransch eller sektor frivilligt har satt upp ett regelverk som godkänts av en tillsynsmyndighet, t.ex. svenska Integritetsskyddsmyndigheten (IMY), och som organisationer inom branschen eller sektorn har åtagit sig att tillämpa.
Certifiering för personuppgiftsbehandling
Vid det andra alternativet för att visa efterlevnad av GDPR väljer organisationer att bli certifierade för personuppgiftsbehandlingar. Av artikel 41.2 GDPR samt Europeiska dataskyddsstyrelens (EDPB) riktlinjer för certifiering[1] framgår att tyngdpunkten med en certifiering är att påvisa att de personuppgiftsbehandlingar som utförs är förenliga med GDPR.
Certifiering för personuppgiftsbehandling kan ske genom olika certifieringsmekanismer för dataskydd, sigill eller märkning. Objektet för certifieringen är personuppgiftsbehandlingar som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde. Certifieringen kan antingen vara generell och avse hela eller stora delar av GDPR:s alla krav, eller specifik för endast en viss typ eller vissa typer av personuppgiftsbehandlingar inom en verksamhet eller en viss produkt eller tjänst. Kriterierna för certifiering kommer därför att variera, beroende på vad objektet för certifieringen är. Kriterier för svenska personuppgiftsansvariga och -biträden ska vara godkända av IMY för att få tillämpas och blir offentliggjorda av IMY.
Certifieringsorgan och ackreditering som certifieringsorgan
En tillsynsmyndighet har möjlighet att utfärda certifiering av personuppgiftsbehandlingar (ej obligatorisk uppgift för tillsynsmyndigheten)[2] men det har även andra aktörer som blivit ackrediterade som certifieringsorgan. Ett certifieringsorgan utfärdar, granskar, förnyar och återkallar certifiering för personuppgiftsbehandlingar.[3] I Sverige är det Styrelsen för ackreditering och teknisk kontroll (Swedac) som är behörig myndighet för sådan ackreditering.[4]
Utöver de krav för ackreditering av certifieringsorgan som ställs i GDPR om oberoende, expertis samt om att ha på plats förfarande för utfärdande, översyn och återkallande samt klagomålshantering (i artikel 43.2) har IMY nu beslutat om vilka övriga krav som ska vara uppfyllda för sådan ackreditering.[5] Ett certifieringsorgan ska t.ex. själv kunna visa att riskanalys och, i förekommande fall, konsekvensbedömning genomförts samt att det finns förfaranden och åtgärder för dataskydd (bl.a. dataskyddspolicy, utbildning av personal, utnämnande av ett dataskyddsombud, förandet av ett register enligt artikel 30 i dataskyddsförordningen, rutiner och riktlinjer, behörighetsregler m.m.), inbegripet tekniska och organisatoriska skyddsåtgärder för den personuppgiftsbehandling som ingår i certifieringsförfarandet. Vidare ställs specifika krav på teknisk och juridisk kompetens för certifieringsorganets personal. Med IMY:s beslut om kraven kan Swedac nu påbörja ackreditering av intresserade organisationer som vill certifiera personuppgiftsbehandlingar och som uppfyller samtliga de krav som ställs på certifieringsorgan.
EDPB för register över samtliga certifieringar för dataskydd.[6] Vid tillkomsten av denna artikel finns endast fem certifieringar: en utifrån kriterierna för ”EU Data Protection Seal” (certifikat för personuppgiftsbehandling inom hela EES-området) och övriga fyra för nationella behandlingar (i Luxemburg, Nederländerna respektive Tyskland).
Vad händer nu?
Vi inom dataskyddsteamet på Fondia följer med spänning kommande utveckling av dels vilka svenska organisationer som kommer att ackrediteras som certifieringsorgan av Swedac, dels i vilka sammanhang en certifiering kommer att få betydelse eller till och med vara ett krav (t.ex. från personuppgiftsansvarig vid anlitande av personuppgiftsbiträden), och dels vilka personuppgiftsbehandlingar (verksamheter, produkter, tjänster etc.) som kommer att lyckas nå upp till kraven på certifiering. Det vi redan nu vet är att den som avser att påbörja en certifieringsprocess för personuppgiftsbehandlingar gör bäst i att förbereda sig på kommande dokumentationsarbete och rapportskrivning i stor omfattning.
Om Fondias team inom dataskydd
Fondias erfarna och kunniga dataskyddsexperter hjälper dig med alla typer av ärenden som rör personuppgiftsbehandling och integritetsskydd. Vi ger bland annat handfasta råd kring efterlevnad av kraven i den allmänna dataskyddsförordningen (GDPR) och ePrivacy-reglerna samt hittar affärsmässiga lösningar på utmaningar inom dataskydd. Våra experter har tillsammans bred erfarenhet från roller som både dataskyddsombud, bolagsjurist, del av ledningsgrupp, del av dataskyddsgrupp och rena konsultroller. Vi erbjuder också tjänsten DPOaaS - dataskyddsombud som en tjänst.
[1] Riktlinjer 1/2018 om certifiering och fastställande av certifieringskriterier i enlighet med artiklarna 42 och 43 i förordningen, p. 11.
[2] Riktlinjer 1/2018 om certifiering och fastställande av certifieringskriterier i enlighet med artiklarna 42 och 43 i förordningen, p. 20.
[3] Artiklar 42.5 och 42.7 GDPR.
[4] Ackrediterings- och certifieringsprocessen ser olika ut för olika tillsynsmyndigheter.