Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
Vejledning om adfaeligrdskodekser og certificeringsordninger 123
Vejledning om adfaeligrdskodekser
og certificeringsordninger
Januar 2018 (opdateret december 2018)
Januar 2018 (opdateret december 2018)
Vejledning om adfaeligrdskodekser og certificeringsordninger 223
Indhold
10 Forord _________________________________________________________ 3
20 Adfaeligrdskodekser ________________________________________________ 4
21 Hvad er en adfaeligrdskodeks ______________________________________________ 4
22 Hvem kan udarbejde en adfaeligrdskodeks ___________________________________ 4
23 Hvad kan en adfaeligrdskodeks benyttes til ___________________________________ 5
231 Den dataansvarliges ansvar (artikel 24) _________________________________ 7
232 Databehandlers paringvisning af fornoslashdne garantier (artikel 28) _________________ 7
233 Behandlingssikkerhed (artikel 32) _____________________________________ 8
234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35) ________________ 8
235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46) ___________ 9
236 Administrative boslashder (artikel 83) _____________________________________ 10
24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige minimumskrav ___ 10
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks ____________________________________________________________ 12
30 Certificeringsordninger __________________________________________ 14
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand (artikel
42) ___________________________________________________________________ 14
32 Hvem kan tage initiativ til en certificeringsordning ___________________________ 14
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen sig
fra andre kendte typer af certificeringsordninger __________________________________ 15
34 Hvad kan en certificering bruges til _______________________________________ 16
341 Den dataansvarliges ansvar (artikel 24) ________________________________ 16
342 Databeskyttelse gennem design og standardindstillinger (artikel 25) _________ 16
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28) ________________ 17
344 Behandlingssikkerhed (artikel 32) ____________________________________ 17
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46) __________ 17
346 Administrative boslashder (artikel 83) _____________________________________ 17
35 Hvordan kan man blive certificeret _______________________________________ 18
36 Hvordan kan man blive akkrediteret som certificeringsorgan ___________________ 21
Vejledning om adfaeligrdskodekser og certificeringsordninger 323
10 Forord
Naringr databeskyttelsesforordningen finder anvendelse fra den 25 maj 2018 vil der vaeligre mange
regler som alle dataansvarlige og databehandlere (store som smaring) skal kunne overholde samt
kunne dokumentere at de overholder
For nogle virksomheder kan det synes uoverskueligt at skulle saeligtte sig ind i og forstaring databe-
skyttelsesforordningens mange forskelligartede regler Det vil nok isaeligr vaeligre tilfaeligldet for mikro
smaring og mellemstore virksomheder hvor behandling af personoplysninger ikke er virksomhe-
dens rdquokerneydelserdquo Ikke desto mindre vil de fleste smaring virksomheder feks toslashmrervirksomhe-
der frisoslashrer og koslashbmaelignd i et eller andet omfang behandle personoplysninger herunder oplys-
ninger om virksomhedens ansatte og virksomhedens kunder
Herudover kan det skyldes at mange smaring virksomheder i modsaeligtning til stoslashrre virksomheder
ikke har en juridisk afdeling der kan hjaeliglpe med overholdelsen ligesom de maringske ikke har
ressourcerne til at indhente ekstern juridisk raringdgivning
I databeskyttelsesforordningens kapitel 4 afdeling 5 har man bla i erkendelse af ovennaeligvn-
te indsat regler om adfaeligrdskodekser og certificeringsordninger Oslashnsket er at disse ordninger
skal kunne hjaeliglpe dataansvarlige og databehandlere til at overholde databeskyttelsesforordnin-
gen herunder feks i forhold til behandlingsaktiviteter der er saeligrligt kendetegnende for en
specifik branche eller lignende
Udarbejdelse af bla adfaeligrdskodekser vil derfor kunne vaeligre et nyttigt redskab for isaeligr mikro
smaring og mellemstore virksomheder til at hjaeliglpe med at sikre overholdelsen af forordningens
regler
Reglerne om adfaeligrdskodekser og certificeringsordninger er dog ikke udelukkende tiltaelignkt at
skulle hjaeliglpe mikro smaring og mellemstore virksomheder med deres overholdelse af forordnin-
gen Store virksomheder og offentlige myndigheder mv vil saringledes ogsaring kunne benytte sig af
ordningerne
I denne vejledning faringr man bla en introduktion til 1) hvad adfaeligrdskodekser og certificerings-
ordninger er 2) hvem der kan udarbejde en adfaeligrdskodeks eller en certificeringsordning 3)
hvad man kan bruge ordningerne til og 4) hvordan en adfaeligrdskodeks eller en certificeringsord-
ning kan blive godkendt
Denne vejledning er baseret paring reglerne i databeskyttelsesforordningens kapitel IV afdeling 5
(Europa-Parlamentets og Raringdets forordning (EU) 2016679 af 27 april 2016 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af
saringdanne oplysninger) og som bla er beskrevet i betaelignkning nr 15652017 om databeskyttel-
sesforordningen i kapitel 522-525
Vejledning om adfaeligrdskodekser og certificeringsordninger 423
20 Adfaeligrdskodekser
21 Hvad er en adfaeligrdskodeks
I databeskyttelsesforordningens forstand er en adfaeligrdskodeks et saeligt retningslinjer som skal
bidrage til at sikre at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i data-
beskyttelsesforordningen korrekt
Retningslinjerne i en kodeks skal bidrage til at sikre en korrekt anvendelse af forordningens
regler ved at angive hvordan man i specifikke typetilfaeliglde skal haringndtere behandlingen af per-
sonoplysninger Det kan feks vaeligre ved at fastlaeliggge nogle procedurer som skal foslashlges for en
specifik type behandling af personoplysninger
En adfaeligrdskodeks kan saringledes benyttes inden for en specifik kategori af databehandlingsaktivi-
teter ndash som er saeligdvanlige for feks en veldefineret gruppe af virksomheder
Overholdelse af en kodeks kan saringledes endvidere anvendes som et element til at paringvise at den
dataansvarlige eller databehandleren lever op til sine forpligtelser efter forordningen
Det er vigtigt at vaeligre opmaeligrksom paring at tilslutning til og overholdelse af en godkendt adfaeligrds-
kodeks ikke i sig selv er et bevis paring overholdelse af databeskyttelsesforordningen heller ikke
for saring vidt angaringr de artikler i forordningen som kodeksen maringtte forholde sig til Overholdelse af
en adfaeligrdskodeks kan dermed heller ikke fritage en dataansvarlig eller en databehandler for
ansvar men det maring antages at overholdelse af en godkendt adfaeligrdskodeks har betydning for
om man kan ifalde et strafansvar for at overtraeligde reglerne i forordningen eller er formildende
for saring vidt angaringr et eventuelt strafansvar jf mere herom i afsnit 23
22 Hvem kan udarbejde en adfaeligrdskodeks
En adfaeligrdskodeks kan ifoslashlge databeskyttelsesforordningen udarbejdes af sammenslutninger
eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databehandlere
De oplagte sammenslutninger er der kan taelignkes at tage initiativ til at udarbejde en adfaeligrdsko-
deks er bla brancheorganisationer og ndashforeninger Man kunne dog ogsaring forestille sig at feks
KL eller Danske Regioner kunne have en interesse i ndash i forhold til specifikke behandlingsaktivi-
teter ndash at udarbejde adfaeligrdskodeks der retter sig mod kommunerne eller regionerne
Naringr der peges paring brancheorganisationer og -foreninger saring skyldes dette at disse typisk har et
indgaringende kendskab til hvilke behandlinger af personoplysninger der er saeligdvanlige inden for
de brancher som organisationen eller foreningen repraeligsenterer
Brancheorganisationer eller foreninger ved saringledes ogsaring paring hvilke omraringder deres medlemmer
er mest udfordrede i forhold til at overholde forordningen og hvor de derfor kan have gavn af en
adfaeligrdskodeks der specificerer anvendelsen af forordningen i forhold til disse omraringder
Vejledning om adfaeligrdskodekser og certificeringsordninger 523
Eksempel 1 ndash behandling af HR-oplysninger
Arbejdsgiverorganisationen A der repraeligsenterer en lang raeligkke ejere af smaring servicevirksom-
heder i Danmark bliver opmaeligrksom paring at organisationens medlemmer har svaeligrt ved at forstaring
behandlingsreglerne i databeskyttelsesforordningens kapitel II
Langt de fleste af Arsquos medlemmer behandler kun personoplysninger om deres ansatte til HR-
formaringl og de har typisk under 5 ansatte
A beslutter paring baggrund af ovenstaringende at tage initiativ til at udarbejde en adfaeligrdskodeks der
opstiller specifikke regler for behandling af HR-oplysninger i servicevirksomheder med under 5
ansatte herunder regler om indsamling af oplysninger samt regler om sletning mv
Efter at Arsquos udkast til adfaeligrdskodeks er blevet godkendt af Datatilsynet vil Arsquos medlemmer ndash paring
frivillig basis ndash kunne tilslutte sig adfaeligrdskodeksen og dermed faring hjaeliglp til overholdelsen af de
regler i databeskyttelsesforordningen der isaeligr er relevante for medlemmerne
Som det fremgaringr af eksempel 1 er det frivilligt om man oslashnsker at tilslutte sig en adfaeligrdsko-
deks Man kan saringledes sagtens overholde databeskyttelsesforordningen uden at tilslutte sig en
adfaeligrdskodeks
23 Hvad kan en adfaeligrdskodeks benyttes til
Ifoslashlge databeskyttelsesforordningens artikel 40 stk 2 litra a-k kunne en adfaeligrdskodeks taelign-
kes at specificere anvendelsen af foslashlgende raeligkke eksempler paring forordningens regler
a) rimelig og gennemsigtig behandling
b) de legitime interesser som forfoslashlges af den dataansvarlige i specifikke sammenhaelignge
c) indsamlingen af personoplysninger
d) pseudonymiseringen af personoplysninger
e) informationen der gives til offentligheden og til registrerede
f) udoslashvelsen af registreredes rettigheder
g) informationen der gives til boslashrn og beskyttelsen af boslashrn og den maringde hvorparing sam-
tykket fra indehavere af foraeligldremyndighed over boslashrn skal indhentes
h) foranstaltningerne og procedurerne omhandlet i artikel 24 og 25 og foranstaltningerne
til at sikre behandlingssikkerhed som omhandlet i artikel 32
i) anmeldelse af brud paring persondatasikkerheden til tilsynsmyndighederne og underret-
ningen af de registrerede om saringdanne brud paring persondatasikkerheden
j) overfoslashrslen af personoplysninger til tredjelande eller internationale organisationer eller
k) udenretslige procedurer og andre procedurer for bilaeligggelse af tvister mellem dataan-
svarlige og registrerede vedroslashrende behandling uden at det beroslashrer registreredes ret-
tigheder i henhold til artikel 77 og 79
Vejledning om adfaeligrdskodekser og certificeringsordninger 623
Hvis man tager udgangspunkt i ovennaeligvnte liste kunne en adfaeligrdskodeks saringledes feks garing ud
paring at specificere databeskyttelsesforordningens regler i forhold til de registreredes rettigheder
Eksempel 2 ndash oplysningspligt
Brancheorganisationen B repraeligsenterer bla en raeligkke mindre virksomheder der beskaeligftiger
sig med rekruttering
I forbindelse med udoslashvelsen af deres rekrutteringsvirksomhed indsamler Brsquos medlemmer ofte
oplysninger om de personer som virksomheden forsoslashger at rekruttere (de registrerede) fra
andre end de paringgaeligldende personer selv Virksomhederne skal derfor ndash i overensstemmelse
med databeskyttelsesforordningens regler om oplysningspligt (her artikel 14) ndash give de registre-
rede en raeligkke oplysninger herunder oplysninger om hvem virksomheden er og med hvilke
formaringl virksomheden behandler oplysninger
Da det erfaringsmaeligssigt er svaeligrt for Brsquos medlemmer at overholde databeskyttelsesforordnin-
gens regler om oplysningspligt vaeliglger B at udarbejde en adfaeligrdskodeks som kan lette Brsquos
medlemmers overholdelse af oplysningspligten Kodeksen indeholder bla en skabelon som
Brsquos medlemmer kan benytte naringr de opfylder deres oplysningspligt over for de registrerede men
kodeksen indeholder ogsaring en raeligkke regler der kan hjaeliglpe medlemmerne til at huske at opfylde
deres oplysningspligt
En adfaeligrdskodeks kunne ligeledes garing ud paring at specificere databeskyttelsesforordningens reg-
ler om behandlingssikkerhed
Eksempel 3 ndash pseudonymisering
Brancheorganisationen C repraeligsenterer en raeligkke mindre forskningsvirksomheder der ndash paring
samme maringde ndash behandler store maeligngder foslashlsomme oplysninger (helbredsoplysninger) om
patienter til brug for udvikling af ny medicin mv
For at hjaeliglpe sine medlemmer til at overholde databeskyttelsesforordningens regler om be-
handlingssikkerhed (feks sikre at oplysninger ikke kommer til uvedkommendes kendskab)
tager C initiativ til at udarbejde en adfaeligrdskodeks om pseudonymisering1 af de patientoplysnin-
ger som Crsquos medlemmer benytter i deres forskning
Adfaeligrdskodeksen indeholder bla en procedure der skal sikre at pseudonymisering sker i
overensstemmelse med anerkendte standarder og tilpasset til den paringgaeligldende databehandling
ligesom kodeksen indeholder regler for hvordan pseudonymisering skal udfoslashres i praksis
hvornaringr pseudonymisering skal finde sted samt regler for hvordan virksomheden boslashr indrette-
arbejdsprocesserne saring faeligrrest muligt kommer til at arbejde med ikke-pseudonymiserede op-
lysninger
1 Pseudonymisering defineres i databeskyttelsesforordningen som rdquoBehandling af personoplysninger paring en saringdan maringde
at personoplysningerne ikke laeligngere kan henfoslashres til en bestemt registreret uden brug af supplerende oplysninger forud-
sat at saringdanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for
at sikre at personoplysningerne ikke henfoslashres til en identificeret eller identificerbar fysisk personrdquo
Vejledning om adfaeligrdskodekser og certificeringsordninger 723
Herudover naeligvnes det i en raeligkke bestemmelser i databeskyttelsesforordningen at dataansvar-
lige og databehandlere bla kan bruge overholdelse af en godkendt adfaeligrdskodeks som et
element til at paringvise overholdelsen af krav i forordningen ligesom overholdelse af godkendte
adfaeligrdskodekser kan inddrages ved vurderingen af om der kan idoslashmmes en straf for mang-
lende overholdelse af forordningen og i givet fald ved vurderingen af udmaringlingen af straffen
feks stoslashrrelsen af en boslashde
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt adfaeligrdskodeks kan tillaeliggges betydning
231 Den dataansvarliges ansvar (artikel 24)
Den dataansvarlige er ansvarlig for at overholde reglerne i databeskyttelsesforordningen og
skal ifoslashlge forordningens artikel 24 kunne paringvise at man overholder sine forpligtelser efter for-
ordningen
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at den
dataansvarlige lever op til sine forpligtelser efter forordningen
Eksempel 4 ndash en dataansvarlig har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
haringndtering af brud paring persondatasikkerheden
En virksomhed V har tilsluttet sig en godkendt adfaeligrdskodeks der opstiller retningslinjer for
virksomhedens haringndtering af brud paring persondatasikkerheden
Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan virksomheden skal rydde op
efter et eventuelt brud paring persondatasikkerheden og hvordan virksomheden skal soslashge at be-
graelignse skadevirkningerne af bruddet Herudover indeholder adfaeligrdskodeksen klare retnings-
linjer for anmeldelse af brud paring persondatasikkerheden til de relevante tilsynsmyndigheder samt
retningslinjer for hvornaringr og hvordan de beroslashrte registrerede skal notificeres om bruddet
Naringr virksomheden V har tilsluttet sig en adfaeligrdskodeks der opstiller klare retningslinjer for Vrsquos
haringndtering af eventuelle brud paring persondatasikkerheden vil V kunne benytte sin tilslutning til
adfaeligrdskodeksen som et element til at paringvise at V lever op til de forpligtelser der ndash efter for-
ordningen ndash paringhviler V (som dataansvarlig) hvis denne konstaterer et brud paring persondatasik-
kerheden
232 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
Det fremgaringr af databeskyttelsesforordningens artikel 28 stk 1 at en dataansvarlig kun maring
benytte databehandlere der kan stille de fornoslashdne garantier for at de vil gennemfoslashre de pas-
sende tekniske og organisatoriske foranstaltninger paring en saringdan maringde at behandling opfylder
kravene i forordningen og sikrer beskyttelse af de registreredes rettigheder
Paring samme maringde fremgaringr det af artikel 28 stk 4 at en databehandler kun maring benytte en un-
derdatabehandler hvis denne kan stille de fornoslashdne garantier
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at data-
behandleren stiller fornoslashdne garantier Paring samme maringde kan overholdelse af en godkendt ad-
Vejledning om adfaeligrdskodekser og certificeringsordninger 823
faeligrdskodeks bruges som et element til at paringvise at en underdatabehandler stiller fornoslashdne
garantier
Eksempel 5 ndash en databehandler har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
behandlingssikkerhed i cloud-loslashsninger
En virksomhed X har specialiseret sig i at udbyde skraeligddersyede cloud-loslashsninger til sine kun-
der inden for en given branche Y hvor X (som databehandler) opbevarer sine kunders person-
oplysninger i rdquoskyenrdquo
Da virksomheden X garingr meget op i at sikre sine kunders oplysninger bedst muligt har X valgt at
tilslutte sig en godkendt adfaeligrdskodeks vedroslashrende behandlingssikkerhed i cloud-loslashsninger i
branchen Y Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan cloud-udbydere
skal beskytte sine oplysninger mod at disse kan tilgarings af uvedkommende ligesom kodeksen
indeholder retningslinjer for hvordan cloud-udbydere loslashbende skal teste effektiviteten af deres
tiltag samt retningslinjer for loslashbende ekstern kontrol og cloud-udbyderens opfoslashlgning derparing
Endelig indeholder kodeksen retningslinjer for hvordan cloud-udbydere hurtigst muligt kan
genoprette tilgaeligngeligheden af og adgangen til personoplysninger i tilfaeliglde af en fysisk eller
teknisk haeligndelse
Naringr virksomheden X har tilsluttet ovennaeligvnte adfaeligrdskodeks vil X kunne bruge denne tilslut-
ning til at paringvise over for potentielle kunder (dataansvarlige) at X ndash i sin loslashsning ndash kan stille de
fornoslashdne garantier i forhold til datasikkerheden i branchen Y
233 Behandlingssikkerhed (artikel 32)
Ifoslashlge databeskyttelsesforordningen skal den dataansvarlige og databehandleren gennemfoslashre
passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau som
passer til de risici der er ved den paringgaeligldende behandling af personoplysninger
Af databeskyttelsesforordningens artikel 32 stk 3 fremgaringr det at overholdelse af en godkendt
adfaeligrdskodeks kan bruges som et element til at paringvise den dataansvarliges eller databehand-
lerens overholdelse af kravene til behandlingssikkerhed
For eksempler vedroslashrende behandlingssikkerhed kan der henvises til eksempel 3 og 5 ovenfor
234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35)
Efter databeskyttelsesforordningens artikel 35 skal en dataansvarlig foretage en konsekvens-
analyse hvis en type behandling ndash navnlig ved brug af nye teknologier og i medfoslashr af sin karak-
ter omfang sammenhaeligng og formaringl ndash sandsynligvis vil indebaeligre en hoslashj risiko for fysiske per-
soners rettigheder og frihedsrettigheder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende
vurdering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3)
der sker systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
Vejledning om adfaeligrdskodekser og certificeringsordninger 923
Overholdelse af en godkendt adfaeligrdskodeks skal inddrages behoslashrigt ved vurderingen af kon-
sekvenserne af de databehandlingsaktiviteter der udfoslashres af de paringgaeligldende dataansvarlige
eller databehandlere navnlig i forbindelse med en konsekvensanalyse vedroslashrende databeskyt-
telse
Eksempel 6 ndash et privathospital koslashber et nyt IT-system
Privathospitalet H oslashnsker at koslashbe et nyt IT-system hvori H bla vil registrere og behandle alle
oplysninger om sine patienter
I og med at H behandler foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang vil
H skulle lave en konsekvensanalyse inden H tager det nye IT-system i brug
Privathospitalet H har ved en tidligere lejlighed tilsluttet sig en godkendt adfaeligrdskodeks vedroslash-
rende behandlingssikkerhed (for saring vidt angaringr personoplysninger) paring privathospitaler Adfaeligrds-
kodeksen indeholder bla klare retningslinjer for pseudonymisering og kryptering af personop-
lysninger samt klare retningslinjer for privathospitalers beskyttelse af personoplysninger ud mod
internettet (firewalls mv)
Naringr H skal foretage sin konsekvensanalyse vil H kunne inddrage sin efterlevelse af den god-
kendte adfaeligrdskodeks vedroslashrende behandlingssikkerhed paring privathospitaler naringr H skal vurde-
re risikoen ved at overgaring til det nye IT-system Adfaeligrdskodeksen kan saringledes bidrage til at
mindske risikoen ved at tage det nye IT-system i brug
Det bemaeligrkes at der i artikel 35 stk 8 alene henvises til godkendte adfaeligrdskodekser Dette
er saringledes et af blot to steder hvor der ikke baringde henvises til godkendte adfaeligrdskodekser og
godkendte certificeringsordninger Se mere herom i afsnit 342 (databeskyttelse gennem de-
sign og standardindstillinger)
235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland2 skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra e at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt adfaeligrdsko-
deks Det er dog en betingelse for at anse en adfaeligrdskodeks for at sikre fornoslashdne garantier at
der er bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller databehandleren i
tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de registreredes ret-
tigheder
2 Lande der ikke er medlem af EU eller EOslashS
Vejledning om adfaeligrdskodekser og certificeringsordninger 1023
Eksempel 7 ndash databehandleren i Indien
En dansk virksomhed A oslashnsker at benytte en databehandler D i Indien til at drifte sine IT-
systemer
Da Indien er et usikkert tredjeland skal A have et overfoslashrselsgrundlag i forordningens kapitel V
inden der kan overfoslashres personoplysninger til D i Indien
Et overfoslashrselsgrundlag kan i den forbindelse vaeligre hvis D har tilsluttet sig en godkendt og bin-
dende adfaeligrdskodeks vedroslashrende overfoslashrsel af personoplysninger til databehandlere i tredje-
lande der bla indeholder klare retningslinjer om behandlingssikkerhed haringndtering af brud paring
persondatasikkerheden brug af underdatabehandlere uddannelse af medarbejdere og samar-
bejde med de relevante datatilsyn mv
Det bemaeligrkes at Drsquos tilslutning til et godkendt adfaeligrdskodeks ikke fritager A for at indgaring en
databehandleraftale med D jf databeskyttelsesforordningens artikel 28
236 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt adfaeligrdskodeks er overholdt naringr det skal afgoslashres om der skal paring-
laeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ boslashde
skal vaeligre
Efterlevelse af en godkendt adfaeligrdskodeks i forbindelse med en given behandling af personop-
lysninger vil saringledes feks kunne inddrages ved vurderingen af om der er begaringet noget straf-
bart i forbindelse med manglende overholdelse af forordningen og dermed om der skal paringlaeligg-
ges en boslashde
Paring samme maringde vil efterlevelse af en kodeks feks kunne inddrages som en formildende om-
staeligndighed ved fastsaeligttelsen af en administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 21 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt adfaeligrdskodeks ikke i sig selv er et bevis paring overholdelse af databe-
skyttelsesforordningen heller ikke for saring vidt angaringr de regler i forordningen som kodeksen
maringtte specificere anvendelsen af Overholdelse af en adfaeligrdskodeks kan dermed heller ikke i
sig selv fritage en dataansvarlig eller databehandler for ansvar
24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige
minimumskrav
Som naeligvnt ovenfor i afsnit 22 kan adfaeligrdskodekser ifoslashlge forordningen udarbejdes af sam-
menslutninger eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databe-
handlere
Som naeligvnt under samme pkt laeliggges der med databeskyttelsesforordningen op til at det ty-
pisk vil vaeligre brancheorganisationer eller lignende der tager initiativ til at udarbejde en ad-
faeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1123
Inden en adfaeligrdskodeks kan benyttes til at specificere anvendelsen af databeskyttelsesforord-
ningen skal den vaeligre godkendt af Datatilsynet
For at en adfaeligrdskodeks kan blive godkendt af Datatilsynet vil den skulle leve op til nogle ind-
holdsmaeligssige minimumskrav der samlet set skal sikre at kodeksen sikrer fornoslashdne garantier
De indholdsmaeligssige minimumskrav vil kunne udvikle sig over tid da det i et vist omfang vil
vaeligre noslashdvendigt at koordinere disse med de oslashvrige datatilsyn i EU
Datatilsynet kan dog allerede nu pege paring at foslashlgende punkter ndash efter Datatilsynets opfattelse ndash
som minimum skal beroslashres i en adfaeligrdskodeks hvis denne skal indeholde fornoslashdne garantier
- En adfaeligrdskodeks skal have fokus paring en veldefineret kategori af dataansvarlige eller
databehandlere Kodeksen skal saringledes klart angive hvilke typer organisationer eller
sektorer som kodeksen tilsigter at finde anvendelse paring
- En adfaeligrdskodeks skal vaeligre rettet mod konkrete og veldefinerede behandlinger som
er typiske for ovennaeligvnte kategorier af dataansvarlige og databehandlere
- En adfaeligrdskodeks skal forberedes omhyggeligt og der boslashr i den forbindelse ske hoslash-
ring af relevante interessenter herunder i muligt omfang de registrerede eller deres
repraeligsentanter feks Forbrugerraringdet eller lignende
- En adfaeligrdskodeks skal indeholde retningslinjer rettet mod konkrete behandlingssitua-
tioner der er relevante for den branche eller lignende som kodeksen er rettet mod
Retningslinjerne kan vaeligre relateret til det daglige arbejde og de eventuelle usaeligdvanli-
ge arbejdssituationer som behandlingsaktiviteterne maringtte indgaring i samt fastsaeligtte spe-
cifikke rammer for hvordan man kan begraelignse de risici som er blevet identificeret i
forhold til behandlingsaktiviteterne
- En adfaeligrdskodeks skal indeholde konkrete retningslinjer som hjaeliglper til at sikre at de
tilsluttede dataansvarlige eller databehandlere overholder forordningen naringr de foslashlger
adfaeligrdskodeksens retningslinjer Kodeksen skal saringledes i tilstraeligkkelig grad fokusere
paring specifikke databeskyttelsessposlashrgsmaringl og ndashproblemer der findes i den organisation
eller sektor som kodeksen finder anvendelse paring samt anvise tilstraeligkkelig klare loslashs-
ninger paring disse sposlashrgsmaringl og problemer I den forbindelse boslashr relevante kompetencer
saringsom faglige juridiske og it-sikkerhedsmaeligssige inddrages i udarbejdelsen
- En adfaeligrdskodeks skal indeholde mekanismer som goslashr et kontrolorgan i stand til at
foretage en kontrol af om den dataansvarlige eller databehandleren der har tilsluttet
sig et adfaeligrdskodeks rent faktisk overholder reglerne i kodeksen Disse kontrolmeka-
nismer kan baringde vaeligre af teknisk og organisatorisk karakter
- I forhold til enhver adfaeligrdskodeks skal der vaeligre en central instans (feks en branche-
organisation) der soslashrger for at kodeksen loslashbende bliver opdateret og tilpasset feks i
forhold til praksis fra Datatilsynet mv
Vejledning om adfaeligrdskodekser og certificeringsordninger 1223
- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-
hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-
trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre
akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan
akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har
1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-
lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-
handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af
kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og
ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-
se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets
opgaver og pligter ikke foslashrer til en interessekonflikt
- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-
holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager
ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde
databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde
beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-
delsen af bestemmelser i denne kodeksrdquo
Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder
for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring
kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-
holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-
sen bliver overholdt
Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets
kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne
foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom
overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks
I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af
og godkendelse af en adfaeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 223
Indhold
10 Forord _________________________________________________________ 3
20 Adfaeligrdskodekser ________________________________________________ 4
21 Hvad er en adfaeligrdskodeks ______________________________________________ 4
22 Hvem kan udarbejde en adfaeligrdskodeks ___________________________________ 4
23 Hvad kan en adfaeligrdskodeks benyttes til ___________________________________ 5
231 Den dataansvarliges ansvar (artikel 24) _________________________________ 7
232 Databehandlers paringvisning af fornoslashdne garantier (artikel 28) _________________ 7
233 Behandlingssikkerhed (artikel 32) _____________________________________ 8
234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35) ________________ 8
235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46) ___________ 9
236 Administrative boslashder (artikel 83) _____________________________________ 10
24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige minimumskrav ___ 10
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks ____________________________________________________________ 12
30 Certificeringsordninger __________________________________________ 14
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand (artikel
42) ___________________________________________________________________ 14
32 Hvem kan tage initiativ til en certificeringsordning ___________________________ 14
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen sig
fra andre kendte typer af certificeringsordninger __________________________________ 15
34 Hvad kan en certificering bruges til _______________________________________ 16
341 Den dataansvarliges ansvar (artikel 24) ________________________________ 16
342 Databeskyttelse gennem design og standardindstillinger (artikel 25) _________ 16
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28) ________________ 17
344 Behandlingssikkerhed (artikel 32) ____________________________________ 17
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46) __________ 17
346 Administrative boslashder (artikel 83) _____________________________________ 17
35 Hvordan kan man blive certificeret _______________________________________ 18
36 Hvordan kan man blive akkrediteret som certificeringsorgan ___________________ 21
Vejledning om adfaeligrdskodekser og certificeringsordninger 323
10 Forord
Naringr databeskyttelsesforordningen finder anvendelse fra den 25 maj 2018 vil der vaeligre mange
regler som alle dataansvarlige og databehandlere (store som smaring) skal kunne overholde samt
kunne dokumentere at de overholder
For nogle virksomheder kan det synes uoverskueligt at skulle saeligtte sig ind i og forstaring databe-
skyttelsesforordningens mange forskelligartede regler Det vil nok isaeligr vaeligre tilfaeligldet for mikro
smaring og mellemstore virksomheder hvor behandling af personoplysninger ikke er virksomhe-
dens rdquokerneydelserdquo Ikke desto mindre vil de fleste smaring virksomheder feks toslashmrervirksomhe-
der frisoslashrer og koslashbmaelignd i et eller andet omfang behandle personoplysninger herunder oplys-
ninger om virksomhedens ansatte og virksomhedens kunder
Herudover kan det skyldes at mange smaring virksomheder i modsaeligtning til stoslashrre virksomheder
ikke har en juridisk afdeling der kan hjaeliglpe med overholdelsen ligesom de maringske ikke har
ressourcerne til at indhente ekstern juridisk raringdgivning
I databeskyttelsesforordningens kapitel 4 afdeling 5 har man bla i erkendelse af ovennaeligvn-
te indsat regler om adfaeligrdskodekser og certificeringsordninger Oslashnsket er at disse ordninger
skal kunne hjaeliglpe dataansvarlige og databehandlere til at overholde databeskyttelsesforordnin-
gen herunder feks i forhold til behandlingsaktiviteter der er saeligrligt kendetegnende for en
specifik branche eller lignende
Udarbejdelse af bla adfaeligrdskodekser vil derfor kunne vaeligre et nyttigt redskab for isaeligr mikro
smaring og mellemstore virksomheder til at hjaeliglpe med at sikre overholdelsen af forordningens
regler
Reglerne om adfaeligrdskodekser og certificeringsordninger er dog ikke udelukkende tiltaelignkt at
skulle hjaeliglpe mikro smaring og mellemstore virksomheder med deres overholdelse af forordnin-
gen Store virksomheder og offentlige myndigheder mv vil saringledes ogsaring kunne benytte sig af
ordningerne
I denne vejledning faringr man bla en introduktion til 1) hvad adfaeligrdskodekser og certificerings-
ordninger er 2) hvem der kan udarbejde en adfaeligrdskodeks eller en certificeringsordning 3)
hvad man kan bruge ordningerne til og 4) hvordan en adfaeligrdskodeks eller en certificeringsord-
ning kan blive godkendt
Denne vejledning er baseret paring reglerne i databeskyttelsesforordningens kapitel IV afdeling 5
(Europa-Parlamentets og Raringdets forordning (EU) 2016679 af 27 april 2016 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af
saringdanne oplysninger) og som bla er beskrevet i betaelignkning nr 15652017 om databeskyttel-
sesforordningen i kapitel 522-525
Vejledning om adfaeligrdskodekser og certificeringsordninger 423
20 Adfaeligrdskodekser
21 Hvad er en adfaeligrdskodeks
I databeskyttelsesforordningens forstand er en adfaeligrdskodeks et saeligt retningslinjer som skal
bidrage til at sikre at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i data-
beskyttelsesforordningen korrekt
Retningslinjerne i en kodeks skal bidrage til at sikre en korrekt anvendelse af forordningens
regler ved at angive hvordan man i specifikke typetilfaeliglde skal haringndtere behandlingen af per-
sonoplysninger Det kan feks vaeligre ved at fastlaeliggge nogle procedurer som skal foslashlges for en
specifik type behandling af personoplysninger
En adfaeligrdskodeks kan saringledes benyttes inden for en specifik kategori af databehandlingsaktivi-
teter ndash som er saeligdvanlige for feks en veldefineret gruppe af virksomheder
Overholdelse af en kodeks kan saringledes endvidere anvendes som et element til at paringvise at den
dataansvarlige eller databehandleren lever op til sine forpligtelser efter forordningen
Det er vigtigt at vaeligre opmaeligrksom paring at tilslutning til og overholdelse af en godkendt adfaeligrds-
kodeks ikke i sig selv er et bevis paring overholdelse af databeskyttelsesforordningen heller ikke
for saring vidt angaringr de artikler i forordningen som kodeksen maringtte forholde sig til Overholdelse af
en adfaeligrdskodeks kan dermed heller ikke fritage en dataansvarlig eller en databehandler for
ansvar men det maring antages at overholdelse af en godkendt adfaeligrdskodeks har betydning for
om man kan ifalde et strafansvar for at overtraeligde reglerne i forordningen eller er formildende
for saring vidt angaringr et eventuelt strafansvar jf mere herom i afsnit 23
22 Hvem kan udarbejde en adfaeligrdskodeks
En adfaeligrdskodeks kan ifoslashlge databeskyttelsesforordningen udarbejdes af sammenslutninger
eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databehandlere
De oplagte sammenslutninger er der kan taelignkes at tage initiativ til at udarbejde en adfaeligrdsko-
deks er bla brancheorganisationer og ndashforeninger Man kunne dog ogsaring forestille sig at feks
KL eller Danske Regioner kunne have en interesse i ndash i forhold til specifikke behandlingsaktivi-
teter ndash at udarbejde adfaeligrdskodeks der retter sig mod kommunerne eller regionerne
Naringr der peges paring brancheorganisationer og -foreninger saring skyldes dette at disse typisk har et
indgaringende kendskab til hvilke behandlinger af personoplysninger der er saeligdvanlige inden for
de brancher som organisationen eller foreningen repraeligsenterer
Brancheorganisationer eller foreninger ved saringledes ogsaring paring hvilke omraringder deres medlemmer
er mest udfordrede i forhold til at overholde forordningen og hvor de derfor kan have gavn af en
adfaeligrdskodeks der specificerer anvendelsen af forordningen i forhold til disse omraringder
Vejledning om adfaeligrdskodekser og certificeringsordninger 523
Eksempel 1 ndash behandling af HR-oplysninger
Arbejdsgiverorganisationen A der repraeligsenterer en lang raeligkke ejere af smaring servicevirksom-
heder i Danmark bliver opmaeligrksom paring at organisationens medlemmer har svaeligrt ved at forstaring
behandlingsreglerne i databeskyttelsesforordningens kapitel II
Langt de fleste af Arsquos medlemmer behandler kun personoplysninger om deres ansatte til HR-
formaringl og de har typisk under 5 ansatte
A beslutter paring baggrund af ovenstaringende at tage initiativ til at udarbejde en adfaeligrdskodeks der
opstiller specifikke regler for behandling af HR-oplysninger i servicevirksomheder med under 5
ansatte herunder regler om indsamling af oplysninger samt regler om sletning mv
Efter at Arsquos udkast til adfaeligrdskodeks er blevet godkendt af Datatilsynet vil Arsquos medlemmer ndash paring
frivillig basis ndash kunne tilslutte sig adfaeligrdskodeksen og dermed faring hjaeliglp til overholdelsen af de
regler i databeskyttelsesforordningen der isaeligr er relevante for medlemmerne
Som det fremgaringr af eksempel 1 er det frivilligt om man oslashnsker at tilslutte sig en adfaeligrdsko-
deks Man kan saringledes sagtens overholde databeskyttelsesforordningen uden at tilslutte sig en
adfaeligrdskodeks
23 Hvad kan en adfaeligrdskodeks benyttes til
Ifoslashlge databeskyttelsesforordningens artikel 40 stk 2 litra a-k kunne en adfaeligrdskodeks taelign-
kes at specificere anvendelsen af foslashlgende raeligkke eksempler paring forordningens regler
a) rimelig og gennemsigtig behandling
b) de legitime interesser som forfoslashlges af den dataansvarlige i specifikke sammenhaelignge
c) indsamlingen af personoplysninger
d) pseudonymiseringen af personoplysninger
e) informationen der gives til offentligheden og til registrerede
f) udoslashvelsen af registreredes rettigheder
g) informationen der gives til boslashrn og beskyttelsen af boslashrn og den maringde hvorparing sam-
tykket fra indehavere af foraeligldremyndighed over boslashrn skal indhentes
h) foranstaltningerne og procedurerne omhandlet i artikel 24 og 25 og foranstaltningerne
til at sikre behandlingssikkerhed som omhandlet i artikel 32
i) anmeldelse af brud paring persondatasikkerheden til tilsynsmyndighederne og underret-
ningen af de registrerede om saringdanne brud paring persondatasikkerheden
j) overfoslashrslen af personoplysninger til tredjelande eller internationale organisationer eller
k) udenretslige procedurer og andre procedurer for bilaeligggelse af tvister mellem dataan-
svarlige og registrerede vedroslashrende behandling uden at det beroslashrer registreredes ret-
tigheder i henhold til artikel 77 og 79
Vejledning om adfaeligrdskodekser og certificeringsordninger 623
Hvis man tager udgangspunkt i ovennaeligvnte liste kunne en adfaeligrdskodeks saringledes feks garing ud
paring at specificere databeskyttelsesforordningens regler i forhold til de registreredes rettigheder
Eksempel 2 ndash oplysningspligt
Brancheorganisationen B repraeligsenterer bla en raeligkke mindre virksomheder der beskaeligftiger
sig med rekruttering
I forbindelse med udoslashvelsen af deres rekrutteringsvirksomhed indsamler Brsquos medlemmer ofte
oplysninger om de personer som virksomheden forsoslashger at rekruttere (de registrerede) fra
andre end de paringgaeligldende personer selv Virksomhederne skal derfor ndash i overensstemmelse
med databeskyttelsesforordningens regler om oplysningspligt (her artikel 14) ndash give de registre-
rede en raeligkke oplysninger herunder oplysninger om hvem virksomheden er og med hvilke
formaringl virksomheden behandler oplysninger
Da det erfaringsmaeligssigt er svaeligrt for Brsquos medlemmer at overholde databeskyttelsesforordnin-
gens regler om oplysningspligt vaeliglger B at udarbejde en adfaeligrdskodeks som kan lette Brsquos
medlemmers overholdelse af oplysningspligten Kodeksen indeholder bla en skabelon som
Brsquos medlemmer kan benytte naringr de opfylder deres oplysningspligt over for de registrerede men
kodeksen indeholder ogsaring en raeligkke regler der kan hjaeliglpe medlemmerne til at huske at opfylde
deres oplysningspligt
En adfaeligrdskodeks kunne ligeledes garing ud paring at specificere databeskyttelsesforordningens reg-
ler om behandlingssikkerhed
Eksempel 3 ndash pseudonymisering
Brancheorganisationen C repraeligsenterer en raeligkke mindre forskningsvirksomheder der ndash paring
samme maringde ndash behandler store maeligngder foslashlsomme oplysninger (helbredsoplysninger) om
patienter til brug for udvikling af ny medicin mv
For at hjaeliglpe sine medlemmer til at overholde databeskyttelsesforordningens regler om be-
handlingssikkerhed (feks sikre at oplysninger ikke kommer til uvedkommendes kendskab)
tager C initiativ til at udarbejde en adfaeligrdskodeks om pseudonymisering1 af de patientoplysnin-
ger som Crsquos medlemmer benytter i deres forskning
Adfaeligrdskodeksen indeholder bla en procedure der skal sikre at pseudonymisering sker i
overensstemmelse med anerkendte standarder og tilpasset til den paringgaeligldende databehandling
ligesom kodeksen indeholder regler for hvordan pseudonymisering skal udfoslashres i praksis
hvornaringr pseudonymisering skal finde sted samt regler for hvordan virksomheden boslashr indrette-
arbejdsprocesserne saring faeligrrest muligt kommer til at arbejde med ikke-pseudonymiserede op-
lysninger
1 Pseudonymisering defineres i databeskyttelsesforordningen som rdquoBehandling af personoplysninger paring en saringdan maringde
at personoplysningerne ikke laeligngere kan henfoslashres til en bestemt registreret uden brug af supplerende oplysninger forud-
sat at saringdanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for
at sikre at personoplysningerne ikke henfoslashres til en identificeret eller identificerbar fysisk personrdquo
Vejledning om adfaeligrdskodekser og certificeringsordninger 723
Herudover naeligvnes det i en raeligkke bestemmelser i databeskyttelsesforordningen at dataansvar-
lige og databehandlere bla kan bruge overholdelse af en godkendt adfaeligrdskodeks som et
element til at paringvise overholdelsen af krav i forordningen ligesom overholdelse af godkendte
adfaeligrdskodekser kan inddrages ved vurderingen af om der kan idoslashmmes en straf for mang-
lende overholdelse af forordningen og i givet fald ved vurderingen af udmaringlingen af straffen
feks stoslashrrelsen af en boslashde
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt adfaeligrdskodeks kan tillaeliggges betydning
231 Den dataansvarliges ansvar (artikel 24)
Den dataansvarlige er ansvarlig for at overholde reglerne i databeskyttelsesforordningen og
skal ifoslashlge forordningens artikel 24 kunne paringvise at man overholder sine forpligtelser efter for-
ordningen
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at den
dataansvarlige lever op til sine forpligtelser efter forordningen
Eksempel 4 ndash en dataansvarlig har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
haringndtering af brud paring persondatasikkerheden
En virksomhed V har tilsluttet sig en godkendt adfaeligrdskodeks der opstiller retningslinjer for
virksomhedens haringndtering af brud paring persondatasikkerheden
Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan virksomheden skal rydde op
efter et eventuelt brud paring persondatasikkerheden og hvordan virksomheden skal soslashge at be-
graelignse skadevirkningerne af bruddet Herudover indeholder adfaeligrdskodeksen klare retnings-
linjer for anmeldelse af brud paring persondatasikkerheden til de relevante tilsynsmyndigheder samt
retningslinjer for hvornaringr og hvordan de beroslashrte registrerede skal notificeres om bruddet
Naringr virksomheden V har tilsluttet sig en adfaeligrdskodeks der opstiller klare retningslinjer for Vrsquos
haringndtering af eventuelle brud paring persondatasikkerheden vil V kunne benytte sin tilslutning til
adfaeligrdskodeksen som et element til at paringvise at V lever op til de forpligtelser der ndash efter for-
ordningen ndash paringhviler V (som dataansvarlig) hvis denne konstaterer et brud paring persondatasik-
kerheden
232 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
Det fremgaringr af databeskyttelsesforordningens artikel 28 stk 1 at en dataansvarlig kun maring
benytte databehandlere der kan stille de fornoslashdne garantier for at de vil gennemfoslashre de pas-
sende tekniske og organisatoriske foranstaltninger paring en saringdan maringde at behandling opfylder
kravene i forordningen og sikrer beskyttelse af de registreredes rettigheder
Paring samme maringde fremgaringr det af artikel 28 stk 4 at en databehandler kun maring benytte en un-
derdatabehandler hvis denne kan stille de fornoslashdne garantier
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at data-
behandleren stiller fornoslashdne garantier Paring samme maringde kan overholdelse af en godkendt ad-
Vejledning om adfaeligrdskodekser og certificeringsordninger 823
faeligrdskodeks bruges som et element til at paringvise at en underdatabehandler stiller fornoslashdne
garantier
Eksempel 5 ndash en databehandler har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
behandlingssikkerhed i cloud-loslashsninger
En virksomhed X har specialiseret sig i at udbyde skraeligddersyede cloud-loslashsninger til sine kun-
der inden for en given branche Y hvor X (som databehandler) opbevarer sine kunders person-
oplysninger i rdquoskyenrdquo
Da virksomheden X garingr meget op i at sikre sine kunders oplysninger bedst muligt har X valgt at
tilslutte sig en godkendt adfaeligrdskodeks vedroslashrende behandlingssikkerhed i cloud-loslashsninger i
branchen Y Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan cloud-udbydere
skal beskytte sine oplysninger mod at disse kan tilgarings af uvedkommende ligesom kodeksen
indeholder retningslinjer for hvordan cloud-udbydere loslashbende skal teste effektiviteten af deres
tiltag samt retningslinjer for loslashbende ekstern kontrol og cloud-udbyderens opfoslashlgning derparing
Endelig indeholder kodeksen retningslinjer for hvordan cloud-udbydere hurtigst muligt kan
genoprette tilgaeligngeligheden af og adgangen til personoplysninger i tilfaeliglde af en fysisk eller
teknisk haeligndelse
Naringr virksomheden X har tilsluttet ovennaeligvnte adfaeligrdskodeks vil X kunne bruge denne tilslut-
ning til at paringvise over for potentielle kunder (dataansvarlige) at X ndash i sin loslashsning ndash kan stille de
fornoslashdne garantier i forhold til datasikkerheden i branchen Y
233 Behandlingssikkerhed (artikel 32)
Ifoslashlge databeskyttelsesforordningen skal den dataansvarlige og databehandleren gennemfoslashre
passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau som
passer til de risici der er ved den paringgaeligldende behandling af personoplysninger
Af databeskyttelsesforordningens artikel 32 stk 3 fremgaringr det at overholdelse af en godkendt
adfaeligrdskodeks kan bruges som et element til at paringvise den dataansvarliges eller databehand-
lerens overholdelse af kravene til behandlingssikkerhed
For eksempler vedroslashrende behandlingssikkerhed kan der henvises til eksempel 3 og 5 ovenfor
234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35)
Efter databeskyttelsesforordningens artikel 35 skal en dataansvarlig foretage en konsekvens-
analyse hvis en type behandling ndash navnlig ved brug af nye teknologier og i medfoslashr af sin karak-
ter omfang sammenhaeligng og formaringl ndash sandsynligvis vil indebaeligre en hoslashj risiko for fysiske per-
soners rettigheder og frihedsrettigheder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende
vurdering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3)
der sker systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
Vejledning om adfaeligrdskodekser og certificeringsordninger 923
Overholdelse af en godkendt adfaeligrdskodeks skal inddrages behoslashrigt ved vurderingen af kon-
sekvenserne af de databehandlingsaktiviteter der udfoslashres af de paringgaeligldende dataansvarlige
eller databehandlere navnlig i forbindelse med en konsekvensanalyse vedroslashrende databeskyt-
telse
Eksempel 6 ndash et privathospital koslashber et nyt IT-system
Privathospitalet H oslashnsker at koslashbe et nyt IT-system hvori H bla vil registrere og behandle alle
oplysninger om sine patienter
I og med at H behandler foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang vil
H skulle lave en konsekvensanalyse inden H tager det nye IT-system i brug
Privathospitalet H har ved en tidligere lejlighed tilsluttet sig en godkendt adfaeligrdskodeks vedroslash-
rende behandlingssikkerhed (for saring vidt angaringr personoplysninger) paring privathospitaler Adfaeligrds-
kodeksen indeholder bla klare retningslinjer for pseudonymisering og kryptering af personop-
lysninger samt klare retningslinjer for privathospitalers beskyttelse af personoplysninger ud mod
internettet (firewalls mv)
Naringr H skal foretage sin konsekvensanalyse vil H kunne inddrage sin efterlevelse af den god-
kendte adfaeligrdskodeks vedroslashrende behandlingssikkerhed paring privathospitaler naringr H skal vurde-
re risikoen ved at overgaring til det nye IT-system Adfaeligrdskodeksen kan saringledes bidrage til at
mindske risikoen ved at tage det nye IT-system i brug
Det bemaeligrkes at der i artikel 35 stk 8 alene henvises til godkendte adfaeligrdskodekser Dette
er saringledes et af blot to steder hvor der ikke baringde henvises til godkendte adfaeligrdskodekser og
godkendte certificeringsordninger Se mere herom i afsnit 342 (databeskyttelse gennem de-
sign og standardindstillinger)
235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland2 skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra e at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt adfaeligrdsko-
deks Det er dog en betingelse for at anse en adfaeligrdskodeks for at sikre fornoslashdne garantier at
der er bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller databehandleren i
tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de registreredes ret-
tigheder
2 Lande der ikke er medlem af EU eller EOslashS
Vejledning om adfaeligrdskodekser og certificeringsordninger 1023
Eksempel 7 ndash databehandleren i Indien
En dansk virksomhed A oslashnsker at benytte en databehandler D i Indien til at drifte sine IT-
systemer
Da Indien er et usikkert tredjeland skal A have et overfoslashrselsgrundlag i forordningens kapitel V
inden der kan overfoslashres personoplysninger til D i Indien
Et overfoslashrselsgrundlag kan i den forbindelse vaeligre hvis D har tilsluttet sig en godkendt og bin-
dende adfaeligrdskodeks vedroslashrende overfoslashrsel af personoplysninger til databehandlere i tredje-
lande der bla indeholder klare retningslinjer om behandlingssikkerhed haringndtering af brud paring
persondatasikkerheden brug af underdatabehandlere uddannelse af medarbejdere og samar-
bejde med de relevante datatilsyn mv
Det bemaeligrkes at Drsquos tilslutning til et godkendt adfaeligrdskodeks ikke fritager A for at indgaring en
databehandleraftale med D jf databeskyttelsesforordningens artikel 28
236 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt adfaeligrdskodeks er overholdt naringr det skal afgoslashres om der skal paring-
laeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ boslashde
skal vaeligre
Efterlevelse af en godkendt adfaeligrdskodeks i forbindelse med en given behandling af personop-
lysninger vil saringledes feks kunne inddrages ved vurderingen af om der er begaringet noget straf-
bart i forbindelse med manglende overholdelse af forordningen og dermed om der skal paringlaeligg-
ges en boslashde
Paring samme maringde vil efterlevelse af en kodeks feks kunne inddrages som en formildende om-
staeligndighed ved fastsaeligttelsen af en administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 21 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt adfaeligrdskodeks ikke i sig selv er et bevis paring overholdelse af databe-
skyttelsesforordningen heller ikke for saring vidt angaringr de regler i forordningen som kodeksen
maringtte specificere anvendelsen af Overholdelse af en adfaeligrdskodeks kan dermed heller ikke i
sig selv fritage en dataansvarlig eller databehandler for ansvar
24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige
minimumskrav
Som naeligvnt ovenfor i afsnit 22 kan adfaeligrdskodekser ifoslashlge forordningen udarbejdes af sam-
menslutninger eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databe-
handlere
Som naeligvnt under samme pkt laeliggges der med databeskyttelsesforordningen op til at det ty-
pisk vil vaeligre brancheorganisationer eller lignende der tager initiativ til at udarbejde en ad-
faeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1123
Inden en adfaeligrdskodeks kan benyttes til at specificere anvendelsen af databeskyttelsesforord-
ningen skal den vaeligre godkendt af Datatilsynet
For at en adfaeligrdskodeks kan blive godkendt af Datatilsynet vil den skulle leve op til nogle ind-
holdsmaeligssige minimumskrav der samlet set skal sikre at kodeksen sikrer fornoslashdne garantier
De indholdsmaeligssige minimumskrav vil kunne udvikle sig over tid da det i et vist omfang vil
vaeligre noslashdvendigt at koordinere disse med de oslashvrige datatilsyn i EU
Datatilsynet kan dog allerede nu pege paring at foslashlgende punkter ndash efter Datatilsynets opfattelse ndash
som minimum skal beroslashres i en adfaeligrdskodeks hvis denne skal indeholde fornoslashdne garantier
- En adfaeligrdskodeks skal have fokus paring en veldefineret kategori af dataansvarlige eller
databehandlere Kodeksen skal saringledes klart angive hvilke typer organisationer eller
sektorer som kodeksen tilsigter at finde anvendelse paring
- En adfaeligrdskodeks skal vaeligre rettet mod konkrete og veldefinerede behandlinger som
er typiske for ovennaeligvnte kategorier af dataansvarlige og databehandlere
- En adfaeligrdskodeks skal forberedes omhyggeligt og der boslashr i den forbindelse ske hoslash-
ring af relevante interessenter herunder i muligt omfang de registrerede eller deres
repraeligsentanter feks Forbrugerraringdet eller lignende
- En adfaeligrdskodeks skal indeholde retningslinjer rettet mod konkrete behandlingssitua-
tioner der er relevante for den branche eller lignende som kodeksen er rettet mod
Retningslinjerne kan vaeligre relateret til det daglige arbejde og de eventuelle usaeligdvanli-
ge arbejdssituationer som behandlingsaktiviteterne maringtte indgaring i samt fastsaeligtte spe-
cifikke rammer for hvordan man kan begraelignse de risici som er blevet identificeret i
forhold til behandlingsaktiviteterne
- En adfaeligrdskodeks skal indeholde konkrete retningslinjer som hjaeliglper til at sikre at de
tilsluttede dataansvarlige eller databehandlere overholder forordningen naringr de foslashlger
adfaeligrdskodeksens retningslinjer Kodeksen skal saringledes i tilstraeligkkelig grad fokusere
paring specifikke databeskyttelsessposlashrgsmaringl og ndashproblemer der findes i den organisation
eller sektor som kodeksen finder anvendelse paring samt anvise tilstraeligkkelig klare loslashs-
ninger paring disse sposlashrgsmaringl og problemer I den forbindelse boslashr relevante kompetencer
saringsom faglige juridiske og it-sikkerhedsmaeligssige inddrages i udarbejdelsen
- En adfaeligrdskodeks skal indeholde mekanismer som goslashr et kontrolorgan i stand til at
foretage en kontrol af om den dataansvarlige eller databehandleren der har tilsluttet
sig et adfaeligrdskodeks rent faktisk overholder reglerne i kodeksen Disse kontrolmeka-
nismer kan baringde vaeligre af teknisk og organisatorisk karakter
- I forhold til enhver adfaeligrdskodeks skal der vaeligre en central instans (feks en branche-
organisation) der soslashrger for at kodeksen loslashbende bliver opdateret og tilpasset feks i
forhold til praksis fra Datatilsynet mv
Vejledning om adfaeligrdskodekser og certificeringsordninger 1223
- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-
hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-
trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre
akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan
akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har
1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-
lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-
handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af
kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og
ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-
se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets
opgaver og pligter ikke foslashrer til en interessekonflikt
- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-
holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager
ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde
databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde
beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-
delsen af bestemmelser i denne kodeksrdquo
Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder
for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring
kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-
holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-
sen bliver overholdt
Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets
kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne
foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom
overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks
I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af
og godkendelse af en adfaeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 323
10 Forord
Naringr databeskyttelsesforordningen finder anvendelse fra den 25 maj 2018 vil der vaeligre mange
regler som alle dataansvarlige og databehandlere (store som smaring) skal kunne overholde samt
kunne dokumentere at de overholder
For nogle virksomheder kan det synes uoverskueligt at skulle saeligtte sig ind i og forstaring databe-
skyttelsesforordningens mange forskelligartede regler Det vil nok isaeligr vaeligre tilfaeligldet for mikro
smaring og mellemstore virksomheder hvor behandling af personoplysninger ikke er virksomhe-
dens rdquokerneydelserdquo Ikke desto mindre vil de fleste smaring virksomheder feks toslashmrervirksomhe-
der frisoslashrer og koslashbmaelignd i et eller andet omfang behandle personoplysninger herunder oplys-
ninger om virksomhedens ansatte og virksomhedens kunder
Herudover kan det skyldes at mange smaring virksomheder i modsaeligtning til stoslashrre virksomheder
ikke har en juridisk afdeling der kan hjaeliglpe med overholdelsen ligesom de maringske ikke har
ressourcerne til at indhente ekstern juridisk raringdgivning
I databeskyttelsesforordningens kapitel 4 afdeling 5 har man bla i erkendelse af ovennaeligvn-
te indsat regler om adfaeligrdskodekser og certificeringsordninger Oslashnsket er at disse ordninger
skal kunne hjaeliglpe dataansvarlige og databehandlere til at overholde databeskyttelsesforordnin-
gen herunder feks i forhold til behandlingsaktiviteter der er saeligrligt kendetegnende for en
specifik branche eller lignende
Udarbejdelse af bla adfaeligrdskodekser vil derfor kunne vaeligre et nyttigt redskab for isaeligr mikro
smaring og mellemstore virksomheder til at hjaeliglpe med at sikre overholdelsen af forordningens
regler
Reglerne om adfaeligrdskodekser og certificeringsordninger er dog ikke udelukkende tiltaelignkt at
skulle hjaeliglpe mikro smaring og mellemstore virksomheder med deres overholdelse af forordnin-
gen Store virksomheder og offentlige myndigheder mv vil saringledes ogsaring kunne benytte sig af
ordningerne
I denne vejledning faringr man bla en introduktion til 1) hvad adfaeligrdskodekser og certificerings-
ordninger er 2) hvem der kan udarbejde en adfaeligrdskodeks eller en certificeringsordning 3)
hvad man kan bruge ordningerne til og 4) hvordan en adfaeligrdskodeks eller en certificeringsord-
ning kan blive godkendt
Denne vejledning er baseret paring reglerne i databeskyttelsesforordningens kapitel IV afdeling 5
(Europa-Parlamentets og Raringdets forordning (EU) 2016679 af 27 april 2016 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af
saringdanne oplysninger) og som bla er beskrevet i betaelignkning nr 15652017 om databeskyttel-
sesforordningen i kapitel 522-525
Vejledning om adfaeligrdskodekser og certificeringsordninger 423
20 Adfaeligrdskodekser
21 Hvad er en adfaeligrdskodeks
I databeskyttelsesforordningens forstand er en adfaeligrdskodeks et saeligt retningslinjer som skal
bidrage til at sikre at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i data-
beskyttelsesforordningen korrekt
Retningslinjerne i en kodeks skal bidrage til at sikre en korrekt anvendelse af forordningens
regler ved at angive hvordan man i specifikke typetilfaeliglde skal haringndtere behandlingen af per-
sonoplysninger Det kan feks vaeligre ved at fastlaeliggge nogle procedurer som skal foslashlges for en
specifik type behandling af personoplysninger
En adfaeligrdskodeks kan saringledes benyttes inden for en specifik kategori af databehandlingsaktivi-
teter ndash som er saeligdvanlige for feks en veldefineret gruppe af virksomheder
Overholdelse af en kodeks kan saringledes endvidere anvendes som et element til at paringvise at den
dataansvarlige eller databehandleren lever op til sine forpligtelser efter forordningen
Det er vigtigt at vaeligre opmaeligrksom paring at tilslutning til og overholdelse af en godkendt adfaeligrds-
kodeks ikke i sig selv er et bevis paring overholdelse af databeskyttelsesforordningen heller ikke
for saring vidt angaringr de artikler i forordningen som kodeksen maringtte forholde sig til Overholdelse af
en adfaeligrdskodeks kan dermed heller ikke fritage en dataansvarlig eller en databehandler for
ansvar men det maring antages at overholdelse af en godkendt adfaeligrdskodeks har betydning for
om man kan ifalde et strafansvar for at overtraeligde reglerne i forordningen eller er formildende
for saring vidt angaringr et eventuelt strafansvar jf mere herom i afsnit 23
22 Hvem kan udarbejde en adfaeligrdskodeks
En adfaeligrdskodeks kan ifoslashlge databeskyttelsesforordningen udarbejdes af sammenslutninger
eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databehandlere
De oplagte sammenslutninger er der kan taelignkes at tage initiativ til at udarbejde en adfaeligrdsko-
deks er bla brancheorganisationer og ndashforeninger Man kunne dog ogsaring forestille sig at feks
KL eller Danske Regioner kunne have en interesse i ndash i forhold til specifikke behandlingsaktivi-
teter ndash at udarbejde adfaeligrdskodeks der retter sig mod kommunerne eller regionerne
Naringr der peges paring brancheorganisationer og -foreninger saring skyldes dette at disse typisk har et
indgaringende kendskab til hvilke behandlinger af personoplysninger der er saeligdvanlige inden for
de brancher som organisationen eller foreningen repraeligsenterer
Brancheorganisationer eller foreninger ved saringledes ogsaring paring hvilke omraringder deres medlemmer
er mest udfordrede i forhold til at overholde forordningen og hvor de derfor kan have gavn af en
adfaeligrdskodeks der specificerer anvendelsen af forordningen i forhold til disse omraringder
Vejledning om adfaeligrdskodekser og certificeringsordninger 523
Eksempel 1 ndash behandling af HR-oplysninger
Arbejdsgiverorganisationen A der repraeligsenterer en lang raeligkke ejere af smaring servicevirksom-
heder i Danmark bliver opmaeligrksom paring at organisationens medlemmer har svaeligrt ved at forstaring
behandlingsreglerne i databeskyttelsesforordningens kapitel II
Langt de fleste af Arsquos medlemmer behandler kun personoplysninger om deres ansatte til HR-
formaringl og de har typisk under 5 ansatte
A beslutter paring baggrund af ovenstaringende at tage initiativ til at udarbejde en adfaeligrdskodeks der
opstiller specifikke regler for behandling af HR-oplysninger i servicevirksomheder med under 5
ansatte herunder regler om indsamling af oplysninger samt regler om sletning mv
Efter at Arsquos udkast til adfaeligrdskodeks er blevet godkendt af Datatilsynet vil Arsquos medlemmer ndash paring
frivillig basis ndash kunne tilslutte sig adfaeligrdskodeksen og dermed faring hjaeliglp til overholdelsen af de
regler i databeskyttelsesforordningen der isaeligr er relevante for medlemmerne
Som det fremgaringr af eksempel 1 er det frivilligt om man oslashnsker at tilslutte sig en adfaeligrdsko-
deks Man kan saringledes sagtens overholde databeskyttelsesforordningen uden at tilslutte sig en
adfaeligrdskodeks
23 Hvad kan en adfaeligrdskodeks benyttes til
Ifoslashlge databeskyttelsesforordningens artikel 40 stk 2 litra a-k kunne en adfaeligrdskodeks taelign-
kes at specificere anvendelsen af foslashlgende raeligkke eksempler paring forordningens regler
a) rimelig og gennemsigtig behandling
b) de legitime interesser som forfoslashlges af den dataansvarlige i specifikke sammenhaelignge
c) indsamlingen af personoplysninger
d) pseudonymiseringen af personoplysninger
e) informationen der gives til offentligheden og til registrerede
f) udoslashvelsen af registreredes rettigheder
g) informationen der gives til boslashrn og beskyttelsen af boslashrn og den maringde hvorparing sam-
tykket fra indehavere af foraeligldremyndighed over boslashrn skal indhentes
h) foranstaltningerne og procedurerne omhandlet i artikel 24 og 25 og foranstaltningerne
til at sikre behandlingssikkerhed som omhandlet i artikel 32
i) anmeldelse af brud paring persondatasikkerheden til tilsynsmyndighederne og underret-
ningen af de registrerede om saringdanne brud paring persondatasikkerheden
j) overfoslashrslen af personoplysninger til tredjelande eller internationale organisationer eller
k) udenretslige procedurer og andre procedurer for bilaeligggelse af tvister mellem dataan-
svarlige og registrerede vedroslashrende behandling uden at det beroslashrer registreredes ret-
tigheder i henhold til artikel 77 og 79
Vejledning om adfaeligrdskodekser og certificeringsordninger 623
Hvis man tager udgangspunkt i ovennaeligvnte liste kunne en adfaeligrdskodeks saringledes feks garing ud
paring at specificere databeskyttelsesforordningens regler i forhold til de registreredes rettigheder
Eksempel 2 ndash oplysningspligt
Brancheorganisationen B repraeligsenterer bla en raeligkke mindre virksomheder der beskaeligftiger
sig med rekruttering
I forbindelse med udoslashvelsen af deres rekrutteringsvirksomhed indsamler Brsquos medlemmer ofte
oplysninger om de personer som virksomheden forsoslashger at rekruttere (de registrerede) fra
andre end de paringgaeligldende personer selv Virksomhederne skal derfor ndash i overensstemmelse
med databeskyttelsesforordningens regler om oplysningspligt (her artikel 14) ndash give de registre-
rede en raeligkke oplysninger herunder oplysninger om hvem virksomheden er og med hvilke
formaringl virksomheden behandler oplysninger
Da det erfaringsmaeligssigt er svaeligrt for Brsquos medlemmer at overholde databeskyttelsesforordnin-
gens regler om oplysningspligt vaeliglger B at udarbejde en adfaeligrdskodeks som kan lette Brsquos
medlemmers overholdelse af oplysningspligten Kodeksen indeholder bla en skabelon som
Brsquos medlemmer kan benytte naringr de opfylder deres oplysningspligt over for de registrerede men
kodeksen indeholder ogsaring en raeligkke regler der kan hjaeliglpe medlemmerne til at huske at opfylde
deres oplysningspligt
En adfaeligrdskodeks kunne ligeledes garing ud paring at specificere databeskyttelsesforordningens reg-
ler om behandlingssikkerhed
Eksempel 3 ndash pseudonymisering
Brancheorganisationen C repraeligsenterer en raeligkke mindre forskningsvirksomheder der ndash paring
samme maringde ndash behandler store maeligngder foslashlsomme oplysninger (helbredsoplysninger) om
patienter til brug for udvikling af ny medicin mv
For at hjaeliglpe sine medlemmer til at overholde databeskyttelsesforordningens regler om be-
handlingssikkerhed (feks sikre at oplysninger ikke kommer til uvedkommendes kendskab)
tager C initiativ til at udarbejde en adfaeligrdskodeks om pseudonymisering1 af de patientoplysnin-
ger som Crsquos medlemmer benytter i deres forskning
Adfaeligrdskodeksen indeholder bla en procedure der skal sikre at pseudonymisering sker i
overensstemmelse med anerkendte standarder og tilpasset til den paringgaeligldende databehandling
ligesom kodeksen indeholder regler for hvordan pseudonymisering skal udfoslashres i praksis
hvornaringr pseudonymisering skal finde sted samt regler for hvordan virksomheden boslashr indrette-
arbejdsprocesserne saring faeligrrest muligt kommer til at arbejde med ikke-pseudonymiserede op-
lysninger
1 Pseudonymisering defineres i databeskyttelsesforordningen som rdquoBehandling af personoplysninger paring en saringdan maringde
at personoplysningerne ikke laeligngere kan henfoslashres til en bestemt registreret uden brug af supplerende oplysninger forud-
sat at saringdanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for
at sikre at personoplysningerne ikke henfoslashres til en identificeret eller identificerbar fysisk personrdquo
Vejledning om adfaeligrdskodekser og certificeringsordninger 723
Herudover naeligvnes det i en raeligkke bestemmelser i databeskyttelsesforordningen at dataansvar-
lige og databehandlere bla kan bruge overholdelse af en godkendt adfaeligrdskodeks som et
element til at paringvise overholdelsen af krav i forordningen ligesom overholdelse af godkendte
adfaeligrdskodekser kan inddrages ved vurderingen af om der kan idoslashmmes en straf for mang-
lende overholdelse af forordningen og i givet fald ved vurderingen af udmaringlingen af straffen
feks stoslashrrelsen af en boslashde
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt adfaeligrdskodeks kan tillaeliggges betydning
231 Den dataansvarliges ansvar (artikel 24)
Den dataansvarlige er ansvarlig for at overholde reglerne i databeskyttelsesforordningen og
skal ifoslashlge forordningens artikel 24 kunne paringvise at man overholder sine forpligtelser efter for-
ordningen
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at den
dataansvarlige lever op til sine forpligtelser efter forordningen
Eksempel 4 ndash en dataansvarlig har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
haringndtering af brud paring persondatasikkerheden
En virksomhed V har tilsluttet sig en godkendt adfaeligrdskodeks der opstiller retningslinjer for
virksomhedens haringndtering af brud paring persondatasikkerheden
Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan virksomheden skal rydde op
efter et eventuelt brud paring persondatasikkerheden og hvordan virksomheden skal soslashge at be-
graelignse skadevirkningerne af bruddet Herudover indeholder adfaeligrdskodeksen klare retnings-
linjer for anmeldelse af brud paring persondatasikkerheden til de relevante tilsynsmyndigheder samt
retningslinjer for hvornaringr og hvordan de beroslashrte registrerede skal notificeres om bruddet
Naringr virksomheden V har tilsluttet sig en adfaeligrdskodeks der opstiller klare retningslinjer for Vrsquos
haringndtering af eventuelle brud paring persondatasikkerheden vil V kunne benytte sin tilslutning til
adfaeligrdskodeksen som et element til at paringvise at V lever op til de forpligtelser der ndash efter for-
ordningen ndash paringhviler V (som dataansvarlig) hvis denne konstaterer et brud paring persondatasik-
kerheden
232 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
Det fremgaringr af databeskyttelsesforordningens artikel 28 stk 1 at en dataansvarlig kun maring
benytte databehandlere der kan stille de fornoslashdne garantier for at de vil gennemfoslashre de pas-
sende tekniske og organisatoriske foranstaltninger paring en saringdan maringde at behandling opfylder
kravene i forordningen og sikrer beskyttelse af de registreredes rettigheder
Paring samme maringde fremgaringr det af artikel 28 stk 4 at en databehandler kun maring benytte en un-
derdatabehandler hvis denne kan stille de fornoslashdne garantier
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at data-
behandleren stiller fornoslashdne garantier Paring samme maringde kan overholdelse af en godkendt ad-
Vejledning om adfaeligrdskodekser og certificeringsordninger 823
faeligrdskodeks bruges som et element til at paringvise at en underdatabehandler stiller fornoslashdne
garantier
Eksempel 5 ndash en databehandler har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
behandlingssikkerhed i cloud-loslashsninger
En virksomhed X har specialiseret sig i at udbyde skraeligddersyede cloud-loslashsninger til sine kun-
der inden for en given branche Y hvor X (som databehandler) opbevarer sine kunders person-
oplysninger i rdquoskyenrdquo
Da virksomheden X garingr meget op i at sikre sine kunders oplysninger bedst muligt har X valgt at
tilslutte sig en godkendt adfaeligrdskodeks vedroslashrende behandlingssikkerhed i cloud-loslashsninger i
branchen Y Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan cloud-udbydere
skal beskytte sine oplysninger mod at disse kan tilgarings af uvedkommende ligesom kodeksen
indeholder retningslinjer for hvordan cloud-udbydere loslashbende skal teste effektiviteten af deres
tiltag samt retningslinjer for loslashbende ekstern kontrol og cloud-udbyderens opfoslashlgning derparing
Endelig indeholder kodeksen retningslinjer for hvordan cloud-udbydere hurtigst muligt kan
genoprette tilgaeligngeligheden af og adgangen til personoplysninger i tilfaeliglde af en fysisk eller
teknisk haeligndelse
Naringr virksomheden X har tilsluttet ovennaeligvnte adfaeligrdskodeks vil X kunne bruge denne tilslut-
ning til at paringvise over for potentielle kunder (dataansvarlige) at X ndash i sin loslashsning ndash kan stille de
fornoslashdne garantier i forhold til datasikkerheden i branchen Y
233 Behandlingssikkerhed (artikel 32)
Ifoslashlge databeskyttelsesforordningen skal den dataansvarlige og databehandleren gennemfoslashre
passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau som
passer til de risici der er ved den paringgaeligldende behandling af personoplysninger
Af databeskyttelsesforordningens artikel 32 stk 3 fremgaringr det at overholdelse af en godkendt
adfaeligrdskodeks kan bruges som et element til at paringvise den dataansvarliges eller databehand-
lerens overholdelse af kravene til behandlingssikkerhed
For eksempler vedroslashrende behandlingssikkerhed kan der henvises til eksempel 3 og 5 ovenfor
234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35)
Efter databeskyttelsesforordningens artikel 35 skal en dataansvarlig foretage en konsekvens-
analyse hvis en type behandling ndash navnlig ved brug af nye teknologier og i medfoslashr af sin karak-
ter omfang sammenhaeligng og formaringl ndash sandsynligvis vil indebaeligre en hoslashj risiko for fysiske per-
soners rettigheder og frihedsrettigheder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende
vurdering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3)
der sker systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
Vejledning om adfaeligrdskodekser og certificeringsordninger 923
Overholdelse af en godkendt adfaeligrdskodeks skal inddrages behoslashrigt ved vurderingen af kon-
sekvenserne af de databehandlingsaktiviteter der udfoslashres af de paringgaeligldende dataansvarlige
eller databehandlere navnlig i forbindelse med en konsekvensanalyse vedroslashrende databeskyt-
telse
Eksempel 6 ndash et privathospital koslashber et nyt IT-system
Privathospitalet H oslashnsker at koslashbe et nyt IT-system hvori H bla vil registrere og behandle alle
oplysninger om sine patienter
I og med at H behandler foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang vil
H skulle lave en konsekvensanalyse inden H tager det nye IT-system i brug
Privathospitalet H har ved en tidligere lejlighed tilsluttet sig en godkendt adfaeligrdskodeks vedroslash-
rende behandlingssikkerhed (for saring vidt angaringr personoplysninger) paring privathospitaler Adfaeligrds-
kodeksen indeholder bla klare retningslinjer for pseudonymisering og kryptering af personop-
lysninger samt klare retningslinjer for privathospitalers beskyttelse af personoplysninger ud mod
internettet (firewalls mv)
Naringr H skal foretage sin konsekvensanalyse vil H kunne inddrage sin efterlevelse af den god-
kendte adfaeligrdskodeks vedroslashrende behandlingssikkerhed paring privathospitaler naringr H skal vurde-
re risikoen ved at overgaring til det nye IT-system Adfaeligrdskodeksen kan saringledes bidrage til at
mindske risikoen ved at tage det nye IT-system i brug
Det bemaeligrkes at der i artikel 35 stk 8 alene henvises til godkendte adfaeligrdskodekser Dette
er saringledes et af blot to steder hvor der ikke baringde henvises til godkendte adfaeligrdskodekser og
godkendte certificeringsordninger Se mere herom i afsnit 342 (databeskyttelse gennem de-
sign og standardindstillinger)
235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland2 skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra e at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt adfaeligrdsko-
deks Det er dog en betingelse for at anse en adfaeligrdskodeks for at sikre fornoslashdne garantier at
der er bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller databehandleren i
tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de registreredes ret-
tigheder
2 Lande der ikke er medlem af EU eller EOslashS
Vejledning om adfaeligrdskodekser og certificeringsordninger 1023
Eksempel 7 ndash databehandleren i Indien
En dansk virksomhed A oslashnsker at benytte en databehandler D i Indien til at drifte sine IT-
systemer
Da Indien er et usikkert tredjeland skal A have et overfoslashrselsgrundlag i forordningens kapitel V
inden der kan overfoslashres personoplysninger til D i Indien
Et overfoslashrselsgrundlag kan i den forbindelse vaeligre hvis D har tilsluttet sig en godkendt og bin-
dende adfaeligrdskodeks vedroslashrende overfoslashrsel af personoplysninger til databehandlere i tredje-
lande der bla indeholder klare retningslinjer om behandlingssikkerhed haringndtering af brud paring
persondatasikkerheden brug af underdatabehandlere uddannelse af medarbejdere og samar-
bejde med de relevante datatilsyn mv
Det bemaeligrkes at Drsquos tilslutning til et godkendt adfaeligrdskodeks ikke fritager A for at indgaring en
databehandleraftale med D jf databeskyttelsesforordningens artikel 28
236 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt adfaeligrdskodeks er overholdt naringr det skal afgoslashres om der skal paring-
laeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ boslashde
skal vaeligre
Efterlevelse af en godkendt adfaeligrdskodeks i forbindelse med en given behandling af personop-
lysninger vil saringledes feks kunne inddrages ved vurderingen af om der er begaringet noget straf-
bart i forbindelse med manglende overholdelse af forordningen og dermed om der skal paringlaeligg-
ges en boslashde
Paring samme maringde vil efterlevelse af en kodeks feks kunne inddrages som en formildende om-
staeligndighed ved fastsaeligttelsen af en administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 21 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt adfaeligrdskodeks ikke i sig selv er et bevis paring overholdelse af databe-
skyttelsesforordningen heller ikke for saring vidt angaringr de regler i forordningen som kodeksen
maringtte specificere anvendelsen af Overholdelse af en adfaeligrdskodeks kan dermed heller ikke i
sig selv fritage en dataansvarlig eller databehandler for ansvar
24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige
minimumskrav
Som naeligvnt ovenfor i afsnit 22 kan adfaeligrdskodekser ifoslashlge forordningen udarbejdes af sam-
menslutninger eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databe-
handlere
Som naeligvnt under samme pkt laeliggges der med databeskyttelsesforordningen op til at det ty-
pisk vil vaeligre brancheorganisationer eller lignende der tager initiativ til at udarbejde en ad-
faeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1123
Inden en adfaeligrdskodeks kan benyttes til at specificere anvendelsen af databeskyttelsesforord-
ningen skal den vaeligre godkendt af Datatilsynet
For at en adfaeligrdskodeks kan blive godkendt af Datatilsynet vil den skulle leve op til nogle ind-
holdsmaeligssige minimumskrav der samlet set skal sikre at kodeksen sikrer fornoslashdne garantier
De indholdsmaeligssige minimumskrav vil kunne udvikle sig over tid da det i et vist omfang vil
vaeligre noslashdvendigt at koordinere disse med de oslashvrige datatilsyn i EU
Datatilsynet kan dog allerede nu pege paring at foslashlgende punkter ndash efter Datatilsynets opfattelse ndash
som minimum skal beroslashres i en adfaeligrdskodeks hvis denne skal indeholde fornoslashdne garantier
- En adfaeligrdskodeks skal have fokus paring en veldefineret kategori af dataansvarlige eller
databehandlere Kodeksen skal saringledes klart angive hvilke typer organisationer eller
sektorer som kodeksen tilsigter at finde anvendelse paring
- En adfaeligrdskodeks skal vaeligre rettet mod konkrete og veldefinerede behandlinger som
er typiske for ovennaeligvnte kategorier af dataansvarlige og databehandlere
- En adfaeligrdskodeks skal forberedes omhyggeligt og der boslashr i den forbindelse ske hoslash-
ring af relevante interessenter herunder i muligt omfang de registrerede eller deres
repraeligsentanter feks Forbrugerraringdet eller lignende
- En adfaeligrdskodeks skal indeholde retningslinjer rettet mod konkrete behandlingssitua-
tioner der er relevante for den branche eller lignende som kodeksen er rettet mod
Retningslinjerne kan vaeligre relateret til det daglige arbejde og de eventuelle usaeligdvanli-
ge arbejdssituationer som behandlingsaktiviteterne maringtte indgaring i samt fastsaeligtte spe-
cifikke rammer for hvordan man kan begraelignse de risici som er blevet identificeret i
forhold til behandlingsaktiviteterne
- En adfaeligrdskodeks skal indeholde konkrete retningslinjer som hjaeliglper til at sikre at de
tilsluttede dataansvarlige eller databehandlere overholder forordningen naringr de foslashlger
adfaeligrdskodeksens retningslinjer Kodeksen skal saringledes i tilstraeligkkelig grad fokusere
paring specifikke databeskyttelsessposlashrgsmaringl og ndashproblemer der findes i den organisation
eller sektor som kodeksen finder anvendelse paring samt anvise tilstraeligkkelig klare loslashs-
ninger paring disse sposlashrgsmaringl og problemer I den forbindelse boslashr relevante kompetencer
saringsom faglige juridiske og it-sikkerhedsmaeligssige inddrages i udarbejdelsen
- En adfaeligrdskodeks skal indeholde mekanismer som goslashr et kontrolorgan i stand til at
foretage en kontrol af om den dataansvarlige eller databehandleren der har tilsluttet
sig et adfaeligrdskodeks rent faktisk overholder reglerne i kodeksen Disse kontrolmeka-
nismer kan baringde vaeligre af teknisk og organisatorisk karakter
- I forhold til enhver adfaeligrdskodeks skal der vaeligre en central instans (feks en branche-
organisation) der soslashrger for at kodeksen loslashbende bliver opdateret og tilpasset feks i
forhold til praksis fra Datatilsynet mv
Vejledning om adfaeligrdskodekser og certificeringsordninger 1223
- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-
hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-
trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre
akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan
akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har
1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-
lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-
handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af
kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og
ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-
se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets
opgaver og pligter ikke foslashrer til en interessekonflikt
- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-
holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager
ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde
databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde
beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-
delsen af bestemmelser i denne kodeksrdquo
Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder
for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring
kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-
holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-
sen bliver overholdt
Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets
kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne
foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom
overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks
I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af
og godkendelse af en adfaeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 423
20 Adfaeligrdskodekser
21 Hvad er en adfaeligrdskodeks
I databeskyttelsesforordningens forstand er en adfaeligrdskodeks et saeligt retningslinjer som skal
bidrage til at sikre at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i data-
beskyttelsesforordningen korrekt
Retningslinjerne i en kodeks skal bidrage til at sikre en korrekt anvendelse af forordningens
regler ved at angive hvordan man i specifikke typetilfaeliglde skal haringndtere behandlingen af per-
sonoplysninger Det kan feks vaeligre ved at fastlaeliggge nogle procedurer som skal foslashlges for en
specifik type behandling af personoplysninger
En adfaeligrdskodeks kan saringledes benyttes inden for en specifik kategori af databehandlingsaktivi-
teter ndash som er saeligdvanlige for feks en veldefineret gruppe af virksomheder
Overholdelse af en kodeks kan saringledes endvidere anvendes som et element til at paringvise at den
dataansvarlige eller databehandleren lever op til sine forpligtelser efter forordningen
Det er vigtigt at vaeligre opmaeligrksom paring at tilslutning til og overholdelse af en godkendt adfaeligrds-
kodeks ikke i sig selv er et bevis paring overholdelse af databeskyttelsesforordningen heller ikke
for saring vidt angaringr de artikler i forordningen som kodeksen maringtte forholde sig til Overholdelse af
en adfaeligrdskodeks kan dermed heller ikke fritage en dataansvarlig eller en databehandler for
ansvar men det maring antages at overholdelse af en godkendt adfaeligrdskodeks har betydning for
om man kan ifalde et strafansvar for at overtraeligde reglerne i forordningen eller er formildende
for saring vidt angaringr et eventuelt strafansvar jf mere herom i afsnit 23
22 Hvem kan udarbejde en adfaeligrdskodeks
En adfaeligrdskodeks kan ifoslashlge databeskyttelsesforordningen udarbejdes af sammenslutninger
eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databehandlere
De oplagte sammenslutninger er der kan taelignkes at tage initiativ til at udarbejde en adfaeligrdsko-
deks er bla brancheorganisationer og ndashforeninger Man kunne dog ogsaring forestille sig at feks
KL eller Danske Regioner kunne have en interesse i ndash i forhold til specifikke behandlingsaktivi-
teter ndash at udarbejde adfaeligrdskodeks der retter sig mod kommunerne eller regionerne
Naringr der peges paring brancheorganisationer og -foreninger saring skyldes dette at disse typisk har et
indgaringende kendskab til hvilke behandlinger af personoplysninger der er saeligdvanlige inden for
de brancher som organisationen eller foreningen repraeligsenterer
Brancheorganisationer eller foreninger ved saringledes ogsaring paring hvilke omraringder deres medlemmer
er mest udfordrede i forhold til at overholde forordningen og hvor de derfor kan have gavn af en
adfaeligrdskodeks der specificerer anvendelsen af forordningen i forhold til disse omraringder
Vejledning om adfaeligrdskodekser og certificeringsordninger 523
Eksempel 1 ndash behandling af HR-oplysninger
Arbejdsgiverorganisationen A der repraeligsenterer en lang raeligkke ejere af smaring servicevirksom-
heder i Danmark bliver opmaeligrksom paring at organisationens medlemmer har svaeligrt ved at forstaring
behandlingsreglerne i databeskyttelsesforordningens kapitel II
Langt de fleste af Arsquos medlemmer behandler kun personoplysninger om deres ansatte til HR-
formaringl og de har typisk under 5 ansatte
A beslutter paring baggrund af ovenstaringende at tage initiativ til at udarbejde en adfaeligrdskodeks der
opstiller specifikke regler for behandling af HR-oplysninger i servicevirksomheder med under 5
ansatte herunder regler om indsamling af oplysninger samt regler om sletning mv
Efter at Arsquos udkast til adfaeligrdskodeks er blevet godkendt af Datatilsynet vil Arsquos medlemmer ndash paring
frivillig basis ndash kunne tilslutte sig adfaeligrdskodeksen og dermed faring hjaeliglp til overholdelsen af de
regler i databeskyttelsesforordningen der isaeligr er relevante for medlemmerne
Som det fremgaringr af eksempel 1 er det frivilligt om man oslashnsker at tilslutte sig en adfaeligrdsko-
deks Man kan saringledes sagtens overholde databeskyttelsesforordningen uden at tilslutte sig en
adfaeligrdskodeks
23 Hvad kan en adfaeligrdskodeks benyttes til
Ifoslashlge databeskyttelsesforordningens artikel 40 stk 2 litra a-k kunne en adfaeligrdskodeks taelign-
kes at specificere anvendelsen af foslashlgende raeligkke eksempler paring forordningens regler
a) rimelig og gennemsigtig behandling
b) de legitime interesser som forfoslashlges af den dataansvarlige i specifikke sammenhaelignge
c) indsamlingen af personoplysninger
d) pseudonymiseringen af personoplysninger
e) informationen der gives til offentligheden og til registrerede
f) udoslashvelsen af registreredes rettigheder
g) informationen der gives til boslashrn og beskyttelsen af boslashrn og den maringde hvorparing sam-
tykket fra indehavere af foraeligldremyndighed over boslashrn skal indhentes
h) foranstaltningerne og procedurerne omhandlet i artikel 24 og 25 og foranstaltningerne
til at sikre behandlingssikkerhed som omhandlet i artikel 32
i) anmeldelse af brud paring persondatasikkerheden til tilsynsmyndighederne og underret-
ningen af de registrerede om saringdanne brud paring persondatasikkerheden
j) overfoslashrslen af personoplysninger til tredjelande eller internationale organisationer eller
k) udenretslige procedurer og andre procedurer for bilaeligggelse af tvister mellem dataan-
svarlige og registrerede vedroslashrende behandling uden at det beroslashrer registreredes ret-
tigheder i henhold til artikel 77 og 79
Vejledning om adfaeligrdskodekser og certificeringsordninger 623
Hvis man tager udgangspunkt i ovennaeligvnte liste kunne en adfaeligrdskodeks saringledes feks garing ud
paring at specificere databeskyttelsesforordningens regler i forhold til de registreredes rettigheder
Eksempel 2 ndash oplysningspligt
Brancheorganisationen B repraeligsenterer bla en raeligkke mindre virksomheder der beskaeligftiger
sig med rekruttering
I forbindelse med udoslashvelsen af deres rekrutteringsvirksomhed indsamler Brsquos medlemmer ofte
oplysninger om de personer som virksomheden forsoslashger at rekruttere (de registrerede) fra
andre end de paringgaeligldende personer selv Virksomhederne skal derfor ndash i overensstemmelse
med databeskyttelsesforordningens regler om oplysningspligt (her artikel 14) ndash give de registre-
rede en raeligkke oplysninger herunder oplysninger om hvem virksomheden er og med hvilke
formaringl virksomheden behandler oplysninger
Da det erfaringsmaeligssigt er svaeligrt for Brsquos medlemmer at overholde databeskyttelsesforordnin-
gens regler om oplysningspligt vaeliglger B at udarbejde en adfaeligrdskodeks som kan lette Brsquos
medlemmers overholdelse af oplysningspligten Kodeksen indeholder bla en skabelon som
Brsquos medlemmer kan benytte naringr de opfylder deres oplysningspligt over for de registrerede men
kodeksen indeholder ogsaring en raeligkke regler der kan hjaeliglpe medlemmerne til at huske at opfylde
deres oplysningspligt
En adfaeligrdskodeks kunne ligeledes garing ud paring at specificere databeskyttelsesforordningens reg-
ler om behandlingssikkerhed
Eksempel 3 ndash pseudonymisering
Brancheorganisationen C repraeligsenterer en raeligkke mindre forskningsvirksomheder der ndash paring
samme maringde ndash behandler store maeligngder foslashlsomme oplysninger (helbredsoplysninger) om
patienter til brug for udvikling af ny medicin mv
For at hjaeliglpe sine medlemmer til at overholde databeskyttelsesforordningens regler om be-
handlingssikkerhed (feks sikre at oplysninger ikke kommer til uvedkommendes kendskab)
tager C initiativ til at udarbejde en adfaeligrdskodeks om pseudonymisering1 af de patientoplysnin-
ger som Crsquos medlemmer benytter i deres forskning
Adfaeligrdskodeksen indeholder bla en procedure der skal sikre at pseudonymisering sker i
overensstemmelse med anerkendte standarder og tilpasset til den paringgaeligldende databehandling
ligesom kodeksen indeholder regler for hvordan pseudonymisering skal udfoslashres i praksis
hvornaringr pseudonymisering skal finde sted samt regler for hvordan virksomheden boslashr indrette-
arbejdsprocesserne saring faeligrrest muligt kommer til at arbejde med ikke-pseudonymiserede op-
lysninger
1 Pseudonymisering defineres i databeskyttelsesforordningen som rdquoBehandling af personoplysninger paring en saringdan maringde
at personoplysningerne ikke laeligngere kan henfoslashres til en bestemt registreret uden brug af supplerende oplysninger forud-
sat at saringdanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for
at sikre at personoplysningerne ikke henfoslashres til en identificeret eller identificerbar fysisk personrdquo
Vejledning om adfaeligrdskodekser og certificeringsordninger 723
Herudover naeligvnes det i en raeligkke bestemmelser i databeskyttelsesforordningen at dataansvar-
lige og databehandlere bla kan bruge overholdelse af en godkendt adfaeligrdskodeks som et
element til at paringvise overholdelsen af krav i forordningen ligesom overholdelse af godkendte
adfaeligrdskodekser kan inddrages ved vurderingen af om der kan idoslashmmes en straf for mang-
lende overholdelse af forordningen og i givet fald ved vurderingen af udmaringlingen af straffen
feks stoslashrrelsen af en boslashde
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt adfaeligrdskodeks kan tillaeliggges betydning
231 Den dataansvarliges ansvar (artikel 24)
Den dataansvarlige er ansvarlig for at overholde reglerne i databeskyttelsesforordningen og
skal ifoslashlge forordningens artikel 24 kunne paringvise at man overholder sine forpligtelser efter for-
ordningen
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at den
dataansvarlige lever op til sine forpligtelser efter forordningen
Eksempel 4 ndash en dataansvarlig har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
haringndtering af brud paring persondatasikkerheden
En virksomhed V har tilsluttet sig en godkendt adfaeligrdskodeks der opstiller retningslinjer for
virksomhedens haringndtering af brud paring persondatasikkerheden
Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan virksomheden skal rydde op
efter et eventuelt brud paring persondatasikkerheden og hvordan virksomheden skal soslashge at be-
graelignse skadevirkningerne af bruddet Herudover indeholder adfaeligrdskodeksen klare retnings-
linjer for anmeldelse af brud paring persondatasikkerheden til de relevante tilsynsmyndigheder samt
retningslinjer for hvornaringr og hvordan de beroslashrte registrerede skal notificeres om bruddet
Naringr virksomheden V har tilsluttet sig en adfaeligrdskodeks der opstiller klare retningslinjer for Vrsquos
haringndtering af eventuelle brud paring persondatasikkerheden vil V kunne benytte sin tilslutning til
adfaeligrdskodeksen som et element til at paringvise at V lever op til de forpligtelser der ndash efter for-
ordningen ndash paringhviler V (som dataansvarlig) hvis denne konstaterer et brud paring persondatasik-
kerheden
232 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
Det fremgaringr af databeskyttelsesforordningens artikel 28 stk 1 at en dataansvarlig kun maring
benytte databehandlere der kan stille de fornoslashdne garantier for at de vil gennemfoslashre de pas-
sende tekniske og organisatoriske foranstaltninger paring en saringdan maringde at behandling opfylder
kravene i forordningen og sikrer beskyttelse af de registreredes rettigheder
Paring samme maringde fremgaringr det af artikel 28 stk 4 at en databehandler kun maring benytte en un-
derdatabehandler hvis denne kan stille de fornoslashdne garantier
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at data-
behandleren stiller fornoslashdne garantier Paring samme maringde kan overholdelse af en godkendt ad-
Vejledning om adfaeligrdskodekser og certificeringsordninger 823
faeligrdskodeks bruges som et element til at paringvise at en underdatabehandler stiller fornoslashdne
garantier
Eksempel 5 ndash en databehandler har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
behandlingssikkerhed i cloud-loslashsninger
En virksomhed X har specialiseret sig i at udbyde skraeligddersyede cloud-loslashsninger til sine kun-
der inden for en given branche Y hvor X (som databehandler) opbevarer sine kunders person-
oplysninger i rdquoskyenrdquo
Da virksomheden X garingr meget op i at sikre sine kunders oplysninger bedst muligt har X valgt at
tilslutte sig en godkendt adfaeligrdskodeks vedroslashrende behandlingssikkerhed i cloud-loslashsninger i
branchen Y Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan cloud-udbydere
skal beskytte sine oplysninger mod at disse kan tilgarings af uvedkommende ligesom kodeksen
indeholder retningslinjer for hvordan cloud-udbydere loslashbende skal teste effektiviteten af deres
tiltag samt retningslinjer for loslashbende ekstern kontrol og cloud-udbyderens opfoslashlgning derparing
Endelig indeholder kodeksen retningslinjer for hvordan cloud-udbydere hurtigst muligt kan
genoprette tilgaeligngeligheden af og adgangen til personoplysninger i tilfaeliglde af en fysisk eller
teknisk haeligndelse
Naringr virksomheden X har tilsluttet ovennaeligvnte adfaeligrdskodeks vil X kunne bruge denne tilslut-
ning til at paringvise over for potentielle kunder (dataansvarlige) at X ndash i sin loslashsning ndash kan stille de
fornoslashdne garantier i forhold til datasikkerheden i branchen Y
233 Behandlingssikkerhed (artikel 32)
Ifoslashlge databeskyttelsesforordningen skal den dataansvarlige og databehandleren gennemfoslashre
passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau som
passer til de risici der er ved den paringgaeligldende behandling af personoplysninger
Af databeskyttelsesforordningens artikel 32 stk 3 fremgaringr det at overholdelse af en godkendt
adfaeligrdskodeks kan bruges som et element til at paringvise den dataansvarliges eller databehand-
lerens overholdelse af kravene til behandlingssikkerhed
For eksempler vedroslashrende behandlingssikkerhed kan der henvises til eksempel 3 og 5 ovenfor
234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35)
Efter databeskyttelsesforordningens artikel 35 skal en dataansvarlig foretage en konsekvens-
analyse hvis en type behandling ndash navnlig ved brug af nye teknologier og i medfoslashr af sin karak-
ter omfang sammenhaeligng og formaringl ndash sandsynligvis vil indebaeligre en hoslashj risiko for fysiske per-
soners rettigheder og frihedsrettigheder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende
vurdering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3)
der sker systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
Vejledning om adfaeligrdskodekser og certificeringsordninger 923
Overholdelse af en godkendt adfaeligrdskodeks skal inddrages behoslashrigt ved vurderingen af kon-
sekvenserne af de databehandlingsaktiviteter der udfoslashres af de paringgaeligldende dataansvarlige
eller databehandlere navnlig i forbindelse med en konsekvensanalyse vedroslashrende databeskyt-
telse
Eksempel 6 ndash et privathospital koslashber et nyt IT-system
Privathospitalet H oslashnsker at koslashbe et nyt IT-system hvori H bla vil registrere og behandle alle
oplysninger om sine patienter
I og med at H behandler foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang vil
H skulle lave en konsekvensanalyse inden H tager det nye IT-system i brug
Privathospitalet H har ved en tidligere lejlighed tilsluttet sig en godkendt adfaeligrdskodeks vedroslash-
rende behandlingssikkerhed (for saring vidt angaringr personoplysninger) paring privathospitaler Adfaeligrds-
kodeksen indeholder bla klare retningslinjer for pseudonymisering og kryptering af personop-
lysninger samt klare retningslinjer for privathospitalers beskyttelse af personoplysninger ud mod
internettet (firewalls mv)
Naringr H skal foretage sin konsekvensanalyse vil H kunne inddrage sin efterlevelse af den god-
kendte adfaeligrdskodeks vedroslashrende behandlingssikkerhed paring privathospitaler naringr H skal vurde-
re risikoen ved at overgaring til det nye IT-system Adfaeligrdskodeksen kan saringledes bidrage til at
mindske risikoen ved at tage det nye IT-system i brug
Det bemaeligrkes at der i artikel 35 stk 8 alene henvises til godkendte adfaeligrdskodekser Dette
er saringledes et af blot to steder hvor der ikke baringde henvises til godkendte adfaeligrdskodekser og
godkendte certificeringsordninger Se mere herom i afsnit 342 (databeskyttelse gennem de-
sign og standardindstillinger)
235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland2 skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra e at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt adfaeligrdsko-
deks Det er dog en betingelse for at anse en adfaeligrdskodeks for at sikre fornoslashdne garantier at
der er bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller databehandleren i
tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de registreredes ret-
tigheder
2 Lande der ikke er medlem af EU eller EOslashS
Vejledning om adfaeligrdskodekser og certificeringsordninger 1023
Eksempel 7 ndash databehandleren i Indien
En dansk virksomhed A oslashnsker at benytte en databehandler D i Indien til at drifte sine IT-
systemer
Da Indien er et usikkert tredjeland skal A have et overfoslashrselsgrundlag i forordningens kapitel V
inden der kan overfoslashres personoplysninger til D i Indien
Et overfoslashrselsgrundlag kan i den forbindelse vaeligre hvis D har tilsluttet sig en godkendt og bin-
dende adfaeligrdskodeks vedroslashrende overfoslashrsel af personoplysninger til databehandlere i tredje-
lande der bla indeholder klare retningslinjer om behandlingssikkerhed haringndtering af brud paring
persondatasikkerheden brug af underdatabehandlere uddannelse af medarbejdere og samar-
bejde med de relevante datatilsyn mv
Det bemaeligrkes at Drsquos tilslutning til et godkendt adfaeligrdskodeks ikke fritager A for at indgaring en
databehandleraftale med D jf databeskyttelsesforordningens artikel 28
236 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt adfaeligrdskodeks er overholdt naringr det skal afgoslashres om der skal paring-
laeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ boslashde
skal vaeligre
Efterlevelse af en godkendt adfaeligrdskodeks i forbindelse med en given behandling af personop-
lysninger vil saringledes feks kunne inddrages ved vurderingen af om der er begaringet noget straf-
bart i forbindelse med manglende overholdelse af forordningen og dermed om der skal paringlaeligg-
ges en boslashde
Paring samme maringde vil efterlevelse af en kodeks feks kunne inddrages som en formildende om-
staeligndighed ved fastsaeligttelsen af en administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 21 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt adfaeligrdskodeks ikke i sig selv er et bevis paring overholdelse af databe-
skyttelsesforordningen heller ikke for saring vidt angaringr de regler i forordningen som kodeksen
maringtte specificere anvendelsen af Overholdelse af en adfaeligrdskodeks kan dermed heller ikke i
sig selv fritage en dataansvarlig eller databehandler for ansvar
24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige
minimumskrav
Som naeligvnt ovenfor i afsnit 22 kan adfaeligrdskodekser ifoslashlge forordningen udarbejdes af sam-
menslutninger eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databe-
handlere
Som naeligvnt under samme pkt laeliggges der med databeskyttelsesforordningen op til at det ty-
pisk vil vaeligre brancheorganisationer eller lignende der tager initiativ til at udarbejde en ad-
faeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1123
Inden en adfaeligrdskodeks kan benyttes til at specificere anvendelsen af databeskyttelsesforord-
ningen skal den vaeligre godkendt af Datatilsynet
For at en adfaeligrdskodeks kan blive godkendt af Datatilsynet vil den skulle leve op til nogle ind-
holdsmaeligssige minimumskrav der samlet set skal sikre at kodeksen sikrer fornoslashdne garantier
De indholdsmaeligssige minimumskrav vil kunne udvikle sig over tid da det i et vist omfang vil
vaeligre noslashdvendigt at koordinere disse med de oslashvrige datatilsyn i EU
Datatilsynet kan dog allerede nu pege paring at foslashlgende punkter ndash efter Datatilsynets opfattelse ndash
som minimum skal beroslashres i en adfaeligrdskodeks hvis denne skal indeholde fornoslashdne garantier
- En adfaeligrdskodeks skal have fokus paring en veldefineret kategori af dataansvarlige eller
databehandlere Kodeksen skal saringledes klart angive hvilke typer organisationer eller
sektorer som kodeksen tilsigter at finde anvendelse paring
- En adfaeligrdskodeks skal vaeligre rettet mod konkrete og veldefinerede behandlinger som
er typiske for ovennaeligvnte kategorier af dataansvarlige og databehandlere
- En adfaeligrdskodeks skal forberedes omhyggeligt og der boslashr i den forbindelse ske hoslash-
ring af relevante interessenter herunder i muligt omfang de registrerede eller deres
repraeligsentanter feks Forbrugerraringdet eller lignende
- En adfaeligrdskodeks skal indeholde retningslinjer rettet mod konkrete behandlingssitua-
tioner der er relevante for den branche eller lignende som kodeksen er rettet mod
Retningslinjerne kan vaeligre relateret til det daglige arbejde og de eventuelle usaeligdvanli-
ge arbejdssituationer som behandlingsaktiviteterne maringtte indgaring i samt fastsaeligtte spe-
cifikke rammer for hvordan man kan begraelignse de risici som er blevet identificeret i
forhold til behandlingsaktiviteterne
- En adfaeligrdskodeks skal indeholde konkrete retningslinjer som hjaeliglper til at sikre at de
tilsluttede dataansvarlige eller databehandlere overholder forordningen naringr de foslashlger
adfaeligrdskodeksens retningslinjer Kodeksen skal saringledes i tilstraeligkkelig grad fokusere
paring specifikke databeskyttelsessposlashrgsmaringl og ndashproblemer der findes i den organisation
eller sektor som kodeksen finder anvendelse paring samt anvise tilstraeligkkelig klare loslashs-
ninger paring disse sposlashrgsmaringl og problemer I den forbindelse boslashr relevante kompetencer
saringsom faglige juridiske og it-sikkerhedsmaeligssige inddrages i udarbejdelsen
- En adfaeligrdskodeks skal indeholde mekanismer som goslashr et kontrolorgan i stand til at
foretage en kontrol af om den dataansvarlige eller databehandleren der har tilsluttet
sig et adfaeligrdskodeks rent faktisk overholder reglerne i kodeksen Disse kontrolmeka-
nismer kan baringde vaeligre af teknisk og organisatorisk karakter
- I forhold til enhver adfaeligrdskodeks skal der vaeligre en central instans (feks en branche-
organisation) der soslashrger for at kodeksen loslashbende bliver opdateret og tilpasset feks i
forhold til praksis fra Datatilsynet mv
Vejledning om adfaeligrdskodekser og certificeringsordninger 1223
- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-
hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-
trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre
akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan
akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har
1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-
lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-
handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af
kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og
ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-
se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets
opgaver og pligter ikke foslashrer til en interessekonflikt
- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-
holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager
ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde
databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde
beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-
delsen af bestemmelser i denne kodeksrdquo
Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder
for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring
kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-
holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-
sen bliver overholdt
Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets
kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne
foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom
overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks
I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af
og godkendelse af en adfaeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 523
Eksempel 1 ndash behandling af HR-oplysninger
Arbejdsgiverorganisationen A der repraeligsenterer en lang raeligkke ejere af smaring servicevirksom-
heder i Danmark bliver opmaeligrksom paring at organisationens medlemmer har svaeligrt ved at forstaring
behandlingsreglerne i databeskyttelsesforordningens kapitel II
Langt de fleste af Arsquos medlemmer behandler kun personoplysninger om deres ansatte til HR-
formaringl og de har typisk under 5 ansatte
A beslutter paring baggrund af ovenstaringende at tage initiativ til at udarbejde en adfaeligrdskodeks der
opstiller specifikke regler for behandling af HR-oplysninger i servicevirksomheder med under 5
ansatte herunder regler om indsamling af oplysninger samt regler om sletning mv
Efter at Arsquos udkast til adfaeligrdskodeks er blevet godkendt af Datatilsynet vil Arsquos medlemmer ndash paring
frivillig basis ndash kunne tilslutte sig adfaeligrdskodeksen og dermed faring hjaeliglp til overholdelsen af de
regler i databeskyttelsesforordningen der isaeligr er relevante for medlemmerne
Som det fremgaringr af eksempel 1 er det frivilligt om man oslashnsker at tilslutte sig en adfaeligrdsko-
deks Man kan saringledes sagtens overholde databeskyttelsesforordningen uden at tilslutte sig en
adfaeligrdskodeks
23 Hvad kan en adfaeligrdskodeks benyttes til
Ifoslashlge databeskyttelsesforordningens artikel 40 stk 2 litra a-k kunne en adfaeligrdskodeks taelign-
kes at specificere anvendelsen af foslashlgende raeligkke eksempler paring forordningens regler
a) rimelig og gennemsigtig behandling
b) de legitime interesser som forfoslashlges af den dataansvarlige i specifikke sammenhaelignge
c) indsamlingen af personoplysninger
d) pseudonymiseringen af personoplysninger
e) informationen der gives til offentligheden og til registrerede
f) udoslashvelsen af registreredes rettigheder
g) informationen der gives til boslashrn og beskyttelsen af boslashrn og den maringde hvorparing sam-
tykket fra indehavere af foraeligldremyndighed over boslashrn skal indhentes
h) foranstaltningerne og procedurerne omhandlet i artikel 24 og 25 og foranstaltningerne
til at sikre behandlingssikkerhed som omhandlet i artikel 32
i) anmeldelse af brud paring persondatasikkerheden til tilsynsmyndighederne og underret-
ningen af de registrerede om saringdanne brud paring persondatasikkerheden
j) overfoslashrslen af personoplysninger til tredjelande eller internationale organisationer eller
k) udenretslige procedurer og andre procedurer for bilaeligggelse af tvister mellem dataan-
svarlige og registrerede vedroslashrende behandling uden at det beroslashrer registreredes ret-
tigheder i henhold til artikel 77 og 79
Vejledning om adfaeligrdskodekser og certificeringsordninger 623
Hvis man tager udgangspunkt i ovennaeligvnte liste kunne en adfaeligrdskodeks saringledes feks garing ud
paring at specificere databeskyttelsesforordningens regler i forhold til de registreredes rettigheder
Eksempel 2 ndash oplysningspligt
Brancheorganisationen B repraeligsenterer bla en raeligkke mindre virksomheder der beskaeligftiger
sig med rekruttering
I forbindelse med udoslashvelsen af deres rekrutteringsvirksomhed indsamler Brsquos medlemmer ofte
oplysninger om de personer som virksomheden forsoslashger at rekruttere (de registrerede) fra
andre end de paringgaeligldende personer selv Virksomhederne skal derfor ndash i overensstemmelse
med databeskyttelsesforordningens regler om oplysningspligt (her artikel 14) ndash give de registre-
rede en raeligkke oplysninger herunder oplysninger om hvem virksomheden er og med hvilke
formaringl virksomheden behandler oplysninger
Da det erfaringsmaeligssigt er svaeligrt for Brsquos medlemmer at overholde databeskyttelsesforordnin-
gens regler om oplysningspligt vaeliglger B at udarbejde en adfaeligrdskodeks som kan lette Brsquos
medlemmers overholdelse af oplysningspligten Kodeksen indeholder bla en skabelon som
Brsquos medlemmer kan benytte naringr de opfylder deres oplysningspligt over for de registrerede men
kodeksen indeholder ogsaring en raeligkke regler der kan hjaeliglpe medlemmerne til at huske at opfylde
deres oplysningspligt
En adfaeligrdskodeks kunne ligeledes garing ud paring at specificere databeskyttelsesforordningens reg-
ler om behandlingssikkerhed
Eksempel 3 ndash pseudonymisering
Brancheorganisationen C repraeligsenterer en raeligkke mindre forskningsvirksomheder der ndash paring
samme maringde ndash behandler store maeligngder foslashlsomme oplysninger (helbredsoplysninger) om
patienter til brug for udvikling af ny medicin mv
For at hjaeliglpe sine medlemmer til at overholde databeskyttelsesforordningens regler om be-
handlingssikkerhed (feks sikre at oplysninger ikke kommer til uvedkommendes kendskab)
tager C initiativ til at udarbejde en adfaeligrdskodeks om pseudonymisering1 af de patientoplysnin-
ger som Crsquos medlemmer benytter i deres forskning
Adfaeligrdskodeksen indeholder bla en procedure der skal sikre at pseudonymisering sker i
overensstemmelse med anerkendte standarder og tilpasset til den paringgaeligldende databehandling
ligesom kodeksen indeholder regler for hvordan pseudonymisering skal udfoslashres i praksis
hvornaringr pseudonymisering skal finde sted samt regler for hvordan virksomheden boslashr indrette-
arbejdsprocesserne saring faeligrrest muligt kommer til at arbejde med ikke-pseudonymiserede op-
lysninger
1 Pseudonymisering defineres i databeskyttelsesforordningen som rdquoBehandling af personoplysninger paring en saringdan maringde
at personoplysningerne ikke laeligngere kan henfoslashres til en bestemt registreret uden brug af supplerende oplysninger forud-
sat at saringdanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for
at sikre at personoplysningerne ikke henfoslashres til en identificeret eller identificerbar fysisk personrdquo
Vejledning om adfaeligrdskodekser og certificeringsordninger 723
Herudover naeligvnes det i en raeligkke bestemmelser i databeskyttelsesforordningen at dataansvar-
lige og databehandlere bla kan bruge overholdelse af en godkendt adfaeligrdskodeks som et
element til at paringvise overholdelsen af krav i forordningen ligesom overholdelse af godkendte
adfaeligrdskodekser kan inddrages ved vurderingen af om der kan idoslashmmes en straf for mang-
lende overholdelse af forordningen og i givet fald ved vurderingen af udmaringlingen af straffen
feks stoslashrrelsen af en boslashde
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt adfaeligrdskodeks kan tillaeliggges betydning
231 Den dataansvarliges ansvar (artikel 24)
Den dataansvarlige er ansvarlig for at overholde reglerne i databeskyttelsesforordningen og
skal ifoslashlge forordningens artikel 24 kunne paringvise at man overholder sine forpligtelser efter for-
ordningen
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at den
dataansvarlige lever op til sine forpligtelser efter forordningen
Eksempel 4 ndash en dataansvarlig har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
haringndtering af brud paring persondatasikkerheden
En virksomhed V har tilsluttet sig en godkendt adfaeligrdskodeks der opstiller retningslinjer for
virksomhedens haringndtering af brud paring persondatasikkerheden
Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan virksomheden skal rydde op
efter et eventuelt brud paring persondatasikkerheden og hvordan virksomheden skal soslashge at be-
graelignse skadevirkningerne af bruddet Herudover indeholder adfaeligrdskodeksen klare retnings-
linjer for anmeldelse af brud paring persondatasikkerheden til de relevante tilsynsmyndigheder samt
retningslinjer for hvornaringr og hvordan de beroslashrte registrerede skal notificeres om bruddet
Naringr virksomheden V har tilsluttet sig en adfaeligrdskodeks der opstiller klare retningslinjer for Vrsquos
haringndtering af eventuelle brud paring persondatasikkerheden vil V kunne benytte sin tilslutning til
adfaeligrdskodeksen som et element til at paringvise at V lever op til de forpligtelser der ndash efter for-
ordningen ndash paringhviler V (som dataansvarlig) hvis denne konstaterer et brud paring persondatasik-
kerheden
232 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
Det fremgaringr af databeskyttelsesforordningens artikel 28 stk 1 at en dataansvarlig kun maring
benytte databehandlere der kan stille de fornoslashdne garantier for at de vil gennemfoslashre de pas-
sende tekniske og organisatoriske foranstaltninger paring en saringdan maringde at behandling opfylder
kravene i forordningen og sikrer beskyttelse af de registreredes rettigheder
Paring samme maringde fremgaringr det af artikel 28 stk 4 at en databehandler kun maring benytte en un-
derdatabehandler hvis denne kan stille de fornoslashdne garantier
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at data-
behandleren stiller fornoslashdne garantier Paring samme maringde kan overholdelse af en godkendt ad-
Vejledning om adfaeligrdskodekser og certificeringsordninger 823
faeligrdskodeks bruges som et element til at paringvise at en underdatabehandler stiller fornoslashdne
garantier
Eksempel 5 ndash en databehandler har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
behandlingssikkerhed i cloud-loslashsninger
En virksomhed X har specialiseret sig i at udbyde skraeligddersyede cloud-loslashsninger til sine kun-
der inden for en given branche Y hvor X (som databehandler) opbevarer sine kunders person-
oplysninger i rdquoskyenrdquo
Da virksomheden X garingr meget op i at sikre sine kunders oplysninger bedst muligt har X valgt at
tilslutte sig en godkendt adfaeligrdskodeks vedroslashrende behandlingssikkerhed i cloud-loslashsninger i
branchen Y Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan cloud-udbydere
skal beskytte sine oplysninger mod at disse kan tilgarings af uvedkommende ligesom kodeksen
indeholder retningslinjer for hvordan cloud-udbydere loslashbende skal teste effektiviteten af deres
tiltag samt retningslinjer for loslashbende ekstern kontrol og cloud-udbyderens opfoslashlgning derparing
Endelig indeholder kodeksen retningslinjer for hvordan cloud-udbydere hurtigst muligt kan
genoprette tilgaeligngeligheden af og adgangen til personoplysninger i tilfaeliglde af en fysisk eller
teknisk haeligndelse
Naringr virksomheden X har tilsluttet ovennaeligvnte adfaeligrdskodeks vil X kunne bruge denne tilslut-
ning til at paringvise over for potentielle kunder (dataansvarlige) at X ndash i sin loslashsning ndash kan stille de
fornoslashdne garantier i forhold til datasikkerheden i branchen Y
233 Behandlingssikkerhed (artikel 32)
Ifoslashlge databeskyttelsesforordningen skal den dataansvarlige og databehandleren gennemfoslashre
passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau som
passer til de risici der er ved den paringgaeligldende behandling af personoplysninger
Af databeskyttelsesforordningens artikel 32 stk 3 fremgaringr det at overholdelse af en godkendt
adfaeligrdskodeks kan bruges som et element til at paringvise den dataansvarliges eller databehand-
lerens overholdelse af kravene til behandlingssikkerhed
For eksempler vedroslashrende behandlingssikkerhed kan der henvises til eksempel 3 og 5 ovenfor
234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35)
Efter databeskyttelsesforordningens artikel 35 skal en dataansvarlig foretage en konsekvens-
analyse hvis en type behandling ndash navnlig ved brug af nye teknologier og i medfoslashr af sin karak-
ter omfang sammenhaeligng og formaringl ndash sandsynligvis vil indebaeligre en hoslashj risiko for fysiske per-
soners rettigheder og frihedsrettigheder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende
vurdering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3)
der sker systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
Vejledning om adfaeligrdskodekser og certificeringsordninger 923
Overholdelse af en godkendt adfaeligrdskodeks skal inddrages behoslashrigt ved vurderingen af kon-
sekvenserne af de databehandlingsaktiviteter der udfoslashres af de paringgaeligldende dataansvarlige
eller databehandlere navnlig i forbindelse med en konsekvensanalyse vedroslashrende databeskyt-
telse
Eksempel 6 ndash et privathospital koslashber et nyt IT-system
Privathospitalet H oslashnsker at koslashbe et nyt IT-system hvori H bla vil registrere og behandle alle
oplysninger om sine patienter
I og med at H behandler foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang vil
H skulle lave en konsekvensanalyse inden H tager det nye IT-system i brug
Privathospitalet H har ved en tidligere lejlighed tilsluttet sig en godkendt adfaeligrdskodeks vedroslash-
rende behandlingssikkerhed (for saring vidt angaringr personoplysninger) paring privathospitaler Adfaeligrds-
kodeksen indeholder bla klare retningslinjer for pseudonymisering og kryptering af personop-
lysninger samt klare retningslinjer for privathospitalers beskyttelse af personoplysninger ud mod
internettet (firewalls mv)
Naringr H skal foretage sin konsekvensanalyse vil H kunne inddrage sin efterlevelse af den god-
kendte adfaeligrdskodeks vedroslashrende behandlingssikkerhed paring privathospitaler naringr H skal vurde-
re risikoen ved at overgaring til det nye IT-system Adfaeligrdskodeksen kan saringledes bidrage til at
mindske risikoen ved at tage det nye IT-system i brug
Det bemaeligrkes at der i artikel 35 stk 8 alene henvises til godkendte adfaeligrdskodekser Dette
er saringledes et af blot to steder hvor der ikke baringde henvises til godkendte adfaeligrdskodekser og
godkendte certificeringsordninger Se mere herom i afsnit 342 (databeskyttelse gennem de-
sign og standardindstillinger)
235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland2 skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra e at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt adfaeligrdsko-
deks Det er dog en betingelse for at anse en adfaeligrdskodeks for at sikre fornoslashdne garantier at
der er bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller databehandleren i
tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de registreredes ret-
tigheder
2 Lande der ikke er medlem af EU eller EOslashS
Vejledning om adfaeligrdskodekser og certificeringsordninger 1023
Eksempel 7 ndash databehandleren i Indien
En dansk virksomhed A oslashnsker at benytte en databehandler D i Indien til at drifte sine IT-
systemer
Da Indien er et usikkert tredjeland skal A have et overfoslashrselsgrundlag i forordningens kapitel V
inden der kan overfoslashres personoplysninger til D i Indien
Et overfoslashrselsgrundlag kan i den forbindelse vaeligre hvis D har tilsluttet sig en godkendt og bin-
dende adfaeligrdskodeks vedroslashrende overfoslashrsel af personoplysninger til databehandlere i tredje-
lande der bla indeholder klare retningslinjer om behandlingssikkerhed haringndtering af brud paring
persondatasikkerheden brug af underdatabehandlere uddannelse af medarbejdere og samar-
bejde med de relevante datatilsyn mv
Det bemaeligrkes at Drsquos tilslutning til et godkendt adfaeligrdskodeks ikke fritager A for at indgaring en
databehandleraftale med D jf databeskyttelsesforordningens artikel 28
236 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt adfaeligrdskodeks er overholdt naringr det skal afgoslashres om der skal paring-
laeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ boslashde
skal vaeligre
Efterlevelse af en godkendt adfaeligrdskodeks i forbindelse med en given behandling af personop-
lysninger vil saringledes feks kunne inddrages ved vurderingen af om der er begaringet noget straf-
bart i forbindelse med manglende overholdelse af forordningen og dermed om der skal paringlaeligg-
ges en boslashde
Paring samme maringde vil efterlevelse af en kodeks feks kunne inddrages som en formildende om-
staeligndighed ved fastsaeligttelsen af en administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 21 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt adfaeligrdskodeks ikke i sig selv er et bevis paring overholdelse af databe-
skyttelsesforordningen heller ikke for saring vidt angaringr de regler i forordningen som kodeksen
maringtte specificere anvendelsen af Overholdelse af en adfaeligrdskodeks kan dermed heller ikke i
sig selv fritage en dataansvarlig eller databehandler for ansvar
24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige
minimumskrav
Som naeligvnt ovenfor i afsnit 22 kan adfaeligrdskodekser ifoslashlge forordningen udarbejdes af sam-
menslutninger eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databe-
handlere
Som naeligvnt under samme pkt laeliggges der med databeskyttelsesforordningen op til at det ty-
pisk vil vaeligre brancheorganisationer eller lignende der tager initiativ til at udarbejde en ad-
faeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1123
Inden en adfaeligrdskodeks kan benyttes til at specificere anvendelsen af databeskyttelsesforord-
ningen skal den vaeligre godkendt af Datatilsynet
For at en adfaeligrdskodeks kan blive godkendt af Datatilsynet vil den skulle leve op til nogle ind-
holdsmaeligssige minimumskrav der samlet set skal sikre at kodeksen sikrer fornoslashdne garantier
De indholdsmaeligssige minimumskrav vil kunne udvikle sig over tid da det i et vist omfang vil
vaeligre noslashdvendigt at koordinere disse med de oslashvrige datatilsyn i EU
Datatilsynet kan dog allerede nu pege paring at foslashlgende punkter ndash efter Datatilsynets opfattelse ndash
som minimum skal beroslashres i en adfaeligrdskodeks hvis denne skal indeholde fornoslashdne garantier
- En adfaeligrdskodeks skal have fokus paring en veldefineret kategori af dataansvarlige eller
databehandlere Kodeksen skal saringledes klart angive hvilke typer organisationer eller
sektorer som kodeksen tilsigter at finde anvendelse paring
- En adfaeligrdskodeks skal vaeligre rettet mod konkrete og veldefinerede behandlinger som
er typiske for ovennaeligvnte kategorier af dataansvarlige og databehandlere
- En adfaeligrdskodeks skal forberedes omhyggeligt og der boslashr i den forbindelse ske hoslash-
ring af relevante interessenter herunder i muligt omfang de registrerede eller deres
repraeligsentanter feks Forbrugerraringdet eller lignende
- En adfaeligrdskodeks skal indeholde retningslinjer rettet mod konkrete behandlingssitua-
tioner der er relevante for den branche eller lignende som kodeksen er rettet mod
Retningslinjerne kan vaeligre relateret til det daglige arbejde og de eventuelle usaeligdvanli-
ge arbejdssituationer som behandlingsaktiviteterne maringtte indgaring i samt fastsaeligtte spe-
cifikke rammer for hvordan man kan begraelignse de risici som er blevet identificeret i
forhold til behandlingsaktiviteterne
- En adfaeligrdskodeks skal indeholde konkrete retningslinjer som hjaeliglper til at sikre at de
tilsluttede dataansvarlige eller databehandlere overholder forordningen naringr de foslashlger
adfaeligrdskodeksens retningslinjer Kodeksen skal saringledes i tilstraeligkkelig grad fokusere
paring specifikke databeskyttelsessposlashrgsmaringl og ndashproblemer der findes i den organisation
eller sektor som kodeksen finder anvendelse paring samt anvise tilstraeligkkelig klare loslashs-
ninger paring disse sposlashrgsmaringl og problemer I den forbindelse boslashr relevante kompetencer
saringsom faglige juridiske og it-sikkerhedsmaeligssige inddrages i udarbejdelsen
- En adfaeligrdskodeks skal indeholde mekanismer som goslashr et kontrolorgan i stand til at
foretage en kontrol af om den dataansvarlige eller databehandleren der har tilsluttet
sig et adfaeligrdskodeks rent faktisk overholder reglerne i kodeksen Disse kontrolmeka-
nismer kan baringde vaeligre af teknisk og organisatorisk karakter
- I forhold til enhver adfaeligrdskodeks skal der vaeligre en central instans (feks en branche-
organisation) der soslashrger for at kodeksen loslashbende bliver opdateret og tilpasset feks i
forhold til praksis fra Datatilsynet mv
Vejledning om adfaeligrdskodekser og certificeringsordninger 1223
- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-
hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-
trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre
akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan
akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har
1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-
lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-
handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af
kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og
ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-
se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets
opgaver og pligter ikke foslashrer til en interessekonflikt
- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-
holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager
ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde
databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde
beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-
delsen af bestemmelser i denne kodeksrdquo
Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder
for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring
kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-
holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-
sen bliver overholdt
Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets
kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne
foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom
overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks
I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af
og godkendelse af en adfaeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 623
Hvis man tager udgangspunkt i ovennaeligvnte liste kunne en adfaeligrdskodeks saringledes feks garing ud
paring at specificere databeskyttelsesforordningens regler i forhold til de registreredes rettigheder
Eksempel 2 ndash oplysningspligt
Brancheorganisationen B repraeligsenterer bla en raeligkke mindre virksomheder der beskaeligftiger
sig med rekruttering
I forbindelse med udoslashvelsen af deres rekrutteringsvirksomhed indsamler Brsquos medlemmer ofte
oplysninger om de personer som virksomheden forsoslashger at rekruttere (de registrerede) fra
andre end de paringgaeligldende personer selv Virksomhederne skal derfor ndash i overensstemmelse
med databeskyttelsesforordningens regler om oplysningspligt (her artikel 14) ndash give de registre-
rede en raeligkke oplysninger herunder oplysninger om hvem virksomheden er og med hvilke
formaringl virksomheden behandler oplysninger
Da det erfaringsmaeligssigt er svaeligrt for Brsquos medlemmer at overholde databeskyttelsesforordnin-
gens regler om oplysningspligt vaeliglger B at udarbejde en adfaeligrdskodeks som kan lette Brsquos
medlemmers overholdelse af oplysningspligten Kodeksen indeholder bla en skabelon som
Brsquos medlemmer kan benytte naringr de opfylder deres oplysningspligt over for de registrerede men
kodeksen indeholder ogsaring en raeligkke regler der kan hjaeliglpe medlemmerne til at huske at opfylde
deres oplysningspligt
En adfaeligrdskodeks kunne ligeledes garing ud paring at specificere databeskyttelsesforordningens reg-
ler om behandlingssikkerhed
Eksempel 3 ndash pseudonymisering
Brancheorganisationen C repraeligsenterer en raeligkke mindre forskningsvirksomheder der ndash paring
samme maringde ndash behandler store maeligngder foslashlsomme oplysninger (helbredsoplysninger) om
patienter til brug for udvikling af ny medicin mv
For at hjaeliglpe sine medlemmer til at overholde databeskyttelsesforordningens regler om be-
handlingssikkerhed (feks sikre at oplysninger ikke kommer til uvedkommendes kendskab)
tager C initiativ til at udarbejde en adfaeligrdskodeks om pseudonymisering1 af de patientoplysnin-
ger som Crsquos medlemmer benytter i deres forskning
Adfaeligrdskodeksen indeholder bla en procedure der skal sikre at pseudonymisering sker i
overensstemmelse med anerkendte standarder og tilpasset til den paringgaeligldende databehandling
ligesom kodeksen indeholder regler for hvordan pseudonymisering skal udfoslashres i praksis
hvornaringr pseudonymisering skal finde sted samt regler for hvordan virksomheden boslashr indrette-
arbejdsprocesserne saring faeligrrest muligt kommer til at arbejde med ikke-pseudonymiserede op-
lysninger
1 Pseudonymisering defineres i databeskyttelsesforordningen som rdquoBehandling af personoplysninger paring en saringdan maringde
at personoplysningerne ikke laeligngere kan henfoslashres til en bestemt registreret uden brug af supplerende oplysninger forud-
sat at saringdanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for
at sikre at personoplysningerne ikke henfoslashres til en identificeret eller identificerbar fysisk personrdquo
Vejledning om adfaeligrdskodekser og certificeringsordninger 723
Herudover naeligvnes det i en raeligkke bestemmelser i databeskyttelsesforordningen at dataansvar-
lige og databehandlere bla kan bruge overholdelse af en godkendt adfaeligrdskodeks som et
element til at paringvise overholdelsen af krav i forordningen ligesom overholdelse af godkendte
adfaeligrdskodekser kan inddrages ved vurderingen af om der kan idoslashmmes en straf for mang-
lende overholdelse af forordningen og i givet fald ved vurderingen af udmaringlingen af straffen
feks stoslashrrelsen af en boslashde
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt adfaeligrdskodeks kan tillaeliggges betydning
231 Den dataansvarliges ansvar (artikel 24)
Den dataansvarlige er ansvarlig for at overholde reglerne i databeskyttelsesforordningen og
skal ifoslashlge forordningens artikel 24 kunne paringvise at man overholder sine forpligtelser efter for-
ordningen
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at den
dataansvarlige lever op til sine forpligtelser efter forordningen
Eksempel 4 ndash en dataansvarlig har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
haringndtering af brud paring persondatasikkerheden
En virksomhed V har tilsluttet sig en godkendt adfaeligrdskodeks der opstiller retningslinjer for
virksomhedens haringndtering af brud paring persondatasikkerheden
Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan virksomheden skal rydde op
efter et eventuelt brud paring persondatasikkerheden og hvordan virksomheden skal soslashge at be-
graelignse skadevirkningerne af bruddet Herudover indeholder adfaeligrdskodeksen klare retnings-
linjer for anmeldelse af brud paring persondatasikkerheden til de relevante tilsynsmyndigheder samt
retningslinjer for hvornaringr og hvordan de beroslashrte registrerede skal notificeres om bruddet
Naringr virksomheden V har tilsluttet sig en adfaeligrdskodeks der opstiller klare retningslinjer for Vrsquos
haringndtering af eventuelle brud paring persondatasikkerheden vil V kunne benytte sin tilslutning til
adfaeligrdskodeksen som et element til at paringvise at V lever op til de forpligtelser der ndash efter for-
ordningen ndash paringhviler V (som dataansvarlig) hvis denne konstaterer et brud paring persondatasik-
kerheden
232 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
Det fremgaringr af databeskyttelsesforordningens artikel 28 stk 1 at en dataansvarlig kun maring
benytte databehandlere der kan stille de fornoslashdne garantier for at de vil gennemfoslashre de pas-
sende tekniske og organisatoriske foranstaltninger paring en saringdan maringde at behandling opfylder
kravene i forordningen og sikrer beskyttelse af de registreredes rettigheder
Paring samme maringde fremgaringr det af artikel 28 stk 4 at en databehandler kun maring benytte en un-
derdatabehandler hvis denne kan stille de fornoslashdne garantier
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at data-
behandleren stiller fornoslashdne garantier Paring samme maringde kan overholdelse af en godkendt ad-
Vejledning om adfaeligrdskodekser og certificeringsordninger 823
faeligrdskodeks bruges som et element til at paringvise at en underdatabehandler stiller fornoslashdne
garantier
Eksempel 5 ndash en databehandler har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
behandlingssikkerhed i cloud-loslashsninger
En virksomhed X har specialiseret sig i at udbyde skraeligddersyede cloud-loslashsninger til sine kun-
der inden for en given branche Y hvor X (som databehandler) opbevarer sine kunders person-
oplysninger i rdquoskyenrdquo
Da virksomheden X garingr meget op i at sikre sine kunders oplysninger bedst muligt har X valgt at
tilslutte sig en godkendt adfaeligrdskodeks vedroslashrende behandlingssikkerhed i cloud-loslashsninger i
branchen Y Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan cloud-udbydere
skal beskytte sine oplysninger mod at disse kan tilgarings af uvedkommende ligesom kodeksen
indeholder retningslinjer for hvordan cloud-udbydere loslashbende skal teste effektiviteten af deres
tiltag samt retningslinjer for loslashbende ekstern kontrol og cloud-udbyderens opfoslashlgning derparing
Endelig indeholder kodeksen retningslinjer for hvordan cloud-udbydere hurtigst muligt kan
genoprette tilgaeligngeligheden af og adgangen til personoplysninger i tilfaeliglde af en fysisk eller
teknisk haeligndelse
Naringr virksomheden X har tilsluttet ovennaeligvnte adfaeligrdskodeks vil X kunne bruge denne tilslut-
ning til at paringvise over for potentielle kunder (dataansvarlige) at X ndash i sin loslashsning ndash kan stille de
fornoslashdne garantier i forhold til datasikkerheden i branchen Y
233 Behandlingssikkerhed (artikel 32)
Ifoslashlge databeskyttelsesforordningen skal den dataansvarlige og databehandleren gennemfoslashre
passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau som
passer til de risici der er ved den paringgaeligldende behandling af personoplysninger
Af databeskyttelsesforordningens artikel 32 stk 3 fremgaringr det at overholdelse af en godkendt
adfaeligrdskodeks kan bruges som et element til at paringvise den dataansvarliges eller databehand-
lerens overholdelse af kravene til behandlingssikkerhed
For eksempler vedroslashrende behandlingssikkerhed kan der henvises til eksempel 3 og 5 ovenfor
234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35)
Efter databeskyttelsesforordningens artikel 35 skal en dataansvarlig foretage en konsekvens-
analyse hvis en type behandling ndash navnlig ved brug af nye teknologier og i medfoslashr af sin karak-
ter omfang sammenhaeligng og formaringl ndash sandsynligvis vil indebaeligre en hoslashj risiko for fysiske per-
soners rettigheder og frihedsrettigheder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende
vurdering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3)
der sker systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
Vejledning om adfaeligrdskodekser og certificeringsordninger 923
Overholdelse af en godkendt adfaeligrdskodeks skal inddrages behoslashrigt ved vurderingen af kon-
sekvenserne af de databehandlingsaktiviteter der udfoslashres af de paringgaeligldende dataansvarlige
eller databehandlere navnlig i forbindelse med en konsekvensanalyse vedroslashrende databeskyt-
telse
Eksempel 6 ndash et privathospital koslashber et nyt IT-system
Privathospitalet H oslashnsker at koslashbe et nyt IT-system hvori H bla vil registrere og behandle alle
oplysninger om sine patienter
I og med at H behandler foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang vil
H skulle lave en konsekvensanalyse inden H tager det nye IT-system i brug
Privathospitalet H har ved en tidligere lejlighed tilsluttet sig en godkendt adfaeligrdskodeks vedroslash-
rende behandlingssikkerhed (for saring vidt angaringr personoplysninger) paring privathospitaler Adfaeligrds-
kodeksen indeholder bla klare retningslinjer for pseudonymisering og kryptering af personop-
lysninger samt klare retningslinjer for privathospitalers beskyttelse af personoplysninger ud mod
internettet (firewalls mv)
Naringr H skal foretage sin konsekvensanalyse vil H kunne inddrage sin efterlevelse af den god-
kendte adfaeligrdskodeks vedroslashrende behandlingssikkerhed paring privathospitaler naringr H skal vurde-
re risikoen ved at overgaring til det nye IT-system Adfaeligrdskodeksen kan saringledes bidrage til at
mindske risikoen ved at tage det nye IT-system i brug
Det bemaeligrkes at der i artikel 35 stk 8 alene henvises til godkendte adfaeligrdskodekser Dette
er saringledes et af blot to steder hvor der ikke baringde henvises til godkendte adfaeligrdskodekser og
godkendte certificeringsordninger Se mere herom i afsnit 342 (databeskyttelse gennem de-
sign og standardindstillinger)
235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland2 skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra e at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt adfaeligrdsko-
deks Det er dog en betingelse for at anse en adfaeligrdskodeks for at sikre fornoslashdne garantier at
der er bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller databehandleren i
tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de registreredes ret-
tigheder
2 Lande der ikke er medlem af EU eller EOslashS
Vejledning om adfaeligrdskodekser og certificeringsordninger 1023
Eksempel 7 ndash databehandleren i Indien
En dansk virksomhed A oslashnsker at benytte en databehandler D i Indien til at drifte sine IT-
systemer
Da Indien er et usikkert tredjeland skal A have et overfoslashrselsgrundlag i forordningens kapitel V
inden der kan overfoslashres personoplysninger til D i Indien
Et overfoslashrselsgrundlag kan i den forbindelse vaeligre hvis D har tilsluttet sig en godkendt og bin-
dende adfaeligrdskodeks vedroslashrende overfoslashrsel af personoplysninger til databehandlere i tredje-
lande der bla indeholder klare retningslinjer om behandlingssikkerhed haringndtering af brud paring
persondatasikkerheden brug af underdatabehandlere uddannelse af medarbejdere og samar-
bejde med de relevante datatilsyn mv
Det bemaeligrkes at Drsquos tilslutning til et godkendt adfaeligrdskodeks ikke fritager A for at indgaring en
databehandleraftale med D jf databeskyttelsesforordningens artikel 28
236 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt adfaeligrdskodeks er overholdt naringr det skal afgoslashres om der skal paring-
laeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ boslashde
skal vaeligre
Efterlevelse af en godkendt adfaeligrdskodeks i forbindelse med en given behandling af personop-
lysninger vil saringledes feks kunne inddrages ved vurderingen af om der er begaringet noget straf-
bart i forbindelse med manglende overholdelse af forordningen og dermed om der skal paringlaeligg-
ges en boslashde
Paring samme maringde vil efterlevelse af en kodeks feks kunne inddrages som en formildende om-
staeligndighed ved fastsaeligttelsen af en administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 21 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt adfaeligrdskodeks ikke i sig selv er et bevis paring overholdelse af databe-
skyttelsesforordningen heller ikke for saring vidt angaringr de regler i forordningen som kodeksen
maringtte specificere anvendelsen af Overholdelse af en adfaeligrdskodeks kan dermed heller ikke i
sig selv fritage en dataansvarlig eller databehandler for ansvar
24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige
minimumskrav
Som naeligvnt ovenfor i afsnit 22 kan adfaeligrdskodekser ifoslashlge forordningen udarbejdes af sam-
menslutninger eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databe-
handlere
Som naeligvnt under samme pkt laeliggges der med databeskyttelsesforordningen op til at det ty-
pisk vil vaeligre brancheorganisationer eller lignende der tager initiativ til at udarbejde en ad-
faeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1123
Inden en adfaeligrdskodeks kan benyttes til at specificere anvendelsen af databeskyttelsesforord-
ningen skal den vaeligre godkendt af Datatilsynet
For at en adfaeligrdskodeks kan blive godkendt af Datatilsynet vil den skulle leve op til nogle ind-
holdsmaeligssige minimumskrav der samlet set skal sikre at kodeksen sikrer fornoslashdne garantier
De indholdsmaeligssige minimumskrav vil kunne udvikle sig over tid da det i et vist omfang vil
vaeligre noslashdvendigt at koordinere disse med de oslashvrige datatilsyn i EU
Datatilsynet kan dog allerede nu pege paring at foslashlgende punkter ndash efter Datatilsynets opfattelse ndash
som minimum skal beroslashres i en adfaeligrdskodeks hvis denne skal indeholde fornoslashdne garantier
- En adfaeligrdskodeks skal have fokus paring en veldefineret kategori af dataansvarlige eller
databehandlere Kodeksen skal saringledes klart angive hvilke typer organisationer eller
sektorer som kodeksen tilsigter at finde anvendelse paring
- En adfaeligrdskodeks skal vaeligre rettet mod konkrete og veldefinerede behandlinger som
er typiske for ovennaeligvnte kategorier af dataansvarlige og databehandlere
- En adfaeligrdskodeks skal forberedes omhyggeligt og der boslashr i den forbindelse ske hoslash-
ring af relevante interessenter herunder i muligt omfang de registrerede eller deres
repraeligsentanter feks Forbrugerraringdet eller lignende
- En adfaeligrdskodeks skal indeholde retningslinjer rettet mod konkrete behandlingssitua-
tioner der er relevante for den branche eller lignende som kodeksen er rettet mod
Retningslinjerne kan vaeligre relateret til det daglige arbejde og de eventuelle usaeligdvanli-
ge arbejdssituationer som behandlingsaktiviteterne maringtte indgaring i samt fastsaeligtte spe-
cifikke rammer for hvordan man kan begraelignse de risici som er blevet identificeret i
forhold til behandlingsaktiviteterne
- En adfaeligrdskodeks skal indeholde konkrete retningslinjer som hjaeliglper til at sikre at de
tilsluttede dataansvarlige eller databehandlere overholder forordningen naringr de foslashlger
adfaeligrdskodeksens retningslinjer Kodeksen skal saringledes i tilstraeligkkelig grad fokusere
paring specifikke databeskyttelsessposlashrgsmaringl og ndashproblemer der findes i den organisation
eller sektor som kodeksen finder anvendelse paring samt anvise tilstraeligkkelig klare loslashs-
ninger paring disse sposlashrgsmaringl og problemer I den forbindelse boslashr relevante kompetencer
saringsom faglige juridiske og it-sikkerhedsmaeligssige inddrages i udarbejdelsen
- En adfaeligrdskodeks skal indeholde mekanismer som goslashr et kontrolorgan i stand til at
foretage en kontrol af om den dataansvarlige eller databehandleren der har tilsluttet
sig et adfaeligrdskodeks rent faktisk overholder reglerne i kodeksen Disse kontrolmeka-
nismer kan baringde vaeligre af teknisk og organisatorisk karakter
- I forhold til enhver adfaeligrdskodeks skal der vaeligre en central instans (feks en branche-
organisation) der soslashrger for at kodeksen loslashbende bliver opdateret og tilpasset feks i
forhold til praksis fra Datatilsynet mv
Vejledning om adfaeligrdskodekser og certificeringsordninger 1223
- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-
hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-
trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre
akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan
akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har
1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-
lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-
handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af
kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og
ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-
se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets
opgaver og pligter ikke foslashrer til en interessekonflikt
- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-
holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager
ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde
databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde
beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-
delsen af bestemmelser i denne kodeksrdquo
Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder
for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring
kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-
holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-
sen bliver overholdt
Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets
kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne
foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom
overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks
I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af
og godkendelse af en adfaeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 723
Herudover naeligvnes det i en raeligkke bestemmelser i databeskyttelsesforordningen at dataansvar-
lige og databehandlere bla kan bruge overholdelse af en godkendt adfaeligrdskodeks som et
element til at paringvise overholdelsen af krav i forordningen ligesom overholdelse af godkendte
adfaeligrdskodekser kan inddrages ved vurderingen af om der kan idoslashmmes en straf for mang-
lende overholdelse af forordningen og i givet fald ved vurderingen af udmaringlingen af straffen
feks stoslashrrelsen af en boslashde
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt adfaeligrdskodeks kan tillaeliggges betydning
231 Den dataansvarliges ansvar (artikel 24)
Den dataansvarlige er ansvarlig for at overholde reglerne i databeskyttelsesforordningen og
skal ifoslashlge forordningens artikel 24 kunne paringvise at man overholder sine forpligtelser efter for-
ordningen
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at den
dataansvarlige lever op til sine forpligtelser efter forordningen
Eksempel 4 ndash en dataansvarlig har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
haringndtering af brud paring persondatasikkerheden
En virksomhed V har tilsluttet sig en godkendt adfaeligrdskodeks der opstiller retningslinjer for
virksomhedens haringndtering af brud paring persondatasikkerheden
Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan virksomheden skal rydde op
efter et eventuelt brud paring persondatasikkerheden og hvordan virksomheden skal soslashge at be-
graelignse skadevirkningerne af bruddet Herudover indeholder adfaeligrdskodeksen klare retnings-
linjer for anmeldelse af brud paring persondatasikkerheden til de relevante tilsynsmyndigheder samt
retningslinjer for hvornaringr og hvordan de beroslashrte registrerede skal notificeres om bruddet
Naringr virksomheden V har tilsluttet sig en adfaeligrdskodeks der opstiller klare retningslinjer for Vrsquos
haringndtering af eventuelle brud paring persondatasikkerheden vil V kunne benytte sin tilslutning til
adfaeligrdskodeksen som et element til at paringvise at V lever op til de forpligtelser der ndash efter for-
ordningen ndash paringhviler V (som dataansvarlig) hvis denne konstaterer et brud paring persondatasik-
kerheden
232 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
Det fremgaringr af databeskyttelsesforordningens artikel 28 stk 1 at en dataansvarlig kun maring
benytte databehandlere der kan stille de fornoslashdne garantier for at de vil gennemfoslashre de pas-
sende tekniske og organisatoriske foranstaltninger paring en saringdan maringde at behandling opfylder
kravene i forordningen og sikrer beskyttelse af de registreredes rettigheder
Paring samme maringde fremgaringr det af artikel 28 stk 4 at en databehandler kun maring benytte en un-
derdatabehandler hvis denne kan stille de fornoslashdne garantier
Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at data-
behandleren stiller fornoslashdne garantier Paring samme maringde kan overholdelse af en godkendt ad-
Vejledning om adfaeligrdskodekser og certificeringsordninger 823
faeligrdskodeks bruges som et element til at paringvise at en underdatabehandler stiller fornoslashdne
garantier
Eksempel 5 ndash en databehandler har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
behandlingssikkerhed i cloud-loslashsninger
En virksomhed X har specialiseret sig i at udbyde skraeligddersyede cloud-loslashsninger til sine kun-
der inden for en given branche Y hvor X (som databehandler) opbevarer sine kunders person-
oplysninger i rdquoskyenrdquo
Da virksomheden X garingr meget op i at sikre sine kunders oplysninger bedst muligt har X valgt at
tilslutte sig en godkendt adfaeligrdskodeks vedroslashrende behandlingssikkerhed i cloud-loslashsninger i
branchen Y Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan cloud-udbydere
skal beskytte sine oplysninger mod at disse kan tilgarings af uvedkommende ligesom kodeksen
indeholder retningslinjer for hvordan cloud-udbydere loslashbende skal teste effektiviteten af deres
tiltag samt retningslinjer for loslashbende ekstern kontrol og cloud-udbyderens opfoslashlgning derparing
Endelig indeholder kodeksen retningslinjer for hvordan cloud-udbydere hurtigst muligt kan
genoprette tilgaeligngeligheden af og adgangen til personoplysninger i tilfaeliglde af en fysisk eller
teknisk haeligndelse
Naringr virksomheden X har tilsluttet ovennaeligvnte adfaeligrdskodeks vil X kunne bruge denne tilslut-
ning til at paringvise over for potentielle kunder (dataansvarlige) at X ndash i sin loslashsning ndash kan stille de
fornoslashdne garantier i forhold til datasikkerheden i branchen Y
233 Behandlingssikkerhed (artikel 32)
Ifoslashlge databeskyttelsesforordningen skal den dataansvarlige og databehandleren gennemfoslashre
passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau som
passer til de risici der er ved den paringgaeligldende behandling af personoplysninger
Af databeskyttelsesforordningens artikel 32 stk 3 fremgaringr det at overholdelse af en godkendt
adfaeligrdskodeks kan bruges som et element til at paringvise den dataansvarliges eller databehand-
lerens overholdelse af kravene til behandlingssikkerhed
For eksempler vedroslashrende behandlingssikkerhed kan der henvises til eksempel 3 og 5 ovenfor
234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35)
Efter databeskyttelsesforordningens artikel 35 skal en dataansvarlig foretage en konsekvens-
analyse hvis en type behandling ndash navnlig ved brug af nye teknologier og i medfoslashr af sin karak-
ter omfang sammenhaeligng og formaringl ndash sandsynligvis vil indebaeligre en hoslashj risiko for fysiske per-
soners rettigheder og frihedsrettigheder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende
vurdering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3)
der sker systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
Vejledning om adfaeligrdskodekser og certificeringsordninger 923
Overholdelse af en godkendt adfaeligrdskodeks skal inddrages behoslashrigt ved vurderingen af kon-
sekvenserne af de databehandlingsaktiviteter der udfoslashres af de paringgaeligldende dataansvarlige
eller databehandlere navnlig i forbindelse med en konsekvensanalyse vedroslashrende databeskyt-
telse
Eksempel 6 ndash et privathospital koslashber et nyt IT-system
Privathospitalet H oslashnsker at koslashbe et nyt IT-system hvori H bla vil registrere og behandle alle
oplysninger om sine patienter
I og med at H behandler foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang vil
H skulle lave en konsekvensanalyse inden H tager det nye IT-system i brug
Privathospitalet H har ved en tidligere lejlighed tilsluttet sig en godkendt adfaeligrdskodeks vedroslash-
rende behandlingssikkerhed (for saring vidt angaringr personoplysninger) paring privathospitaler Adfaeligrds-
kodeksen indeholder bla klare retningslinjer for pseudonymisering og kryptering af personop-
lysninger samt klare retningslinjer for privathospitalers beskyttelse af personoplysninger ud mod
internettet (firewalls mv)
Naringr H skal foretage sin konsekvensanalyse vil H kunne inddrage sin efterlevelse af den god-
kendte adfaeligrdskodeks vedroslashrende behandlingssikkerhed paring privathospitaler naringr H skal vurde-
re risikoen ved at overgaring til det nye IT-system Adfaeligrdskodeksen kan saringledes bidrage til at
mindske risikoen ved at tage det nye IT-system i brug
Det bemaeligrkes at der i artikel 35 stk 8 alene henvises til godkendte adfaeligrdskodekser Dette
er saringledes et af blot to steder hvor der ikke baringde henvises til godkendte adfaeligrdskodekser og
godkendte certificeringsordninger Se mere herom i afsnit 342 (databeskyttelse gennem de-
sign og standardindstillinger)
235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland2 skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra e at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt adfaeligrdsko-
deks Det er dog en betingelse for at anse en adfaeligrdskodeks for at sikre fornoslashdne garantier at
der er bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller databehandleren i
tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de registreredes ret-
tigheder
2 Lande der ikke er medlem af EU eller EOslashS
Vejledning om adfaeligrdskodekser og certificeringsordninger 1023
Eksempel 7 ndash databehandleren i Indien
En dansk virksomhed A oslashnsker at benytte en databehandler D i Indien til at drifte sine IT-
systemer
Da Indien er et usikkert tredjeland skal A have et overfoslashrselsgrundlag i forordningens kapitel V
inden der kan overfoslashres personoplysninger til D i Indien
Et overfoslashrselsgrundlag kan i den forbindelse vaeligre hvis D har tilsluttet sig en godkendt og bin-
dende adfaeligrdskodeks vedroslashrende overfoslashrsel af personoplysninger til databehandlere i tredje-
lande der bla indeholder klare retningslinjer om behandlingssikkerhed haringndtering af brud paring
persondatasikkerheden brug af underdatabehandlere uddannelse af medarbejdere og samar-
bejde med de relevante datatilsyn mv
Det bemaeligrkes at Drsquos tilslutning til et godkendt adfaeligrdskodeks ikke fritager A for at indgaring en
databehandleraftale med D jf databeskyttelsesforordningens artikel 28
236 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt adfaeligrdskodeks er overholdt naringr det skal afgoslashres om der skal paring-
laeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ boslashde
skal vaeligre
Efterlevelse af en godkendt adfaeligrdskodeks i forbindelse med en given behandling af personop-
lysninger vil saringledes feks kunne inddrages ved vurderingen af om der er begaringet noget straf-
bart i forbindelse med manglende overholdelse af forordningen og dermed om der skal paringlaeligg-
ges en boslashde
Paring samme maringde vil efterlevelse af en kodeks feks kunne inddrages som en formildende om-
staeligndighed ved fastsaeligttelsen af en administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 21 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt adfaeligrdskodeks ikke i sig selv er et bevis paring overholdelse af databe-
skyttelsesforordningen heller ikke for saring vidt angaringr de regler i forordningen som kodeksen
maringtte specificere anvendelsen af Overholdelse af en adfaeligrdskodeks kan dermed heller ikke i
sig selv fritage en dataansvarlig eller databehandler for ansvar
24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige
minimumskrav
Som naeligvnt ovenfor i afsnit 22 kan adfaeligrdskodekser ifoslashlge forordningen udarbejdes af sam-
menslutninger eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databe-
handlere
Som naeligvnt under samme pkt laeliggges der med databeskyttelsesforordningen op til at det ty-
pisk vil vaeligre brancheorganisationer eller lignende der tager initiativ til at udarbejde en ad-
faeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1123
Inden en adfaeligrdskodeks kan benyttes til at specificere anvendelsen af databeskyttelsesforord-
ningen skal den vaeligre godkendt af Datatilsynet
For at en adfaeligrdskodeks kan blive godkendt af Datatilsynet vil den skulle leve op til nogle ind-
holdsmaeligssige minimumskrav der samlet set skal sikre at kodeksen sikrer fornoslashdne garantier
De indholdsmaeligssige minimumskrav vil kunne udvikle sig over tid da det i et vist omfang vil
vaeligre noslashdvendigt at koordinere disse med de oslashvrige datatilsyn i EU
Datatilsynet kan dog allerede nu pege paring at foslashlgende punkter ndash efter Datatilsynets opfattelse ndash
som minimum skal beroslashres i en adfaeligrdskodeks hvis denne skal indeholde fornoslashdne garantier
- En adfaeligrdskodeks skal have fokus paring en veldefineret kategori af dataansvarlige eller
databehandlere Kodeksen skal saringledes klart angive hvilke typer organisationer eller
sektorer som kodeksen tilsigter at finde anvendelse paring
- En adfaeligrdskodeks skal vaeligre rettet mod konkrete og veldefinerede behandlinger som
er typiske for ovennaeligvnte kategorier af dataansvarlige og databehandlere
- En adfaeligrdskodeks skal forberedes omhyggeligt og der boslashr i den forbindelse ske hoslash-
ring af relevante interessenter herunder i muligt omfang de registrerede eller deres
repraeligsentanter feks Forbrugerraringdet eller lignende
- En adfaeligrdskodeks skal indeholde retningslinjer rettet mod konkrete behandlingssitua-
tioner der er relevante for den branche eller lignende som kodeksen er rettet mod
Retningslinjerne kan vaeligre relateret til det daglige arbejde og de eventuelle usaeligdvanli-
ge arbejdssituationer som behandlingsaktiviteterne maringtte indgaring i samt fastsaeligtte spe-
cifikke rammer for hvordan man kan begraelignse de risici som er blevet identificeret i
forhold til behandlingsaktiviteterne
- En adfaeligrdskodeks skal indeholde konkrete retningslinjer som hjaeliglper til at sikre at de
tilsluttede dataansvarlige eller databehandlere overholder forordningen naringr de foslashlger
adfaeligrdskodeksens retningslinjer Kodeksen skal saringledes i tilstraeligkkelig grad fokusere
paring specifikke databeskyttelsessposlashrgsmaringl og ndashproblemer der findes i den organisation
eller sektor som kodeksen finder anvendelse paring samt anvise tilstraeligkkelig klare loslashs-
ninger paring disse sposlashrgsmaringl og problemer I den forbindelse boslashr relevante kompetencer
saringsom faglige juridiske og it-sikkerhedsmaeligssige inddrages i udarbejdelsen
- En adfaeligrdskodeks skal indeholde mekanismer som goslashr et kontrolorgan i stand til at
foretage en kontrol af om den dataansvarlige eller databehandleren der har tilsluttet
sig et adfaeligrdskodeks rent faktisk overholder reglerne i kodeksen Disse kontrolmeka-
nismer kan baringde vaeligre af teknisk og organisatorisk karakter
- I forhold til enhver adfaeligrdskodeks skal der vaeligre en central instans (feks en branche-
organisation) der soslashrger for at kodeksen loslashbende bliver opdateret og tilpasset feks i
forhold til praksis fra Datatilsynet mv
Vejledning om adfaeligrdskodekser og certificeringsordninger 1223
- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-
hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-
trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre
akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan
akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har
1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-
lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-
handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af
kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og
ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-
se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets
opgaver og pligter ikke foslashrer til en interessekonflikt
- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-
holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager
ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde
databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde
beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-
delsen af bestemmelser i denne kodeksrdquo
Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder
for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring
kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-
holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-
sen bliver overholdt
Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets
kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne
foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom
overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks
I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af
og godkendelse af en adfaeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 823
faeligrdskodeks bruges som et element til at paringvise at en underdatabehandler stiller fornoslashdne
garantier
Eksempel 5 ndash en databehandler har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende
behandlingssikkerhed i cloud-loslashsninger
En virksomhed X har specialiseret sig i at udbyde skraeligddersyede cloud-loslashsninger til sine kun-
der inden for en given branche Y hvor X (som databehandler) opbevarer sine kunders person-
oplysninger i rdquoskyenrdquo
Da virksomheden X garingr meget op i at sikre sine kunders oplysninger bedst muligt har X valgt at
tilslutte sig en godkendt adfaeligrdskodeks vedroslashrende behandlingssikkerhed i cloud-loslashsninger i
branchen Y Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan cloud-udbydere
skal beskytte sine oplysninger mod at disse kan tilgarings af uvedkommende ligesom kodeksen
indeholder retningslinjer for hvordan cloud-udbydere loslashbende skal teste effektiviteten af deres
tiltag samt retningslinjer for loslashbende ekstern kontrol og cloud-udbyderens opfoslashlgning derparing
Endelig indeholder kodeksen retningslinjer for hvordan cloud-udbydere hurtigst muligt kan
genoprette tilgaeligngeligheden af og adgangen til personoplysninger i tilfaeliglde af en fysisk eller
teknisk haeligndelse
Naringr virksomheden X har tilsluttet ovennaeligvnte adfaeligrdskodeks vil X kunne bruge denne tilslut-
ning til at paringvise over for potentielle kunder (dataansvarlige) at X ndash i sin loslashsning ndash kan stille de
fornoslashdne garantier i forhold til datasikkerheden i branchen Y
233 Behandlingssikkerhed (artikel 32)
Ifoslashlge databeskyttelsesforordningen skal den dataansvarlige og databehandleren gennemfoslashre
passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau som
passer til de risici der er ved den paringgaeligldende behandling af personoplysninger
Af databeskyttelsesforordningens artikel 32 stk 3 fremgaringr det at overholdelse af en godkendt
adfaeligrdskodeks kan bruges som et element til at paringvise den dataansvarliges eller databehand-
lerens overholdelse af kravene til behandlingssikkerhed
For eksempler vedroslashrende behandlingssikkerhed kan der henvises til eksempel 3 og 5 ovenfor
234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35)
Efter databeskyttelsesforordningens artikel 35 skal en dataansvarlig foretage en konsekvens-
analyse hvis en type behandling ndash navnlig ved brug af nye teknologier og i medfoslashr af sin karak-
ter omfang sammenhaeligng og formaringl ndash sandsynligvis vil indebaeligre en hoslashj risiko for fysiske per-
soners rettigheder og frihedsrettigheder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende
vurdering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3)
der sker systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
Vejledning om adfaeligrdskodekser og certificeringsordninger 923
Overholdelse af en godkendt adfaeligrdskodeks skal inddrages behoslashrigt ved vurderingen af kon-
sekvenserne af de databehandlingsaktiviteter der udfoslashres af de paringgaeligldende dataansvarlige
eller databehandlere navnlig i forbindelse med en konsekvensanalyse vedroslashrende databeskyt-
telse
Eksempel 6 ndash et privathospital koslashber et nyt IT-system
Privathospitalet H oslashnsker at koslashbe et nyt IT-system hvori H bla vil registrere og behandle alle
oplysninger om sine patienter
I og med at H behandler foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang vil
H skulle lave en konsekvensanalyse inden H tager det nye IT-system i brug
Privathospitalet H har ved en tidligere lejlighed tilsluttet sig en godkendt adfaeligrdskodeks vedroslash-
rende behandlingssikkerhed (for saring vidt angaringr personoplysninger) paring privathospitaler Adfaeligrds-
kodeksen indeholder bla klare retningslinjer for pseudonymisering og kryptering af personop-
lysninger samt klare retningslinjer for privathospitalers beskyttelse af personoplysninger ud mod
internettet (firewalls mv)
Naringr H skal foretage sin konsekvensanalyse vil H kunne inddrage sin efterlevelse af den god-
kendte adfaeligrdskodeks vedroslashrende behandlingssikkerhed paring privathospitaler naringr H skal vurde-
re risikoen ved at overgaring til det nye IT-system Adfaeligrdskodeksen kan saringledes bidrage til at
mindske risikoen ved at tage det nye IT-system i brug
Det bemaeligrkes at der i artikel 35 stk 8 alene henvises til godkendte adfaeligrdskodekser Dette
er saringledes et af blot to steder hvor der ikke baringde henvises til godkendte adfaeligrdskodekser og
godkendte certificeringsordninger Se mere herom i afsnit 342 (databeskyttelse gennem de-
sign og standardindstillinger)
235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland2 skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra e at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt adfaeligrdsko-
deks Det er dog en betingelse for at anse en adfaeligrdskodeks for at sikre fornoslashdne garantier at
der er bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller databehandleren i
tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de registreredes ret-
tigheder
2 Lande der ikke er medlem af EU eller EOslashS
Vejledning om adfaeligrdskodekser og certificeringsordninger 1023
Eksempel 7 ndash databehandleren i Indien
En dansk virksomhed A oslashnsker at benytte en databehandler D i Indien til at drifte sine IT-
systemer
Da Indien er et usikkert tredjeland skal A have et overfoslashrselsgrundlag i forordningens kapitel V
inden der kan overfoslashres personoplysninger til D i Indien
Et overfoslashrselsgrundlag kan i den forbindelse vaeligre hvis D har tilsluttet sig en godkendt og bin-
dende adfaeligrdskodeks vedroslashrende overfoslashrsel af personoplysninger til databehandlere i tredje-
lande der bla indeholder klare retningslinjer om behandlingssikkerhed haringndtering af brud paring
persondatasikkerheden brug af underdatabehandlere uddannelse af medarbejdere og samar-
bejde med de relevante datatilsyn mv
Det bemaeligrkes at Drsquos tilslutning til et godkendt adfaeligrdskodeks ikke fritager A for at indgaring en
databehandleraftale med D jf databeskyttelsesforordningens artikel 28
236 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt adfaeligrdskodeks er overholdt naringr det skal afgoslashres om der skal paring-
laeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ boslashde
skal vaeligre
Efterlevelse af en godkendt adfaeligrdskodeks i forbindelse med en given behandling af personop-
lysninger vil saringledes feks kunne inddrages ved vurderingen af om der er begaringet noget straf-
bart i forbindelse med manglende overholdelse af forordningen og dermed om der skal paringlaeligg-
ges en boslashde
Paring samme maringde vil efterlevelse af en kodeks feks kunne inddrages som en formildende om-
staeligndighed ved fastsaeligttelsen af en administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 21 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt adfaeligrdskodeks ikke i sig selv er et bevis paring overholdelse af databe-
skyttelsesforordningen heller ikke for saring vidt angaringr de regler i forordningen som kodeksen
maringtte specificere anvendelsen af Overholdelse af en adfaeligrdskodeks kan dermed heller ikke i
sig selv fritage en dataansvarlig eller databehandler for ansvar
24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige
minimumskrav
Som naeligvnt ovenfor i afsnit 22 kan adfaeligrdskodekser ifoslashlge forordningen udarbejdes af sam-
menslutninger eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databe-
handlere
Som naeligvnt under samme pkt laeliggges der med databeskyttelsesforordningen op til at det ty-
pisk vil vaeligre brancheorganisationer eller lignende der tager initiativ til at udarbejde en ad-
faeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1123
Inden en adfaeligrdskodeks kan benyttes til at specificere anvendelsen af databeskyttelsesforord-
ningen skal den vaeligre godkendt af Datatilsynet
For at en adfaeligrdskodeks kan blive godkendt af Datatilsynet vil den skulle leve op til nogle ind-
holdsmaeligssige minimumskrav der samlet set skal sikre at kodeksen sikrer fornoslashdne garantier
De indholdsmaeligssige minimumskrav vil kunne udvikle sig over tid da det i et vist omfang vil
vaeligre noslashdvendigt at koordinere disse med de oslashvrige datatilsyn i EU
Datatilsynet kan dog allerede nu pege paring at foslashlgende punkter ndash efter Datatilsynets opfattelse ndash
som minimum skal beroslashres i en adfaeligrdskodeks hvis denne skal indeholde fornoslashdne garantier
- En adfaeligrdskodeks skal have fokus paring en veldefineret kategori af dataansvarlige eller
databehandlere Kodeksen skal saringledes klart angive hvilke typer organisationer eller
sektorer som kodeksen tilsigter at finde anvendelse paring
- En adfaeligrdskodeks skal vaeligre rettet mod konkrete og veldefinerede behandlinger som
er typiske for ovennaeligvnte kategorier af dataansvarlige og databehandlere
- En adfaeligrdskodeks skal forberedes omhyggeligt og der boslashr i den forbindelse ske hoslash-
ring af relevante interessenter herunder i muligt omfang de registrerede eller deres
repraeligsentanter feks Forbrugerraringdet eller lignende
- En adfaeligrdskodeks skal indeholde retningslinjer rettet mod konkrete behandlingssitua-
tioner der er relevante for den branche eller lignende som kodeksen er rettet mod
Retningslinjerne kan vaeligre relateret til det daglige arbejde og de eventuelle usaeligdvanli-
ge arbejdssituationer som behandlingsaktiviteterne maringtte indgaring i samt fastsaeligtte spe-
cifikke rammer for hvordan man kan begraelignse de risici som er blevet identificeret i
forhold til behandlingsaktiviteterne
- En adfaeligrdskodeks skal indeholde konkrete retningslinjer som hjaeliglper til at sikre at de
tilsluttede dataansvarlige eller databehandlere overholder forordningen naringr de foslashlger
adfaeligrdskodeksens retningslinjer Kodeksen skal saringledes i tilstraeligkkelig grad fokusere
paring specifikke databeskyttelsessposlashrgsmaringl og ndashproblemer der findes i den organisation
eller sektor som kodeksen finder anvendelse paring samt anvise tilstraeligkkelig klare loslashs-
ninger paring disse sposlashrgsmaringl og problemer I den forbindelse boslashr relevante kompetencer
saringsom faglige juridiske og it-sikkerhedsmaeligssige inddrages i udarbejdelsen
- En adfaeligrdskodeks skal indeholde mekanismer som goslashr et kontrolorgan i stand til at
foretage en kontrol af om den dataansvarlige eller databehandleren der har tilsluttet
sig et adfaeligrdskodeks rent faktisk overholder reglerne i kodeksen Disse kontrolmeka-
nismer kan baringde vaeligre af teknisk og organisatorisk karakter
- I forhold til enhver adfaeligrdskodeks skal der vaeligre en central instans (feks en branche-
organisation) der soslashrger for at kodeksen loslashbende bliver opdateret og tilpasset feks i
forhold til praksis fra Datatilsynet mv
Vejledning om adfaeligrdskodekser og certificeringsordninger 1223
- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-
hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-
trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre
akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan
akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har
1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-
lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-
handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af
kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og
ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-
se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets
opgaver og pligter ikke foslashrer til en interessekonflikt
- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-
holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager
ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde
databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde
beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-
delsen af bestemmelser i denne kodeksrdquo
Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder
for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring
kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-
holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-
sen bliver overholdt
Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets
kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne
foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom
overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks
I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af
og godkendelse af en adfaeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 923
Overholdelse af en godkendt adfaeligrdskodeks skal inddrages behoslashrigt ved vurderingen af kon-
sekvenserne af de databehandlingsaktiviteter der udfoslashres af de paringgaeligldende dataansvarlige
eller databehandlere navnlig i forbindelse med en konsekvensanalyse vedroslashrende databeskyt-
telse
Eksempel 6 ndash et privathospital koslashber et nyt IT-system
Privathospitalet H oslashnsker at koslashbe et nyt IT-system hvori H bla vil registrere og behandle alle
oplysninger om sine patienter
I og med at H behandler foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang vil
H skulle lave en konsekvensanalyse inden H tager det nye IT-system i brug
Privathospitalet H har ved en tidligere lejlighed tilsluttet sig en godkendt adfaeligrdskodeks vedroslash-
rende behandlingssikkerhed (for saring vidt angaringr personoplysninger) paring privathospitaler Adfaeligrds-
kodeksen indeholder bla klare retningslinjer for pseudonymisering og kryptering af personop-
lysninger samt klare retningslinjer for privathospitalers beskyttelse af personoplysninger ud mod
internettet (firewalls mv)
Naringr H skal foretage sin konsekvensanalyse vil H kunne inddrage sin efterlevelse af den god-
kendte adfaeligrdskodeks vedroslashrende behandlingssikkerhed paring privathospitaler naringr H skal vurde-
re risikoen ved at overgaring til det nye IT-system Adfaeligrdskodeksen kan saringledes bidrage til at
mindske risikoen ved at tage det nye IT-system i brug
Det bemaeligrkes at der i artikel 35 stk 8 alene henvises til godkendte adfaeligrdskodekser Dette
er saringledes et af blot to steder hvor der ikke baringde henvises til godkendte adfaeligrdskodekser og
godkendte certificeringsordninger Se mere herom i afsnit 342 (databeskyttelse gennem de-
sign og standardindstillinger)
235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland2 skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra e at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt adfaeligrdsko-
deks Det er dog en betingelse for at anse en adfaeligrdskodeks for at sikre fornoslashdne garantier at
der er bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller databehandleren i
tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de registreredes ret-
tigheder
2 Lande der ikke er medlem af EU eller EOslashS
Vejledning om adfaeligrdskodekser og certificeringsordninger 1023
Eksempel 7 ndash databehandleren i Indien
En dansk virksomhed A oslashnsker at benytte en databehandler D i Indien til at drifte sine IT-
systemer
Da Indien er et usikkert tredjeland skal A have et overfoslashrselsgrundlag i forordningens kapitel V
inden der kan overfoslashres personoplysninger til D i Indien
Et overfoslashrselsgrundlag kan i den forbindelse vaeligre hvis D har tilsluttet sig en godkendt og bin-
dende adfaeligrdskodeks vedroslashrende overfoslashrsel af personoplysninger til databehandlere i tredje-
lande der bla indeholder klare retningslinjer om behandlingssikkerhed haringndtering af brud paring
persondatasikkerheden brug af underdatabehandlere uddannelse af medarbejdere og samar-
bejde med de relevante datatilsyn mv
Det bemaeligrkes at Drsquos tilslutning til et godkendt adfaeligrdskodeks ikke fritager A for at indgaring en
databehandleraftale med D jf databeskyttelsesforordningens artikel 28
236 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt adfaeligrdskodeks er overholdt naringr det skal afgoslashres om der skal paring-
laeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ boslashde
skal vaeligre
Efterlevelse af en godkendt adfaeligrdskodeks i forbindelse med en given behandling af personop-
lysninger vil saringledes feks kunne inddrages ved vurderingen af om der er begaringet noget straf-
bart i forbindelse med manglende overholdelse af forordningen og dermed om der skal paringlaeligg-
ges en boslashde
Paring samme maringde vil efterlevelse af en kodeks feks kunne inddrages som en formildende om-
staeligndighed ved fastsaeligttelsen af en administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 21 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt adfaeligrdskodeks ikke i sig selv er et bevis paring overholdelse af databe-
skyttelsesforordningen heller ikke for saring vidt angaringr de regler i forordningen som kodeksen
maringtte specificere anvendelsen af Overholdelse af en adfaeligrdskodeks kan dermed heller ikke i
sig selv fritage en dataansvarlig eller databehandler for ansvar
24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige
minimumskrav
Som naeligvnt ovenfor i afsnit 22 kan adfaeligrdskodekser ifoslashlge forordningen udarbejdes af sam-
menslutninger eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databe-
handlere
Som naeligvnt under samme pkt laeliggges der med databeskyttelsesforordningen op til at det ty-
pisk vil vaeligre brancheorganisationer eller lignende der tager initiativ til at udarbejde en ad-
faeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1123
Inden en adfaeligrdskodeks kan benyttes til at specificere anvendelsen af databeskyttelsesforord-
ningen skal den vaeligre godkendt af Datatilsynet
For at en adfaeligrdskodeks kan blive godkendt af Datatilsynet vil den skulle leve op til nogle ind-
holdsmaeligssige minimumskrav der samlet set skal sikre at kodeksen sikrer fornoslashdne garantier
De indholdsmaeligssige minimumskrav vil kunne udvikle sig over tid da det i et vist omfang vil
vaeligre noslashdvendigt at koordinere disse med de oslashvrige datatilsyn i EU
Datatilsynet kan dog allerede nu pege paring at foslashlgende punkter ndash efter Datatilsynets opfattelse ndash
som minimum skal beroslashres i en adfaeligrdskodeks hvis denne skal indeholde fornoslashdne garantier
- En adfaeligrdskodeks skal have fokus paring en veldefineret kategori af dataansvarlige eller
databehandlere Kodeksen skal saringledes klart angive hvilke typer organisationer eller
sektorer som kodeksen tilsigter at finde anvendelse paring
- En adfaeligrdskodeks skal vaeligre rettet mod konkrete og veldefinerede behandlinger som
er typiske for ovennaeligvnte kategorier af dataansvarlige og databehandlere
- En adfaeligrdskodeks skal forberedes omhyggeligt og der boslashr i den forbindelse ske hoslash-
ring af relevante interessenter herunder i muligt omfang de registrerede eller deres
repraeligsentanter feks Forbrugerraringdet eller lignende
- En adfaeligrdskodeks skal indeholde retningslinjer rettet mod konkrete behandlingssitua-
tioner der er relevante for den branche eller lignende som kodeksen er rettet mod
Retningslinjerne kan vaeligre relateret til det daglige arbejde og de eventuelle usaeligdvanli-
ge arbejdssituationer som behandlingsaktiviteterne maringtte indgaring i samt fastsaeligtte spe-
cifikke rammer for hvordan man kan begraelignse de risici som er blevet identificeret i
forhold til behandlingsaktiviteterne
- En adfaeligrdskodeks skal indeholde konkrete retningslinjer som hjaeliglper til at sikre at de
tilsluttede dataansvarlige eller databehandlere overholder forordningen naringr de foslashlger
adfaeligrdskodeksens retningslinjer Kodeksen skal saringledes i tilstraeligkkelig grad fokusere
paring specifikke databeskyttelsessposlashrgsmaringl og ndashproblemer der findes i den organisation
eller sektor som kodeksen finder anvendelse paring samt anvise tilstraeligkkelig klare loslashs-
ninger paring disse sposlashrgsmaringl og problemer I den forbindelse boslashr relevante kompetencer
saringsom faglige juridiske og it-sikkerhedsmaeligssige inddrages i udarbejdelsen
- En adfaeligrdskodeks skal indeholde mekanismer som goslashr et kontrolorgan i stand til at
foretage en kontrol af om den dataansvarlige eller databehandleren der har tilsluttet
sig et adfaeligrdskodeks rent faktisk overholder reglerne i kodeksen Disse kontrolmeka-
nismer kan baringde vaeligre af teknisk og organisatorisk karakter
- I forhold til enhver adfaeligrdskodeks skal der vaeligre en central instans (feks en branche-
organisation) der soslashrger for at kodeksen loslashbende bliver opdateret og tilpasset feks i
forhold til praksis fra Datatilsynet mv
Vejledning om adfaeligrdskodekser og certificeringsordninger 1223
- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-
hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-
trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre
akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan
akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har
1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-
lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-
handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af
kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og
ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-
se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets
opgaver og pligter ikke foslashrer til en interessekonflikt
- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-
holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager
ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde
databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde
beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-
delsen af bestemmelser i denne kodeksrdquo
Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder
for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring
kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-
holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-
sen bliver overholdt
Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets
kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne
foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom
overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks
I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af
og godkendelse af en adfaeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 1023
Eksempel 7 ndash databehandleren i Indien
En dansk virksomhed A oslashnsker at benytte en databehandler D i Indien til at drifte sine IT-
systemer
Da Indien er et usikkert tredjeland skal A have et overfoslashrselsgrundlag i forordningens kapitel V
inden der kan overfoslashres personoplysninger til D i Indien
Et overfoslashrselsgrundlag kan i den forbindelse vaeligre hvis D har tilsluttet sig en godkendt og bin-
dende adfaeligrdskodeks vedroslashrende overfoslashrsel af personoplysninger til databehandlere i tredje-
lande der bla indeholder klare retningslinjer om behandlingssikkerhed haringndtering af brud paring
persondatasikkerheden brug af underdatabehandlere uddannelse af medarbejdere og samar-
bejde med de relevante datatilsyn mv
Det bemaeligrkes at Drsquos tilslutning til et godkendt adfaeligrdskodeks ikke fritager A for at indgaring en
databehandleraftale med D jf databeskyttelsesforordningens artikel 28
236 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt adfaeligrdskodeks er overholdt naringr det skal afgoslashres om der skal paring-
laeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ boslashde
skal vaeligre
Efterlevelse af en godkendt adfaeligrdskodeks i forbindelse med en given behandling af personop-
lysninger vil saringledes feks kunne inddrages ved vurderingen af om der er begaringet noget straf-
bart i forbindelse med manglende overholdelse af forordningen og dermed om der skal paringlaeligg-
ges en boslashde
Paring samme maringde vil efterlevelse af en kodeks feks kunne inddrages som en formildende om-
staeligndighed ved fastsaeligttelsen af en administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 21 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt adfaeligrdskodeks ikke i sig selv er et bevis paring overholdelse af databe-
skyttelsesforordningen heller ikke for saring vidt angaringr de regler i forordningen som kodeksen
maringtte specificere anvendelsen af Overholdelse af en adfaeligrdskodeks kan dermed heller ikke i
sig selv fritage en dataansvarlig eller databehandler for ansvar
24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige
minimumskrav
Som naeligvnt ovenfor i afsnit 22 kan adfaeligrdskodekser ifoslashlge forordningen udarbejdes af sam-
menslutninger eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databe-
handlere
Som naeligvnt under samme pkt laeliggges der med databeskyttelsesforordningen op til at det ty-
pisk vil vaeligre brancheorganisationer eller lignende der tager initiativ til at udarbejde en ad-
faeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1123
Inden en adfaeligrdskodeks kan benyttes til at specificere anvendelsen af databeskyttelsesforord-
ningen skal den vaeligre godkendt af Datatilsynet
For at en adfaeligrdskodeks kan blive godkendt af Datatilsynet vil den skulle leve op til nogle ind-
holdsmaeligssige minimumskrav der samlet set skal sikre at kodeksen sikrer fornoslashdne garantier
De indholdsmaeligssige minimumskrav vil kunne udvikle sig over tid da det i et vist omfang vil
vaeligre noslashdvendigt at koordinere disse med de oslashvrige datatilsyn i EU
Datatilsynet kan dog allerede nu pege paring at foslashlgende punkter ndash efter Datatilsynets opfattelse ndash
som minimum skal beroslashres i en adfaeligrdskodeks hvis denne skal indeholde fornoslashdne garantier
- En adfaeligrdskodeks skal have fokus paring en veldefineret kategori af dataansvarlige eller
databehandlere Kodeksen skal saringledes klart angive hvilke typer organisationer eller
sektorer som kodeksen tilsigter at finde anvendelse paring
- En adfaeligrdskodeks skal vaeligre rettet mod konkrete og veldefinerede behandlinger som
er typiske for ovennaeligvnte kategorier af dataansvarlige og databehandlere
- En adfaeligrdskodeks skal forberedes omhyggeligt og der boslashr i den forbindelse ske hoslash-
ring af relevante interessenter herunder i muligt omfang de registrerede eller deres
repraeligsentanter feks Forbrugerraringdet eller lignende
- En adfaeligrdskodeks skal indeholde retningslinjer rettet mod konkrete behandlingssitua-
tioner der er relevante for den branche eller lignende som kodeksen er rettet mod
Retningslinjerne kan vaeligre relateret til det daglige arbejde og de eventuelle usaeligdvanli-
ge arbejdssituationer som behandlingsaktiviteterne maringtte indgaring i samt fastsaeligtte spe-
cifikke rammer for hvordan man kan begraelignse de risici som er blevet identificeret i
forhold til behandlingsaktiviteterne
- En adfaeligrdskodeks skal indeholde konkrete retningslinjer som hjaeliglper til at sikre at de
tilsluttede dataansvarlige eller databehandlere overholder forordningen naringr de foslashlger
adfaeligrdskodeksens retningslinjer Kodeksen skal saringledes i tilstraeligkkelig grad fokusere
paring specifikke databeskyttelsessposlashrgsmaringl og ndashproblemer der findes i den organisation
eller sektor som kodeksen finder anvendelse paring samt anvise tilstraeligkkelig klare loslashs-
ninger paring disse sposlashrgsmaringl og problemer I den forbindelse boslashr relevante kompetencer
saringsom faglige juridiske og it-sikkerhedsmaeligssige inddrages i udarbejdelsen
- En adfaeligrdskodeks skal indeholde mekanismer som goslashr et kontrolorgan i stand til at
foretage en kontrol af om den dataansvarlige eller databehandleren der har tilsluttet
sig et adfaeligrdskodeks rent faktisk overholder reglerne i kodeksen Disse kontrolmeka-
nismer kan baringde vaeligre af teknisk og organisatorisk karakter
- I forhold til enhver adfaeligrdskodeks skal der vaeligre en central instans (feks en branche-
organisation) der soslashrger for at kodeksen loslashbende bliver opdateret og tilpasset feks i
forhold til praksis fra Datatilsynet mv
Vejledning om adfaeligrdskodekser og certificeringsordninger 1223
- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-
hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-
trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre
akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan
akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har
1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-
lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-
handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af
kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og
ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-
se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets
opgaver og pligter ikke foslashrer til en interessekonflikt
- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-
holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager
ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde
databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde
beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-
delsen af bestemmelser i denne kodeksrdquo
Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder
for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring
kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-
holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-
sen bliver overholdt
Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets
kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne
foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom
overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks
I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af
og godkendelse af en adfaeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 1123
Inden en adfaeligrdskodeks kan benyttes til at specificere anvendelsen af databeskyttelsesforord-
ningen skal den vaeligre godkendt af Datatilsynet
For at en adfaeligrdskodeks kan blive godkendt af Datatilsynet vil den skulle leve op til nogle ind-
holdsmaeligssige minimumskrav der samlet set skal sikre at kodeksen sikrer fornoslashdne garantier
De indholdsmaeligssige minimumskrav vil kunne udvikle sig over tid da det i et vist omfang vil
vaeligre noslashdvendigt at koordinere disse med de oslashvrige datatilsyn i EU
Datatilsynet kan dog allerede nu pege paring at foslashlgende punkter ndash efter Datatilsynets opfattelse ndash
som minimum skal beroslashres i en adfaeligrdskodeks hvis denne skal indeholde fornoslashdne garantier
- En adfaeligrdskodeks skal have fokus paring en veldefineret kategori af dataansvarlige eller
databehandlere Kodeksen skal saringledes klart angive hvilke typer organisationer eller
sektorer som kodeksen tilsigter at finde anvendelse paring
- En adfaeligrdskodeks skal vaeligre rettet mod konkrete og veldefinerede behandlinger som
er typiske for ovennaeligvnte kategorier af dataansvarlige og databehandlere
- En adfaeligrdskodeks skal forberedes omhyggeligt og der boslashr i den forbindelse ske hoslash-
ring af relevante interessenter herunder i muligt omfang de registrerede eller deres
repraeligsentanter feks Forbrugerraringdet eller lignende
- En adfaeligrdskodeks skal indeholde retningslinjer rettet mod konkrete behandlingssitua-
tioner der er relevante for den branche eller lignende som kodeksen er rettet mod
Retningslinjerne kan vaeligre relateret til det daglige arbejde og de eventuelle usaeligdvanli-
ge arbejdssituationer som behandlingsaktiviteterne maringtte indgaring i samt fastsaeligtte spe-
cifikke rammer for hvordan man kan begraelignse de risici som er blevet identificeret i
forhold til behandlingsaktiviteterne
- En adfaeligrdskodeks skal indeholde konkrete retningslinjer som hjaeliglper til at sikre at de
tilsluttede dataansvarlige eller databehandlere overholder forordningen naringr de foslashlger
adfaeligrdskodeksens retningslinjer Kodeksen skal saringledes i tilstraeligkkelig grad fokusere
paring specifikke databeskyttelsessposlashrgsmaringl og ndashproblemer der findes i den organisation
eller sektor som kodeksen finder anvendelse paring samt anvise tilstraeligkkelig klare loslashs-
ninger paring disse sposlashrgsmaringl og problemer I den forbindelse boslashr relevante kompetencer
saringsom faglige juridiske og it-sikkerhedsmaeligssige inddrages i udarbejdelsen
- En adfaeligrdskodeks skal indeholde mekanismer som goslashr et kontrolorgan i stand til at
foretage en kontrol af om den dataansvarlige eller databehandleren der har tilsluttet
sig et adfaeligrdskodeks rent faktisk overholder reglerne i kodeksen Disse kontrolmeka-
nismer kan baringde vaeligre af teknisk og organisatorisk karakter
- I forhold til enhver adfaeligrdskodeks skal der vaeligre en central instans (feks en branche-
organisation) der soslashrger for at kodeksen loslashbende bliver opdateret og tilpasset feks i
forhold til praksis fra Datatilsynet mv
Vejledning om adfaeligrdskodekser og certificeringsordninger 1223
- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-
hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-
trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre
akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan
akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har
1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-
lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-
handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af
kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og
ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-
se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets
opgaver og pligter ikke foslashrer til en interessekonflikt
- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-
holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager
ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde
databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde
beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-
delsen af bestemmelser i denne kodeksrdquo
Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder
for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring
kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-
holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-
sen bliver overholdt
Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets
kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne
foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom
overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks
I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af
og godkendelse af en adfaeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 1223
- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-
hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-
trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre
akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan
akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har
1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-
lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-
handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af
kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og
ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-
se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets
opgaver og pligter ikke foslashrer til en interessekonflikt
- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-
holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager
ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde
databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde
beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-
delsen af bestemmelser i denne kodeksrdquo
Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder
for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring
kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-
holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-
sen bliver overholdt
Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets
kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne
foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom
overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan
25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en
adfaeligrdskodeks
I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af
og godkendelse af en adfaeligrdskodeks
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 1323
Figur 1
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 1423
30 Certificeringsordninger
31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand
(artikel 42)
En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart
(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet
om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav
Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det
vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-
viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-
ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-
cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne
foregaringr
Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning
tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-
handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-
som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-
det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden
at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt
certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller
ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere
anvendelsen af forordningen i forhold til
Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed
eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-
heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en
behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen
En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-
ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside
eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden
eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen
32 Hvem kan tage initiativ til en certificeringsordning
I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder
forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til
at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der
kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en
specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for
pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 1523
antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-
somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at
der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-
ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor
Eksempel 8 ndash pseudonymisering af sundhedsoplysninger
En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i
forskning med pseudonymiserede sundhedsoplysninger
Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at
foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at
lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via
en certificeringsordning
Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-
roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-
der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)
Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A
33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen
sig fra andre kendte typer af certificeringsordninger
Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det
feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet
(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed
bygningskonstruktion mv
I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal
foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de
styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-
ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra
Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-
relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring
generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash
vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller
flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-
sikkerhed
Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-
ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen
3 International Organisation for Standardization
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 1623
Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-
ningen kan benyttes til
34 Hvad kan en certificering bruges til
Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere
om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til
Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af
forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-
for
I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-
gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-
ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-
holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-
telse af en sanktion
Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en
godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i
meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af
en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23
vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-
ger men de vil ikke blive gengivet paring ny i det foslashlgende
341 Den dataansvarliges ansvar (artikel 24)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at
den dataansvarlige lever op til sine forpligtelser efter forordningen
Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at
paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen
342 Databeskyttelse gennem design og standardindstillinger (artikel 25)
En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-
ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-
stillinger
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 1723
Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger
En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-
tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-
ster saringsom onlinetjenester og apps der bruger lokationsdata
De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene
indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen
af lokationsdata til formaringlet
Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine
IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata
Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne
kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25
Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor
der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-
ninger til
343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)
En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-
ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier
344 Behandlingssikkerhed (artikel 32)
Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den
dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed
345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)
Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et
tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-
grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i
form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af
Kommissionen som et sikkert tredjeland
Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i
forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-
ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller
databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de
registreredes rettigheder
346 Administrative boslashder (artikel 83)
Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt
hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal
paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ
boslashde skal vaeligre
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 1823
Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil
saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en
administrativ boslashdes stoslashrrelse
Som naeligvnt ovenfor i afsnit 31 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-
holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-
beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen
maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-
ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar
35 Hvordan kan man blive certificeret
Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af
et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt
af Datatilsynet eller Databeskyttelsesraringdet
Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-
kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til
for at kriterierne kan blive godkendt
Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-
ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab
udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt
idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet
Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-
ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-
sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles
certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere
isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring
baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-
missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger
Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-
beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-
ringsordninger paring sin hjemmeside
Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-
soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-
ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet
4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater
Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-
certification
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 1923
Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage
certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-
ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i
hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-
gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-
svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver
ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst
viden om den certificeringsordning som de har taget initiativ til og varetager administrationen
af
Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er
de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet
kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-
ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring
forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets
opgaver jf artikel 57
I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2023
1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger
der er rent nationale og hvilke ordninger der er faeliglles)
2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-
petente certificeringsorgan om at blive certificeret
3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret
4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat
5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat
6 Certificeringsorganet udsteder et certifikat
7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside
8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret
9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt
10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-
ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen
Databeskyttelses-raringdet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet
Offentliggoslashr godkendte
certificerings-ordninger (1)
Datatilsynet kan eventuelt give
paringbud (5)
Eventuelt tilsyn (10)
Certificerings organ
Behandler anmodningen
(3)
Orienterer Datatilsynet inden
udstedelse af certifikat (4)
Udsteder certifikat (6)
Saeligtter den nu certificerede paring offentlig liste (8)
Loslashbende revision (10)
Dataansvarlig
Databehandler
Anmoder om at blive certificeret
(2)
Bliver certificeret (7)
Anmoder om fornyelse (9)
Figur 2 Overordnet oversigt over certificeringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2123
36 Hvordan kan man blive akkrediteret som certificeringsorgan
Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er
det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan
I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)
Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-
melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008
I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer
idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes
DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som
certificeringsorgan
Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil
DANAK se paring om virksomheden lever op til disse kriterier
a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-
ringens genstand
b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet
godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-
tabeskyttelsesraringdet i henhold til artikel 63
c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-
bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker
d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over
overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver
gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-
cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og
e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-
flikt
Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle
opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126
som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet
Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til
en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at
virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod
5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk
6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2223
Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav
En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget
hvis certificeringsorganet fortsat lever op til de fastsatte krav
Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver
tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside
Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret
kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende
hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen
I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb
Vejledning om adfaeligrdskodekser og certificeringsordninger 2323
1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet
2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan
3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-
ning (EF) nr 7652008
4 DANAK akkrediterer ansoslashger
5 Ansoslashger er nu godkendt som certificeringsorgan
6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-
fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)
7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere
8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-
traeligkke en akkreditering
Databeskyttelses-raringdet
Bliver offentliggjort paring en liste over
alle akkrediterede(6)
Datatilsynet Offentliggoslashr
kriterier for at blive akkrediteret
Eventuelt tilsyn (8)
DANAK Behandler
anmodningen (3) Akkreditering af
ansoslashger (4)
Bliver offentliggjort paring en liste over
nationalt akkrediterede(6)
En ansoslashger Anmoder om at
blive akkrediteret (2)
Ansoslashger bliver akkrediteret (5)
Kan modtage certificerings
anmodninger (7)
Figur 3 Overordnet oversigt over et akkrediteringsforloslashb