Vejledning om adfærdskodekser og certificeringsordninger · 3/23 . Vejledning om adfærdskodekser og certificeringsordninger . 1.0 Forord . Når databeskyttelsesforordningen finder

Vejledning om adfaeligrdskodekser og certificeringsordninger 123

Vejledning om adfaeligrdskodekser

og certificeringsordninger

Januar 2018 (opdateret december 2018)

Januar 2018 (opdateret december 2018)


Indhold

10 Forord _________________________________________________________ 3

20 Adfaeligrdskodekser ________________________________________________ 4

21 Hvad er en adfaeligrdskodeks ______________________________________________ 4

22 Hvem kan udarbejde en adfaeligrdskodeks ___________________________________ 4

23 Hvad kan en adfaeligrdskodeks benyttes til ___________________________________ 5

231 Den dataansvarliges ansvar (artikel 24) _________________________________ 7

232 Databehandlers paringvisning af fornoslashdne garantier (artikel 28) _________________ 7

233 Behandlingssikkerhed (artikel 32) _____________________________________ 8

234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35) ________________ 8

235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46) ___________ 9

236 Administrative boslashder (artikel 83) _____________________________________ 10

24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige minimumskrav ___ 10

25 Hvordan er processen i forbindelse med udarbejdelse af og godkendelse af en

adfaeligrdskodeks ____________________________________________________________ 12

30 Certificeringsordninger __________________________________________ 14

31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand (artikel

42) ___________________________________________________________________ 14

32 Hvem kan tage initiativ til en certificeringsordning ___________________________ 14

33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen sig

fra andre kendte typer af certificeringsordninger __________________________________ 15

34 Hvad kan en certificering bruges til _______________________________________ 16

341 Den dataansvarliges ansvar (artikel 24) ________________________________ 16

342 Databeskyttelse gennem design og standardindstillinger (artikel 25) _________ 16

343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28) ________________ 17

344 Behandlingssikkerhed (artikel 32) ____________________________________ 17

345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46) __________ 17


35 Hvordan kan man blive certificeret _______________________________________ 18

36 Hvordan kan man blive akkrediteret som certificeringsorgan ___________________ 21


10 Forord

Naringr databeskyttelsesforordningen finder anvendelse fra den 25 maj 2018 vil der vaeligre mange

regler som alle dataansvarlige og databehandlere (store som smaring) skal kunne overholde samt

kunne dokumentere at de overholder

For nogle virksomheder kan det synes uoverskueligt at skulle saeligtte sig ind i og forstaring databe-

skyttelsesforordningens mange forskelligartede regler Det vil nok isaeligr vaeligre tilfaeligldet for mikro

smaring og mellemstore virksomheder hvor behandling af personoplysninger ikke er virksomhe-

dens rdquokerneydelserdquo Ikke desto mindre vil de fleste smaring virksomheder feks toslashmrervirksomhe-

der frisoslashrer og koslashbmaelignd i et eller andet omfang behandle personoplysninger herunder oplys-

ninger om virksomhedens ansatte og virksomhedens kunder

Herudover kan det skyldes at mange smaring virksomheder i modsaeligtning til stoslashrre virksomheder

ikke har en juridisk afdeling der kan hjaeliglpe med overholdelsen ligesom de maringske ikke har

ressourcerne til at indhente ekstern juridisk raringdgivning

I databeskyttelsesforordningens kapitel 4 afdeling 5 har man bla i erkendelse af ovennaeligvn-

te indsat regler om adfaeligrdskodekser og certificeringsordninger Oslashnsket er at disse ordninger

skal kunne hjaeliglpe dataansvarlige og databehandlere til at overholde databeskyttelsesforordnin-

gen herunder feks i forhold til behandlingsaktiviteter der er saeligrligt kendetegnende for en

specifik branche eller lignende

Udarbejdelse af bla adfaeligrdskodekser vil derfor kunne vaeligre et nyttigt redskab for isaeligr mikro

smaring og mellemstore virksomheder til at hjaeliglpe med at sikre overholdelsen af forordningens

regler

Reglerne om adfaeligrdskodekser og certificeringsordninger er dog ikke udelukkende tiltaelignkt at

skulle hjaeliglpe mikro smaring og mellemstore virksomheder med deres overholdelse af forordnin-

gen Store virksomheder og offentlige myndigheder mv vil saringledes ogsaring kunne benytte sig af

ordningerne

I denne vejledning faringr man bla en introduktion til 1) hvad adfaeligrdskodekser og certificerings-

ordninger er 2) hvem der kan udarbejde en adfaeligrdskodeks eller en certificeringsordning 3)

hvad man kan bruge ordningerne til og 4) hvordan en adfaeligrdskodeks eller en certificeringsord-

ning kan blive godkendt

Denne vejledning er baseret paring reglerne i databeskyttelsesforordningens kapitel IV afdeling 5

(Europa-Parlamentets og Raringdets forordning (EU) 2016679 af 27 april 2016 om beskyttelse af

fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af

saringdanne oplysninger) og som bla er beskrevet i betaelignkning nr 15652017 om databeskyttel-

sesforordningen i kapitel 522-525


20 Adfaeligrdskodekser

21 Hvad er en adfaeligrdskodeks

I databeskyttelsesforordningens forstand er en adfaeligrdskodeks et saeligt retningslinjer som skal

bidrage til at sikre at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i data-

beskyttelsesforordningen korrekt

Retningslinjerne i en kodeks skal bidrage til at sikre en korrekt anvendelse af forordningens

regler ved at angive hvordan man i specifikke typetilfaeliglde skal haringndtere behandlingen af per-

sonoplysninger Det kan feks vaeligre ved at fastlaeliggge nogle procedurer som skal foslashlges for en

specifik type behandling af personoplysninger

En adfaeligrdskodeks kan saringledes benyttes inden for en specifik kategori af databehandlingsaktivi-

teter ndash som er saeligdvanlige for feks en veldefineret gruppe af virksomheder

Overholdelse af en kodeks kan saringledes endvidere anvendes som et element til at paringvise at den

dataansvarlige eller databehandleren lever op til sine forpligtelser efter forordningen

Det er vigtigt at vaeligre opmaeligrksom paring at tilslutning til og overholdelse af en godkendt adfaeligrds-

kodeks ikke i sig selv er et bevis paring overholdelse af databeskyttelsesforordningen heller ikke

for saring vidt angaringr de artikler i forordningen som kodeksen maringtte forholde sig til Overholdelse af

en adfaeligrdskodeks kan dermed heller ikke fritage en dataansvarlig eller en databehandler for

ansvar men det maring antages at overholdelse af en godkendt adfaeligrdskodeks har betydning for

om man kan ifalde et strafansvar for at overtraeligde reglerne i forordningen eller er formildende

for saring vidt angaringr et eventuelt strafansvar jf mere herom i afsnit 23

22 Hvem kan udarbejde en adfaeligrdskodeks

En adfaeligrdskodeks kan ifoslashlge databeskyttelsesforordningen udarbejdes af sammenslutninger

eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databehandlere

De oplagte sammenslutninger er der kan taelignkes at tage initiativ til at udarbejde en adfaeligrdsko-

deks er bla brancheorganisationer og ndashforeninger Man kunne dog ogsaring forestille sig at feks

KL eller Danske Regioner kunne have en interesse i ndash i forhold til specifikke behandlingsaktivi-

teter ndash at udarbejde adfaeligrdskodeks der retter sig mod kommunerne eller regionerne

Naringr der peges paring brancheorganisationer og -foreninger saring skyldes dette at disse typisk har et

indgaringende kendskab til hvilke behandlinger af personoplysninger der er saeligdvanlige inden for

de brancher som organisationen eller foreningen repraeligsenterer

Brancheorganisationer eller foreninger ved saringledes ogsaring paring hvilke omraringder deres medlemmer

er mest udfordrede i forhold til at overholde forordningen og hvor de derfor kan have gavn af en

adfaeligrdskodeks der specificerer anvendelsen af forordningen i forhold til disse omraringder


Eksempel 1 ndash behandling af HR-oplysninger

Arbejdsgiverorganisationen A der repraeligsenterer en lang raeligkke ejere af smaring servicevirksom-

heder i Danmark bliver opmaeligrksom paring at organisationens medlemmer har svaeligrt ved at forstaring

behandlingsreglerne i databeskyttelsesforordningens kapitel II

Langt de fleste af Arsquos medlemmer behandler kun personoplysninger om deres ansatte til HR-

formaringl og de har typisk under 5 ansatte

A beslutter paring baggrund af ovenstaringende at tage initiativ til at udarbejde en adfaeligrdskodeks der

opstiller specifikke regler for behandling af HR-oplysninger i servicevirksomheder med under 5

ansatte herunder regler om indsamling af oplysninger samt regler om sletning mv

Efter at Arsquos udkast til adfaeligrdskodeks er blevet godkendt af Datatilsynet vil Arsquos medlemmer ndash paring

frivillig basis ndash kunne tilslutte sig adfaeligrdskodeksen og dermed faring hjaeliglp til overholdelsen af de

regler i databeskyttelsesforordningen der isaeligr er relevante for medlemmerne

Som det fremgaringr af eksempel 1 er det frivilligt om man oslashnsker at tilslutte sig en adfaeligrdsko-

deks Man kan saringledes sagtens overholde databeskyttelsesforordningen uden at tilslutte sig en

adfaeligrdskodeks

23 Hvad kan en adfaeligrdskodeks benyttes til

Ifoslashlge databeskyttelsesforordningens artikel 40 stk 2 litra a-k kunne en adfaeligrdskodeks taelign-

kes at specificere anvendelsen af foslashlgende raeligkke eksempler paring forordningens regler

a) rimelig og gennemsigtig behandling

b) de legitime interesser som forfoslashlges af den dataansvarlige i specifikke sammenhaelignge

c) indsamlingen af personoplysninger

d) pseudonymiseringen af personoplysninger

e) informationen der gives til offentligheden og til registrerede

f) udoslashvelsen af registreredes rettigheder

g) informationen der gives til boslashrn og beskyttelsen af boslashrn og den maringde hvorparing sam-

tykket fra indehavere af foraeligldremyndighed over boslashrn skal indhentes

h) foranstaltningerne og procedurerne omhandlet i artikel 24 og 25 og foranstaltningerne

til at sikre behandlingssikkerhed som omhandlet i artikel 32

i) anmeldelse af brud paring persondatasikkerheden til tilsynsmyndighederne og underret-

ningen af de registrerede om saringdanne brud paring persondatasikkerheden

j) overfoslashrslen af personoplysninger til tredjelande eller internationale organisationer eller

k) udenretslige procedurer og andre procedurer for bilaeligggelse af tvister mellem dataan-

svarlige og registrerede vedroslashrende behandling uden at det beroslashrer registreredes ret-

tigheder i henhold til artikel 77 og 79


Hvis man tager udgangspunkt i ovennaeligvnte liste kunne en adfaeligrdskodeks saringledes feks garing ud

paring at specificere databeskyttelsesforordningens regler i forhold til de registreredes rettigheder

Eksempel 2 ndash oplysningspligt

Brancheorganisationen B repraeligsenterer bla en raeligkke mindre virksomheder der beskaeligftiger

sig med rekruttering

I forbindelse med udoslashvelsen af deres rekrutteringsvirksomhed indsamler Brsquos medlemmer ofte

oplysninger om de personer som virksomheden forsoslashger at rekruttere (de registrerede) fra

andre end de paringgaeligldende personer selv Virksomhederne skal derfor ndash i overensstemmelse

med databeskyttelsesforordningens regler om oplysningspligt (her artikel 14) ndash give de registre-

rede en raeligkke oplysninger herunder oplysninger om hvem virksomheden er og med hvilke

formaringl virksomheden behandler oplysninger

Da det erfaringsmaeligssigt er svaeligrt for Brsquos medlemmer at overholde databeskyttelsesforordnin-

gens regler om oplysningspligt vaeliglger B at udarbejde en adfaeligrdskodeks som kan lette Brsquos

medlemmers overholdelse af oplysningspligten Kodeksen indeholder bla en skabelon som

Brsquos medlemmer kan benytte naringr de opfylder deres oplysningspligt over for de registrerede men

kodeksen indeholder ogsaring en raeligkke regler der kan hjaeliglpe medlemmerne til at huske at opfylde

deres oplysningspligt

En adfaeligrdskodeks kunne ligeledes garing ud paring at specificere databeskyttelsesforordningens reg-

ler om behandlingssikkerhed

Eksempel 3 ndash pseudonymisering

Brancheorganisationen C repraeligsenterer en raeligkke mindre forskningsvirksomheder der ndash paring

samme maringde ndash behandler store maeligngder foslashlsomme oplysninger (helbredsoplysninger) om

patienter til brug for udvikling af ny medicin mv

For at hjaeliglpe sine medlemmer til at overholde databeskyttelsesforordningens regler om be-

handlingssikkerhed (feks sikre at oplysninger ikke kommer til uvedkommendes kendskab)

tager C initiativ til at udarbejde en adfaeligrdskodeks om pseudonymisering1 af de patientoplysnin-

ger som Crsquos medlemmer benytter i deres forskning

Adfaeligrdskodeksen indeholder bla en procedure der skal sikre at pseudonymisering sker i

overensstemmelse med anerkendte standarder og tilpasset til den paringgaeligldende databehandling

ligesom kodeksen indeholder regler for hvordan pseudonymisering skal udfoslashres i praksis

hvornaringr pseudonymisering skal finde sted samt regler for hvordan virksomheden boslashr indrette-

arbejdsprocesserne saring faeligrrest muligt kommer til at arbejde med ikke-pseudonymiserede op-

lysninger

1 Pseudonymisering defineres i databeskyttelsesforordningen som rdquoBehandling af personoplysninger paring en saringdan maringde

at personoplysningerne ikke laeligngere kan henfoslashres til en bestemt registreret uden brug af supplerende oplysninger forud-

sat at saringdanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for

at sikre at personoplysningerne ikke henfoslashres til en identificeret eller identificerbar fysisk personrdquo


Herudover naeligvnes det i en raeligkke bestemmelser i databeskyttelsesforordningen at dataansvar-

lige og databehandlere bla kan bruge overholdelse af en godkendt adfaeligrdskodeks som et

element til at paringvise overholdelsen af krav i forordningen ligesom overholdelse af godkendte

adfaeligrdskodekser kan inddrages ved vurderingen af om der kan idoslashmmes en straf for mang-

lende overholdelse af forordningen og i givet fald ved vurderingen af udmaringlingen af straffen

feks stoslashrrelsen af en boslashde

Nedenfor gennemgarings de bestemmelser i databeskyttelsesforordningen hvor overholdelse af en

godkendt adfaeligrdskodeks kan tillaeliggges betydning

231 Den dataansvarliges ansvar (artikel 24)

Den dataansvarlige er ansvarlig for at overholde reglerne i databeskyttelsesforordningen og

skal ifoslashlge forordningens artikel 24 kunne paringvise at man overholder sine forpligtelser efter for-

ordningen

Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at den

dataansvarlige lever op til sine forpligtelser efter forordningen

Eksempel 4 ndash en dataansvarlig har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende

haringndtering af brud paring persondatasikkerheden

En virksomhed V har tilsluttet sig en godkendt adfaeligrdskodeks der opstiller retningslinjer for

virksomhedens haringndtering af brud paring persondatasikkerheden

Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan virksomheden skal rydde op

efter et eventuelt brud paring persondatasikkerheden og hvordan virksomheden skal soslashge at be-

graelignse skadevirkningerne af bruddet Herudover indeholder adfaeligrdskodeksen klare retnings-

linjer for anmeldelse af brud paring persondatasikkerheden til de relevante tilsynsmyndigheder samt

retningslinjer for hvornaringr og hvordan de beroslashrte registrerede skal notificeres om bruddet

Naringr virksomheden V har tilsluttet sig en adfaeligrdskodeks der opstiller klare retningslinjer for Vrsquos

haringndtering af eventuelle brud paring persondatasikkerheden vil V kunne benytte sin tilslutning til

adfaeligrdskodeksen som et element til at paringvise at V lever op til de forpligtelser der ndash efter for-

ordningen ndash paringhviler V (som dataansvarlig) hvis denne konstaterer et brud paring persondatasik-

kerheden

232 Databehandlers paringvisning af fornoslashdne garantier (artikel 28)

Det fremgaringr af databeskyttelsesforordningens artikel 28 stk 1 at en dataansvarlig kun maring

benytte databehandlere der kan stille de fornoslashdne garantier for at de vil gennemfoslashre de pas-

sende tekniske og organisatoriske foranstaltninger paring en saringdan maringde at behandling opfylder

kravene i forordningen og sikrer beskyttelse af de registreredes rettigheder

Paring samme maringde fremgaringr det af artikel 28 stk 4 at en databehandler kun maring benytte en un-

derdatabehandler hvis denne kan stille de fornoslashdne garantier

Overholdelse af en godkendt adfaeligrdskodeks kan bruges som et element til at paringvise at data-

behandleren stiller fornoslashdne garantier Paring samme maringde kan overholdelse af en godkendt ad-


faeligrdskodeks bruges som et element til at paringvise at en underdatabehandler stiller fornoslashdne

garantier

Eksempel 5 ndash en databehandler har tilsluttet sig en godkendt adfaeligrdskodeks vedroslashrende

behandlingssikkerhed i cloud-loslashsninger

En virksomhed X har specialiseret sig i at udbyde skraeligddersyede cloud-loslashsninger til sine kun-

der inden for en given branche Y hvor X (som databehandler) opbevarer sine kunders person-

oplysninger i rdquoskyenrdquo

Da virksomheden X garingr meget op i at sikre sine kunders oplysninger bedst muligt har X valgt at

tilslutte sig en godkendt adfaeligrdskodeks vedroslashrende behandlingssikkerhed i cloud-loslashsninger i

branchen Y Adfaeligrdskodeksen indeholder bla klare retningslinjer for hvordan cloud-udbydere

skal beskytte sine oplysninger mod at disse kan tilgarings af uvedkommende ligesom kodeksen

indeholder retningslinjer for hvordan cloud-udbydere loslashbende skal teste effektiviteten af deres

tiltag samt retningslinjer for loslashbende ekstern kontrol og cloud-udbyderens opfoslashlgning derparing

Endelig indeholder kodeksen retningslinjer for hvordan cloud-udbydere hurtigst muligt kan

genoprette tilgaeligngeligheden af og adgangen til personoplysninger i tilfaeliglde af en fysisk eller

teknisk haeligndelse

Naringr virksomheden X har tilsluttet ovennaeligvnte adfaeligrdskodeks vil X kunne bruge denne tilslut-

ning til at paringvise over for potentielle kunder (dataansvarlige) at X ndash i sin loslashsning ndash kan stille de

fornoslashdne garantier i forhold til datasikkerheden i branchen Y

233 Behandlingssikkerhed (artikel 32)

Ifoslashlge databeskyttelsesforordningen skal den dataansvarlige og databehandleren gennemfoslashre

passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau som

passer til de risici der er ved den paringgaeligldende behandling af personoplysninger

Af databeskyttelsesforordningens artikel 32 stk 3 fremgaringr det at overholdelse af en godkendt

adfaeligrdskodeks kan bruges som et element til at paringvise den dataansvarliges eller databehand-

lerens overholdelse af kravene til behandlingssikkerhed

For eksempler vedroslashrende behandlingssikkerhed kan der henvises til eksempel 3 og 5 ovenfor

234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35)

Efter databeskyttelsesforordningens artikel 35 skal en dataansvarlig foretage en konsekvens-

analyse hvis en type behandling ndash navnlig ved brug af nye teknologier og i medfoslashr af sin karak-

ter omfang sammenhaeligng og formaringl ndash sandsynligvis vil indebaeligre en hoslashj risiko for fysiske per-

soners rettigheder og frihedsrettigheder

En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende

vurdering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk be-

handling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3)

der sker systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang


Overholdelse af en godkendt adfaeligrdskodeks skal inddrages behoslashrigt ved vurderingen af kon-

sekvenserne af de databehandlingsaktiviteter der udfoslashres af de paringgaeligldende dataansvarlige

eller databehandlere navnlig i forbindelse med en konsekvensanalyse vedroslashrende databeskyt-

telse

Eksempel 6 ndash et privathospital koslashber et nyt IT-system

Privathospitalet H oslashnsker at koslashbe et nyt IT-system hvori H bla vil registrere og behandle alle

oplysninger om sine patienter

I og med at H behandler foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang vil

H skulle lave en konsekvensanalyse inden H tager det nye IT-system i brug

Privathospitalet H har ved en tidligere lejlighed tilsluttet sig en godkendt adfaeligrdskodeks vedroslash-

rende behandlingssikkerhed (for saring vidt angaringr personoplysninger) paring privathospitaler Adfaeligrds-

kodeksen indeholder bla klare retningslinjer for pseudonymisering og kryptering af personop-

lysninger samt klare retningslinjer for privathospitalers beskyttelse af personoplysninger ud mod

internettet (firewalls mv)

Naringr H skal foretage sin konsekvensanalyse vil H kunne inddrage sin efterlevelse af den god-

kendte adfaeligrdskodeks vedroslashrende behandlingssikkerhed paring privathospitaler naringr H skal vurde-

re risikoen ved at overgaring til det nye IT-system Adfaeligrdskodeksen kan saringledes bidrage til at

mindske risikoen ved at tage det nye IT-system i brug

Det bemaeligrkes at der i artikel 35 stk 8 alene henvises til godkendte adfaeligrdskodekser Dette

er saringledes et af blot to steder hvor der ikke baringde henvises til godkendte adfaeligrdskodekser og

godkendte certificeringsordninger Se mere herom i afsnit 342 (databeskyttelse gennem de-

sign og standardindstillinger)

235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46)

Hvis man som dataansvarlig eller databehandler oslashnsker at overfoslashre personoplysninger til et

tredjeland2 skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-

grundlag i forordningens kapitel V Et overfoslashrselsgrundlag kan feks vaeligre fornoslashdne garantier i

form af Kommissionens standardkontrakter eller at det paringgaeligldende tredjeland er godkendt af

Kommissionen som et sikkert tredjeland

Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra e at de fornoslashdne garantier i

forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt adfaeligrdsko-

deks Det er dog en betingelse for at anse en adfaeligrdskodeks for at sikre fornoslashdne garantier at

der er bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller databehandleren i

tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de registreredes ret-

tigheder

2 Lande der ikke er medlem af EU eller EOslashS


Eksempel 7 ndash databehandleren i Indien

En dansk virksomhed A oslashnsker at benytte en databehandler D i Indien til at drifte sine IT-

systemer

Da Indien er et usikkert tredjeland skal A have et overfoslashrselsgrundlag i forordningens kapitel V

inden der kan overfoslashres personoplysninger til D i Indien

Et overfoslashrselsgrundlag kan i den forbindelse vaeligre hvis D har tilsluttet sig en godkendt og bin-

dende adfaeligrdskodeks vedroslashrende overfoslashrsel af personoplysninger til databehandlere i tredje-

lande der bla indeholder klare retningslinjer om behandlingssikkerhed haringndtering af brud paring

persondatasikkerheden brug af underdatabehandlere uddannelse af medarbejdere og samar-

bejde med de relevante datatilsyn mv

Det bemaeligrkes at Drsquos tilslutning til et godkendt adfaeligrdskodeks ikke fritager A for at indgaring en

databehandleraftale med D jf databeskyttelsesforordningens artikel 28

236 Administrative boslashder (artikel 83)

Af databeskyttelsesforordningens artikel 83 stk 2 litra j fremgaringr det at der skal tages behoslashrigt

hensyn til om en godkendt adfaeligrdskodeks er overholdt naringr det skal afgoslashres om der skal paring-

laeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ boslashde

skal vaeligre

Efterlevelse af en godkendt adfaeligrdskodeks i forbindelse med en given behandling af personop-

lysninger vil saringledes feks kunne inddrages ved vurderingen af om der er begaringet noget straf-

bart i forbindelse med manglende overholdelse af forordningen og dermed om der skal paringlaeligg-

ges en boslashde

Paring samme maringde vil efterlevelse af en kodeks feks kunne inddrages som en formildende om-

staeligndighed ved fastsaeligttelsen af en administrativ boslashdes stoslashrrelse

Som naeligvnt ovenfor i afsnit 21 er det vigtigt at vaeligre opmaeligrksom paring at tilslutning til og over-

holdelse af en godkendt adfaeligrdskodeks ikke i sig selv er et bevis paring overholdelse af databe-

skyttelsesforordningen heller ikke for saring vidt angaringr de regler i forordningen som kodeksen

maringtte specificere anvendelsen af Overholdelse af en adfaeligrdskodeks kan dermed heller ikke i

sig selv fritage en dataansvarlig eller databehandler for ansvar

24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige

minimumskrav

Som naeligvnt ovenfor i afsnit 22 kan adfaeligrdskodekser ifoslashlge forordningen udarbejdes af sam-

menslutninger eller andre organer der repraeligsenterer kategorier af dataansvarlige eller databe-

handlere

Som naeligvnt under samme pkt laeliggges der med databeskyttelsesforordningen op til at det ty-

pisk vil vaeligre brancheorganisationer eller lignende der tager initiativ til at udarbejde en ad-

faeligrdskodeks


Inden en adfaeligrdskodeks kan benyttes til at specificere anvendelsen af databeskyttelsesforord-

ningen skal den vaeligre godkendt af Datatilsynet

For at en adfaeligrdskodeks kan blive godkendt af Datatilsynet vil den skulle leve op til nogle ind-

holdsmaeligssige minimumskrav der samlet set skal sikre at kodeksen sikrer fornoslashdne garantier

De indholdsmaeligssige minimumskrav vil kunne udvikle sig over tid da det i et vist omfang vil

vaeligre noslashdvendigt at koordinere disse med de oslashvrige datatilsyn i EU

Datatilsynet kan dog allerede nu pege paring at foslashlgende punkter ndash efter Datatilsynets opfattelse ndash

som minimum skal beroslashres i en adfaeligrdskodeks hvis denne skal indeholde fornoslashdne garantier

- En adfaeligrdskodeks skal have fokus paring en veldefineret kategori af dataansvarlige eller

databehandlere Kodeksen skal saringledes klart angive hvilke typer organisationer eller

sektorer som kodeksen tilsigter at finde anvendelse paring

- En adfaeligrdskodeks skal vaeligre rettet mod konkrete og veldefinerede behandlinger som

er typiske for ovennaeligvnte kategorier af dataansvarlige og databehandlere

- En adfaeligrdskodeks skal forberedes omhyggeligt og der boslashr i den forbindelse ske hoslash-

ring af relevante interessenter herunder i muligt omfang de registrerede eller deres

repraeligsentanter feks Forbrugerraringdet eller lignende

- En adfaeligrdskodeks skal indeholde retningslinjer rettet mod konkrete behandlingssitua-

tioner der er relevante for den branche eller lignende som kodeksen er rettet mod

Retningslinjerne kan vaeligre relateret til det daglige arbejde og de eventuelle usaeligdvanli-

ge arbejdssituationer som behandlingsaktiviteterne maringtte indgaring i samt fastsaeligtte spe-

cifikke rammer for hvordan man kan begraelignse de risici som er blevet identificeret i

forhold til behandlingsaktiviteterne

- En adfaeligrdskodeks skal indeholde konkrete retningslinjer som hjaeliglper til at sikre at de

tilsluttede dataansvarlige eller databehandlere overholder forordningen naringr de foslashlger

adfaeligrdskodeksens retningslinjer Kodeksen skal saringledes i tilstraeligkkelig grad fokusere

paring specifikke databeskyttelsessposlashrgsmaringl og ndashproblemer der findes i den organisation

eller sektor som kodeksen finder anvendelse paring samt anvise tilstraeligkkelig klare loslashs-

ninger paring disse sposlashrgsmaringl og problemer I den forbindelse boslashr relevante kompetencer

saringsom faglige juridiske og it-sikkerhedsmaeligssige inddrages i udarbejdelsen

- En adfaeligrdskodeks skal indeholde mekanismer som goslashr et kontrolorgan i stand til at

foretage en kontrol af om den dataansvarlige eller databehandleren der har tilsluttet

sig et adfaeligrdskodeks rent faktisk overholder reglerne i kodeksen Disse kontrolmeka-

nismer kan baringde vaeligre af teknisk og organisatorisk karakter

- I forhold til enhver adfaeligrdskodeks skal der vaeligre en central instans (feks en branche-

organisation) der soslashrger for at kodeksen loslashbende bliver opdateret og tilpasset feks i

forhold til praksis fra Datatilsynet mv


- En adfaeligrdskodeks boslashr (i hvert fald hvis man oslashnsker at paringberaringbe sig kodeksen i for-

hold til efterlevelse af forordningen) indeholde en kontrolmekanisme der saeligtter et kon-

trolorgan i stand til at kontrollere overholdelsen af kodeksen Kontrolorganet skal vaeligre

akkrediteret af Datatilsynet jf databeskyttelsesforordningens artikel 41 Et organ kan

akkrediteres til at kontrollere overholdelsen af en adfaeligrdskodeks hvis dette organ har

1) paringvist sin uafhaeligngighed og ekspertise for saring vidt angaring kodeksens genstand 2) fast-

lagt procedurer der goslashr det muligt at vurdere tilsluttede dataansvarlige eller databe-

handleres egnethed til at anvende kodeksen kontrollere de tilsluttedes overholde af

kodeksen og regelmaeligssigt vurdere kodeksens virkemaringde 3) fastlagt procedurer og

ordninger for behandling af klager over overtraeligdelser af kodeksen mv samt goslashre dis-

se procedurer og ordninger gennemsigtige for offentligheden og 4) paringvist at organets

opgaver og pligter ikke foslashrer til en interessekonflikt

- En adfaeligrdskodeks kan med fordel indeholde en bestemmelse med en ordlyd der ind-

holdsmaeligssigt minder om det foslashlgende rdquoOverholdelse af denne adfaeligrdskodeks fritager

ikke de dataansvarlige eller databehandlere der tilslutter sig kodeksen fra at overholde

databeskyttelsesforordningen ligesom overholdelse af denne kodeks paring ingen maringde

beroslashrer Datatilsynets befoslashjelser eller opgaver herunder i form af kontrol med overhol-

delsen af bestemmelser i denne kodeksrdquo

Det bemaeligrkes at forordningens regler om kontrol af godkendte adfaeligrdskodekser ikke gaeliglder

for offentlige myndigheder hvorfor en adfaeligrdskodeks udarbejdet af feks KL med henblik paring

kommunernes behandlinger ikke vil skulle indeholde et kontrolorgan Kodeksen skal dog inde-

holde en kontrolmekanisme som vil goslashre Datatilsynet i stand til at foslashre kontrol med at kodek-

sen bliver overholdt

Endvidere skal det bemaeligrkes at det ikke har nogen betydning for saring vidt angaringr Datatilsynets

kompetencer at en adfaeligrdskodeks har et indbygget kontrolorgan Tilsynet vil saringledes kunne

foslashre tilsyn med behandlingsaktiviteter der foregaringr i tilknytning til en adfaeligrdskodeks selvom

overholdelsen af denne ogsaring kontrolleres af et akkrediteret kontrolorgan


adfaeligrdskodeks

I Figur 1 er det forsoslashgt illustreret hvordan forloslashbet kan se ud i forbindelse med udarbejdelse af

og godkendelse af en adfaeligrdskodeks


Figur 1


30 Certificeringsordninger

31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand

(artikel 42)

En certificeringsordning (certificeringsmekanisme) er en ordning hvor en kvalificeret tredjepart

(et certificeringsorgan) attesterer for at en virksomhed eller en myndighed ndash der har anmodet

om at blive certificeret ndash lever op til et foruddefineret saeligt af kriterier eller krav

Naringr der er tale om en certificeringsordning i databeskyttelsesforordningens forstand er det

vigtigt at vaeligre opmaeligrksom paring at ovennaeligvnte krav og kriterier relaterer sig til behandlingsakti-

viteter En certificering kan saringledes feks vedroslashre en virksomheds eller en myndigheds indsam-

ling registrering pseudonymisering eller sletning af personoplysninger Derimod kan en certifi-

cering i forordningens forstand ikke vedroslashre selve det it-system hvori behandlingsaktiviteterne

foregaringr

Paring samme maringde som med adfaeligrdskodekser er tilslutning til en godkendt certificeringsordning

tiltaelignkt at vaeligre en maringde hvorparing en dataansvarlig virksomhed eller myndighed eller en databe-

handler kan faring hjaeliglp til at sikre at deres behandlingsaktiviteter overholder forordningen lige-

som en tilslutning kan hjaeliglpe dem til at paringvise at de overholder forordningen Som det er tilfaeligl-

det med adfaeligrdskodekser kan man dog sagtens overholde databeskyttelsesforordningen uden

at tilslutte sig en godkendt certificeringsordning Tilslutning til og overholdelse af en godkendt

certificeringsordning er saringledes ikke i sig selv et bevis paring overholdelse af forordningen heller

ikke for saring vidt angaringr de artikler i forordningen som certificeringsordningen maringtte specificere

anvendelsen af forordningen i forhold til

Hvis en virksomhed eller en myndighed opnaringr en certificering vil den paringgaeligldende virksomhed

eller myndighed modtage et bevis feks et certifikat (eller maeligrke) der attesterer at virksom-

heden eller myndigheden har tilsluttet sig en certificeringsordning og dermed boslashr udfoslashre en

behandlingsaktivitet paring den specifikke maringde som det foreskrives i certificeringsordningen

En virksomhed eller myndighed der har opnaringet en certificering vil formentlig ndash alt efter certifice-

ringsordningens bestemmelser ndash kunne fremvise et certifikat (eller maeligrke) paring sin hjemmeside

eller vedhaeligfte det som bilag til en aftale og dermed oplyse andre parter om at virksomheden

eller myndigheden overholder de krav og kriterier som er indeholdt i certificeringsordningen

32 Hvem kan tage initiativ til en certificeringsordning

I modsaeligtning til databeskyttelsesforordningens bestemmelser om adfaeligrdskodekser indeholder

forordningens bestemmelser om certificering ingen anvisninger af hvem der skal tage initiativ til

at udarbejde en certificeringsordning I praksis vil det formentlig typisk vaeligre en virksomhed der

kan se et forretningspotentiale i at lade sig akkreditere som certificeringsorgan i forhold til en

specifik behandlingsaktivitet Det kan feks vaeligre en virksomhed der har en stor viden inden for

pseudonymisering af sundhedsoplysninger og som har en forventning om at feks et stort


antal forskere kunne vaeligre interesseret i at lade sig certificere i pseudonymisering Naringr en virk-

somhed skal kunne se et forretningspotentiale i at lade sig akkreditere saring skyldes dette bla at

der vil vaeligre omkostninger forbundet med at blive akkrediteret ligesom der vil vaeligre omkostnin-

ger forbundet med at opretholde sin akkreditering Se mere herom nedenfor

Eksempel 8 ndash pseudonymisering af sundhedsoplysninger

En virksomhed A der har et indgaringende kendskab til sundhedssektoren har specialiseret sig i

forskning med pseudonymiserede sundhedsoplysninger

Da A har en forventning om at mange forskningsvirksomheder kunne vaeligre interesserede at

foslashlge Arsquos retningslinjer for forskning med pseudonymiserede sundhedsoplysninger vaeliglger A at

lade sig akkreditere som certificeringsorgan saringledes at Arsquos retningslinjer kan blive udbudt via

en certificeringsordning

Efter A er blevet godkendt som certificeringsorgan kan A udbyde sin certificeringsordning ved-

roslashrende forskning med pseudonymiserede sundhedsoplysninger til andre forskningsvirksomhe-

der i Danmark (eventuelt hele EU hvis kriterierne er blevet godkendt af Databeskyttelsesraringdet)

Disse forskningsvirksomheder kan herefter vaeliglge at lade sig certificere hos A

33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen

sig fra andre kendte typer af certificeringsordninger

Certificering er udbredt i mange brancher og efter flere forskellige standarder Under ISO3 er det

feks muligt at opnaring certificering inden for informationssikkerhed (ISO27001) og kvalitet

(ISO9001) Herudover findes der andre standarder der feks relaterer sig til foslashdevaresikkerhed

bygningskonstruktion mv

I Danmark skal alle statslige myndigheder foslashlge ndash og alle andre offentlige myndigheder skal

foslashlge principperne i ndash informationssikkerhedsstandarden ISO 27001 Standarden opsaeligtter de

styrende rammer for bla ledelsesforankring og risikostyring og indeholder et katalog af sty-

ringsmaringl og foranstaltninger (kontroller) der kan vaeliglges til eller fra

Hvor en certificering efter ISO 27001 drejer sig om en virksomheds eller en myndigheds gene-

relle organisatoriske setup risikostyring overholdelse og egenkontrol ndash herunder ogsaring omkring

generel beskyttelse af personoplysninger i forhold til organisationens fastsatte sikkerhedsmaringl ndash

vil en certificering efter databeskyttelsesforordningen vaeligre maringlrettet paringvisningen af at en eller

flere behandlingsaktiviteter overholder forordningen herunder feks artikel 32 om behandlings-

sikkerhed

Selvom der saringledes kan vaeligre et vist overlap mellem begreberne i de to typer certificeringsord-

ninger vil der konkret vaeligre stor forskel paring indholdet og raeligkkevidden af certificeringen

3 International Organisation for Standardization


Nedenfor i afsnit 34 beskrives det naeligrmere hvad en certificering efter databeskyttelsesforord-

ningen kan benyttes til

34 Hvad kan en certificering bruges til

Der fremgaringr ikke af databeskyttelsesforordningens artikel 42 (om certificering) noget naeligrmere

om hvilke behandlinger en certificering kan specificere anvendelsen af forordningen i forhold til

Det maring dog antages at det bla kan vaeligre nogle af de samme behandlinger som fremgaringr af

forordningens artikel 40 stk 2 litra a-k for saring vidt angaringr adfaeligrdskodekser jf afsnit 23 oven-

for

I lighed med adfaeligrdskodekser er der dog en raeligkke bestemmelser i databeskyttelsesforordnin-

gen hvori det naeligvnes at overholdelse af en godkendt certificeringsordning kan bruges af data-

ansvarlige og databehandlere som et element til at paringvise overholdelsen af krav ligesom over-

holdelse af godkendte certificeringsordninger kan inddrages ved vurderingen af feks fastsaeligt-

telse af en sanktion


godkendt certificeringsordning kan tillaeliggges betydning Det bemaeligrkes i den forbindelse at der i

meget vidt omfang er sammenfald med de bestemmelser i forordningen hvor overholdelse af

en godkendt adfaeligrdskodeks kan tillaeliggges betydning De eksempler der fremgaringr af afsnit 23

vil derfor ogsaring i et vist omfang kunne benyttes som inspiration i forhold til certificeringsordnin-

ger men de vil ikke blive gengivet paring ny i det foslashlgende


Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise at

den dataansvarlige lever op til sine forpligtelser efter forordningen

Hvilke dele af databeskyttelsesforordningen som en certificeringsordning skal bruges til at

paringvise overholdelsen af vil naturligvis afhaelignge af indholdet af certificeringsordningen

342 Databeskyttelse gennem design og standardindstillinger (artikel 25)

En godkendt certificeringsordning kan bruges som et element til at paringvise overholdelse af for-

ordningens krav om databeskyttelse gennem design og databeskyttelse gennem standardind-

stillinger


Eksempel 9 ndash databeskyttelse gennem design og standardindstillinger

En virksomhed B har specialiseret sig i hvordan man gennem standardindstillinger ndash IT-

tekniske indstillinger og organisatoriske foranstaltninger ndash understoslashtter databeskyttelse i tjene-

ster saringsom onlinetjenester og apps der bruger lokationsdata

De IT-tekniske standardindstillinger bestaringr bla i funktioner der sikrer at lokationsdata alene

indsamles til det paringgaeligldende formaringl og sikrer at der indhentes udtrykkeligt samtykke til brugen

af lokationsdata til formaringlet

Hvis B soslashger om og bliver akkrediteret som certificeringsorgan vil B feks kunne udbyde sine

IT-tekniske standardindstillinger til udviklere af tjenester der bruger lokationsdata

Naringr en udbyder af en tjeneste der bruger lokationsdata herefter lader sig certificere vil denne

kunne benytte certificeringen til at paringvise at udbyderen efterlever forordningens artikel 25

Det bemaeligrkes at der i artikel 25 stk 3 ikke henvises til godkendte adfaeligrdskodekser hvorfor

der her er en forskel paring hvad man benytte henholdsvis adfaeligrdskodekser og certificeringsord-

ninger til


En databehandler eller en underdatabehandlers overholdelse af en godkendt certificeringsord-

ning kan bruges som et element til at paringvise at databehandleren stiller fornoslashdne garantier


Overholdelse af en godkendt certificeringsordning kan bruges som et element til at paringvise den

dataansvarliges eller databehandlerens overholdelse af kravene til behandlingssikkerhed



tredjeland skal man ndash ud over en videregivelseshjemmel ndash ogsaring have et saringkaldt overfoslashrsels-




Det fremgaringr af databeskyttelsesforordningens artikel 46 stk 2 litra f at de fornoslashdne garantier i

forbindelse med overfoslashrsel til et usikkert tredjeland kan sikres gennem en godkendt certifice-

ringsordning sammen med bindende tilsagn som kan haringndhaeligves fra den dataansvarlige eller

databehandleren i tredjelandet om at anvende de fornoslashdne garantier herunder vedroslashrende de

registreredes rettigheder



hensyn til om en godkendt certificeringsordning er overholdt naringr det skal afgoslashres om der skal

paringlaeliggges en administrativ boslashde og naringr det skal afgoslashres hvor stor en eventuel administrativ

boslashde skal vaeligre


Overholdelse af en godkendt certificeringsordning i forbindelse med en given behandling vil

saringledes feks kunne inddrages som en formildende omstaeligndighed ved fastsaeligttelsen af en

administrativ boslashdes stoslashrrelse


holdelse af en godkendt certificeringsordning ikke i sig selv er et bevis paring overholdelse af data-

beskyttelsesforordningen heller ikke for saring vidt angaringr de artikler i forordningen som ordningen

maringtte specificere anvendelsen af forordningen i forhold til Overholdelse af en godkendt certifi-

ceringsordning kan dermed heller ikke fritage en dataansvarlig eller databehandler for ansvar

35 Hvordan kan man blive certificeret

Af databeskyttelsesforordningens artikel 42 stk 5 fremgaringr det at certificering kan foretages af

et akkrediteret certificeringsorgan eller af Datatilsynet paring grundlag af kriterier der er godkendt

af Datatilsynet eller Databeskyttelsesraringdet

Det fremgaringr ikke naeligrmere hvem der skal udarbejde de kriterier for certificering der skal god-

kendes af Datatilsynet eller Databeskyttelsesraringdet ligesom det ikke fremgaringr hvad der skal til

for at kriterierne kan blive godkendt

Kriterierne kan blive udarbejdet af de certificeringsorganer der oslashnsker at udbyde en given certi-

ficeringsordning4 Endvidere kan de nationale datatilsyn og Databeskyttelsesraringdet i faeligllesskab

udstede retningslinjer for hvad der skal til for at kriterier for certificering kan blive godkendt

idet der ellers er en stor risiko for at praksis vil blive meget forskelligartet

Hvis ovennaeligvnte kriterier er godkendt af Databeskyttelsesraringdet kan det foslashre til en faeliglles certi-

ficering Den Europaeligiske Databeskyttelsesmaeligrkning En faeliglles certificering vil saringledes ndash mod-

sat en ren national certificering ndash kunne benyttes i alle EU-lande Det maring formodes at faeliglles

certificeringer vil blive foretrukket af de virksomheder der maringtte oslashnske at lade sig certificere

isaeligr hvis de paringgaeligldende virksomheder opererer i flere medlemsstater Dette er formentlig ogsaring

baggrunden for at medlemsstaterne tilsynsmyndighederne Databeskyttelsesraringdet og Kom-

missionen navnlig paring EU-plan skal tilskynde til fastlaeligggelse af certificeringsordninger

Alle godkendte certificeringsordninger ndash nationale og faeliglles ndash vil blive offentliggjort paring Data-

beskyttelsesraringdets hjemmeside Herudover vil Datatilsynet offentliggoslashre alle nationale certifice-

ringsordninger paring sin hjemmeside

Oslashnsker en dataansvarlig at afsoslashge mulighederne for at lade sig certificere kan de saringledes be-

soslashge Databeskyttelsesraringdets og Datatilsynets hjemmesider for at se hvilke godkendte certifice-

ringsordninger (og i oslashvrigt ogsaring certificeringsorganer) der maringtte vaeligre paring markedet

4 Se ogsaring side 24 ENISArsquos rapport fra november 2017 vedroslashrende anbefalinger til europaeligiske databeskyttelsescertifikater

Rapporten kan laeligses her httpswwwenisaeuropaeupublicationsrecommendations-on-european-data-protection-

certification


Selvom det er muligt for baringde Datatilsynet og akkrediterede certificeringsorganer at foretage

certificering vil det i praksis ndash som udgangspunkt ndash vaeligre de akkrediterede certificeringsorga-

ner som vil staring for udstedelse af certifikater forlaeligngelse af certifikater (et certifikat gaeliglder i

hoslashjst tre aringr) og tilbagetraeligkning af certifikater (feks hvis den certificerede virksomhed ikke laelign-

gere lever op til kravene) Det er saringledes det akkrediterede certificeringsorgan som en dataan-

svarlig eller databehandler der oslashnsker at blive certificeret skal rette henvendelse til Dette giver

ogsaring bedst mening da det maring formodes at det akkrediterede certificeringsorgan har stoslashrst

viden om den certificeringsordning som de har taget initiativ til og varetager administrationen

af

Det har ingen betydning for Datatilsynets opgaver og befoslashjelser i oslashvrigt at det i det daglige er

de akkrediterede certificeringsorganer der staringr for udstedelse mv af certifikater Datatilsynet

kan derfor bla godt ndash som led i sin tilsynsvirksomhed ndash vaeliglge at foslashre tilsyn med om en certifi-

ceret virksomhed lever op til certificeringsordningens krav og kriterier Det maring i oslashvrigt ogsaring

forventes at Datatilsynet vil foslashre tilsyn med certificerede virksomheder da det er en af tilsynets

opgaver jf artikel 57

I Figur 2 kan man faring et overblik over et certificeringsforloslashb og de forskellige aktoslashrers rolle


1 Datatilsynet og Databeskyttelsesraringdet vil offentliggoslashre oversigter over godkendte certificeringsordninger (det vil af disse oversigter fremgaring hvilke certificeringsordninger

der er rent nationale og hvilke ordninger der er faeliglles)

2 En dataansvarlig eller en databehandler der har fundet en relevant certificeringsordning paring Datatilsynets eller Databeskyttelsesraringdets hjemmeside anmoder det kom-

petente certificeringsorgan om at blive certificeret

3 Certificeringsorganet foretager en vurdering af om den virksomhed der soslashger om at blive certificeret lever op til kravene og kriterierne for at blive certificeret

4 Certificeringsorganet meddeler Datatilsynet om begrundelsen for udstedelse af et certifikat

5 Datatilsynet kan eventuelt give et paringbud til certificeringsorganet om at undlade at udstede et certifikat

6 Certificeringsorganet udsteder et certifikat

7 Nu kan en dataansvarligdatabehandler benytte sig af certifikatet herunder feks reklamere med det paring sin hjemmeside

8 Udstedte certifikater vil blive offentliggjort af certificeringsorganet saring eventuelle registrerede kan faring bekraeligftet om en given virksomhed er certificeret

9 En certificering udstedes for en periode paring hoslashjst 3 aringr hvorefter det kan forlaelignges paring samme betingelser hvis de relevante krav og kriterier stadig er opfyldt

10 Datatilsynet kan loslashbende foslashre tilsyn med om kravene til certificering er overholdt og kan i den forbindelse feks tilbagetraeligkke et certifikat Samtidig vil certificeringsor-

ganet gennemfoslashre loslashbende revision i overensstemmelse med bestemmelserne herom i certificeringsordningen

Databeskyttelses-raringdet

Offentliggoslashr godkendte

certificerings-ordninger (1)

Datatilsynet



Datatilsynet kan eventuelt give

paringbud (5)

Eventuelt tilsyn (10)

Certificerings organ

Behandler anmodningen

(3)

Orienterer Datatilsynet inden

udstedelse af certifikat (4)

Udsteder certifikat (6)

Saeligtter den nu certificerede paring offentlig liste (8)

Loslashbende revision (10)

Dataansvarlig

Databehandler

Anmoder om at blive certificeret

(2)

Bliver certificeret (7)

Anmoder om fornyelse (9)

Figur 2 Overordnet oversigt over certificeringsforloslashb


36 Hvordan kan man blive akkrediteret som certificeringsorgan

Hvis en virksomhed (eller en myndighed) oslashnsker at udbyde en given certificeringsordning er

det et krav at virksomheden foslashrst bliver akkrediteret (godkendt) som certificeringsorgan

I Danmark kan en virksomhed i princippet blive akkrediteret som certificeringsorgan af enten 1)

Datatilsynet eller 2) det danske akkrediteringsorgan (DANAK5) der er udpeget i overensstem-

melse med Europa-Parlamentets og Raringdets forordning (EF) nr 7652008

I praksis vil det dog vaeligre DANAK der kommer til at staring for at akkreditere certificeringsorganer

idet DANAK har stor erfaring med at foretage akkreditering paring andre omraringder Det er saringledes

DANAK som en virksomhed skal tage kontakt til hvis den oslashnsker at blive akkrediteret som

certificeringsorgan

Naringr DANAK skal vurdere om en virksomhed kan blive akkrediteret som certificeringsorgan vil

DANAK se paring om virksomheden lever op til disse kriterier

a) Ansoslashgeren skal have paringvist sin uafhaeligngighed og ekspertise med hensyn til certifice-

ringens genstand

b) ansoslashgeren skal have paringtaget sig at opfylde kriterierne i artikel 42 stk 5 som er blevet

godkendt af Datatilsynet der er kompetent i henhold til artikel 55 eller 56 eller af Da-

tabeskyttelsesraringdet i henhold til artikel 63

c) ansoslashgeren skal have fastlagt procedurer for udstedelse regelmaeligssig revision og til-

bagetraeligkning af databeskyttelsescertificeringer -maeligrkninger og ndashmaeligrker

d) ansoslashgeren skal have fastlagt procedurer og ordninger for behandling af klager over

overtraeligdelser af certificering eller den maringde hvorparing certificering er blevet eller bliver

gennemfoslashrt paring af en dataansvarlig eller en databehandler og for hvordan disse pro-

cedurer og ordninger goslashres gennemsigtige for registrerede og offentligheden og

e) ansoslashgeren skal have vist til at dens opgaver og pligter ikke foslashrer til en interessekon-

flikt

Herudover vil en virksomhed der oslashnsker at blive akkrediteret som certificeringsorgan skulle

opfylde de krav som foslashlger af forordning (EF) nr 7652008 samt EN-ISOIEC 1706520126

som DANAK arbejder ud fra samt eventuelle supplerende krav fastsat af Datatilsynet

Ved en gennemgang af ovennaeligvnte krav kan det konkluderes at der stilles ret hoslashje krav til

en virksomhed der oslashnsker at blive godkendt som certificeringsorgan herunder krav om at

virksomheden baringde skal have ekspertise inden for databeskyttelse og certificering generelt men ogsaring ekspertise i forhold til det omraringde som certificeringen specifikt retter sig imod

5 Den Danske Akkrediteringsfond Se mere om DANAK her httpportaldanakdk

6 EN-ISOIEC 170652012 opstiller krav til organer der certificerer produkter processer og serviceydelser


Datatilsynet har derfor besluttet ikke at fastsaeligtte supplerende krav

En akkreditering kan udstedes for en periode paring hoslashjst 5 aringr og den vil kunne blive forlaelignget

hvis certificeringsorganet fortsat lever op til de fastsatte krav

Datatilsynet soslashrger i oslashvrigt for loslashbende ndash i let tilgaeligngelig form ndash at offentliggoslashre de til enhver

tid gaeligldende krav for at blive akkrediteret Kravene vil fremgaring af tilsynets hjemmeside

Hvis et akkrediteret certificeringsorgan ikke laeligngere lever op til kravene for at blive akkrediteret

kan baringde Datatilsynet og DANAK tilbagekalde akkrediteringen Det samme goslashr sig gaeligldende

hvis et certificeringsorgan foretager sig noget som er i strid med databeskyttelsesforordningen

I Figur 3 kan man faring et overblik over et akkrediteringsforloslashb og de forskellige parters roller


1 Datatilsynet offentliggoslashr de kriterier for at blive akkrediteret der er godkendt af tilsynet selv og Databeskyttelsesraringdet

2 En ansoslashger (virksomhed) anmoder DANAK om at blive akkrediteret som certificeringsorgan

3 DANAK foretager en vurdering af om ansoslashger lever op til kravene og kriterierne for at blive akkrediteret herunder de af Datatilsynet opstillede kriterier og kravene i forord-

ning (EF) nr 7652008

4 DANAK akkrediterer ansoslashger

5 Ansoslashger er nu godkendt som certificeringsorgan

6 DANAK foslashrer ndash paring sin hjemmeside ndash en liste over de virksomheder (certificeringsorganer) der er blevet akkrediteret af DANAK Samtidig foslashrer Databskyttelsesraringdet et of-

fentligt tilgaeligngeligt register over alle certificeringsordninger (og dermed ogsaring alle akkrediterede virksomheder)

7 Ansoslashger kan nu fungere som certificeringsorgan og kan dermed behandle anmodninger om certificering fra dataansvarligedatabehandlere

8 Datatilsynet kan loslashbende foslashre tilsyn med om et akkrediteret certificeringsorgan lever op til kravene og kriterierne for akkreditering og kan i den forbindelse feks tilbage-

traeligkke en akkreditering


Bliver offentliggjort paring en liste over

alle akkrediterede(6)

Datatilsynet Offentliggoslashr

kriterier for at blive akkrediteret


DANAK Behandler

anmodningen (3) Akkreditering af

ansoslashger (4)


nationalt akkrediterede(6)

En ansoslashger Anmoder om at

blive akkrediteret (2)

Ansoslashger bliver akkrediteret (5)

Kan modtage certificerings

anmodninger (7)

Figur 3 Overordnet oversigt over et akkrediteringsforloslashb


Indhold

10 Forord _________________________________________________________ 3

20 Adfaeligrdskodekser ________________________________________________ 4

21 Hvad er en adfaeligrdskodeks ______________________________________________ 4

22 Hvem kan udarbejde en adfaeligrdskodeks ___________________________________ 4

23 Hvad kan en adfaeligrdskodeks benyttes til ___________________________________ 5

231 Den dataansvarliges ansvar (artikel 24) _________________________________ 7

232 Databehandlers paringvisning af fornoslashdne garantier (artikel 28) _________________ 7

233 Behandlingssikkerhed (artikel 32) _____________________________________ 8

234 Konsekvensanalyse vedroslashrende databeskyttelse (artikel 35) ________________ 8

235 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46) ___________ 9


24 Hvordan udarbejder man en adfaeligrdskodeks ndash indholdsmaeligssige minimumskrav ___ 10


adfaeligrdskodeks ____________________________________________________________ 12

30 Certificeringsordninger __________________________________________ 14

31 Hvad er en certificeringsordning i databeskyttelsesforordningens forstand (artikel

42) ___________________________________________________________________ 14

32 Hvem kan tage initiativ til en certificeringsordning ___________________________ 14

33 Hvordan adskiller en certificeringsordning efter databeskyttelsesforordningen sig

fra andre kendte typer af certificeringsordninger __________________________________ 15

34 Hvad kan en certificering bruges til _______________________________________ 16

341 Den dataansvarliges ansvar (artikel 24) ________________________________ 16

342 Databeskyttelse gennem design og standardindstillinger (artikel 25) _________ 16

343 Databehandlers paringvisning af fornoslashdne garantier (artikel 28) ________________ 17

344 Behandlingssikkerhed (artikel 32) ____________________________________ 17

345 Overfoslashrsler til tredjelande omfattet af fornoslashdne garantier (artikel 46) __________ 17


35 Hvordan kan man blive certificeret _______________________________________ 18

36 Hvordan kan man blive akkrediteret som certificeringsorgan ___________________ 21


10 Forord




















regler




ordningerne



























































adfaeligrdskodeks





















































lysninger

















ordningen
















kerheden












garantier







































telse






























tigheder





systemer














skal vaeligre




ges en boslashde









minimumskrav



handlere



faeligrdskodeks



































































adfaeligrdskodeks




Figur 1




(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)



10 Forord




















regler




ordningerne



























































adfaeligrdskodeks





















































lysninger

















ordningen
















kerheden












garantier







































telse






























tigheder





systemer














skal vaeligre




ges en boslashde









minimumskrav



handlere



faeligrdskodeks



































































adfaeligrdskodeks




Figur 1




(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)



















































adfaeligrdskodeks





















































lysninger

















ordningen
















kerheden












garantier







































telse






























tigheder





systemer














skal vaeligre




ges en boslashde









minimumskrav



handlere



faeligrdskodeks



































































adfaeligrdskodeks




Figur 1




(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)

















adfaeligrdskodeks





















































lysninger

















ordningen
















kerheden












garantier







































telse






























tigheder





systemer














skal vaeligre




ges en boslashde









minimumskrav



handlere



faeligrdskodeks



































































adfaeligrdskodeks




Figur 1




(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)



































lysninger

















ordningen
















kerheden












garantier







































telse






























tigheder





systemer














skal vaeligre




ges en boslashde









minimumskrav



handlere



faeligrdskodeks



































































adfaeligrdskodeks




Figur 1




(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)














ordningen
















kerheden












garantier







































telse






























tigheder





systemer














skal vaeligre




ges en boslashde









minimumskrav



handlere



faeligrdskodeks



































































adfaeligrdskodeks




Figur 1




(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)




garantier







































telse






























tigheder





systemer














skal vaeligre




ges en boslashde









minimumskrav



handlere



faeligrdskodeks



































































adfaeligrdskodeks




Figur 1




(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)






telse






























tigheder





systemer














skal vaeligre




ges en boslashde









minimumskrav



handlere



faeligrdskodeks



































































adfaeligrdskodeks




Figur 1




(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)





systemer














skal vaeligre




ges en boslashde









minimumskrav



handlere



faeligrdskodeks



































































adfaeligrdskodeks




Figur 1




(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)




































































adfaeligrdskodeks




Figur 1




(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)































adfaeligrdskodeks




Figur 1




(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)



Figur 1




(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)





(artikel 42)









foregaringr
























































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)

































sikkerhed












for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)










for




















stillinger















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)
















ninger til


























































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)





































certification










af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)











af

























Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)



















Datatilsynet




paringbud (5)




(3)






Dataansvarlig

Databehandler


(2)














certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)












certificeringsorgan




ringens genstand











flikt





































DANAK Behandler


ansoslashger (4)







anmodninger (7)






























DANAK Behandler


ansoslashger (4)







anmodninger (7)




















DANAK Behandler


ansoslashger (4)







anmodninger (7)


Documents

Vejledning om adfærdskodekser og certificeringsordninger · 3/23 . Vejledning om adfærdskodekser og certificeringsordninger . 1.0 Forord . Når databeskyttelsesforordningen finder