Hoppa till innehåll på sidan
Vi guidar dig

Vägledning för er som ska ta fram en certifierings­ord­ning

Innehåll

Den här vägledningen innehåller praktisk information för att ta fram en certifieringsordning.

Vägledningen innehåller information om

  • vem och vad som kan certifieras
  • vad ett Europeiskt dataskyddssigill är och vilka krav som finns på dessa
  • hur kriterierna i en certifieringsordning bör formuleras och vad som krävs för att IMY och EDPB ska godkänna en certifieringsordning
  • metoder för utvärdering och bedömning samt dokumentation.

Det finns inga begränsningar av vem som kan utarbeta en certifieringsordning. För att kunna tillämpas måste dock certifieringsordningen godkännas av en behörig tillsynsmyndighet. För svensk del är det IMY, eller Europeiska dataskyddsstyrelsen (EDPB).

Formulering av kriterier

Enligt EDPB bör kriterierna i certifieringsordningar

  • på ett korrekt sätt återspegla de principer och skyldigheter för skydd av registrerades rättigheter som följer av EU:s allmänna dataskyddsförordning (GDPR)
  • bidra till en konsekvent tillämpning av dataskyddsförordningen inom EES-området
  • göra det möjligt för personuppgiftsansvariga och personuppgiftsbiträden att kunna visa att de följer dataskyddsförordningen.

Certifieringskriterierna ska vara verifierbara, formulerade på ett tydligt sätt och tillräckligt omfattande för att göra praktisk uppfyllnad av skyldigheterna enligt dataskyddsförordningen möjlig.

Vid utarbetande av certifieringskriterier bör hänsyn framförallt tas till följande dataskyddsaspekter:

  • Principerna för personuppgiftsbehandling, enligt artikel 5 i dataskyddsförordningen.
  • Lagligheten av personuppgiftsbehandling, enligt artiklarna 6–11 i dataskyddsförordningen.
  • Information om personuppgiftsbehandling och de registrerades rättigheter, enligt artiklarna 12–23 i dataskyddsförordningen.
  • Principen om ansvarsskyldighet, enligt artikel 5.2 och 24 i dataskyddsförordningen.
  • Skyldigheten om inbyggt dataskydd och dataskydd som standard ("data protection by design and default"), enligt artikel 25 i dataskyddsförordningen.
  • Behandling av personer under överinseende och personuppgiftsbiträden, enligt artikel 27 och 28 i dataskyddsförordningen.
  • Tekniska och organisatoriska säkerhetsåtgärder, enligt artikel 32 i dataskyddsförordningen.
  • Bestämmelserna om personuppgiftsincidenter, enligt artikel 33 i dataskyddsförordningen.
  • Skyldigheten att genomföra en riskanalys och, i förekommande fall, en konsekvensbedömning, enligt artikel 36 i dataskyddsförordningen.

Även om dataskyddsförordningen medger ett brett tillämpningsområde för vad som kan certifieras, det vill säga vad som är utvärderingsobjektet ("target of evaluation, ToE") ska kriterierna i en certifieringsordning vara inriktade på personuppgiftsbehandlingar som utförs av personuppgiftsansvariga eller personuppgiftsbiträden.

En certifieringsordnings tillämpningsområde och de kriterier som ingår i ordningen ska därför alltid utgå från följande tre huvudkomponenter:

  1. De personuppgifter som ska behandlas inom ramen för certifieringen.
  2. De tekniska system som används vid behandlingen, inbegripet mjuk- och hårdvara.
  3. De processer och förfaranden som hänger samman med personuppgiftsbehandlingen.

Utöver dessa tre huvudkomponenter bör också hänsyn tas till följande fyra faktorer:

  1. Den personuppgiftsansvarigas eller personuppgiftsbiträdets organisation och rättsliga struktur, inbegripet styrningsprocesser för personuppgiftsbehandlingar.
  2. Den avdelning, grupp eller de personer som är involverade i personuppgiftsbehandlingen.
  3. En kartläggning och teknisk beskrivning av de moment och åtgärder som ingår i personuppgiftsbehandlingen.
  4. Den generella it-infrastrukturen, inbegripet operativsystem, databaser, system för autentisering och behörighet, nätverkshårdvara, brandväggar, lagringssystem, kommunikationssystem, internetförbindelse, med mera.

Vad och vem kan bli certifierad?

Det är endast personuppgiftsansvariga eller personuppgiftsbiträden som kan bli certifierade enligt dataskyddsförordningen. Dataskyddsombud eller andra personer som arbetar med dataskyddsfrågor kan därmed inte bli certifierade (däremot finns andra typer av certifieringar utanför dataskyddsförordningens tillämpningsområde för dessa personer). En certifieringsordning kan (och bör) dock innehålla kriterier för de personer som arbetar internt med personuppgiftsbehandlingar och dataskydd, exempelvis kriterier för när ett dataskyddsombud bör frågas om råd av den personuppgiftsansvariga.

Eftersom det endast är personuppgiftsbehandlingar som kan certifieras enligt dataskyddsförordningen är det inte möjligt att certifiera produkter eller tjänster. Personuppgiftsbehandlingar som ingår i produkter eller tjänster kan dock certifieras, vilket kan vara särskilt betydelsefullt för personuppgiftsansvariga eller personuppgiftsbiträden där behandling av personuppgifter är central för verksamheten. Det innebär också att det inte är möjligt att certifiera mjuk- eller hårdvara enligt dataskyddsförordningen. En it-leverantör som använder en viss mjuk- eller hårdvara för tillhandahållande av it-tjänster kan dock uppfylla kriterier om denne behandlar personuppgifter, exempelvis som personuppgiftsbiträde åt en kund.

Generellt eller begränsat tillämpningsområde

Tillämpningsområdet för en certifieringsordning kan antingen vara generellt, det vill säga möjligt att använda för olika typer av personuppgiftsbehandlingar, eller avgränsat till ett visst område eller sektor och därmed vissa specifika personuppgiftsbehandlingar.

En certifieringsordning kan också vara avgränsad till antingen personuppgiftsansvariga eller personuppgiftsbiträden, eller vara tillämpbar för båda. Utformningen av kriterierna i certifieringsordningen ska ta hänsyn till dess tilltänkta tillämpningsområde och målgrupp. Detta kan till exempel ske genom att definiera de personuppgiftsbehandlingar, moment och åtgärder som ingår i certifieringen (såsom insamling, lagring och radering av personuppgifter i en säker molntjänst).

Om certifieringsordningen avser ett visst område eller viss typ av personuppgiftsbehandling bör ordningens tillämpningsområde tydligt ange vad som ingår respektive vad som inte ingår. Tillämpningsområdet bör därför utformas för att certifieringsordningen ska kunna användas praktiskt, på ett lätthanterligt sätt och ge mervärde för de som ansöker om certifiering. Detta för att undvika att certifieringar utfärdas för personuppgiftsbehandlingar som faller utanför certifieringsordningens tillämpningsområde. En certifieringsordning för en viss typ av personuppgiftsbehandling kan vara tillämplig för flera sektorer eller områden. Till exempel en ordning som innehåller kriterier för personuppgiftsbehandling i personal- och löneprocesser.

Europeiskt dataskyddssigill

Certifieringsordningar som är tänkta att användas inom hela EES-området godkänns inte av de nationella tillsynsmyndigheterna utan av EDPB. Dessa certifieringsordningar får den gemensamma beteckningen Europeiskt dataskydssigill ("European data protection seal").

Kriterierna i en certifieringsordning med ett Europeiskt dataskyddssigill måste kunna tillämpas inom hela EES-området och får inte vara begränsade till en eller flera medlemsstater. En sådan certifieringsordning måste därför innehålla kriterier som tar hänsyn till nationell kompletterande dataskyddslagstiftning. Det gör det möjligt för personuppgiftsansvariga och personuppgiftsbiträden som tillämpar certifieringsordningen att inte bara uppfylla dataskyddsförordningens skyldigheter, utan också dataskyddsregler i nationell lagstiftning.

För att genomföra kravet på efterlevnad av nationell kompletterande dataskyddslagstiftning kan en certifieringsordning införa kriterier som speglar den nationella lagstiftningen. Det kan framförallt vara aktuellt för certifieringsordningar som är avsedda att tillämpas inom en viss sektor, exempelvis inom hälso- och sjukvård.

För certifieringsordningar med ett generellt tillämpningsområde kan det dock vara tidsödande och kostsamt att införa kriterier som speglar all nationell kompletterande dataskyddslagstiftning. Detta eftersom certifieringsordningens ägare då fortlöpande måste övervaka rättsutvecklingen i de nationella lagstiftningarna och uppdatera certifieringsordningens kriterier när det sker ändringar. Därför kan det istället vara lämpligare att införa kriterier som innebär att den sökande ska identifiera vilken nationell kompletterande dataskyddslagstiftning som är tillämplig på den personuppgiftsbehandling som utvärderingsobjektet omfattas av. Den sökandes bedömning behöver därefter kontrolleras och verifieras av certifieringsorganet, i förekommande fall genom att anlita externa rådgivare i den aktuella medlemsstaten.

EDPB:s granskning för att godkänna en certifieringsordning med ett Europeiskt dataskyddssigill är mer omfattande jämfört med en nationell certifieringsordning. För godkännande krävs att alla frågor och meningsskiljaktigheter under såväl det informella som formella förfarandet har blivit lösta. Detta kan jämföras med EDPB:s yttranden över nationella certifieringsordningar, där EDPB kan uppmana den behöriga tillsynsmyndigheten att instruera certifieringsordningens ägare att göra ändringar i certifieringsordningen. För ett Europeiskt dataskyddssigill förväntas istället alla ändringar vara genomförda innan certifieringsordningen slutligen kan godkännas av EDPB.

Därutöver måste all relevant dokumentation och information som hänger samman med ett Europeiskt dataskyddssigill tillhandahållas på de officiella språk i den eller de medlemsstater där certifieringsorgan som utfärdar certifikat är verksamma. Detta för att såväl registrerade som den certifierades kunder ska kunna kontrollera innehållet i certifikatet på ett språk som är begripligt för dem.

 

Utarbetande av certifieringskriterier

Vid godkännande av en certifieringsordning kommer IMY och EDPB att ta hänsyn till om certifieringskriterierna är

  • enhetliga och kontrollerbara
  • revisionsanpassade
  • relevanta för den tilltänkta målgruppen
  • i största möjliga mån kompatibla med befintliga standarder och uppförandekoder (om tillämpliga)
  • flexibla och anpassningsbara till olika typer av personuppgiftsansvariga eller personuppgiftsbiträden, exempelvis små- och medelstora företag.

Att certifieringskriterier är enhetliga och kontrollerbara innebär att de ska kunna tillämpas på ett konsekvent och standardiserat sätt vid olika tillfällen, av olika ackrediterade certifieringsorgan, och att olika sökande i samma situation ska kunna uppfylla kriterierna på samma sätt.

Såväl kriterierna som utvärderings- och bedömningsmetoderna måste därför vara utformade på ett tillräckligt tydligt sätt, som inte lämnar utrymme för olika tolkningar av vare sig certifieringsorganen eller de sökande. För att underlätta en konsekvent tillämpning kan certifieringsordningen utöver kriterierna också inkludera vägledning.

Att certifieringskriterier ska vara enhetliga och kontrollerbara betyder inte att kriterierna inte får förändras över tid. Tvärtom är det nödvändigt att uppdatera kriterierna i en certifieringsordning till följd av bland annat

  • ny dataskyddslagstiftning, antingen på EU- eller nationell nivå
  • rättsutveckling, exempelvis till följd av domar från EU-domstolen eller vägledning från EDPB
  • teknisk, affärsmässig eller samhällelig utveckling.

Att certifieringskriterierna är revisionsanpassade innebär att de ska ange konkreta mål för efterlevnad av dataskyddsförordningen och, i förekommande fall, kompletterande dataskyddslagstiftning som den sökande ska uppnå och hur denne ska uppnå dem. Detta ska också kunna verifieras av det certifieringsorgan som utvärderar och bedömer den sökandes uppfyllnad av certifieringskriterierna.

Till exempel är ett kriterium som endast innebär att en viss personuppgiftsbehandling inte får gå utöver behandlingens ändamål inte tillräckligt revisionsanpassat. Kriteriet behöver konkretiseras när det gäller vad som ska uppnås och hur, exempelvis att den sökande ska specificera vad som är ändamålen med personuppgiftsbehandlingarna och vilka åtgärder som ska vidtas för att säkerställa att behandlingen inte går utöver dessa ändamål.

I vissa fall blir certifieringskriterier revisionsanpassade genom kraven i flera olika kriterier. Exempelvis kan en certifieringsordning innehålla ett kriterium som innebär att en sökande ska utarbeta en policy för ändamålsbegränsning, ett annat kriterium för vad ändamålsbegränsningspolicyn ska uppnå, och ett tredje kriterium för bedömningar och åtgärder som den sökande ska vidta om personuppgifter ska behandlas för nya ändamål. Kriterierna i en certifieringsordning ska därför alltid bedömas utifrån hur de tillämpas i sin helhet. 

Certifieringskriterierna ska vara relevanta för den tilltänkta målgruppen. Bedömningen skiljer sig åt beroende på om det är en generell certifieringsordning eller en som ska tillämpas på ett visst område eller för en viss typ av personuppgiftsbehandling.

  • I en generell certifieringsordning bör kriterierna vara tillräckligt flexibla för att möjliggöra olika typer av personuppgiftsbehandlingar, men också tillräckligt tydliga och målinriktade för att uppfylla kriterierna för enhetlighet, kontrollerbarhet och revisionsanpassning.
  • I en certifieringsordning som är avsedd att tillämpas på ett visst område eller för en viss typ av personuppgiftsbehandling måste kriterierna vara specifikt anpassade för detta ändamål. Till exempel genom att inkludera mer detaljerade kriterier för vad den sökande måste uppfylla i olika moment av personuppgiftsbehandlingen.

Namnet på en certifieringsordning och certifikatet ska motsvara de förväntningar som sannolikt kan uppstå hos den som ansöker om certifiering. Det gäller i synnerhet om certifieringsordningen är avsedd att användas på ett specifikt område.

Kriterierna i certifieringsordningar bör i största möjliga mån vara kompatibla med befintliga standarder, exempelvis på cyber- och informationssäkerhetsområdet, eller uppförandekoder. I den mån det redan finns befintliga standarder eller uppförandekoder inom en sektor eller bransch, bör certifieringsordningens ägare bedöma om de kan ingå i certifieringsordningen kriterier och leva upp till dataskyddsförordningens krav.

Exempelvis kan standarder med krav om informationssäkerhet vara utformade för att skydda verksamheter, snarare än enskildas personuppgifter, vilket kan medföra att andra typer av skyddsåtgärder behöver införas i en certifieringsordning. Hänvisningar till befintliga standarder och uppförandekoder kan därför behöva kompletteras med ytterligare kriterier i certifieringsordningen. Detta för att säkerställa att kriterierna återspeglar skyldigheterna och principerna i dataskyddsförordningen och, i förekommande fall, nationell kompletterande lagstiftning.

Kriterierna i certifieringsordningen bör vara flexibla och anpassningsbara för olika typer av sökanden och verksamheter. En regional återförsäljare av produkter som vill certifiera sina personuppgiftsbehandlingar för kundprocesser kommer sannolikt ha mindre komplexa personuppgiftsbehandlingar än ett stort multinationellt företag med verksamhet i flera medlemsstater och gränsöverskridande personuppgiftsbehandlingar. Såväl kriterierna som utvärderings- och bedömningsmetoderna bör spegla sådana skillnader.

Att kriterierna i en certifieringsordning är flexibla innebära inte att de ska reduceras till att endast återge vad som redan framgår av dataskyddsförordningens ordalydelse. Tvärtom bör kriterierna utgöra ett praktiskt hjälpmedel som förenklar för den sökande att visa att denne efterlever dataskyddsförordningens skyldigheter och principer. Detta kan till exempel ske genom att inkludera vad som följer av rättspraxis, vägledningar från EDPB och, i frånvaro av vägledning, egna bedömningar av dataskyddsrättsliga problemformuleringar som kan granskas av tillsynsmyndigheten och EDPB.

 

Frågeställningar till stöd för att utarbeta en certifieringsordning

Här följer ett antal frågeställningar för den som utarbetar kriterier till en certifieringsordning. Frågeställningarna kan användas som hjälp och vägledning för att säkerställa att ni beaktat samtliga aspekter vid formulering av kriterier.

  1. Är alla relevanta begrepp i certifieringsordningen identifierade och förklarade? Stämmer de överens med de begrepp som används i dataskyddsförordningen?
  2. Är alla referenser till relevant lagstiftning, standarder, uppförandekoder och andra regelverk identifierade och listade?
  3. Ställer certifieringsordningen krav på den dokumentation som ska tillhandahållas och de bedömningar som den sökande ska genomföra för att erhålla ett certifikat?
  4. Fastställer certifieringsordningen en giltighetstid för utfärdade certifikat, med hänsyn till att certifikat som utfärdats enligt dataskyddsförordningen inte får överstiga tre års tid?
  1. Är certifieringsordningens tillämpningsområde tydligt beskrivet på ett rättvisande sätt som lever upp till den sökandes och tredje parts (till exempel kunders) förväntningar?
  2. Omfattar certifieringsordningen alla relevanta delar av den eller de personuppgiftsbehandlingar som kan bli utvärderingsobjekt, inbegripet styrningsprocesser och it-system?
  3. Kan uppfyllnad av certifieringsordningens kriterier medföra ett meningsfullt certifikat, med hänsyn till de personuppgiftsbehandlingar som kan bli utvärderingsobjekt inom ramen för ordningens tillämpningsområde?
  4. Är certifieringsordningen avgränsad till personuppgiftsbehandlingar inom en medlemsstat, eller omfattar den också behandlingar i flera medlemsstater, eller inom hela EES-området?
  5. Omfattar certifieringsordningen överföringar av personuppgifter till tredjeland?
  1. Ställer certifieringsordningen krav på att den sökande ska identifiera och redovisa de personuppgiftsbehandlingar som ska utvärderas och bedömas för att erhålla ett certifikat, inbegripet en redogörelse för relevanta dataflöden och moment i personuppgiftsbehandlingen?
  2. Ställer certifieringsordningen krav på att det efterfrågade utvärderingsobjektet faller inom certifieringsordningens tillämpningsområde?
  3. Ställer certifieringsordningen krav på att den sökande redovisar angränsande personuppgiftsbehandlingar och gränssnitt som inte är en del av utvärderingsobjektet, men som kan vara relevanta för certifieringsorganets bedömning?
  4. Identifieras särskilda omständigheter förknippade med utvärderingsobjektet, såsom användning av artificiell intelligens, automatiserat beslutsfattande, profilering, behandling av särskilda kategorier av personuppgifter, registrerade i en utsatt ställning eller beroendeförhållande gentemot den sökande, och så vidare?
  1. Omfattar certifieringsordningen samtliga medlemsstater inom EES-området?
  2. Ställer certifieringsordningen krav på att den sökande identifierar vilka jurisdiktioner inom EES-området som är tillämpliga på den personuppgiftsbehandling som omfattas av utvärderingsobjektet?
  3. Ställer certifieringsordningen krav på att den sökande identifierar den kompletterande nationell dataskyddslagstiftning som, utöver dataskyddsförordningen, är tillämplig på utvärderingsobjektet?
  4. Ställer certifieringsordningen krav på att den sökande ska uppfylla kompletterande nationell dataskyddslagstiftning som omfattar utvärderingsobjektet?
  5. Ställer certifieringsordningen krav på att den sökande tillhandahåller information om personuppgiftsbehandlingen och certifikatet – inbegripet relevant certifieringsdokumentation – till de registrerade och tredje part på det eller de officiella språk i de medlemsstater inom EES-området som omfattas av utvärderingsobjektet? 
  1. Ställer certifieringsordningen krav på att personuppgiftsbehandlingen inom ramen för utvärderingsobjektet sker på ett öppet och korrekt sätt ("fairness")?
  2. Har certifieringsordningen kriterier som avser ändamålsbegränsning och behandling av personuppgifter för ytterligare ändamål än de ursprungliga?
  3. Har certifieringsordningen kriterier som avser att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (dataminimering)?
  4. Har certifieringsordningen kriterier som avser personuppgifternas korrekthet och uppdatering?
  5. Har certifieringsordningen kriterier som avser lagring, arkivering och radering av personuppgifter?
  1. Ställer certifieringsordningen krav på att personuppgifter endast får behandlas med stöd av en av de rättsliga grunderna i dataskyddsförordningen?
  2. Ställer certifieringsordningen krav på att den sökande identifierar en lämplig rättslig grund för de aktuella utvärderingsobjekten?
  3. Om utvärderingsobjektet stödjer sig på samtycke, finns det kriterier om uppfyllnad av artikel 7 i dataskyddsförordningen?
  4. Om utvärderingsobjektet stödjer sig på rättslig förpliktelse, allmänt intresse eller den sökandes myndighetsutövning, finns det kriterier för att identifiera och redovisa det lagrum som ligger till grund för personuppgiftsbehandlingen?
  5. Om utvärderingsobjektet stödjer sig på barns samtycke för behandling av personuppgifter vid användning av informationssamhällets tjänster, finns det kriterier för uppfyllnad av artikel 8 i dataskyddsförordningen?
  6. Om utvärderingsobjektet involverar behandling av särskilda kategorier av personuppgifter, finns det kriterier för att identifiera ett tillämpligt undantag enligt artikel 9.2 i dataskyddsförordningen?
  7. Om utvärderingsobjektet involverar behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser, finns det kriterier om uppfyllnad av artikel 10 i dataskyddsförordningen?
  1. Ställer certifieringsordningen krav på att de registrerade vars personuppgifter behandlas inom ramen för utvärderingsobjektet får all nödvändig information i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet vad gäller information som är särskilt riktad till barn?
  2. Har certifieringsordningen kriterier som avser identifiering av begränsningar av enskildas rättigheter för de personuppgiftsbehandlingar som omfattas av utvärderingsobjektet?
  3. Ställer certifieringsordningen krav på den sökande inrättar förfaranden som underlättar enskildas utövande av rättigheter, enligt dataskyddsförordningen?
  4. Har certifieringsordningen kriterier som avser registrerades möjlighet att utöva sin rätt till
    • tillgång
    • rättelse
    • radering (rätt att bli bortglömd)
    • begränsning
    • dataportabilitet
    • invändningar
    • att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering?
  1. Ställer certifieringsordningen krav på att den sökande ska genomföra en riskbedömning, som tar hänsyn till personuppgiftsbehandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för registrerades fri- och rättigheter?
  2. Innehåller certifieringsordningen en metod för riskbedömning som bedömer risker för registrerades fri- och rättigheter, i synnerhet rätten till privatliv och skydd av personuppgifter?
  3. Ställer certifieringsordningen krav på att genomföra konsekvensbedömningar för personuppgiftsbehandlingar som kan medföra höga risker för registrerades fri- och rättigheter?
  4. Innehåller certifieringsordningen en metod för konsekvensbedömning?
  5. Ställer certifieringsordningen krav på att rådfråga dataskyddsombudet, om tillämpligt, vid genomförandet av konsekvensbedömningar?
  6. Ställer certifieringsordningen krav på identifiering, genomförande och uppföljning av tekniska och organisatoriska skyddsåtgärder för att minska identifierade risker? Till exempel
    • ledning och styrning
    • intern information och utbildning
    • gränssnitt och verktyg för att enskilda ska få information om och kunna utöva kontroll över behandlingen av sina personuppgifter
    • hantering av behörighet för tillgång till och utlämnande av personuppgifter
    • interna bestämmelser om lagring, bevarande och arkivering av personuppgifter
    • interna bestämmelser om krav på medgivande från de registrerade för att behandlingen ska vara tillåten, eller en ovillkorlig rätt att invända mot behandlingen ("opt-out")
    • integritetshöjande teknologi ("privacy enhancing technology").
  7. Ställer certifieringsordningen krav på att genomföra ett förhandssamråd med behörig tillsynsmyndighet, i de situationer då genomförandet av tekniska och organisatoriska skyddsåtgärder är otillräckliga för att åtgärda risker som identifierats i en konsekvensbedömning?
  1. Har certifieringsordningen kriterier som, med hänvisning till den senaste utvecklingen ("state-of-the-art"), genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, avser genomförandet av lämpliga skyddsåtgärder både vid fastställandet av vilka medel personuppgiftsbehandlingen utförs med och vid själva behandlingen (inbyggt dataskydd)?
  2. Har certifieringsordningen kriterier om att den sökande genomför lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas (dataskydd som standard)?
  1. För personuppgiftsansvariga som sökande, har certifieringsordningen kriterier
    • om att teckna ett avtal som reglerar personuppgiftsbehandling utförd av personuppgiftsbiträden som behandlar personuppgifter på den sökandes vägnar och som lämnat tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller skyldigheterna i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas?
    • om att endast medge att personuppgiftsbiträdet överlåter behandlingen av personuppgifter till ett annat personuppgiftsbiträde (ett så kallat underbiträde) om ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits och det andra personuppgiftsbiträdet åläggs samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet mellan den sökande och personuppgiftsbiträdet?
    • som klargör att personuppgiftsbiträdet ska vara fullt ansvarigt mot den sökande om ett annat anlitat personuppgiftsbiträde inte fullgör sina skyldigheter i fråga om dataskydd?
    • om att avtalet mellan den sökande och det anlitade personuppgiftsbiträdet reglerar föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvarigas skyldigheter och rättigheter anges?
    • om att avtalet mellan den sökande och det anlitade personuppgiftsbiträdet reglerar att personuppgiftsbiträdet
      • endast får behandla personuppgifter efter dokumenterade instruktioner av den sökande, med undantag för om behandlingen krävs enligt EU-rätten eller nationell rätt?
      • ska iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt?
      • ska vidta alla nödvändiga säkerhetsåtgärder som avser personuppgiftsbehandlingen?
      • bistår den sökande vid genomförandet av lämpliga tekniska och organisatoriska åtgärder för fullgörandet av den sökandes skyldigheter att svara på begäran om utövande av den registrerades rättigheter?
      • bistår den sökande att uppfylla sina skyldigheter enligt dataskyddsförordningen som avser säkerhet, konsekvensbedömningar och hantering av personuppgiftsincidenter?
  2. För personuppgiftsbiträden som sökande, har certifieringsordningen kriterier
    • om att endast behandla personuppgifter på en personuppgiftsansvarigs vägnar efter dess att ett avtal har tecknats?
    • som avser på vilket sätt biträdet ska lämna garantier till en personuppgiftsansvarig?
    • om att endast anlita andra personuppgiftsbiträden (underbiträden) efter godkännande av den personuppgiftsansvariga, och endast om det säkerställs att de anlitade personuppgiftsbiträdena åläggs samma skyldigheter som det första personuppgiftsbiträdet?
    • om att den sökande ska informera den personuppgiftsansvariga om den sökande anser att en instruktion strider mot dataskyddsförordningen eller mot andra EU-rättsliga eller nationella dataskyddsbestämmelser?
    • som klargör att om den sökande överträder dataskyddsförordningen genom att fastställa ändamålen med och medlen för behandlingen, ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen?
  3. Ställer certifieringsordningen krav på att personer som utför arbete under en personuppgiftsansvarigas eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa efter instruktion av den personuppgiftsansvariga eller personuppgiftsbiträdet, om inte personen är skyldig att behandla uppgifterna enligt EU-rätten eller medlemsstaternas nationella rätt?
  1. Har certifieringsordningen kriterier som avser konfidentialitet, integritet och tillgänglighet för de personuppgiftsbehandlingar som ingår i utvärderingsobjektet?
  2. Ställer certifieringsordningen krav på att den sökande ska genomföra en riskbedömning som avser personuppgiftsbehandlingarnas säkerhet, med hänsyn till personuppgiftsbehandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för registrerades fri- och rättigheter?
  3. Innehåller certifieringsordningen en metod för riskbedömning som bedömer säkerhetsrisker för registrerades fri- och rättigheter, i synnerhet rätten till privatliv och skydd av personuppgifter?
  4. Ställer certifieringsordningen krav på identifiering, genomförande och uppföljning av tekniska och organisatoriska säkerhetsåtgärder för att minska identifierade risker? Till exempel
    • övervakning och uppdatering (på engelska patchning) av mjukvara
    • säker autentisering (exempelvis tvåfaktorsautentisering)
    • interna bestämmelser om hårdvaruanvändning och hårdvarusäkerhet
    • nätverkssäkerhet (segmentering, autentisering, brandväggar, och så vidare)
    • loggning
    • kryptering
    • fysisk säkerhet
    • behörighetsstyrning
    • skydd mot skadlig kod
    • säker applikationsutveckling
    • säkerhetskopiering
    • informationssäkerhetskultur.
  5. Har certifieringsordningen kriterier om identifiering av personuppgiftsincidenter?
  6. Ställer certifieringsordningen krav på åtgärder vid personuppgiftsincidenter?
  7. Ställer certifieringsordningen krav på att inom 72 timmar informera behörig tillsynsmyndighet vid personuppgiftsincidenter som sannolikt kan medföra höga risker för registrerades fri- och rättigheter?
  8. Ställer certifieringsordningen krav på att informera registrerade vid personuppgiftsincidenter som sannolikt kan medföra höga risker för registrerades fri- och rättigheter?
  1. Ställer certifieringsordningen krav på att, om tillämpligt, föra en registerförteckning?
  2. Om den sökande ska föra en registerförteckning, ställer certifieringsordningen krav på innehållet i registerförteckningen?
  3. Om den sökande ska föra en registerförteckning, ställer certifieringsordningen krav på regelbunden uppdatering av registerförteckningen? 
  1. Ställer certifieringsordningen krav på att, om tillämpligt, utse ett dataskyddsombud?
  2. Om den sökande ska utse ett dataskyddsombud, ställer certifieringsordningen krav som avser dataskyddsombudets uppgifter, deltagande, resurser, oberoende, konfidentialitet och kompetensförsörjning?
  1. Klargörs det att certifieringsordningen inte utgör ett överföringsverktyg enligt artikel 46 i dataskyddsförordningen?
  2. Ställer certifieringsordningen krav på att den sökande endast får föra över personuppgifter till tredjeland (eller till en internationell organisation) på grundval av ett beslut om adekvat skyddsnivå, lämpliga skyddsåtgärder, eller någon av undantagsgrunderna enligt artikel 49 i dataskyddsförordningen?
  3. För överföringar på grundval av beslut om adekvat skyddsnivå, ställer certifieringsordningen krav på att den sökande identifierar och verifierar om beslutet omfattar de personuppgiftsbehandlingar som faller inom ramen för utvärderingsobjektet?
  4. Om den sökande för över personuppgifter till ett tredjeland med stöd av lämpliga skyddsåtgärder, ställer certifieringsordningen krav på att den sökande genomför en konsekvensbedömning för överföringar ("transfer impact assessment")? Det inbegriper:
    • En kartläggning av de överföringar av personuppgifter till stater utanför EES-området som genomförs eller ska genomföras.
    • Fastställande av vilket överföringsverktyg som den sökande förlitar sig på, eller kan förlita sig på. Det vill säga något av följande:
      • bindande företagsbestämmelser (BCR)
      • standardavtalsklausuler som EU-kommissionen har beslutat om
      • godkända uppförandekoder eller certifieringsmekanismer
      • rättsligt bindande instrument mellan myndigheter
      • ad hoc-klausuler som godkänts av IMY
      • en administrativ överenskommelse mellan myndigheter som godkänts av IMY.
    • En helhetsbedömning av om tillämplig lagstiftning och praxis i den stat utanför EES-området till vilken personuppgifterna ska föras över kan inverka på effektiviteten för det överföringsverktyg som den sökande avser tillämpa. I synnerhet följande:
      • Om inskränkningar av den registrerades rätt till privatliv och skydd av personuppgifter följer av klara, precisa och offentliggjorda rättsregler.
      • Om inskränkningar av den registrerades rätt till privatliv och skydd av personuppgifter kan rättfärdigas med hänvisning till ett legitimt ändamål och inskränkningarna är nödvändiga och proportionerliga.
      • Om det i staten utanför EES-området finns en oberoende övervakningsmekanism som övervakar lagligheten i inskränkningar av den registrerades rätt till privatliv och skydd av personuppgifter.
      • Om den registrerade har tillgång till effektiva rättsmedel.
      • Om den sökande bedömer att effektiviteten för det överföringsverktyg som den avser använda kommer att inverkas – en bedömning av vilka kompletterande skyddsåtgärder som behöver vidtas för att kompensera för bristerna.
      • Om den sökande förlitar sig på standardavtalsklausuler (SCC), bindande företagsbestämmelser (BCR) eller ad hoc-klausuler måste exportören och importören kontrollera att de kompletterande skyddsåtgärderna inte begränsar rättigheterna och skyldigheterna enligt det använda överföringsverktyget, eller sänker nivån på dataskyddet.
  5. Har certifieringsordningen kriterier om att en sökande, som tillämpar lämpliga skyddsåtgärder för överföringar till tredjeland, infört förfaranden för att regelbundet övervaka om vidtagna skyddsåtgärder är fortsatt effektiva, exempelvis till följd av lagstiftningsändringar?
  6. Har certifieringsordningen kriterier som avser överföringar till tredjeland i särskilda situationer? Det vill säga när något av följande gäller:
    • Den registrerade uttryckligen har samtyckt till att dennes personuppgifter får överföras, efter att först ha blivit informerad om de eventuella riskerna med överföringen när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.
    • Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den sökande eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.
    • Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den sökande och en annan fysisk eller juridisk person i den registrerades intresse.
    • Överföringen är nödvändig av viktiga skäl som rör allmänintresset.
    • Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
    • Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.
    • Överföringen görs från ett register som enligt EU-rätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som de i EU-rätten eller i medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.
    • Överföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nödvändig för ändamål som rör den sökandes tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte väger tyngre, och den sökande har bedömt samtliga omständigheter kring överföringen av uppgifter och på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter.
  1. Är certifieringskriterierna tillräckligt omfattande för att täcka certifieringsordningens tillämpningsområde på ett sådant sätt att certifikatet, certifieringsdokumentationen och annan information om certifikatet blir relevant och pålitlig?
  2. Är certifieringskriterierna tillräckligt omfattande med hänvisning till certifieringsordningens tillämpningsområde och med hänsyn till den senaste utvecklingen ("state-of-the-art"), genomförandekostnader och art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för registrerades fri- och rättigheter, för de personuppgiftsbehandlingar som kan bli utvärderingsobjekt?
  3. Är certifieringskriterierna tillräckligt omfattande för att, som helhet, sannolikt förbättra den sökandes efterlevnad av dataskyddsförordningen, inbegripet hur den sökande lever upp till ansvarsprincipen?
  4. Kommer de registrerade som blir föremål för en certifierad personuppgiftsbehandling sannolikt att åtnjuta en högre nivå av dataskydd, till följd av att en sökande genomför certifieringsordningens kriterier?

 

Metoder för utvärdering och bedömning samt dokumentation

Utöver kriterier för behandlingen av personuppgifter behöver en certifieringsordning innehålla utvärderings- och bedömningsmetoder för uppfyllnad av kriterierna.

Metoderna behöver anpassas efter kriteriernas betydelse, vilket innebär att striktare utvärderingar och bedömningar bör göras för kriterier som är av mer central betydelse. Exempelvis kan det för vissa kriterier räcka med att den sökande lämnar in dokumentation som intygar efterlevnad, medan andra kriterier kan innebära att certifieringsorganet ska genomföra platsbesök, granska it-system eller intervjua medarbetare. Den sökande behöver informeras om vilka metoder som används för utvärderingar och bedömningar, inklusive deras frekvens vid återkommande kontroller.

Certifieringsorganet måste kunna bedöma utvärderingsobjekt, det vill säga personuppgiftsbehandlingar, på en objektiv grund och enligt på förhand fastställda metoder som minimerar risken för subjektiva eller avvikande tolkningar. Metoderna för utvärderingar och bedömningar behöver därför vara standardiserade så att de på ett konsekvent sätt kan användas vid olika tillfällen, för olika sökande och kan valideras i efterhand. Exempelvis är det inte tillåtet att granska en sökandes efterlevnad av ett kriterium i en certifieringsordning genom djupintervjuer av personal, om en annan sökande i samma situation kunnat leva upp till kriteriet genom att enbart tillhandahålla dokumentation som redovisar egenkontroll.

I vissa fall kan det däremot finnas anledning att utvärdera och bedöma efterlevnaden av kriterier med olika metoder, om det finns objektiva skillnader i olika utvärderingsobjekt som rättfärdigar att olika kontroller genomförs. Ett exempel som kan rättfärdiga olika djup av kontroll är om en behandling omfattar särskilda kategorier av personuppgifter eller inte. Eventuella skillnader i utvärderingar och bedömningar behöver dokumenteras noggrant av certifieringsorganet, vilket också ska framgå av certifieringsordningen.
Certifieringsordningen behöver också beskriva vilka utvärderingar och bedömningar som görs i samband med att certifieringen utfärdas, samt vilka återkommande kontroller som sker under certifikatets giltighetstid, till exempel vid årlig revision.

Den som utarbetar en certifieringsordning behöver hitta en balans i djupet och detaljnivån av utvärderingar och bedömningar. Om kontrollerna är otillräckliga är det sannolikt att certifieringen inte kommer vara av tillräcklig praktisk betydelse för den sökande. Samtidigt bör certifiering vara möjlig också för små och medelstora företag. I detta avseende bör certifieringsordningens ägare ta hänsyn till att alltför detaljerade utvärderingar och granskningar riskerar att bli kostsamma, utan att nödvändigtvis medföra en högre nivå av dataskydd.

Certifieringsdokumentationen, det vill säga resultaten av utvärderingar, bedömningar och revision, behöver sammanställas på ett heltäckande sätt. Det är dels för att certifieringsorganet ska kunna kontrollera om den sökande lever upp till certifieringsordningens kriterier, men också för att tillsynsmyndigheten ska kunna kontrollera certifieringsdokumentationen i en tillsynssituation. På samma sätt som metoderna för utvärdering och bedömningar ska vara standardiserade, behöver också dokumentationen vara standardiserad för att certifieringsorganets kontroller ska kunna valideras i efterhand.

Rättsinformation

Fördjupa dig
Senast uppdaterad: 30 september 2024
Sidans etiketter Dataskydd