Adfærdskodekser og certificeringsordninger

Datatilsynet gør det nu muligt at tilslutte sig et kodeks eller certificering.

For mange især små og mellemstore virksomheder, kan det synes uoverskueligt, at skulle sætte sig ind i persondataforordningen.

Formålet med et adfærdskodeks og certificeringsordninger er, at de skal hjælpe virksomhederne med at overholde persondataforordningen.

Hvad kan et kodeks eller certificering bruges til?

At man som virksomhed overholder et kodeks eller har en persondatacertificering, kan bruges som et element til at vise, at man lever op til sine forpligtelser og stiller de fornødne garantier i forhold til forordningen.

Det er dog vigtigt at understrege, at bare fordi man har tilsluttet sig et kodeks eller har fået en certificering, så er det ikke i sig selv et bevis for, at man overholder reglerne i persondataforordningen.

Man er altså ikke fritaget fra ansvar, bare fordi man har et certificeringsdiplom eller viser, at man støtter et kodeks.

Som it-virksomhed kan et kodeks eller en certificering bruges til at vise, at man som databehandler eller underdatabehandler stiller de nødvendige garantier i forhold til bl.a. sikkerhed.

Samtidig nedsætter det bødestørrelsen, hvis man har tilsluttet sig et godkendt kodeks eller har en officiel certificering.

Skal jeg have et kodeks?

Et adfærdskodeks er et sæt retningslinjer, der kan guide virksomhederne til at overholde persondataforordningen.

Det vil typisk være noget en veldefineret gruppe af virksomheder sætter sig sammen for at lave – enten gennem en brancheforening eller anden form for sammenslutning.

Adfærdskodekset skal dog være godkendt af Datatilsynet, før det kan bruges til noget.

IT-Branchen er ved at vurdere, om og på hvilke områder det vil give værdi med et adfærdskodeks.

Hvad er en certificeringsordning?

På samme måde som et adfærdskodeks, er certificeringsordninger tænkt som en hjælp til at sikre, at man som virksomhed overholder reglerne i persondataforordningen.

En certificering, er et formelt bevis fra en godkendt tredjepart, der viser, at man som virksomhed lever op til et sæt af kriterier eller krav vedr. persondataforordningen.

Det er dog ikke hvem som helst, der kan udstede et certifikat.

Det kræver, at den pågældende tredjepart er godkendt af Datatilsynet og DANAK. På DANAKs hjemmeside vil man kunne se, hvilke krav der stilles til virksomheder, der gerne vil godkendes til at kunne udstede et certifikat.

Pt. er der dog ingen virksomheder, der er godkendt.

Et officielt certifikat vil maksimalt være gyldigt i tre år, og alt efter hvem den godkendte tredjepart er, kan der være forskel på, hvilke konkrete krav man skal opfylde for at få certifikatet.

Datatilsynet har endnu ikke besluttet, hvilke minimumskrav man skal opfylde for at kunne få et certifikat. Seneste opdatering fra deres side, er fra 2018.

Hvis du vil vide mere

Her kan du læse Datatilsynets vejledning om adfærdskodekser og certificeringsordninger.

Datatilsynets vejledning ”Behandlingssikkerhed, Databeskyttelse gennem design og standardindstillinger” er også tilgængelig, hvis du vil vide mere om ovenstående.

Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.

Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.