Formålet med adfærdskodekser og certificeringsordninger er, at det skal hjælpe virksomhederne med at overholde persondataforordningen.

Hvad kan et kodeks eller en certificering bruges til?

At man som virksomhed overholder et kodeks eller har en persondatacertificering, kan bruges som et element til at vise, at man lever op til sine forpligtelser og stiller de fornødne garantier i forhold til forordningen.

Det er dog vigtigt at understrege, at bare fordi man har tilsluttet sig et kodeks eller har fået en certificering, så er det ikke i sig selv et bevis for, at man overholder reglerne i persondataforordningen.

Man er altså ikke fritaget fra ansvar, bare fordi man har et certificeringsdiplom eller viser, at man støtter et kodeks.

Som it-virksomhed kan et kodeks eller en certificering bruges til at vise, at man som databehandler eller underdatabehandler stiller de nødvendige garantier i forhold til bl.a. sikkerhed.

Samtidig nedsætter det bødestørrelsen, hvis man har tilsluttet sig et godkendt kodeks eller har en officiel certificering.

Skal jeg have et kodeks?

Et adfærdskodeks er et sæt retningslinjer, der kan guide virksomhederne til at overholde persondataforordningen.

Det vil typisk være noget en veldefineret gruppe af virksomheder sætter sig sammen for at lave – enten gennem en brancheforening eller anden form for sammenslutning.

Adfærdskodekset skal dog være godkendt af Datatilsynet, før det kan bruges til noget.

IT-Branchen er ved at vurdere, om og på hvilke områder det vil give værdi med et adfærdskodeks.

Hvad er en certificeringsordning?

På samme måde som et adfærdskodeks, er certificeringsordninger tænkt som en hjælp til at sikre, at man som virksomhed overholder reglerne i persondataforordningen.

En certificering, er et formelt bevis fra en godkendt tredjepart, der viser, at man som virksomhed lever op til et sæt af kriterier eller krav vedr. persondataforordningen.

Det er dog ikke hvem som helst, der kan udstede et certifikat.

Det kræver, at den pågældende tredjepart er godkendt af Datatilsynet og DANAK. På DANAKs hjemmeside vil man kunne se, hvilke virksomheder, der pt er godkendt til at kunne udstede et certifikat.

Et officielt certifikat vil maksimalt være gyldigt i tre år, og alt efter hvem den godkendte tredjepart er, kan der være forskel på, hvilke konkrete krav man skal opfylde for at få certifikatet.

Datatilsynet har endnu ikke besluttet, hvilke minimumskrav man skal opfylde for at kunne få et certifikat. Det melder de ud i løbet af foråret 2018. Vi opdaterer naturligvis denne artikel, så snart vi ved mere.

Hvis du vil vide mere

Her kan du læse Datatilsynets vejledning om adfærdskodekser og certificeringsordninger.

Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.

Er du interesseret Databeskyttelse og Privacy generelt, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.