Målet med implementering av GDPR er å gi bedrifter motivasjon til å oppnå et godt og sikkert personvern, og etterlevelse av lov og forskrifter. Dette er også vesentlig i forhold til sanksjonssystemet og styreansvaret.
Hva er formålet med GDPR-sertifisering?
Sertifisering er en måte å demonstrere at din behandling av personopplysninger oppfyller GDPR-kravene. Sertifisering kan bidra til å demonstrere databeskyttelse på en praktisk måte for bedrifter, enkeltpersoner og regulatorer. Som igjen vil være vesentlig for å unngå høye bøter ved brudd på GDPR, evt. erstatningsansvar for styret og daglig leder.
Kundene kan også bruke sertifisering som et middel til å raskt vurdere nivået av databeskyttelse av ditt bestemte produkt eller tjeneste, noe som gir åpenhet både for registrerte personer og i forretningsforhold til forretningsforhold.
Sertifiseringen kan inngå som del av ledelsens gjennomgåelse, og implementeres i virksomhetens personvernerklæring. Sertifiseringen er en revisjon av hvordan GDPR-internkontrollsystemet fungerer, og er basert på samtaler med behandlingsansvarlig, daglig leder og evt personvernombudet i virksomheten.
Utvalg av 260 krav i GDPR-forordningen hensyntas
Vi har kartlagt 260 krav i GDPR.
Sertifisering innebærer at det utarbeider en komplett revisjonsgjennomgang iht. et utvalg av disse GDPR kravene. Revisjonen gjennomføres iht. guidelines fra EU, og det tas spesielt hensyn til at virksomhetens behandling av personvernopplysninger er i overensstemmelse med artikkel 42 og 43 i GDPR-forordningen.
Ved sertifiseringen hensyntar vi spesielt at sertifiseringskriteriene er
avledet fra GDPR prinsipper og regler, som relevante for sertifiseringsomfanget, dvs.
lovlighet av behandling (art 6)
prinsipper for databehandling (art 5)
registrertes rettigheter (art 12-23)
plikt til å varsle om brudd på data (art 33)
DPs plikt ved design og standard (art 25)
om en DPIA er fullført der det kreves (Art35 (7) (d)
tekniske og organisatoriske tiltak iverksatt (art 32);
formulert på en slik måte at de er tydelige og tillater praktisk anvendelse;
auditive (dvs. spesifiser mål og hvordan de kan oppnås for å demonstrere samsvar);
relevant for målgruppen;
interoperabel med andre standarder, for eksempel ISO-standarder; og
skalerbar for anvendelse i forskjellige størrelser eller type organisasjoner.
Krav iht. ISO 27001 inngår ikke i sertifiseringen da dette databehandler må gjennomføre en egen sertifisering. Be om tilbud dersom det er aktuelt.
GDPR-forordningen sier at sertifisering også er et middel til å:
1. demonstrere samsvar med bestemmelsene om databeskyttelse ved design og som standard (artikkel 25 nr. 3);
2. demonstrere at du har passende tekniske og organisatoriske tiltak for å sikre datasikkerhet (artikkel 32 nr. 3);
Hvordan oppnå GDPR-sertifisering:
Vi gjennomfører en revisjon GDPR-systemet og rutiner iht. fastlagte krav, og dokumenterer dette arbeidet i en intern rapport hos oss. Det gis inntil 100 poeng knyttet til compliance av GDPR regelverket, og det utstedes et gradert GDPR-sertifikat ut i fra en samsvarsvurdering hvor A+ er det beste, A det nest beste, og B det laveste.
Godkjennelse av GDPR-sertifikat
Sertifiseringen utføres av våre konsulenter, men endelig vurdering gis av sertifisert kvalitetsrevisor/kvalitetsleder Roy Nordli.
Pris
Pris for sertifisering er fra kr. 50.000,-. I tillegg kommer reisekostnader. For større virksomheter kommer et ekstra gebyr. Ta kontakt dersom din virksomhet ønsker å bli sertifisert.