Det som nu hänt är att den svenska Integritetsskyddsmyndigheten, IMY, har fastställt kraven för ackreditering av certifiering för organisationers GDPR-arbete. Det är dessa krav som Swedac ska tillämpa om ett certifieringsorgan vill bli ackrediterat.
– När GDPR kom var det väldigt många frågor. Men nu har det lugnat ner sig, säger Magnus Pedersen på Swedac.
Trots att det nu finns en mognad och en större trygghet kan certifieringar vara ett bra verktyg för organisationer. Dels för att veta att man har koll på både sin egen hantering och vid upphandlingar.
Det står också i dataskyddsförordningen att medlemsstaterna och tillsynsmyndigheter ska uppmuntra införandet av certifieringsmekanismer.
Än så länge finns det ingen nationell certifieringsordning. Swedac inväntar därför nationella intressenters agerande och har dialog med IMY.
I dataskyddsförordningen är det också reglerat så att enbart ackrediterade certifieringsorgan får utföra certifiering gällande GDPR. Det gör att vägen till en nationell ordning med godkända certifieringar ser ut på följande sätt.
1: Någon eller några intressenter bestämmer sig för att skapa en certifieringsordning kring hantering av data enligt GDPR.
2: Den ordningen godkänns av IMY och accepteras att användas under ackreditering av Swedac.
3: Certifieringsorgan kan ansöka om att bli ackrediterade för att certifiera enligt den accepterade ordningen.
Den europeiska dataskyddsstyrelsen, EDPB, har sedan tidigare accepterat en ordning för internationell nivå.
Läs mer:
IMY fastställer krav för ackreditering av certifieringsorgan