NORSK AKKREDITERING
NORSK AKKREDITERING
NAs ref.: 23/0831 Datatilsynets ref.: 23/01175
Samarbeidsavtale («Avtale» eller «Avtalen») mellom:
(1) Datatilsynet, et uavhengig forvaltningsorgan administrativ underordnet Kongen og Kommunal- og distriktsdepartementet ("Datatilsynet"); og
(2) Norsk akkreditering, et uavhengig forvaltningsorgan administrativ underordnet Nærings- og fiskeridepartementet ("Norsk akkreditering").
Bakgrunn:
A. Datatilsynet fører kontroll med at personvernregelverket etterleves og medvirker til at enkeltpersoner ikke blir krenket gjennom bruk av opplysninger som kan knyttes til dem. Datatilsynet er tilsynsmyndighet etter artikkel 51 i EU-forordning 2016/679 ("personvernforordningen"), jf. personopplysningsloven § 20. Datatilsynet kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre Datatilsynets vedtak.
B. Norsk akkreditering er Norges nasjonale akkrediteringsorgan utpekt i samsvar med europaparlaments- og rådsforordning (EF) nr. 765/2008, jf. EØS-vareloven § 3.
C. Personvernforordningen er tatt inn i EØS-avtalen, og er derfor gjeldende i Norge. I henhold til artikkel 1 bokstav b i avgjørelsen av EØS-komiteen nr. 154/2018 skal medlemsstat(ene) og tilsynsmyndighetene forstås således at de også omfatter henholdsvis EØS-statene og deres tilsynsmyndigheter.
D. Datatilsynet skal oppmuntre til at det opprettes mekanismer for personvernsertifisering samt personvernsegl- og merker med det som mål å vise at de behandlingsansvarliges og databehandlernes behandlingsaktiviteter oppfyller kravene i personvernforordningen, jf. personvernforordningen artikkel 42 nr. 1.
E. Personvernsertifisering skal utstedes på grunnlag av sertifiseringskriterier som er godkjent av Datatilsynet (for sertifiseringsordninger som skal gjelde kun i Norge) eller Det europeiske personvernråd ("Personvernrådet") (for sertifiseringsordninger som skal gjelde i flere EØS-stater), jf. personvernforordningen artikkel 42 nr. 5. Godkjente sertifiseringskriterier skal offentliggjøres av Datatilsynet i et lett tilgjengelig format, jf. artikkel 43 nr. 6.
F. Personvernsertifisering skal utstedes av et akkreditert sertifiseringsorgan, jf. personvernforordningen artikkel 43 nr. 1.
G. Kommunal- og distriktsdepartementet og Nærings- og fiskeridepartementet er enige at Norsk akkreditering kan ha ansvar for å akkreditere sertifiseringsorganer under personvernforordningen. Justis- og beredskapsdepartementet har vurdert at ansvar og
plikter er tilstrekkelig regulert i gjeldende regelverk, jf. personvernforordningen artikkel 43 nr. 1. og omtalt i forarbeidene til personopplysningsloven punkt 16.6.5.
H. Norsk akkreditering skal akkreditere sertifiseringsorganer på høyst 5 (fem) år som kan fornyes på samme vilkår forutsatt at de aktuelle kravene fortsatt oppfylles, jf. personvernforordningen artikkel 43 nr. 4.
I. Norsk akkreditering skal trekke tilbake akkreditering av et sertifiseringsorgan dersom vilkårene for akkrediteringen ikke overholdes, eller dersom tiltak truffet av sertifiseringsorganet er i strid med personvernforordningen, jf. personvernforordningen artikkel 43 nr. 7. Norsk akkreditering kan også iverksette sanksjoner dersom et sertifiseringsorgan ikke lenger tilfredsstiller de krav og vilkår som gjelder for akkreditering, jf. EØS-vareloven (forordning (EU) nr. 765/2008) artikkel 5 nr. 4, nærmere spesifisert i Norsk akkrediterings kravdokument «Vilkår for å være akkreditert».
J. Sertifiseringsorganet er ansvarlig for å utføre en egnet vurdering som fører til utstedelse eller tilbakekalling av personvernsertifisering uten at det berører den behandlingsansvarliges eller databehandlerens ansvar for å overholde kravene i personvernforordningen, jf. personvernforordningen artikkel 43 nr. 4.
K. Personvernsertifisering skal utstedes til en behandlingsansvarlig eller databehandler for en periode på høyst 3 (tre) år og kan fornyes på samme vilkår, forutsatt at relevante kriterier fortsatt er oppfylt. Sertifiseringsorganet skal tilbakekalle personvernsertifisering dersom kriteriene for personvernsertifisering ikke lenger er oppfylt, jf. personvernforordningen artikkel 42 nr. 7.
L. Sertifiseringsorganer skal, etter å ha underrettet tilsynsmyndigheten slik at den kan utøve sin myndighet i henhold til personvernforordningen artikkel 58 nr. 2 bokstav h når det er nødvendig, utstede og fornye personvernsertifisering, jf. personvernforordningen artikkel 43 nr. 1. Sertifiseringsorganer skal underrette vedkommende tilsynsmyndighet om årsakene til at personvernsertifiseringen det er anmodet om, er utstedt eller tilbakekalt, jf. personvernforordningen artikkel 43 nr. 5.
1. Definisjoner
1.1. Ord som defineres i personvernforordningen artikkel 4 skal ha samme betydning i denne avtalen. Ord og begreper som brukes i Avtalen skal ellers forstås som følger:
Akkreditering En uavhengig vurdering gjennomført av Norsk akkreditering av et Sertifiseringsorgans kompetanse, integritet og uavhengighet. Vurderingen innbefatter Sertifiseringsorganets evne og vilje til å utføre angitte oppgaver i samsvar med gitte krav.
Akkrediteringskravene Et Sertifiseringsorgan må:
• Være kompetent til å utføre sertifisering etter personvernforordningen artikkel 42 og 43 på en pålitelig, troverdig og nøyaktig måte,
• Oppfylle kravene i NS-EN ISO/IEC 17065:2012, og
• Oppfylle Datatilsynets tilleggskrav for akkreditering av sertifiseringsorganer (som offentliggjøres på Datatilsynets nettside),
for å få Akkreditering.
Sertifisering Vurdering og bekreftelse fra et Sertifiseringsorgan på at oppfyllelse av Sertifiseringskriterier er påvist med hensyn til en eller flere bestemte behandlinger hos en behandlingsansvarlig eller databehandler.
Sertifiseringsordning Et sertifiseringssystem angående bestemte behandlinger
underlagt personvernforordningen som inneholder blant annet:
• Beskrivelse av omfang av ordningen,
• Sertifiseringskriterier, og
• Metodikken for å utføre Sertifisering.
Sertifiseringsorgan Et organ som utfører (eller søker om å utføre)
samsvarsvurderinger opp mot Sertifiseringskriterier, og som er akkreditert av (eller søker akkreditering fra) Norsk akkreditering.
Sertifiseringskriterier Kriterier (eller foreslåtte kriterier) som skal brukes i
samsvarsvurderinger etter personvernforordningen og som er godkjent av (eller som søkes godkjent av):
• Datatilsynet (for Sertifiseringsordninger som skal gjelde kun i Norge), eller
• Personvernrådet (for Sertifiseringsordninger som skal gjelde i hele EØS),
i samsvar med Godkjennelsesprosessen.
Godkjennelsesprosessen Prosess for Datatilsynet eller Personvernrådet til å
godkjenne Sertifiseringskriterier som beskrevet i Fase 1 (Steg 3 til 6) i Bilaget.
Ordningseieren Person eller organisasjon som er ansvarlig for og har
myndighet til:
• å avgi og endre foreslåtte Sertifiseringskriterier som skal godkjennes av Datatilsynet eller Personvernrådet, og
• å utvikle og vedlikeholde en Sertifiseringsordning.
2. Formål
2.1. Formålet med denne avtalen er å sikre en klar ansvarsfordeling og klare kommunikasjonsforventinger mellom partene for at:
2.1.1. Private eller offentlige aktører i Norge kan utarbeide Sertifiseringskriterier som kan godkjennes av Datatilsynet eller Personvernrådet, som del av å lage en Sertifiseringsordning,
2.1.2. Sertifiseringsorganer i Norge som vil tilby Sertifisering med Sertifiseringskriterier godkjent av Datatilsynet eller Personvernrådet kan få Akkreditering fra Norsk akkreditering, og
2.1.3. Virksomheter kan få sertifisert behandlinger innenfor omfanget av Sertifiseringsordninger som inneholder Sertifiseringskriterier godkjent av Datatilsynet eller Personvernrådet.
3. Samarbeid
3.1. Partene skal samarbeide for å oppnå formål med avtalen som beskrevet i klausul 2 og for å sørge for at begge partene oppfyller deres juridiske plikter som beskrevet i bakgrunnen til avtalen.
3.2. Samarbeidet mellom partene vil omhandle hovedsakelig følgende faser, nærmere beskrevet i Bilag til avtalen:
3.2.1. gjennomgang av foreslåtte Sertifiseringsordninger og godkjennelse av foreslåtte Sertifiseringskriterier (Fase 1),
3.2.2. Akkreditering av Sertifiseringsorganer (Fase 2), og
3.2.3. oppfølging av Sertifiseringsorganer og Sertifiseringer utstedt av dem (Fase 3).
4. Økonomiske forhold
4.1. Hver part skal dekke sine egne kostnader i forbindelse med oppfyllelse av denne avtalen.
5. Rapportering og informasjonsutveksling
5.1. Partene skal rapportere til hverandre etter nærmere avtale.
5.2. Hver part skal utveksle informasjon de besitter om Akkreditering av Sertifiseringsorganer og Sertifiseringer som kan være relevant for den annen parts lovpålagte oppgaver, med mindre taushetsplikten er til hinder for det.
5.3. I henhold til personvernforordningen artikkel 57 nr. 1 bokstav g skal datatilsynsmyndighetene i EØS utveksle informasjon og yte gjensidig bistand for å sikre ensartet anvendelse og håndheving av personvernforordningen. Dette kan inkludere informasjon om akkreditering av sertifiseringsorganer eller sertifiseringer, særlig hvis det er indikasjoner på at akkreditering av sertifiseringsorganer eller sertifiseringer kan eller bør tilbakekalles. Datatilsynet vil dele informasjon som er relevant for Akkreditering av Sertifiseringsorganer med Norsk akkreditering, med mindre taushetsplikten er til hinder for det.
6. Avtalens varighet
6.1. Avtalen varer fra den datoen begge parter har signert avtalen og så lenge Norsk akkreditering er ansvarlig for Akkreditering av Sertifiseringsorganer etter personvernforordningen.
7. Generell
7.1. Denne avtalen er underlagt norsk rett.
7.2. Avtalen skal offentliggjøres på Datatilsynets nettside.
7.3. Endringer til avtalen kan avtales skriftlig mellom partene fra tid til annen.
Norsk akkreditering: Datatilsynet:
Xxxxx Xxxxxxx Xxxxx Direktør
Dato: 23. juni 2023 Sted: Oslo
Xxxx Xxxx Direktør
Dato: 23. juni 2023 Sted: Oslo