Den her post kommer jeg helt sikkert til at genbesøge - men for indeværende har jeg ikke yderligere kommentarer til temaet;

Datatilsynet har udgivet en PDF med en række betragtninger omkring certificering.

Hvad er målet?

Der er 2 væsens-forskellige certificeringer - den ene er den certificering, du som "almindelig" virksomhed tragter efter, for at kunne bryste dig af at have et særligt niveau af kontrol/styring over din virksomhed; den anden er den certificering, du som leverandør af certificeringer, tragter efter. Her går certificeringen fra at være et adjektiv til et substantiv!

Certificering (af behandling)

I vejledningen lægger Datatilsynet vægt på at et certificerings-prædikat vil udtale sig om selve behandlingen (akkumulering,editering, konsolidering,arkivering,diseminering,eradikering) ikke om de(t) system(er) der støtter undervejs i arbejdsgangene.

Det er også værd at bemærke at fordi en virksomhed tilslutter sig en certificeringsordning, og dermed lader sig underkaste de med certificeringen hyppigt forekommende trykprøvninger (assessments), er det ikke en garanti for at virksomheden faktisk overholder forordningen, men det er en hjælp for virksomheden til at demonstrere at den overholder forordningen.

Certificeringsorgan

Det er muligt at opnå status som certificeringsorgan, hvis din virksomhed fx har særlige kompetencer i en særlig type behandling af personoplysninger.

Det er også muligt at lade din virksomhed certificere efter fx ISO27001 (informationssikkerhed) eller ISO9001 (kvalitetsstyring)