Europrivacy Überblick
Seit der Verabschiedung der Datenschutz-Grundverordnung (DSGVO), ist die Konformität mit den Richtlinien bezüglich des Datenschutzes ist zu einem zentralen Erfordernis für Firmen und in öffentlichen Verwaltungssachen in der EU geworden. Dies führt zu rechtlichen und finanziellen Risiken die von den für die Datenverarbeitung Verantwortlichen und den Auftragsverarbeitern nicht ignoriert werden können.
Europrivacy ist ein Zertifizierungsmechanismus, welches durch das Europäische Forschungsprogramm erforscht und entwickelt wurde um Konformität mit der DSGVO und anderweitigen Datenschutzrichtlinien überprüfen, dokumentieren, zertifizieren und wertschätzen zu können. Es wird von dem Europäischen Zentrum für Zertifikation und Datenschutz in Luxembourg (European Centre for Certification and Privacy - ECCP) in Stand gehalten und wird von einem internationalen Expertengemium überwacht.
Europrivacy wurde auf Grund von ISO/IEC 17065 und Artikel 42 der DSGVO „zu dem Zweck um Konformität mit dieser Richtlinie im Sinne von Dateverarbeitungstätigkeiten der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter zu demonstrieren“.
Es ist weitaus mehr als ein einfacher Zertifizierungsmechanismus. Es bietet eine ausführliche Reihe an online Ressourcen und Dienstleistungen an um Konformität mit Datenschutzvorschriften effektiv zu implementieren, zu stärken und zu demonstrieren. Es wird durch eine Gemeinschaft an qualifizierten Partnern, eine online Akademie, einer Gemeinschafts-Website und online Hilfsmitteln unterstützt. Es erbringt viele Vorteile.
Umfang und Anwendbarkeit
Zweck: Europrivacy ermöglicht die Prüfung, Dokumentation, Zertifizierung und Wertschätzung der Konformität mit der DSGVO und komplementären Datenschutzvorschriften.
Um genau zu sein, assistiert es Firmen und Unternehmen bei:
- Der Reduktion von rechtlichen und finanziellen Risiken in dem Konformität überprüft und dokumentiert wird.
- Der Kommunikation und Wertschätzung der Konformität in dem diese in einen Vorzug abgewandelt wird und dadurch einen Vermögenswert eringt.
- Dem Genießen und der Aufrechterhaltung von Konformität mit Europrivacy und den Online Ressourcen.
Was: Dank dem hybriden Model, ist Europrivacy auf fast alle Datenverarbeitungstätigkeiten, inklusive innovativer Technologien sowie KI, Blockchain, E-Health und Internet der Dinge anwendbar. Hierbei gibt es jedoch einige Ausnahmen, sowie biomedizinische Daten. Zwar kann die Europrivacy Methodik auf diverse Bewertungsziele angewendet werden, jedoch können gemäß Artikel 42 der DSGVO nur Datenverarbeitungstätigkeiten zertifiziert werden.
Als eine Konsequenz ist es somit in EU Zuständigkeitsgebieten nicht möglich eine ganze Firma oder dessen Management anhand der DSGVO zu zertifizieren. Jedoch kann Konformität progressiv zertifiziert werden, angefangen mit Datenverarbeitungstätigkeiten mit hoher Priorität und und einer schrittweisen Erweiterung der Zertifizierung auf weitere Datenverarbeitungstätigkeiten.
Wer: Europrivacy auf beide anwendbar, die für die Datenverarbeitung Verantwortlichen und Auftragsverarbeiter.
Wo: Europrivacy ist überall dort anwendbar, wo die Konformität mit der DSGVO ermessen werden soll. Jedoch koennen Zertifikate nicht in Rechtsgebieten ausgestellt werden, die über keine angemessenen und ausreichenden Maßnahmen in Hinsicht auf die Rechte und Freiheiten von betroffenen Personen verfügen. Von daher ist es vorerst auf Antragsteller aus dem Europäischen Wirtschaftsraum beschränkt.
Erweiterungen: Europrivacy wurde entwickelt und gestaltet, um problemlos auf ergänzende nationale Datenschutzvorschriften erweiterbar zu sein, einschließlich nicht-EU-Vorschriften sowie auf bereichs- und technologiebezogene Vorschriften.
Gültigkeit: Zertifikate sind für verlängerbare Zeiträume von jeweils drei Jahren gültig.
Zertifikationsverfahren
Das Zertifikationsverfahren kann in folgende Hauptschritte unterteilt werden:
- Vorbereitung und Dokumentation Ihrer Konformität mit den Europrivacy-Kriterien mit Hilfe des Europrivacy Willkommens Pakets inclusive Ressourcen und Hilfsmitteln und qualifizierten Partnern um Risiken zu reduzieren. Sie können zudem Kriterien-Erweiterungen nutzen, um die Konformität mit weiteren EU- oder nationalen Vorschriften zu zertifizieren.
- ertifizieren Sie die Konformität Ihrer Datenverarbeitung mit einer qualifizierten Zertifizierungsstelle, um den Wert Ihrer Konformität zu bestätigen und zu kommunizieren. Die Zertifizierungsstelle muss von dem Europäischen Zentrum für Zertifizierung und Datenschutz autorisiert sein und über eine gültige Akkreditierung durch eine zuständige nationale Behörde verfügen. Das Zertifikat wird im offiziellen Europrivacy-Zertifikatsregister veröffentlicht, um die Authentifizierung durch Dritte zu ermöglichen und Fälschungen zu verhindern.
- Erhalten, kommunizieren und steigern Sie den Wert Ihrer Konformität durch Online-Ressourcen und -Werkzeuge, einschließlich Kommunikationsrichtlinien und -vorlagen, kontinuierlicher Updates zu Compliance-Anforderungen sowie jährlicher Überwachungsaudits.
Innovatives Zertifizierungsmodell von Europrivacy
Europrivacy bietet ein innovatives hybrides Zertifizierungsmodell, das von den Vorteilen eines universellen Zertifizierungssystems profitiert und durch bereichs- sowie technologiebezogene Kriterien ergänzt wird, entsprechend der Natur des Bewertungsziels.
GDPR-Kernkriterien: Der Zertifizierungsprozess beginnt stets mit der Europrivacy-Liste der GDPR-Kernkriterien, die die verschiedenen GDPR-Verpflichtungen umfasst, wie im Folgenden erläutert wird:
C – Ergänzende Prüfungen und Kontrollen: Die Kernkriterien werden durch ergänzende Prüfungen und Kontrollen vervollständigt, um die Einhaltung bereichs- und technologiebezogener Verpflichtungen zu bewerten, die für das Prüfobjekt gelten können.
T – Technische und organisatorische Maßnahmen: Die Prüfungen und Kontrollen der technischen und organisatorischen Maßnahmen zielen darauf ab, die Angemessenheit der vorhandenen Maßnahmen zur Sicherung der verarbeiteten Daten zu bewerten. Mit Ausnahme der Verarbeitung von Hochrisikodaten kann dies durch ein gültiges ISO/IEC 27001-Zertifikat ersetzt werden, das das Prüfobjekt umfasst
S – Überwachungsaudit-Checkliste: Einige zusätzliche Kriterien werden für die Überwachungsaudits festgelegt, um die kontinuierliche Einhaltung der Vorschriften über die Zeit zu bewerten und sicherzustellen.
N – Nationale Verpflichtungen: Europrivacy unterstützt die Bewertung der Konformität mit ergänzenden nationalen Verpflichtungen durch zwei Instrumente:
- Profile nationaler Verpflichtungen für jeden Mitgliedsstaat des Europäischen Wirtschaftsraums. Diese Ressourcen können zur Erstellung eines Berichts zur Konformitätsbewertung nationaler Verpflichtungen (NOCAR) verwendet werden.
- Europrivacy-Erweiterung nationaler Kriterien, um die Konformität eines Prüfobjekts mit ergänzenden nationalen Datenschutzvorschriften zu bewerten und zu zertifizieren. Diese Erweiterungen sind optional und werden auf freiwilliger Basis verwendet, um eine Europrivacy-Zertifizierung auf das entsprechende Nicht-EU-Rechtsgebiet auszudehnen.