Sertifisering som overføringsgrunnlag: hva betyr EDPBs nye godkjenning for norske virksomheter?
Sist oppdatert 3. juni 2026
|
Kort fortalt
|
Hva har EDPB faktisk godkjent?
Det europeiske personvernrådet (EDPB) vedtok 15. april 2026 to uttalelser om Europrivacy-sertifiseringen. Begge ble fremmet av den luxembourgske tilsynsmyndigheten (CNPD) og vurdert gjennom konsistensmekanismen etter GDPR art. 64.
Opinion 14/2026 godkjenner de oppdaterte kriteriene (versjon 82) som et europeisk personvernsegl etter art. 42(5), og utvider ordningen til virksomheter utenfor EØS som er omfattet av art. 3(2) – det vil si de som tilbyr varer eller tjenester til, eller overvåker atferden til, personer i EØS.
Opinion 15/2026 går lengre. For første gang godkjenner EDPB et eget sett kriterier som en dataimportør utenfor EØS kan bruke som overføringsgrunnlag etter art. 42 og 46(2)(f). Ordningseier er European Center for Certification and Privacy, og EDPB vil registrere ordningen i det offentlige registeret over sertifiseringsmekanismer (art. 42(8)).
Hvor passer sertifisering som overføringsgrunnlag inn i regelverket?
Overføring av personopplysninger ut av EØS reguleres av GDPR kapittel V. Hovedregelen er at beskyttelsesnivået skal følge med opplysningene, slik at vernet etter GDPR ikke undergraves når dataene behandles i et tredjeland (art. 44). Regelverket gir flere alternative grunnlag for slik overføring:
| Mekanisme | Hjemmel | Kort om |
|---|---|---|
| Adekvansbeslutning | Art. 45 | Kommisjonen fastslår at tredjelandet gir et tilstrekkelig beskyttelsesnivå |
| Standard personvernbestemmelser (SCC) | Art. 46(2)(c) | Det vanligste verktøyet; krever overføringsvurdering og eventuelle tilleggstiltak |
| Bindende virksomhetsregler (BCR) | Art. 46(2)(b) | For overføringer innad i et konsern |
| Sertifisering | Art. 46(2)(f) | Nytt: Europrivacy godkjent av EDPB i 2026 |
| Unntak | Art. 49 | Snevre, situasjonsbestemte grunnlag |
Sertifisering som overføringsgrunnlag har ligget i GDPR-teksten siden 2018, men forble i praksis et teoretisk alternativ fordi ingen ordning var godkjent for formålet. Opinion 15/2026 endrer dette.
Etter art. 46(2)(f) kan nødvendige garantier gis gjennom en godkjent sertifiseringsmekanisme etter art. 42, sammen med bindende og håndhevbare forpliktelser fra dataimportøren om å anvende garantiene, herunder for de registrertes rettigheter.
Hvem er dette interessant for – og hvorfor?
Den nye mekanismen er først og fremst relevant for fire grupper.
Norske og øvrige EØS-baserte dataeksportører med dataflyt ut av EØS – typisk ved bruk av skytjenester, SaaS, konserninterne tjenester eller utkontraktering – får et standardisert og uavhengig revidert overføringsgrunnlag. For gjentatte overføringer til samme importør kan dette på sikt være enklere enn å bygge garantier fra bunnen for hver enkelt overføring.
Dataimportører utenfor EØS – leverandører i blant annet USA, Storbritannia og India – kan bruke sertifisering til å gjøre seg «overføringsklare» overfor europeiske kunder. Det kan være et konkurransefortrinn, særlig for leverandører som betjener mange europeiske partnere.
Virksomheter utenfor EØS som er omfattet av art. 3(2), kan etter Opinion 14/2026 bruke ordningen til å dokumentere at behandlingen er i samsvar med GDPR.
Personvernombud, personvernjurister og innkjøps- og IT-funksjoner i virksomheter med internasjonale dataflyter bør kjenne verktøyet når overføringsgrunnlag skal velges og dokumenteres. For de fleste virksomheter vil SCC likevel forbli hovedverktøyet inntil videre.
Hvilke vilkår gjelder før en overføring kan skje?
Overføring kan ikke starte før dataimportøren både er sertifisert og har signert bindende og håndhevbare forpliktelser overfor eksportøren. Forpliktelsene skal blant annet innebære at de registrerte anerkjennes som tredjepartsbegunstigede som kan håndheve reglene, at importøren samarbeider med den EØS-tilsynsmyndigheten som er kompetent for eksportøren (herunder revisjoner og bindende avgjørelser), at data kun behandles så lenge sertifikatet er gyldig, og at data returneres eller slettes dersom sertifikatet trekkes tilbake.
Eksportøren beholder et selvstendig ansvar. Eksportøren må verifisere at sertifikatet er gyldig og ikke utløpt, at det dekker den konkrete overføringen og eventuell transitt, og at sertifiseringsorganet er akkreditert. Bruken av sertifiseringen bør forankres i databehandleravtalen etter art. 28 eller i en delingsavtale mellom behandlingsansvarlige, og de registrerte skal informeres om garantiene som benyttes (art. 13(1)(f)).
Ordningen gjelder en avgrenset behandling – det evaluerte målet (Target of Evaluation) – ikke virksomheten som helhet. Felles behandlingsansvar er uttrykkelig holdt utenfor ordningen for importører etter art. 46.
Løser dette Schrems II-problemet?
Nei – ikke i seg selv. Det er det viktigste forbeholdet. Kriteriene bygger riktignok inn den vurderingen av tredjelandets rett som Schrems II krever: før en sertifiseringsrevisjon må sertifiseringsorganet kontrollere at tredjelandets lovgivning og praksis ikke hindrer etterlevelse av kravene, og importøren må analysere lokal rett, innføre tilleggstiltak der det er nødvendig, og stanse eller suspendere overføringen dersom beskyttelsesnivået ikke kan sikres. Importøren må dessuten garantere at ingen lokal tilgangs- eller overvåkingslovgivning hindrer oppfyllelsen av forpliktelsene.
Sertifisering standardiserer og reviderer altså garantiene, men gjør ikke et problematisk tredjeland «tilstrekkelig». Står lokal rett i veien, vil sertifikat ikke bli gitt, eller overføringen må stanses. Sertifisering er dessuten et frivillig ansvarsverktøy som ikke begrenser tilsynsmyndighetenes adgang til å gripe inn. Hvordan tilsynsmyndighetene vil håndtere mekanismen i praksis, gjenstår å se.
Hva bør norske virksomheter gjøre nå?
Mekanismen er godkjent, men ennå ikke fullt operativ. Et nøkternt utgangspunkt er:
- Kartlegg dataflyten ut av EØS og dagens overføringsgrunnlag for hver enkelt flyt.
- Som eksportør: vurder om sertifisering kan forenkle gjentatte overføringer til samme importør på sikt, men behold SCC som hovedverktøy inntil ordningen er operativ.
- I importørrollen, eller som leverandør utenfor EØS: vurder sertifisering som dokumentasjon og som konkurransefortrinn.
- Følg med på operasjonaliseringen – akkreditering av sertifiseringsorganer gjenstår, og EDPB vil registrere ordningen offentlig.
- Husk at eksportørens due diligence og tredjelandsvurdering består uavhengig av sertifisering. Dokumentér vurderingene.
Europrivacy-godkjenningen utvider verktøykassen for tredjelandsoverføringer for første gang på flere år. For de fleste vil SCC fortsatt være det praktiske hovedsporet, men sertifisering kan bli et reelt alternativ – særlig i leverandørkjeder med mange europeiske kunder.
Denne artikkelen er ment til generell informasjon og erstatter ikke konkret juridisk rådgivning. Ved spørsmål om egne dataoverføringer bistår vi gjerne med en vurdering.
Kilder: EDPB Opinion 14/2026 og Opinion 15/2026; personvernforordningen (Lovdata).
|
Kjell Steffner · Advokat Partner og leder for teknologi og IT, Nordia Law Oslo Arbeider med IT-kontrakter, personvern og GDPR, immaterialrett og AI-juridisk risiko. |
