Internal Law 2 Private law - Administration of civil justice - Enforcement 23 Intellectual property and data protection
Landesrecht 2 Privatrecht - Zivilrechtspflege - Vollstreckung 23 Geistiges Eigentum und Datenschutz

235.13 Ordinance of 28 September 2007 on Data Protection Certification (DPCO)

235.13 Verordnung vom 28. September 2007 über die Datenschutzzertifizierungen (VDSZ)

Index Inverser les langues Précédent Suivant
Index Inverser les langues

Art. 1 Requirements

1 The organisations that carry out data protection certification in accordance with Article 11 FADP (certification organisations) must be accredited. Accreditation is governed by the Accreditation and Designation Ordinance of 17 June 19962, unless the present Ordinance provides otherwise.

2 Separate accreditation is required in each case for the certification of:

a.
the organisation of and procedure for data protection;
b.
products (hardware, software or systems for automated data processing procedures).

3 The certification organisations must have established organisational regulations and an established certification procedure (checking program), in which the following in particular are regulated:

a.
the assessment or checking criteria and the resultant requirements that must be fulfilled by the organisations or products to be certified (assessment and/or checking scheme); and
b.
the details of the procedure, and in particular the course of action in the event that irregularities are detected.

4 The minimum requirements for the checking program are governed by the standards and principles applicable in accordance with Annex 2 of the Accreditation and Designation Ordinance of 17 June 1996 and in accordance with Articles 4–6 hereof.

5 The minimum qualification requirements for the staff that carry out certification procedures are set out in the Annex.

2 SR 946.512

Art. 1 Anforderungen

1 Die Stellen, die Datenschutzzertifizierungen nach Artikel 11 DSG durchführen (Zertifizierungsstellen), müssen akkreditiert sein. Die Akkreditierung richtet sich nach der Akkreditierungs- und Bezeichnungsverordnung vom 17. Juni 19962, soweit die vorliegende Verordnung keine abweichenden Vorschriften enthält.

2 Je eine separate Akkreditierung ist erforderlich für die Zertifizierung von:

a.
Organisation und Verfahren des Datenschutzes;
b.
Produkten (Hardware, Software oder Systeme für automatisierte Datenbearbeitungsverfahren).

3 Die Zertifizierungsstellen müssen über eine festgelegte Organisation sowie ein festgelegtes Zertifizierungsverfahren (Kontrollprogramm) verfügen. Darin müssen insbesondere geregelt sein:

a.
die Begutachtungs- oder Prüfkriterien und die sich daraus ergebenden Anforderungen, welche die zu zertifizierenden Stellen oder Produkte zu erfüllen haben (Begutachtungs- bzw. Prüfungsraster); und
b.
der Ablauf des Verfahrens, insbesondere das Vorgehen bei festgestellten Unregelmässigkeiten.

4 Die Mindestanforderungen an das Kontrollprogramm richten sich nach den gemäss Anhang 2 der Akkreditierungs- und Bezeichnungsverordnung vom 17. Juni 1996 anwendbaren Normen und Grundsätzen sowie nach den Artikeln 4–6.

5 Die Mindestanforderungen an die Qualifikation des Personals, welches Zertifizierungen durchführt, richten sich nach dem Anhang.

2 SR 946.512

 

This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.
Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.