1 Im Zertifizierungsprogramm müssen mindestens geregelt sein:
- die Prüfkriterien und die sich daraus ergebenden Anforderungen an die zu zertifizierenden Gegenstände;
- der Ablauf des Verfahrens, insbesondere das Vorgehen, wenn Unregelmässigkeiten festgestellt werden.
2 Bei der Festlegung des Zertifizierungsprogramms muss Folgendes berücksichtigt werden:
- die zu bearbeitenden Personendaten;
- die für die Bearbeitung der Personendaten verwendete elektronische Infrastruktur;
- die organisatorischen Massnahmen im Zusammenhang mit der Bearbeitung von Personendaten.
3 Die Prüfkriterien müssen mit allen Grundsätzen nach Artikel 6 DSG übereinstimmen.
4 Das Zertifizierungsprogramm muss den gemäss Anhang 2 AkkBV anwendbaren Normen sowie weiteren anwendbaren technischen Normen entsprechen.