Le personnel qui certifie les systèmes de gestion, pris dans son ensemble, possède les qualifications suivantes:
- connaissances dans le domaine du droit de la protection des données: activité pratique d’au moins deux ans dans le domaine de la protection des données ou diplôme d’une haute école ou d’une haute école spécialisée sanctionnant des études d’une année au moins, avec comme matière principale le droit de la protection des données;
- connaissances dans le domaine de la sécurité de l’information: activité pratique d’au moins deux ans dans le domaine de la sécurité de l’information ou diplôme d’une haute école ou d’une haute école spécialisée sanctionnant des études d’une année au moins, avec comme matière principale la sécurité de l’information;
- connaissances des développements en matière de droit de la protection des données et dans le domaine de la sécurité de l’information;
- formation d’auditeur de système de gestion satisfaisant aux critères internationaux pertinents, tels qu’ils figurent notamment dans les normes suivantes:
- SN EN ISO/IEC 17021-1, évaluation de la conformité, exigences pour les organismes procédant à l’audit des systèmes de management, partie 1: exigences,
- SN EN ISO/IEC 17021-3, évaluation de la conformité, exigences pour les organismes procédant à l’audit et à la certification des systèmes de management, partie 3: exigences de compétence pour l’audit et la certification des systèmes de management de la qualité, et
- SN EN ISO/IEC 27006, technologies de l’information, techniques de sécurité, exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information.
L’organisme de certification doit disposer d’un personnel qualifié pour chacun des domaines qu’il couvre. L’évaluation des systèmes de gestion par une équipe interdisciplinaire est autorisée.