3.2. Eksempler på rutiner

Roller og ansvar

• Definere hvem som er dataansavarlig og eventuell databehandler
• Hvem har eierskap til løsningen i virksomheten?
• Hvem har det daglige ansvaret?

Gjennomføre risikovurdering

Se kapittel om risikovurdering under kapittel 2.2 i denne veilederen og Veileder for rettigheter ved behandling av helse- og personopplysninger.

Se eksempler på risikoscenarier i kapittel 4 i denne veilederen

Innebygget personvern i løsningen

Løsningen må legge til rette for ivaretakelse av de registrertes rettigheter

Stille krav om innebygget personvern og personvern som standardinnstilling

Be leverandør gjøre rede for hvordan dette skal gjøres i løsningen

Gjennomføre DPIA

Se avsnitt om Personvernkonsekvensvurdering av løsninger for digital pasientkommunikasjon under kapittel 2.2 i denne veilederen

Hvis mulig, ha med representant for bruker av løsningen i gjennomføringen

Etablere brukerrutiner

Se kapittel 2.7.System og rutiner

Etabler databehandleravtale

Benyttes det en tjeneste som leveres av en ekstern driftsleverandør skal det opprettes databehandleravtale mellom virksomheten og databehandler. Dette gjelder alle tjenester hvor det behandles helse- og personopplysninger.

Se avtaleeksempel iBruk av databehandler (faktaark 10)

Se også Vedlegg til Normen "Oversikt over Normens krav" med bl.a. følgende krav databehandler skal ivareta:

• At løsningen oppfyller lovbestemte krav og kravene i Normen
• Taushetsplikt for egne medarbeidere
• Internkontroll, sikkerhetsrevisjoner og avviksbehandling
• Ved terminering skal det foreligge en signert erklæring fra leverandøren om at alle data tilhørende virksomheten er tilbakelevert eller slettet til avtalt tid

Etabler internkontrolltiltak

Se kapittel "2.7.Styringssystem og rutiner" for eksempler på rutiner.

apittel 3.2.for "eksempler på rutiner" og prosesser ved bruk av sosiale medier.