Etter innføringen av personvernforordningen (GDPR) har også databehandler et nytt og selvstendig ansvar for å overholde regelverket. Dette er en endring fra det tidligere personverndirektivet, der den behandlingsansvarlige/ dataansvarlig var alene juridisk ansvarlige for å overholde kravene. Det gir dermed leverandører et utvidet ansvar for å ha og dokumentere oversikt.
Personvernforordningens regler viser at det er viktig å se på ansvaret for dataene i hele verdikjeden, fra kunden til tjenesteleverandøren og til involverte underleverandører. Dette gjøres blant annet gjennom plikten til å føre en oversikt over all behandling av personopplysninger, en protokoll over behandlingsaktiviteter, se personvernforordningen art. 30. Protokoller over behandlingsaktiviteter (www.lovdata.no)
Behandlingsprotokollen er viktig for å ha og vise at man har oversikt over hva virksomheten behandler, hvilket formål de behandles for og hvem som behandler og har fått utlevert dataene. Den er også et viktig verktøy for å sikre de registrertes rettigheter.
Kunden skal føre protokoll over behandlinger av helse- og personopplysninger. Leverandør skal føre en protokoll over alle kategorier av behandlingsaktiviteter som utføres på vegne av kunden. Behandlingsansvarlig og databehandler har også plikt til å føre oversikt over IKT-systemer, infrastruktur, digitale tjenester og annen informasjon med betydning for informasjonssikkerheten, klassifisere systemene og kartlagt konsekvenser ved bortfall. For å kunne oppfylle sine forpliktelser og bistå oppdragsgiver med oppdrag som innsyn, sletting og retting er en avhengig av en komplet oversikt over IKT-systemene.
Les mer om protokoll i Normens faktaark for protokoll over behandlinger av helse- og personopplysninger i virksomheten (faktaark 13)
