Kommunens øverste ledelse har ansvaret for å sørge for at kommunen følger gjeldende krav til informasjonssikkerhet og personvern ved ytelse av helse- og omsorgstjenester.
Ledelsen kan delegere myndigheter og oppgaver nedover i organisasjonen. Dette må dokumenteres i kommunens styringssystem/ internkontrollsystem og være synlig og tilgjengelig for alle. F.eks. må ansvaret for å gjennomføre og følge opp risikovurderinger tydelig plasseres for å sikre at risikovurderinger gjennomføres og at de ikke gjøres flere steder.
Kommunen er dataansvarlig for velferdsteknologiske løsninger. Dataansvarlig er den som alene eller sammen med andre virksomheter bestemmer formålet med behandlingen av helse- og personopplysninger og hvilke midler som skal benyttes. I personvernforordningen benyttes begrepet behandlingsansvarlig, som er det samme som dataansvarlig i helsesektoren.
Kommunens ledelse skal sørge for at
- det føres oversikt over behandlinger av helse- og personopplysninger
- det finnes rutiner for å oppfylle de registrertes rettigheter
- medarbeidere gis opplæring og har tilstrekkelig kompetanse
- kommunen har et styringssystem for informasjonssikkerhet(ISMS)
- avvik behandles og håndteres
- kommunen ivaretar sitt behandlingsansvar for ytelse av helsehjelp
- gjennomføre ROS-vurderinger og personvernkonsekvensvurdering
- etablere og dokumentere tekniske og organisatoriske tiltak
- inngå og følge opp avtaler
Kommunen skal sørge for at de har tilgjengelig tilstrekkelige ressurser og kompetanse til å innføre og følge opp velferdsteknologi. Dette betyr at det må være tilgjengelig kompetanse innen både juridisk, sikkerhet, personvern, helse, IT, drift mv.
Innføring av velferdsteknologi kan være organisert som prosjekt. Det daglige ansvaret følges da opp av en prosjektleder. Det må sikres tett kontakt mellom prosjektet og kommunens øvrige roller innen informasjonssikkerhet, personvern og helsefag.
