2.1. Roller og ansvar

Virksomhetene i helse- og omsorgssektoren er dataansvarlig for all behandling av helse- og personopplysning som skjer i eller på vegne av virksomheten.

Dataansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. Ansvaret skal ivaretas av den daglige ledelsen av virksomheten.

Dataansvarlig er ansvarlig for informasjonssikkerheten i virksomheten og skal påse at nødvendige tiltak er iverksatt for å ivareta denne.

Dataansvarlig skal videre påse at behandlingen av helse- og personopplysninger og informasjonssikkerheten organiseres slik at det er tydelig hvem som har ansvar for de ulike deler av behandlingen. Ansvar og organisering skal dokumenteres før behandling av helse- og personopplysninger begynner. Dette inkluderer all behandling, også opplysninger om f.eks. pasienters pårørende og ansatte.

Ansvaret for informasjonssikkerhet innebærer både et overordnet ansvar for at virksomheten har tilfredsstillende og dekkende informasjonssikkerhet iht. Normen, og et ansvar for at ledere på alle nivåer, ansatte/medarbeidere, innleid personell og leverandører følger de spesifikke krav og plikter som gjelder i virksomheten.

Det er virksomhetens øverste ledelse som har ansvaret for styringssystemet for informasjonssikkerhet og personvern, herunder etablering, implementering og forvaltning av styringssystemet Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten (lovdata.no)

Dette ansvaret omfatter blant annet å sikre at det gis tilstrekkelige økonomiske rammer og ressurser for gjennomføring av nødvendige aktiviteter.

Videre har virksomhetens øverste ledelse et ansvar for å sikre at kravene til informasjonssikkerhet og personvern etterleves på alle nivåer i virksomheten, samt sørge for at styringssystemet kommuniseres og tilgjengeliggjøres for samtlige ansatte i virksomheten Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten (lovdata.no)

Risikostyringsprosessen er en sentral del av internkontrollen, og roller og ansvar tilknyttet de ulike delprosessene som denne består av er beskrevet i nærmere detaljer i Veileder om risikostyring i helse- og omsorgssektoren. Virksomhetens øverste ledelse har også ansvar for hensiktsmessig risikostyring i virksomheten.

Databehandler har et selvstendig ansvar for at Normen følges slik det er regulert i avtale med virksomheten eller Norsk Helsenett SF. Databehandler har som alle andre virksomheter i helse- og omsorgssektoren plikt til å dokumentere sitt eget ansvar og sin egen organisering av arbeidet med informasjonssikkerhet og personvern.

Tabellen som følger viser eksempler på roller og ansvar innen internkontroll for informasjonssikkerhet og personvern. Den er ikke uttømmende, og enhver virksomhet kan ha andre roller som også er sentrale avhengig av intern organisering og type virksomhet. Eksempler på hvordan ulike roller, ansvar og oppgaver kan detaljeres ligger i vedlegg 3.1.

Eksempel på roller og ansvar i virksomheten i store virksomheter (f.eks. sykehus, kommuner, mv.)
Virksomhetens leder Ivareta virksomhetens ansvar og oppgaver som dataansvarlig Fastsette mål og strategi for informasjonssikkerhet Fastsette akseptabel risiko Beskrive ansvar og myndighetsforhold Fastsette hvilke behandlinger av helse og personopplysninger som skal utføres i virksomheten og sørge for at slik behandling dokumenteres (iht. artikkel 30) Be om forhåndsdrøfting med Datatilsynet ved behov Følge opp og kontrollere informasjonssikkerheten (inklusive databehandler og andre leverandører) I en virksomhet som har et styre så er virksomhetens leder administrerende direktør. Styret har et ansvar for å følge opp at virksomheten har tilstrekkelige rutiner på særlig viktige strategiske områder.
Leder Følge opp virksomhetsleders ansvar i egen avdeling Følge opp og kontrollere informasjonssikkerheten Prioritere og gjennomføre tiltak
Fagansvarlig informasjonssikkerhet Koordinere arbeidet med informasjonssikkerheten i virksomheten Rådgiver til ledelsen og virksomheten for øvrig på informasjonssikkerhetsområdet
Fagansvarlig IKT Sørge for at informasjonssystemet driftes og sikres iht. fastsatte krav Etablere nødvendig beredskap og sikre at slik beredskap øves Følge opp leverandører og databehandler I IKT-organisasjonen bør det også etableres en rolle som kontaktpunkt mot ekstern IKT-leverandør, dersom dette benyttes.
Fagansvarlig IKT Sørge for at informasjonssystemet driftes og sikres iht. fastsatte krav Etablere nødvendig beredskap og sikre at slik beredskap øves Følge opp leverandører og databehandler I IKT-organisasjonen bør det også etableres en rolle som kontaktpunkt mot ekstern IKT-leverandør, dersom dette benyttes.
Systemeier Sørge for at sitt informasjonssystem oppfyller Normens krav Sørge for at informasjonssystemet fungerer som besluttet Definere tilgangsroller Rapportere til IKT ansvarlig
Risikoeier Definert av virksomheten som ansvarlig for måloppnåelse og tilhørende risiko på et definert område etter forhåndsdefinerte kriterier. For særlig høy risiko vil risikoeier ofte være virksomhetens leder.
Personvernombud Rådgiver til ledelsen på personvernområdet
Personvernombud Rådgiver til ledelsen på personvernområdet
Ansatt/medarbeider Følge virksomhetens sikkerhetsprosedyrer

Eksempel på roller og ansvar i virksomheten i store virksomheter (f.eks. sykehus, kommuner, mv.)

Virksomhetens leder

Ivareta virksomhetens ansvar og oppgaver som dataansvarlig
Fastsette mål og strategi for informasjonssikkerhet
Fastsette akseptabel risiko
Beskrive ansvar og myndighetsforhold
Fastsette hvilke behandlinger av helse og personopplysninger som skal utføres i virksomheten og sørge for at slik behandling dokumenteres (iht. artikkel 30)
Be om forhåndsdrøfting med Datatilsynet ved behov
Følge opp og kontrollere informasjonssikkerheten (inklusive databehandler og andre leverandører)

I en virksomhet som har et styre så er virksomhetens leder administrerende direktør. Styret har et ansvar for å følge opp at virksomheten har tilstrekkelige rutiner på særlig viktige strategiske områder.

Leder

Følge opp virksomhetsleders ansvar i egen avdeling
Følge opp og kontrollere informasjonssikkerheten
Prioritere og gjennomføre tiltak

Fagansvarlig informasjonssikkerhet

Koordinere arbeidet med informasjonssikkerheten i virksomheten
Rådgiver til ledelsen og virksomheten for øvrig på informasjonssikkerhetsområdet

Fagansvarlig IKT

Sørge for at informasjonssystemet driftes og sikres iht. fastsatte krav
Etablere nødvendig beredskap og sikre at slik beredskap øves
Følge opp leverandører og databehandler

I IKT-organisasjonen bør det også etableres en rolle som kontaktpunkt mot ekstern IKT-leverandør, dersom dette benyttes.

Fagansvarlig IKT

Sørge for at informasjonssystemet driftes og sikres iht. fastsatte krav
Etablere nødvendig beredskap og sikre at slik beredskap øves
Følge opp leverandører og databehandler

I IKT-organisasjonen bør det også etableres en rolle som kontaktpunkt mot ekstern IKT-leverandør, dersom dette benyttes.

Systemeier

Sørge for at sitt informasjonssystem oppfyller Normens krav
Sørge for at informasjonssystemet fungerer som besluttet
Definere tilgangsroller
Rapportere til IKT ansvarlig

Risikoeier

Definert av virksomheten som ansvarlig for måloppnåelse og tilhørende risiko på et definert område etter forhåndsdefinerte kriterier. For særlig høy risiko vil risikoeier ofte være virksomhetens leder.

Personvernombud

Rådgiver til ledelsen på personvernområdet

Personvernombud

Rådgiver til ledelsen på personvernområdet

Ansatt/medarbeider

Følge virksomhetens sikkerhetsprosedyrer

Eksempel på roller og ansvar i virksomheten. Små virksomheter (f.eks. legekontor, tannlegekontor, fysioterapeutpraksis, psykologfellesskap, kiropraktor, manuellterapeut, bedriftshelsetjeneste)
Virksomhetens leder Definere mål og strategi for informasjonssikkerhet Fastsette akseptabel risiko Beskrive ansvar og myndighetsforhold (benytt vedlagte eksempel til å definere ansvarsområder) Fastsette hvilke behandlinger av helse og personopplysninger som skal utføres i virksomheten og sørge for at slik behandling dokumenteres (iht. artikkel 30) Melde til og eventuelt be om forhåndsdrøfting med Datatilsynet Vurdere eventuell løsning for fjernaksess opp mot Normens krav og veiledning Følge opp og kontrollere informasjonssikkerheten (inklusive databehandler og andre leverandører) Prioritere tiltak og sørge for kontroll med at tiltak etterleves
Ansatt/medarbeider Følge virksomhetens sikkerhetsprosedyrer

Eksempel på roller og ansvar i virksomheten. Små virksomheter
(f.eks. legekontor, tannlegekontor, fysioterapeutpraksis, psykologfellesskap, kiropraktor, manuellterapeut, bedriftshelsetjeneste)

Virksomhetens leder

Definere mål og strategi for informasjonssikkerhet
Fastsette akseptabel risiko
Beskrive ansvar og myndighetsforhold (benytt vedlagte eksempel til å definere ansvarsområder)
Fastsette hvilke behandlinger av helse og personopplysninger som skal utføres i virksomheten og sørge for at slik behandling dokumenteres (iht. artikkel 30)
Melde til og eventuelt be om forhåndsdrøfting med Datatilsynet
Vurdere eventuell løsning for fjernaksess opp mot Normens krav og veiledning
Følge opp og kontrollere informasjonssikkerheten (inklusive databehandler og andre leverandører)
Prioritere tiltak og sørge for kontroll med at tiltak etterleves

Ansatt/medarbeider

Følge virksomhetens sikkerhetsprosedyrer

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 02. juni 2022