Dataansvarlig er den som bestemmer formålet med behandling av helse- og personopplysninger og hvilke hjelpemidler som skal brukes. Ved bruk av MU vil dataansvarlig være virksomheten som bruker utstyret ved pasientbehandlingen. Det kan være helseforetak, fastlege, kommune eller privat tjenesteyter som har valgt å ta i bruk MU som ledd i pasientbehandlingen. Dersom dataansvarlig er en juridisk person (en virksomhet) er den juridiske personen behandlingsansvarlig, og ikke enkeltpersoner internt i virksomheten. Virksomhetens ledelse skal sørge for å etablere roller og funksjoner med tilstrekkelige ressurser og kompetanse til å gjennomføre nødvendige oppgaver for å ivareta ansvaret. Oppgavene kan utføres av egne ansatte eller av eksterne, men ansvaret kan aldri delegeres.
Noen av pliktene som påligger dataansvarlig:
- Dataansvarlig har plikt til å sørge for tilfredsstillende informasjonssikkerhet og personvern, dette omfatter også bruk av medisinsk utstyr. Dette innebærer bl.a. å sørge for å etablere og etterleve styringssystemet.
- Gjennomføre risikovurderinger og personvernkonsekvensvurderinger der det er nødvendig.
- Sikre den registrertes rettigheter.
- Etablere og dokumentere tekniske og organisatoriske tiltak.
- Inngå og følge opp avtaler.
- Håndtere avvik.
