Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

2.2. Dataansvarliges ansvar

Dataansvarlig er den som alene eller sammen med andre virksomheter bestemmer formålet med behandlingen av helse- og personopplysninger og hvilke midler som skal benyttes.

I personvernforordningen benyttes begrepet behandlingsansvarlig, som er det samme som dataansvarlig i helsesektoren.

Dataansvarlig skal

  • delegere myndighet og oppgaver (jf. kap. 2.1. Roller og ansvar for informasjonssikkerhet og personvern)
  • etablere og etterleve styringssystemet (jf. kap. 2.4. Styringssystem)
  • gjennomføre risikovurderinger og personvernkonsekvensvurderinger der det er nødvendig (jf. kap. 3. Risikostyring )
  • sikre den registrertes rettigheter (jf. kap. 4. Grunnleggende om behandling av helse- og personopplysninger)
  • etablere og dokumentere tekniske og organisatoriske tiltak (jf. kap. 5 Informasjonssikkerhet)
  • inngå og følge opp avtaler (jf. kap. 5.7. Leverandørforhold og avtaler)
  • håndtere avvik (jf. kap. 5.8. Håndtering av informasjonssikkerhetsbrudd)

Dataansvarlig er ansvarlig for å opptre i henhold til personvernprinsippene. Dette innebærer at helse- og personopplysninger skal

  • behandles på en lovlig måte (gyldig behandlingsgrunnlag)
  • behandles på en rettferdig måte (med respekt for de registrertes interesser og rettigheter)
  • behandles på en åpen måte (oversiktlig, forutsigbar og forståelig informasjon) med hensyn til den registrerte (pasienten/brukeren)
  • bare registreres for bestemte formål som skal være legitime (som dokumentasjon av helsehjelp)
  • være tilgjengelige for helsepersonell når dette er nødvendig for å kunne gi forsvarlig helsehjelp
  • bare benyttes til de formål de er registrert for, med mindre det finnes behandlingsgrunnlag for andre formål
  • være relevante, adekvate, korrekte og om nødvendig oppdaterte for de formål de er registrert for
  • lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene
  • sikres mot uautorisert tilgang, endring, ødeleggelse og spredning

Dataansvarlig skal dokumentere at virksomheten har gjennomført tiltak for å etterleve personvernforordningen.

Normen

Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 22. november 2022