Prinsippet om lovlighet, rettferdighet og åpenhet har flere sider. For det første krever prinsippet at behandlingen av personopplysninger må være lovlig. At behandlingen må være lovlig innebærer først og fremst at behandlingen av personopplysninger må baseres på minst ett av de rettslige grunnlagene som personvernforordningen lister opp, også kalt behandlingsgrunnlag. Gjelder behandlingen særlige kategorier av personopplysninger, som for eksempel helseopplysninger, så må den også oppfylle noen tilleggskrav. Kravene til lovlighet og hvilke vurderinger virksomheten må gjøre, er beskrevet overordnet i Normen og mer detaljert i Formål og behandlingsgrunnlag (faktaark 56).
Videre må behandlingen være rettferdig og åpen. At behandlingen skal være rettferdig innebærer at sammenhengen mellom behandlingen og formålet som er fastsatt skal være forståelig for den registrerte. Åpenhet innebærer at behandlingen skal være forutsigbar for den registrerte og ikke foregå på en måte som er skjult. I praksis ivaretas åpenhet gjennom personvernforordningen Artikkel 12., jf. Artikkel 13. og 14., som pålegger virksomheten å gi den registrerte informasjon om hvordan personopplysninger behandles. Slik informasjon gis ofte i personvernerklæringer eller informasjonsskriv. Informasjonsplikten (den registrertes rett til informasjon) er beskrevet i Veileder for rettigheter ved behandling av helse- og personopplysninger kapittel 3 "Retten til informasjon om behandling av personopplysninger".
Prinsippet om åpenhet kommer blant annet til uttrykk i helseforskningsloven § 39, hvor det fremgår at den forskningsansvarlige og prosjektlederen må sikre åpenhet rundt forskningen. Det samme gjelder i helseregisterloven §§ 23 og 24, som regulerer dataansvarlig sin plikt til å gi allmennheten og registrerte informasjon om behandling av personopplysninger i helseregister.
Eksempel 1 - åpenhet
Normviksenteret tilbyr behandling for rusavhengighet på vegne av spesialisthelsetjenesten. I forbindelse med behandlingen samler klinikken inn en rekke opplysninger om pasientenes helse, familiære og sosiale forhold. For å ivareta prinsippet om åpenhet, så oppgir klinikken i skjemaet for registrering av nye pasienter, at informasjon om klinikkens behandling av personopplysninger finnes på klinikkens nettside. På nettsiden har klinikken en lett tilgjengelig personvernerklæring, som beskriver hvorfor og hvordan klinikken behandler pasienters personopplysninger, i samsvar med kravene i personvernforordningen Artikkel 12., jf. Artikkel 13. og 14.
Eksempel 2 - lovlighet
NN er innlagt på Normland sykehus for å få gjennomført en operasjon. Etter operasjonen mottar NN fysioterapi. Fysioterapeuten spør NN om hun kan filme behandlingen slik at opptaket kan brukes til opplæring internt. NN sier ja, og skriver under på en samtykkeerklæring, der det står at formålet med behandlingen av personopplysninger er opplæring internt på sykehuset. Et halvt år senere ønsker en av medarbeiderne å bruke filmen til opplæring av studenter som er i praksis på sykehuset. Hvis det er mulig, så ønsker han også å bruke filmen i kveldsundervisningen han holder på en høyskole. Sykehuset har brukt NN sitt samtykke som behandlingsgrunnlag for oppbevaring og fremvisning av filmen under opplæring av ansatte på sykehuset.
Sykehuset gjør en vurdering, og kommer frem til at NN ikke har samtykket til at videoen kan brukes til opplæring utenfor sykehuset, og sykehuset har derfor ikke behandlingsgrunnlag for dette. Sykehuset er imidlertid i tvil om NN sitt samtykke dekker opplæring av studentene som er i praksis på sykehuset. Sykehuset velger derfor å ta kontakt med NN for å innhente et nytt samtykke til både bruk i opplæring av studenter i praksis på sykehuset og undervisningen på høyskolen.
Eksempel 3 - åpenhet og rettferdighet
Normklinikken gjennomfører et forskningsprosjekt der det ses nærmere på sammenhengen mellom personers kostholdsvaner og alder og kjønn. Deltakerne har blant annet fått informasjon om hvordan deres personopplysninger vil bli behandlet, og at formålet er å påvise sammenheng mellom kostholdsvaner og alder og kjønn. Forskningslederen oppdager etter hvert at det kan være interessant å se nærmere på om etnisk opprinnelse kan få betydning for kostholdsvanene. Han går derfor gjennom alle intervjuer som er gjennomført, og henter ut informasjon om etnisitet der dette finnes. Han legger dette til i analysen, men gjør ingenting overfor deltakerne.
Dette kan være i strid med prinsippet om rettferdig behandling av personopplysninger, fordi behandlingen av opplysninger om deltakernes etnisitet har vært skjult for deltakerne. Som følge av informasjonen deltakerne har fått, må bruken også regnes som utenfor det deltakerne kunne forvente, og behandlingen av personopplysninger har derfor heller ikke vært forutsigbar for deltakerne. I tillegg utgjør den mangelfulle informasjonen om forskningsprosjektets behandling av personopplysninger et brudd på prinsippet om åpenhet. Legg også merke til at behandling av personopplysninger utover det opprinnelige formålet kan utgjøre et brudd på prinsippet om formålsbegrensning. Dette prinsippet er nærmere beskrevet i kapittel "Prinsippet om formålsbegrensning".
