Alle virksomheter som behandler helse- og personopplysninger skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Den samme plikten gjelder virksomhetenes databehandlere. Denne behandlingsoversikten vil også være nyttig som en del av virksomhetens internkontrollplikt og dokumentasjon av denne.
2. Protokoll over behandlinger av helse- og personopplysninger i virksomheten
2.1. Utforme en protokoll over behandlingsaktiviteter som utføres
2.2. Beskriv ytterligere detaljert informasjon for den aktuelle behandlingen av helse- og personopplysninger for dataansvarlig
2.3. Beskriv ytterligere detaljert informasjon for den aktuelle behandlingen av helse- og personopplysninger for databehandler
2.4. Kontinuerlig forvaltning av helse- og personopplysningene som behandles
Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.