Virksomhetene i helse- og omsorgssektoren er dataansvarlig for all behandling av helse- og personopplysning som skjer i eller på vegne av virksomheten. Dataansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. Ansvaret skal ivaretas av den daglige ledelsen av virksomheten.
Det er ledelsen som har ansvaret for risikostyringen, og for å beslutte hvilken risiko virksomheten aksepterer. Dette gjelder uavhengig av hvorvidt risikoen befinner seg på informasjonssikkerhets-, personvern-, pasientsikkerhetsområdet eller andre relevante områder. Virksomhetens organisering må understøtte dette ansvaret, og sørge for gode prosesser som gir beslutningsgrunnlag av tilstrekkelig kvalitet i den helhetlige risikostyringen.
Virksomheter som benytter databehandlere, for eksempel leverandører av systemer for elektronisk pasientjournal, må sørge for at dette blir en integrert del av den overordnede risikostyringen. Databehandler er noen som behandler personopplysninger på vegne av den dataansvarlige.
Det presiseres at en databehandler er en ekstern person eller virksomhet utenfor den dataansvarliges virksomhet.
Den dataansvarlige må sørge for (og avtalefeste gjennom databehandleravtalen) at helse- og personopplysninger behandles i henhold til akseptabel risiko i alle ledd av verdikjeden, også hos eventuelle underleverandører.
Den følgende tabellen beskriver ulike roller i risikostyringen, med tilhørende beskrivelse og eksempler.
Rolle | Beskrivelse |
Virksomhetens leder | Ansvarlig for risikostyringen som helhet. Beslutter hvilken risiko virksomheten aksepterer. |
Risikoeier | Definert av virksomheten som ansvarlig for måloppnåelse og tilhørende risiko på et definert område etter forhåndsdefinerte kriterier. For særlig høy risiko vil risikoeier ofte være virksomhetens leder. |
Systemeier | Sørger for at sitt informasjonssystem tilfredsstiller Normens krav, inkludert med hensyn til risiko. |
Nøkkelpersoner | I denne veilederen beskrives nøkkelpersoner som deltar i risikovurderinger og/eller vurderinger av personvernkonsekvenser som brukere av systemer og opplysninger (blant annet helsepersonell), jurister, informasjonssikkerhetspersonell, IKT-personell fra relevante fagområder (f.eks. server, nettverk), personvernrådgivere, og databehandlere/leverandører. Bidrar med relevant fagkompetanse. |
Personvernombud | Ledelsens rådgiver på personvernområdet. Gir råd i forbindelse med gjennomføring av personvernkonsekvensvurderinger (DPIA). |
Alle medarbeidere | Følge virksomhetens prosedyrer og være bevisst på risiko i egne arbeidsoppgaver. |
Hvordan ulike roller og tilhørende ansvar opptrer i de ulike delprosessene som inngår i risikostyringen beskrives i de ulike kapitlene av denne veilederen.
For å få en bedre forståelse av hvordan roller og ansvar innen risikostyring forholder seg til de øvrige rollene og ansvaret i internkontrollen bør du også lese delkapittel 2.1 om roller og ansvar i Normens Veileder om internkontroll i helse- og omsorgssektoren.
