Små helsevirksomheter er organisert på ulike måter. Enkelte driver helt selvstendig. Noen går sammen med andre virksomheter og samarbeider om pasientjournalsystemer og andre fagsystemer. Noen virksomheter setter ut mesteparten av drift og vedlikehold til leverandører (databehandler), og noen har servere lokalt. Andre inngår løsninger for tilgang på tvers ved behov.
Uavhengig om det er aksjeselskap eller enkeltpersonforetak er det viktigste å avklare dataansvar, roller, oppgaver og ansvar.
Når én virksomhet bestemmer formålet og hjelpemidlene for behandlingen av helse- og personopplysninger, er virksomheten dataansvarlig.
Det er den dataansvarlige som har det daglige ansvaret for personvernet og informasjonssikkerheten. Oppgavene med å behandle helse- og personopplysningene kan delegeres til egne ansatte i virksomheten, eller leverandører. Leverandøren blir da en databehandler som gjennomfører behandlingene av helse- og personopplysningene på vegne av dataansvarlig.
