Det er virksomheten som er databehandlingsansvarlig. Krav til virksomhetens styringssystem, inkludert krav til risikovurdering, omfang og dokumentasjon, fremgår av forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten og forskrift om håndtering av humane celler og vev § 8.
- Databehandlingsansvarlig skal ha skriftlig prosedyre for hvordan opplysninger skal håndteres og hvilke opplysninger som kan kobles. Prosedyren(e) skal særlig ivareta rutiner hvor den som registrerer opplysninger samtidig vil ha tilgang til informasjon om eggdonors eller sæddonors identitet og donorkode.
- Databehandlingsansvarlig skal foreta risikovurdering når det gjelder sikring av taushetsbelagte opplysninger, og har et selvstendig ansvar for at det til enhver tid gjeldende regelverk og gjeldende norm for informasjonssikkerhet i helsesektoren etterleves.
- Tilgang kan bare gis til personell der donasjonsregisteret eller det lokale donorregisteret føres, og som har tjenstlig behov for slik tilgang. Databehandlingsansvarlig skal kunne dokumentere hvem som har tilgang til registrene.
- Oppslag i registrene må loggføres.