2.2. Dataansvarliges ansvar

Dataansvarlig er den som alene eller sammen med andre virksomheter bestemmer formålet med behandlingen av helse- og personopplysninger og hvilke midler som skal benyttes.

I personvernforordningen benyttes begrepet behandlingsansvarlig, som er det samme som dataansvarlig i helsesektoren.

Dataansvarlig skal:

  • delegere myndighet og oppgaver (jf. kap. 2.1)
  • etablere, vedlikeholde og etterleve styringssystemet (jf. kap. 2.4)
  • gjennomføre risikovurderinger og utarbeide en plan for håndtering av risiko (jf. kap. 3)
  • gjennomføre personvernkonsekvensvurderinger (DPIA) for behandlinger der det er nødvendig (jf. kap. 3)
  • sikre den registrertes rettigheter (jf. kap. 4)
  • etablere, dokumentere og iverksette organisatoriske, tekniske, fysiske og personellmessige sikkerhetstiltak (jf. kap. 5)
  • inngå og følge opp avtaler (jf. kap. 5.7)
  • rapportere og håndtere avvik (jf. kap. 5.8)
  • iverksette tiltak for fysisk sikkerhet (jf. kap. 5.2)
  • sørge for at sikkerhetstiltak er gjort kjent for personell og leverandører (jf. kap. 5.1.2)
  • sikre tilstrekkelig kompetanse innenfor informasjonssikkerhet og personvern, og nødvendig opplæring ved behov (jf. kap. 5.1.2)
  • etablere og dokumentere beredskapsplaner og gjennomføre øvelser (jf. kap. 5.9)

Dataansvarlig er ansvarlig for å opptre i henhold til personvernprinsippene. Dette innebærer at helse- og personopplysninger skal:

  • behandles på en lovlig måte (gyldig behandlingsgrunnlag)
  • behandles på en rettferdig måte (med respekt for de registrertes interesser og rettigheter)
  • behandles på en åpen måte (oversiktlig, forutsigbar og forståelig informasjon) med hensyn til den registrerte (pasienten/brukeren)
  • bare registreres for bestemte formål som skal være legitime (som dokumentasjon av helsehjelp)
  • være tilgjengelige for helsepersonell når dette er nødvendig for å kunne gi forsvarlig helsehjelp
  • bare benyttes til de formål de er registrert for, med mindre det finnes behandlingsgrunnlag for andre formål
  • være relevante, adekvate, korrekte og om nødvendig oppdaterte for de formål de er registrert for
  • lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene
  • sikres mot uautorisert tilgang, endring, ødeleggelse og spredning

Dataansvarlig skal dokumentere at virksomheten har gjennomført nødvendige tiltak for å etterleve personvernforordningen.

Normen

Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 25. september 2025