Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

3.7. Prinsippet om ansvarlighet

I tillegg til prinsippene som er nevnt over inneholder forordningen et prinsipp om ansvarlighet. Prinsippet understreker at virksomheter har et ansvar for å sørge for at de behandler personopplysninger i henhold til regelverket. Prinsippet innebærer i praksis at virksomheten må kunne dokumentere sin egen etterlevelse av regelverket og at personvernet ivaretas til enhver tid.

Virksomheten må sørge for å ha oversikt over hvordan personopplysninger behandles og rutiner for behandling av personopplysninger. I tillegg må virksomheten ha kontrolltiltak som skal sikre at rutiner og ansvar etterleves. Et internkontroll-/styringssystem for personvern kan være en måte å etterleve prinsippet om ansvarlighet på.

Eksempel 15 - ansvarlighet

Normsund sykehus arbeider mye med forskning. I flere av forskningsstudiene bruker sykehuset samtykke som behandlingsgrunnlag for behandlingen av personopplysninger som forskningen innebærer. For å sikre at sykehuset alltid oppfyller kravene til bruk av samtykke som behandlingsgrunnlag, og for å dokumentere dette, så utarbeides det en sjekkliste for disse kravene. Sjekklisten inneholder hjelpetekster, og når den er ferdig utfylt skal den sendes til personvernombudet og oppbevares sammen med øvrig dokumentasjon for prosjektet. Sykehuset pålegger alle forskningsrådgiverne å bruke sjekklisten når det utarbeides samtykkeerklæringer for behandling av personopplysninger i forskning. Personvernombudet tar periodiske stikkprøver på forskningsprosjektene, og kontrollerer at sjekklisten er utfylt og at samtykkeerklæringen oppfyller kravene i personvernforordningen. I tillegg er det beskrevet en prosess for at sykehuset skal evaluere tiltakenes hensiktsmessighet og effekt ved alvorlige hendelser og minst en gang i året.

Eksempel 16 - ansvarlighet

Internrevisjonen i Normvik kommune utfører en revisjon knyttet til personvern i helseetaten. Internrevisjonen ber etaten om å legge frem dokumentasjon på hvordan etaten oppfyller kravene til risikovurderinger i personvernforordningen Artikkel 32. Helseetaten legger frem dokumentasjon som viser noen halvferdige ROS-analyser som ble utarbeidet for tre år siden. Andre revisjonsbevis viser at ROS-analysene ble ferdigstilt og fulgt opp. Etaten forteller at kommunaldirektøren aksepterte restrisikoen i analysene, men dette ble ikke dokumentert. Dokumentasjonen fra ROS-analysene har ikke blitt oppdatert etter det. Internrevisjonen konkluderer med at kommunen oppfyller kravet til å utføre risikovurderinger etter personvernforordningen Artikkel 32. Internrevisjonen konkluderer med at etaten imidlertid har brutt prinsippet om ansvarlighet, ettersom ROS-analysene ikke fullt ut er dokumenterte, og kommunaldirektørens aksept av restrisikoen ikke er dokumentert. 


Normen

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 11. juni 2021