Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

2.1. Ansvar for at rettigheter blir oppfylt

Virksomheten har ansvar for at den registrerte får oppfylt sine rettigheter. Dette innebærer at virksomhetens systemer må utformes i tråd med personvernforordningen artikkel 5 nr. 2 og artikkel 24, slik at det er mulig å ivareta registrertes rettigheter. I tillegg skal virksomheten sørge for rutiner og opplæring av ansatte, slik at forespørsler fra registrerte håndteres riktig.

Virksomheten kan selv bestemme hvem som skal behandle registrertes forespørsler, og hvem som skal sørge for gjennomføringen internt eller hos databehandler.

Alle ansatte hos virksomheten som er i kontakt med registrerte, bør gjøre seg kjent med virksomhetens rutiner for registreres rettigheter. På denne måten kan de ansatte bistå den registrerte hvis registrerte henvender seg direkte til dem.

Virksomhetene må tilrettelegge for at helsepersonellet kan overholde sine plikter. Det er virksomhetenes ansvar å ha systemer og organisere seg i tråd med helsepersonelloven §§ 41 og 43, slik at pasientens rettigheter blir ivaretatt.

I helselovgivningen er det ofte plikter som retter seg direkte mot helsepersonell og den som er ansvarlig for journalen, spesielt når det gjelder pasientens rettigheter i behandlingsrettede helseregistre. Reglene om helsepersonellets plikter fritar imidlertid ikke virksomheten fra sitt overordnede ansvar.

I en del tilfeller vil virksomheten (den dataansvarlige) la en annen aktør (gjerne en systemleverandør) drifte systemet – og dermed behandle personopplysninger – på virksomhetens vegne. Virksomheten må da inngå databehandleravtale med leverandøren, som blir databehandler.

Avtalen skal blant annet pålegge leverandøren å bistå virksomheten i å ivareta den registrertes rettigheter, i tråd med personvernforordningen artikkel 28 nr. 1 bokstav e.

Dette skal sikre at leverandøren bidrar i ivaretakelsen av den registrertes rettigheter. Bistanden kan skje gjennom teknisk funksjonalitet eller annen praktisk bistand.

Databehandleravtalen eller tilhørende instrukser bør, beskrive hvordan leverandøren skal bistå i håndhevingen av en registrerts rettigheter. Virksomheten bør sørge for en tydelig ansvarsfordeling fra starten av, slik at henvendelser fra registrerte følges opp fortløpende.

Virksomheten kan for eksempel spesifisere at leverandøren skal stå for innsamlingen av alle personopplysningene når virksomheten skal gi innsyn.

 


Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 09. desember 2022