Dataansvar

I personopplysningsloven og personvernforordningen brukes betegnelsen behandlingsansvarlig. På helseområdet er det vedtatt å bruke begrepet dataansvarlig for å unngå forveksling med behandlingsansvarlig for helsehjelp.

Dataansvarlig er den som alene eller sammen med andre bestemmer formålet med behandlingen og hvilke virkemidler som skal benyttes, jf. personvernforordningen artikkel 4 nr. 7.

For samtykkebaserte kvalitetsregistre er det ingen begrensning for hvilke virksomheter innen spesialist- eller primærhelsetjenesten som kan være dataansvarlig. For kvalitetsregistre som ikke er samtykkebasert men med reservasjonsrett, er dataansvaret forbeholdt offentlige aktører eller virksomheter med avtale med det offentlige. Dvs. et regionalt helseforetak, helseforetak, kommune, fylkeskommune eller privat ideell virksomhet med driftsavtale med et regionalt helseforetak. Se forskrift om medisinske kvalitetsregistre § 3-2.

De registrerte må få tydelig informasjon om hvem som er dataansvarlig for registeret.

Du finner mer om dataansvarlig i høringsnotatet til forskrift om medisinske kvalitetsregistre i punkt 14.3.

En databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige, jf. personvernforordningen artikkel 4 nr. 8.

Den dataansvarlige for registeret kan delegere gjennomføring og databehandling til en annen virksomhet (databehandler) gjennom databehandleravtale. For eksempel med Norsk Helsenett for drift av registeret, med leverandørene av systemløsninger eller annet helseforetak for datahåndtering i registeret, eller med SKDE for statistisk bistand til sammenstilling og analyser i Rapporteket og årsrapporter.

Databehandler har ikke et selvstendig formål og behandlingsgrunnlag for sin behandling av opplysningene, men avleder sin rett fra dataansvarlig gjennom den databehandleravtalen som inngås.

Det er krav til en bindende avtale for databehandler med hensyn til den behandlingen som skal gjøres på vegne av den dataansvarlige, jf. personvernforordningen artikkel 28. Bestemmelsen stiller også krav til innholdet i en slik avtale.

Når flere dataansvarlige har et felles formål med behandlingen, er det ikke nødvendig med en databehandleravtale, selv om kun én av de dataansvarlige er ansvarlig for behandlingen i løsningen.

Databehandleravtale kreves ikke ved utlevering eller annen tilgjengeliggjøring av opplysninger til ekstern mottaker som har et eget behandlingsgrunnlag.

Du finner mer om krav til databehandleravtaler hos Datatilsynet.