Databehandlingsansvarlig

Databehandlingsansvarlig

Databehandlingsansvar

Enhver behandling av personopplysninger skal ha en databehandlingsansvarlig. Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen av opplysningene og hvilke hjelpemidler som skal brukes, og den som i eller i medhold av lov er pålagt databehandlingsansvar, jf. helseregisterloven § 2 bokstav e. Begrepet knyttes til den personen eller virksomheten som har bestemmelsesrett over opplysningene og den elektroniske behandlingen av disse.

Vanligvis er det den databehandlingsansvarlige som selv bestemmer om en databehandling skal foretas, formålet med behandlingen osv. For enkelte registre vil imidlertid Stortinget eller regjeringen bestemme i lov eller forskrift at et register skal etableres og fastsette hvem som skal være databehandlingsansvarlig. For eksempel forskriftene for lovbestemte helseregistre etter helseregisterloven § 11, og helseregisterloven § 8 bokstav e hvor det framgår at databehandlingsansvaret skal fremgå av forskrift.

Helseregisterloven § 6 stiller krav om at formålet skal være uttrykkelig angitt. Det vil si at den databehandlingsansvarlige må angi formålet slik at det fremstår som klart hva behandlingen skal tjene til. Graden av presisjon knyttet til formålsangivelsen vil blant annet ha stor betydning når man skal vurdere om det er avgitt gyldig samtykke fra den personen som opplysningene gjelder.

Databehandlingsansvaret omfatter ansvar for personvernet ved behandlingen av helseopplysninger. Helseregisterloven og personopplysningsloven pålegger plikter for den databehandlingsansvarlige og gir registrerte personer rettigheter overfor den databehandlingsansvarlige.

Sentrale plikter er å:

  • Sørge for at all behandling av helseopplysninger har et behandlingsgrunnlag
  • Sørge for tilfredsstillende informasjonssikkerhet og internkontroll
  • Sørge for tilgangsstyring, logging og etterfølgende kontroll
  • Gi den registrerte informasjon og innsyn
  • Sørge for rutiner for sletting og sperring

En behandling av helseopplysninger kan ha flere databehandlingsansvarlige. Delt databehandlingsansvar vil særlig være aktuelt dere flere virksomheter samarbeider om et behandlingsrettet helseregister (pasientjournal) etter pasientjournalloven § 9, men kan også være aktuelt for helseregister hjemlet i helseregisterloven. Ved delt databehandlingsansvar har alle ansvarlige en selvstendig plikt til å oppfylle lovens krav. For nasjonale medisinske kvalitetsregistre har helse- og omsorgsdepartementet uttalt at databehandlingsansvarlig skal være et helseforetak (HF), dersom ikke annet er nedfelt i lov eller forskrift.

 

Databehandlingsansvarliges plikter

Sentrale plikter for databehandlingsansvarlig etter helseregisterloven:

  • Sørge for at helseopplysningene som behandles er relevante og nødvendige for formålet (§ 6)
  • Sørge for tilfredsstillende informasjonssikkerhet, herunder bl.a. å sørge for tilgangsstyring, logging og etterfølgende kontroll (§ 21)
  • Sørge for tilfredsstillende internkontroll, herunder dokumentere tiltak som er nødvendige for å oppfylle kravene i loven. Dokumentasjonen skal være tilgjengelig for medarbeidere hos databehandlingsansvarlig, hos eventuell databehandler og for tilsynsmyndighetene (§ 22)
  • Sørge for informasjon til allmennheten om behandlingen av helseopplysninger (§ 23)
  • Sørge for den registrertes rett til informasjon og innsyn (§ 24)