83 lines
2.8 KiB
Markdown
83 lines
2.8 KiB
Markdown
# Helseregisterloven § 13 - Dataansvarliges plikter
|
|
|
|
## Om bestemmelsen
|
|
|
|
Paragrafen fastsetter FHIs plikter som **dataansvarlig** for de sentrale helseregistrene.
|
|
|
|
## Implikasjoner for FHI
|
|
|
|
### Overordnede plikter
|
|
|
|
Som dataansvarlig har FHI følgende plikter:
|
|
|
|
1. **Sikre lovlig behandling:** All behandling må ha hjemmel i lov eller forskrift
|
|
2. **Ivareta registrertes rettigheter:** Respektere innsynsrett, retting og sletting
|
|
3. **Informasjonssikkerhet:** Beskytte opplysningene mot uautorisert tilgang
|
|
4. **Internkontroll:** Ha systemer for å sikre etterlevelse av reglene
|
|
|
|
### Konkrete forpliktelser
|
|
|
|
#### 1. Informasjonssikkerhet
|
|
|
|
FHI skal:
|
|
- Implementere **tekniske sikkerhetstiltak:** Kryptering, tilgangskontroll, logging
|
|
- Implementere **organisatoriske tiltak:** Retningslinjer, opplæring, rollefordeling
|
|
- Gjennomføre **risikovurderinger:** Identifisere og håndtere risiko
|
|
- Rapportere **databrudd:** Varsle Datatilsynet ved sikkerhetsbrudd
|
|
|
|
#### 2. Internkontroll
|
|
|
|
FHI må ha:
|
|
- **Dokumenterte rutiner:** Skriftlige prosedyrer for databehandling
|
|
- **Internrevisjon:** Jevnlig gjennomgang av sikkerheten
|
|
- **Avviksrapportering:** System for å melde og håndtere avvik
|
|
- **Kontinuerlig forbedring:** Oppdatere tiltak basert på erfaring
|
|
|
|
#### 3. Taushetsplikt
|
|
|
|
Alle som behandler opplysninger i FHI har **lovpålagt taushetsplikt**:
|
|
- Gjelder for ansatte, konsulenter og samarbeidspartnere
|
|
- Gjelder også etter arbeidsforholdets opphør
|
|
- Brudd kan straffes med bot eller fengsel
|
|
|
|
#### 4. Behandlingsansvar
|
|
|
|
FHI er ansvarlig for:
|
|
- **Databehandlere:** Tredjeparter som behandler data på FHIs vegne
|
|
- **Utlevering:** Sikre at utlevering av data skjer etter lovlige prosedyrer
|
|
- **Samkjøring:** Sikre at kobling av registre har hjemmel
|
|
|
|
### Sanksjoner ved brudd
|
|
|
|
Ved brudd på plikter kan:
|
|
- **Datatilsynet** gi pålegg eller pålegge tvangsmulkt
|
|
- **Straff:** Grovt brudd kan straffes
|
|
- **Erstatning:** FHI kan bli erstatningsansvarlig
|
|
|
|
### Praktisk operasjonalisering
|
|
|
|
FHI har etablert:
|
|
- **Personvernombud:** Uavhengig rådgiver for personvern
|
|
- **IT-sikkerhetsteam:** Ansvarlig for teknisk sikkerhet
|
|
- **Kvalitetssikringssystem:** Rutiner for datakvalitet
|
|
- **Brukeradministrasjon:** Streng kontroll på hvem som har tilgang til hva
|
|
|
|
### Rapportering
|
|
|
|
FHI må:
|
|
- **Rapportere til Datatilsynet:** Årlig eller ved endringer
|
|
- **Dokumentere behandling:** Føre protokoll over behandlingsaktiviteter
|
|
- **Varsle ved brudd:** Umiddelbar varsling ved databrudd
|
|
|
|
## Relasjon til andre bestemmelser
|
|
|
|
- **§ 8:** FHI er dataansvarlig basert på denne hjemmelen
|
|
- **GDPR:** EU-lovgivning stiller tilsvarende krav
|
|
- **Forvaltningsloven:** Generelle krav til offentlig forvaltning
|
|
- **Straffeloven:** Straff for brudd på taushetsplikt
|
|
|
|
---
|
|
|
|
**Hjemmel:** Helseregisterloven § 13
|
|
**Lovdata:** [NL/lov/2014-06-20-43](https://lovdata.no/dokument/NL/lov/2014-06-20-43)
|