91 lines
3.6 KiB
Markdown
91 lines
3.6 KiB
Markdown
# Helseregisterloven § 13 - Dataansvarliges plikter
|
|
|
|
## Lovtekst
|
|
|
|
<details>
|
|
<summary>
|
|
Paragrafen fastsetter FHIs plikter som **dataansvarlig** for de sentrale helseregistrene.
|
|
</summary>
|
|
|
|
> "Virksomheter og helsepersonell som tilbyr eller yter tjenester som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven plikter å melde opplysninger som bestemt i forskrifter etter §§ 8 til 12. Innmelding til registre etter §§ 9 bokstav b, 10, 11 og 12 kan skje uten hinder av taushetsplikt.
|
|
>
|
|
> Kongen kan gi forskrifter om innmelding av helseopplysninger til registre som omfattes av §§ 8 til 12, blant annet om hvem som skal gi og motta opplysningene og om frister, formkrav, bruk av meldingsskjemaer og standarder. Den som mottar opplysningene, skal varsle avsenderen dersom opplysningene er mangelfulle."
|
|
</details>
|
|
|
|
## Implikasjoner for FHI
|
|
|
|
### Overordnede plikter
|
|
|
|
Som dataansvarlig har FHI følgende plikter:
|
|
|
|
1. **Sikre lovlig behandling:** All behandling må ha hjemmel i lov eller forskrift
|
|
2. **Ivareta registrertes rettigheter:** Respektere innsynsrett, retting og sletting
|
|
3. **Informasjonssikkerhet:** Beskytte opplysningene mot uautorisert tilgang
|
|
4. **Internkontroll:** Ha systemer for å sikre etterlevelse av reglene
|
|
|
|
### Konkrete forpliktelser
|
|
|
|
#### 1. Informasjonssikkerhet
|
|
|
|
FHI skal:
|
|
- Implementere **tekniske sikkerhetstiltak:** Kryptering, tilgangskontroll, logging
|
|
- Implementere **organisatoriske tiltak:** Retningslinjer, opplæring, rollefordeling
|
|
- Gjennomføre **risikovurderinger:** Identifisere og håndtere risiko
|
|
- Rapportere **databrudd:** Varsle Datatilsynet ved sikkerhetsbrudd
|
|
|
|
#### 2. Internkontroll
|
|
|
|
FHI må ha:
|
|
- **Dokumenterte rutiner:** Skriftlige prosedyrer for databehandling
|
|
- **Internrevisjon:** Jevnlig gjennomgang av sikkerheten
|
|
- **Avviksrapportering:** System for å melde og håndtere avvik
|
|
- **Kontinuerlig forbedring:** Oppdatere tiltak basert på erfaring
|
|
|
|
#### 3. Taushetsplikt
|
|
|
|
Alle som behandler opplysninger i FHI har **lovpålagt taushetsplikt**:
|
|
- Gjelder for ansatte, konsulenter og samarbeidspartnere
|
|
- Gjelder også etter arbeidsforholdets opphør
|
|
- Brudd kan straffes med bot eller fengsel
|
|
|
|
#### 4. Behandlingsansvar
|
|
|
|
FHI er ansvarlig for:
|
|
- **Databehandlere:** Tredjeparter som behandler data på FHIs vegne
|
|
- **Utlevering:** Sikre at utlevering av data skjer etter lovlige prosedyrer
|
|
- **Samkjøring:** Sikre at kobling av registre har hjemmel
|
|
|
|
### Sanksjoner ved brudd
|
|
|
|
Ved brudd på plikter kan:
|
|
- **Datatilsynet** gi pålegg eller pålegge tvangsmulkt
|
|
- **Straff:** Grovt brudd kan straffes
|
|
- **Erstatning:** FHI kan bli erstatningsansvarlig
|
|
|
|
### Praktisk operasjonalisering
|
|
|
|
FHI har etablert:
|
|
- **Personvernombud:** Uavhengig rådgiver for personvern
|
|
- **IT-sikkerhetsteam:** Ansvarlig for teknisk sikkerhet
|
|
- **Kvalitetssikringssystem:** Rutiner for datakvalitet
|
|
- **Brukeradministrasjon:** Streng kontroll på hvem som har tilgang til hva
|
|
|
|
### Rapportering
|
|
|
|
FHI må:
|
|
- **Rapportere til Datatilsynet:** Årlig eller ved endringer
|
|
- **Dokumentere behandling:** Føre protokoll over behandlingsaktiviteter
|
|
- **Varsle ved brudd:** Umiddelbar varsling ved databrudd
|
|
|
|
## Relasjon til andre bestemmelser
|
|
|
|
- **[§ 8](§8.md):** FHI er dataansvarlig basert på denne hjemmelen
|
|
- **GDPR:** EU-lovgivning stiller tilsvarende krav
|
|
- **Forvaltningsloven:** Generelle krav til offentlig forvaltning
|
|
- **Straffeloven:** Straff for brudd på taushetsplikt
|
|
|
|
---
|
|
|
|
**Hjemmel:** Helseregisterloven § 13
|
|
**Lovdata:** [NL/lov/2014-06-20-43](https://lovdata.no/dokument/NL/lov/2014-06-20-43)
|