Dokumentasjon

Dataansvarlig

Den som bestemmer formålet med behandling av helse- og personopplysninger og hvilke midler som brukes.

Kort svar

Kort forklart

Dataansvarlig er den som har hovedansvaret for hvordan pasientopplysninger behandles. På legekontoret betyr det at rollen må godkjenne databehandling, leverandøravtaler og risikotiltak før et KI-verktøy brukes med pasientdata.

  • Samme rolle som behandlingsansvarlig
  • Må følge opp databehandlere
  • Må dokumentere personvern og sikkerhet

Forklaring

Dataansvarlig er begrepet som brukes i helsesektoren for den rollen GDPR kaller behandlingsansvarlig. Det er den virksomheten eller personen som bestemmer hvorfor helse- og personopplysninger behandles, og hvordan behandlingen skal skje.

På et fastlegekontor kan dataansvarlig være legekontoret, praksisen, virksomheten eller den juridiske enheten som driver kontoret. Rollen må være tydelig, fordi dataansvarlig har ansvar for behandlingsgrunnlag, risikovurdering, DPIA der det trengs, informasjon til pasienter, tilgangsstyring, avvikshåndtering og avtaler med leverandører.

Når legekontoret bruker et KI-verktøy, er dataansvarlig fortsatt ansvarlig for pasientopplysningene. Leverandøren kan være databehandler, men den kan bare behandle data etter instruks fra dataansvarlig. Derfor må dataansvarlig vite hvilke data verktøyet behandler, hvor data lagres, hvem underleverandørene er, hvor lenge data beholdes, og om data brukes til modelltrening.

Dataansvarlig godkjenner ikke det medisinske innholdet i hvert journalnotat. Det gjør legen. Men dataansvarlig skal sørge for at verktøyet og arbeidsmåten er trygge nok til at helsepersonell kan bruke dem forsvarlig.

Viktige punkter

  • Samme rolle som behandlingsansvarlig i GDPR
  • Bestemmer formål og midler for behandling av helseopplysninger
  • Har ansvar for risikovurdering, DPIA, avtaler og internkontroll
  • Må følge opp databehandlere og underleverandører
  • Legen har fortsatt ansvar for innholdet som journalføres

Eksempel fra praksis

Et fastlegekontor vil teste et KI-verktøy for journalnotater. En lege kan vurdere om notatene blir gode, men dataansvarlig må godkjenne at pasientdata kan sendes til leverandøren. Før godkjenning sjekker dataansvarlig databehandleravtale, lagringssted, sletting, underleverandører, DPIA og rutine for kvalitetssikring.

Vanlige spørsmål

Er dataansvarlig det samme som behandlingsansvarlig?

Ja. I helsesektoren brukes dataansvarlig ofte om det GDPR kaller behandlingsansvarlig. Rollen bestemmer formålet med behandlingen og hvilke midler som brukes.

Kan KI-leverandøren være dataansvarlig?

Vanligvis ikke for legekontorets bruk. Når leverandøren behandler pasientdata på vegne av legekontoret, er leverandøren normalt databehandler. Den skal følge instruks fra dataansvarlig.

Hva må dataansvarlig gjøre før KI-verktøy tas i bruk?

Dataansvarlig bør avklare formål, databehandleravtale, lagringssted, sletting, underleverandører, risikovurdering, eventuell DPIA, pasientinformasjon og rutine for kvalitetssikring.

Relatert innhold

Slik får du KI-verktøy godkjent på legekontoretArtikkel
Databehandleravtale for KI-verktøyArtikkel
DPIA for fastleger: Komplett steg-for-steg guideArtikkel
KI-verktøy på legekontoret: Sjekkliste for fastlegerArtikkel
CE-merking for KI-verktøy: Hva fastleger må viteArtikkel
Personvern i JournalhjelpLes mer

Relaterte begreper

Databehandleravtale
DPIA
KI-verktøy
Deidentifisering
CE-merking

Kom i gang

Spar tid på dokumentasjon

Journalhjelp fyller ut NAV-skjemaer og legeerklæringer automatisk fra journal.