Om faktaarket
Formålet med faktaarket er å beskrive ansvaret de ulike målgruppene i faktaarkene har.
Dette faktaarket er spesielt relevant for:
• Virksomhetens leder/ledelse
• Forskningsansvarlig
• Prosjektleder forskning
• Sikkerhetsleder
• Ansatt / medarbeider
• Forsker
• Personvernombud
• IKT-ansvarlig
• Databehandler
• Leverandør
Krav i Normen
Faktaarket gjelder alle kapitlene i Normen
Målgrupper i faktaark
Ansatt/medarbeider
Sette seg inn i og følge etablerte prosedyrer, herunder rapportere avvik.
Databehandler
Ekstern virksomhet som har ansvaret for drift av IKT-systemer og for informasjonssikkerhet iht avtale med dataansvarlig. Definisjon i personopplysningsloven: ”Den som behandler personopplysninger på vegne av den behandlingsansvarlige.”
Forsker
Kjenne og følge gjeldende prosedyrer for personvern og informasjonssikkerhet i et forskningsprosjekt
Forskningsansvarlig
Overordnet ansvar for et forskningsprosjekt, inklusive ansvaret for personvern og informasjonssikkerhet.
IKT-ansvarlig
Er ansvarlig for drift av IKT-systemer (internt) og for at besluttede tiltak er operative og fungerer etter hensikten. Kan være ansvarlig for oppfølging av kontrakter med leverandører og databehandlere (også definert som en bestillerfunksjon).
Leverandør
Ekstern part med ansvar for leveranse og installasjon av utstyr, systemer, kommunikasjons- og sikkerhetsløsninger
Personvernombud
Formelt oppnevnt kontakt for personvern og informasjonssikkerhet internt mot dataansvarlig (virksomhetens ledelse) og ansatte og eksternt mot Datatilsynet og den registrerte (pasienter/brukere og egne ansatte).
Prosjektleder forskning iht. helseforskningsloven
Er ansvarlig for den daglige driften av forskningsprosjektet, inklusive personvernet og informasjonssikkerheten i forskningsprosjektet.
Sikkerhetsleder
Har ansvaret for å koordinere arbeidet med informasjonssikkerheten i virksomheten.
Virksomhetens leder/ledelse
Er dataansvarlig. Virksomhetsleder er formelt ansvarlig, men kan delegere oppgaver i egen organisasjon (for eksempel til systemeier) eller gjennom avtale til databehandler eller leverandør. Virksomhetsleder bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.