Standardvilkår og databehandleransvar

Her finner du informasjon om standardvilkår for bruk av PraksisNett, samt avklaringer av roller og ansvar knyttet til behandling av personopplysninger i forskningsprosjekter.

1. Formål og roller
Disse vilkårene beskriver hvordan personopplysninger skal behandles når et legekontor utfører oppdrag i et forskningsprosjekt formidlet gjennom Praksisnett.

Behandlingsansvarlig (oppdragsgiver):
Den institusjonen som eier og gjennomfører forskningsprosjektet (f.eks. universitet, helseforetak eller forskningsinstitusjon).

Databehandler:
Legekontoret som utfører det avgrensede oppdraget etter avtale med oppdragsgiver.

Praksisnett:
Formidler kontakt mellom oppdragsgiver og legekontor.
Praksisnett er ikke behandlingsansvarlig og ikke databehandler i prosjektet.

Legekontoret aksepterer disse vilkårene samtidig som det aksepterer oppdraget i et prosjekt.


2. Oppdragets art

Legekontoret behandler personopplysninger kun i den grad det er nødvendig for å utføre oppdraget, som kan omfatte:

  • å identifisere pasienter som kan være aktuelle deltakere
  • å formidle prosjektinformasjon til pasienter
  • å innhente samtykke der dette kreves
  • å gjennomføre enkle registreringer eller utfylling av skjemaer slik oppdraget beskriver

Oppdraget innebærer ikke at legekontoret skal lagre, analysere, systematisere eller vedlikeholde forskningsdata utover den avgrensede behandlingen nevnt over.

 

3. Oppdragsgivers plikter (behandlingsansvarlig)

Oppdragsgiver skal:

  1. Sørge for at all behandling er lovlig, herunder ha rettslig grunnlag og nødvendige godkjenninger.
  2. Gi legekontoret klare, skriftlige instruksjoner om hvilke opplysninger som skal behandles og hvordan.
  3. Gi nødvendig informasjon til deltakerne, inkludert informasjonsskriv og samtykkekrav.
  4. Gi legekontoret tilgang til nødvendige systemer, skjemaer eller rutiner, dersom prosjektet krever registrering i bestemte verktøy.
  5. Sikre informasjonssikkerhet i sine egne systemer, inkludert verktøy for datainnsamling.
  6. Motta og håndtere henvendelser fra deltakere om innsyn, retting, sletting mv.
  7. Motta avviksmeldinger fra legekontoret og gjennomføre nødvendig oppfølging.
  8. Ha ansvar for sletting eller anonymisering i egne systemer ved prosjektets slutt.

Oppdragsgiver kan ikke pålegge legekontoret å utføre behandlinger som ligger utenfor ordinær klinisk virksomhet eller oppdragets rammer.

 

4. Legekontorets plikter (databehandler)

Legekontoret skal:

  • behandle personopplysninger kun etter oppdragsgivers dokumenterte instruks
  • sørge for at kun autoriserte ansatte har tilgang
  • følge gjeldende regler etter helsepersonelloven, pasientjournalloven, IKT‑forskriften og Normen
  • ikke journalføre forskningsopplysninger som ikke er nødvendige for helsehjelp
  • ikke lagre forskningsdata lokalt utover det som er nødvendig for å utføre oppdraget
  • ikke benytte underdatabehandlere
  • varsle oppdragsgiver ved avvik, feil eller sikkerhetsbrudd
  • videresende henvendelser fra deltakere til oppdragsgiver

 

5. Systemer og bruk av legekontorets interne løsninger

Legekontoret bruker sine egne journalsystemer og interne rutiner for å identifisere og kontakte pasienter, men:

  • forskningsdata skal ikke lagres i journalsystemet med mindre det er nødvendig for helsehjelp
  • registrering av forskningsopplysninger skal kun skje i de verktøy oppdragsgiver har anvist
  • legekontoret skal ikke lagre kopier av forskningsdata etter oppdragets slutt

 

6. Sikkerhetsbrudd, avvik og henvendelser fra deltakere

Legekontoret skal uten ugrunnet opphold varsle oppdragsgiver dersom det oppstår:

  • brudd eller mulig brudd på personopplysningssikkerheten
  • feil eller avvik i behandlingen
  • henvendelser fra deltakere om rettigheter etter personvernforordningen

Oppdragsgiver er ansvarlig for videre håndtering overfor deltakere og Datatilsynet.

 

7. Sletting ved oppdragets slutt

Når oppdraget er fullført skal legekontoret:

  • slette midlertidige notater og eventuelt lokalt lagrede personopplysninger som gjelder prosjektet
  • ikke beholde forskningsdata
  • bekrefte sletting dersom oppdragsgiver ber om det

Oppdragsgiver håndterer sletting eller anonymisering i egne systemer og forskningsverktøy.

 

8. Ansvarsforhold

  • Oppdragsgiver har det overordnede ansvaret for at behandlingen av personopplysninger skjer i tråd med lovverket.
  • Legekontoret er ansvarlig for sikker og korrekt behandling av opplysninger i samsvar med disse vilkårene og oppdragsgivers instrukser.
  • Praksisnett formidler kun kontakt og er ikke part i databehandlingsforholdet.

 

9. Aksept av vilkårene

Ved å benytte Praksisnett i forbindelse med inngåelse og gjennomføring av et forskningsoppdrag, anses både oppdragsgiver og legekontoret for å ha akseptert og være rettslig bundet av disse databehandlingsvilkårene for den personopplysningsbehandlingen som utføres som ledd i oppdraget.

Sist oppdatert: 22.05.2026