Individet selv er det primære «godkjenningsorganet». Samtykke er hovedregelen ved all behandling av helse – og personopplysninger, inklusive avidentifiserte (indirekte indentifiserbare) opplysninger. Unntak er der det foreligger eget grunnlag i lov/forskrift for databehandlingen som unntar fra samtykkekravet, eller der det er innvilget dispensasjon.                      

Hvis kravet om samtykke fraviker i noen tilfeller, gjelder likevel informasjonsplikten til den som er inkludert. Informasjonsplikten skal bli avklart med Personvernombudet.                    

Dataansvarlig og/eller forskningsansvarlig virksomhet har plikt til å utøve internkontroll med behandlingen av helse- og personopplysninger i virksomheten.                    

Internkontroll er systematiske tiltak som skal sikre at virksomhetens aktiviteter blir planlagt, organisert, utført og vedlikeholdt i samsvar med kravene som er fastsatt i eller i medholdt av lovgivningen. Internkontroll er et gjennomgående krav i norsk lovgivning og blir uttrykt blant annet i personopplysningsloven, helseforskningsloven og forskrift og organisering av medisinsk og helsefaglig forskning.                     

For forskere og andre som er involvert i etableringen av kvalitetsregistre og forskningsregistre innebærer det at virksomheten har etablert interne funksjoner som på ulike måter skal bidra til at internkontrollkravet er oppfylt. Dette vil variere fra virksomhet til virksomhet.                    

Informasjonssikkerhet er ett av områdene som ligger til virksomhetens internkontrollansvar. Selv om eksempelvis REK har godkjent en studie, har likevel virksomheten en selvstendig plikt til å påse at informasjonssikkerheten i prosjektet er ivaretatt. Fagområdet ligger til Informasjonssikkerhetsleder i virksomheten. Godkjenning fra et eksternt organ fritar med andre ord ikke forsker fra å innhente intern godkjenning.                     

Regional komite for medisinsk og helsefaglig forskningsetikk (REK) avgjør om et prosjekt er regulert av helseforskningsloven og kan regnes som helseforskning.                    

Virksomhetens selvstendige ansvar for å påse at informasjonssikkerheten i prosjektet er ivaretatt gjelder fortsatt, jf. avsnittet om internkontroll.                    

Dersom fremlagt studie vurderes av REK til å ligge utenfor helseforskningslovens område, skal Personvernombudet kontaktes. Studien vil da trenge Personvernombudets tilråding dersom det behandles helse- og personopplysninger, inkludert indirekte identifiserbare opplysninger.                    

REK har også myndighet til å innvilge dispensasjon fra taushetsplikten i forbindelse med helseforskning og annen forskning enn det som omfattes av helseforskningsloven.                    

Om formålet er helsetjenesteforskning, annen forskning eller kvalitetsstudie har ikke betydning så lenge det behandles personopplysninger. Det inkluderer også indirekte identifiserbare opplysninger.                    

Selv om REK anser et fremlagt prosjekt for å være kvalitetssikring og derfor ikke skal godkjennes av komiteen, avgjør ikke REK den endelige formaliseringen av et prosjekt. Dialogen føres da videre mellom prosjektleder og Personvernombudet, som tar stilling til hvilken rettslig regulering prosjektet er underlagt.                    

For opplysninger innenfor eget dataansvar, kan Personvernombudet foreta avveining av personvernulempe / fritak fra samtykke.                    

For innhenting av opplysninger utenfor eget dataansvar, kreves dispensasjon innvilget av REK. Dette avklares med Personvernombudet først.                    

Opprettelse av helseregister med bredt tematisk formål knyttet til forskning, inklusive landsdekkende kvalitetsregistre, skal meldes til Personvernombudet.                    

Slike registre har som formål å samle inn informasjon for senere å kunne bruke den i ulike studier. Hver studie har selvstendig godkjenning fra REK eller tilråding fra Personvernombudet.
                     

Pasientjournalloven § 6 og helsepersonelloven § 26 gir lovlig grunnlag til prosjekter og registre som besluttes etablert av leder for å gjennomføre internkontroll og kvalitetssikring av helsehjelpen. Det kreves ledelsesbeslutning og tilrådning fra Personvernombud.                    

Prosjektet har som målsetting å forbedre behandlingen av pasientene ved sykehuset, for eksempel gjennom forbedrede diagnostiserings- eller behandlingsmetoder. Dette er internt formål som skal sikre en kontinuerlig forbedring og eventuelt kunne underbygge korrigeringer av behandlinger slik at endringer i behandlingsregimer minimum gir samme resultat eller bedre.                    

Verken pasient eller pårørende involveres direkte. Det innhentes ikke ny informasjon fra pasienten eller andre eksterne kilder, men benyttes kun opplysninger som allerede er innsamlet i helsehjelpen og er registrert som del av foretakets samlede journal.                    

Formålet er begrenset til intern aktivitet og behov. Formålet omfatter ikke publisering av resultater. Eventuelle behov for publisering av resultater, må angis som et tilleggsformål. Beslutning om publisering av resultater vil kreve vurdering av begrunnelsen for opprettelsen og formålet med  kvalitetsregisteret og forutsetningen om internt formål.                    

Eventuelt behov for dispensasjon fra taushetsplikten avklares med Personvernombudet. Ved behov skal søknad om dispensasjon sendes til Helsedirektoratet.                    

Utlevering av helse- og personopplysninger til eksterne registre eller prosjekter er en egen databehandling som dataansvarlig virksomhet har ansvaret for. Det følger av prinsippet om internkontroll at virksomheten har etablert rutiner som sikrer at utleveringen kan skje med lovlig grunnlag, på en sikker måte.