En myndighet inom hälso- och sjukvården måste alltid vara ansvarig för personuppgifter i registret, därmed gör varje kvalitetsregister formellt till en myndighet såsom ett landsting eller region. Denna centrala personuppgiftsansvarige, CPUA, ger ramar åt registerhållare och styrgrupp och nationella kvalitetsregister rekommenderar att det finns ett uppdragsavtal mellan parterna där det framgår tydligt hur registerhållarens och styrgruppens mandat ser ut.

CPUA ansvarar för att personuppgifterna hanteras på ett rättssäkert sätt samt även för utbetalning av medel till de nationella kvalitetsregistren.

CPUA har ansvar för den övergripande säkerheten kring kvalitetsregistren, att felaktiga uppgifter rättas och att utplåning sker vid begäran (Källa: Nationella Kvalitetsregister).

Rekommendation från SKL är att det för varje kvalitetsregister fattas ett beslut om CPUA och att beslutet fattas i en landstings- eller sjukhusstyrelse när omständigheterna kring var registret ligger eller bör ligga har utretts.

Relationen mellan CPUA och LPUA

Fördelningen mellan lokalt och centralt personuppgiftsansvar innebär att när till exempel en privatpraktiserande vårdgivare fyller i elektroniska blanketter för rapportering till ett kvalitetsregister är det denne vårdgivare som bär det lokala personuppgiftsansvaret för att personuppgifterna hanteras korrekt och i enlighet med patientdatalagens och offentlighets- och sekretesslagens krav på den lokala nivån. Detta innebär att vårdgivarna, som är skyldiga att kvalitetssäkra sin verksamhet, bär det formella ansvaret för den personuppgiftsbehandling som de själva utför i samband med registerhanteringen. För den fortsatta centrala behandlingen av inrapporterade personuppgifter ligger personuppgiftsansvaret hos centralt personuppgiftsansvarig. Till den centrala behandlingen hör till exempel ansvaret för säkerhetsfrågor och ansvaret för att felaktiga uppgifter i registret rättas.

Man kan uttrycka det så att när en enhet har rapporterat in uppgifter så har man lämnat över dem till CPUA. Men som vårdgivare har man sedan möjlighet att ha direktåtkomst till de uppgifter man själv har matat in på individnivå, alltså kan man titta på uppgifterna för att använda dem för kvalitetssäkring.