Normen og lovverket stiller krav om at virksomheten oppbevarer helse- og personopplysninger så lenge det er nødvendig for å oppnå formålene med behandlingen av opplysningene. Med mindre opplysningene deretter skal oppbevares i henhold til nye og legitime formål, skal opplysningene slettes eller anonymiseres.
For leverandører som behandler helse- og personopplysninger på vegne av kunden, enten som databehandler eller på annen måte, er det viktig å slette opplysninger som er lagret på en forsvarlig måte. Det er nødvendig å avtale rutiner for sletting med kunden og presentere en detaljert beskrivelse av hvordan slettingen gjennomføres. Beskrivelsen bør inneholde informasjon om både teknisk utførelse av slettingen og en tidsplan. I noen tilfeller kan det ikke være mulig å utføre slettingen umiddelbart etter at oppdraget er fullført. Det er derfor viktig å avtale dette med kunden og oppdatere databehandleravtalen. Dokumentasjon på at opplysningene er slettet, bør legges frem for kunden.
Eventuelle utskrifter og kopier skal makuleres eller slettes etter bruk. Slettingen skal utføres på en forsvarlig måte, og en metode skal brukes som forhindrer rekonstruksjon av opplysningene på en slik måte at den registrerte kan identifiseres. Begrensning av tilgangen til opplysningene ved hjelp av tilgangsstyring er ikke tilstrekkelig. For å oppfylle sletteplikten må virksomheten slette alle kopier av opplysningene, inkludert filer og data i sikkerhetskopier.
Hvis en dataansvarlig helsevirksomhet har benyttet seg av en databehandler for behandling av opplysninger, skal den dataansvarlige motta skriftlig bekreftelse på at alle helse- og personopplysninger er slettet etter at formålet er oppnådd. Dette skal reguleres i en databehandleravtale.
Les mer om lagring og sletting i Normens faktaark for lagringstid og sletting (faktaark 25)og i Nomens Veileder for rettigheter ved behandling av helse og personopplysninger
