Normen stiller krav om at virksomheten oppbevarer helse- og personopplysninger så lenge det er nødvendig for å oppnå formålene med behandlingen av opplysningene. Med mindre opplysningene deretter skal oppbevares i henhold til nye og legitime formål, skal opplysningene slettes eller anonymiseres. Dette faktaarket gir en oversikt over, og beskrivelse av, kravene om lagringstid og sletting av helse- og personopplysninger. Krav til lagringstid og sletting finnes både i særlovgivningen for helse- og omsorgssektoren og i den generelle personvernforordningen. I tillegg har arkivlovgivningens regler (arkivlova, arkivforskriften og riksarkivarens forskrift) betydning for lagringstid og sletting av helse og personopplysninger.
Videre beskriver faktaarket krav til tilintetgjøring av dokumenter i behandlingsrettet helseregister etter digitalisering og krav til oppbevaring av behandlingsrettet helseregister ved opphør og overdragelse av virksomhet. Slike krav finnes i særlovgivningen for helse- og omsorgssektoren, samt arkivlovgivningen. Faktaarket gir også veiledning om hvordan virksomheten bør gå frem for å gjennomføre sletting.
Avgrensning
Virksomheter kan ha en plikt til å slette helse- og personopplysninger både etter eget initiativ, eller etter forespørsel fra den registrerte. Faktaarket er avgrenset mot situasjoner der den registrerte ber om sletting. Hvordan virksomheten skal håndtere disse situasjonene er nærmere beskrevet i veileder for rettigheter ved behandling av helse- og personopplysninger.
Videre er faktaarket avgrenset mot krav om lagringstid og sletting av helse- og personopplysninger i forskningsprosjekter. Dette omtales nærmere i kapittel 6 i veileder for rettigheter ved behandling av helse- og personopplysninger.
Faktaarket er bygget opp etter aktivitetene som gjennomføres gjennom livsløpet til helse- og personopplysninger. Figuren nedenfor illustrerer livsløpet for behandling av helse- og personopplysninger.
