Helse- og personopplysninger kan bare behandles når lovgivningen tillater det. All behandling av opplysninger skal ha et lovlig grunnlag i personvernforordningen. Dette kalles behandlingsgrunnlag. Behandlingsgrunnlaget skal dekke alle typer behandlinger av helse- og personopplysninger som utføres: innsamling, registrering, lagring, sletting, utlevering, mv. Skal opplysningene brukes til et annet formål enn det opprinnelige, må dette formålet ha et eget behandlingsgrunnlag.
Plikten til å føre journal gir virksomheten en rettslig plikt til å behandle helse- og personopplysninger ved ytelse av helsehjelp. Størstedelen av behandlinger av personopplysninger i helse- og omsorgssektoren er dermed lovpålagt. I tillegg til krav om dokumentasjon har lovverket også en rekke andre regler om behandling, f.eks. om utlevering av helse- og personopplysninger, intern kvalitetssikring mv.
Andre behandlinger av personopplysninger i virksomheten kan ha andre behandlingsgrunnlag f.eks. ved forskning på data som er samlet inn via et medisinsk utstyr. Behandlingsgrunnlaget skal fastsettes før behandlingen av helse- og personopplysninger starter, eller ved endringer i behandlingen.
Les mer om formål og behandlingsgrunnlag i Normens faktaark for formål og behandlingsgrunnlag (faktaark 56)
