Personopplysninger kan bare behandles når lovgivningen tillater det. Dataansvarlig skal sørge for at personopplysninger skal har et lovlig grunnlag for behandlingen, et behandlingsgrunnlag.
Behandlingsgrunnlag skal identifiseres før behandling av helse og personopplysninger starter, eller ved endringer.
Plikten til å føre journal gir en rettslig forpliktelse til å behandle helse- og personopplysninger. Personopplysningene virksomheten behandler ved ytelse av helsehjelp vil være lovpålagt å behandle som følge av denne plikten. Dette er behandlingsgrunnlaget for denne behandlingen.
Virksomhetens øvrige behandlinger av personopplysninger kan ha andre behandlingsgrunnlag. Eksempler på dette er i arbeidet med å følge opp ansatte, der avtale med den registrerte kan være riktig behandlingsgrunnlag, og dersom virksomheten utfører oppdrag som ikke er helsehjelp kan både samtykke og avtale være riktige behandlingsgrunnlag.
Les mer om de ulike behandlingsgrunnlagene i artikkelen personvern i små helsevirksomheter
