Mae hwn yn fersiwn HTML o atodiad i'r cais Rhyddid Gwybodaeth 'Bolton Care Record'.

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 1 
 
 
Information Sharing Agreement 
 
Between 
 
Bolton GP Practices, Bolton NHS Foundation Trust, 
NHS Bolton Clinical Commissioning Group, Bolton 
Council (Adult & Children Social Care), Bolton GP 
Partnership Limited, Bolton Hospice, BARDOC Limited, 
Greater Manchester Mental Health NHS Foundation 
Trust and North West Ambulance Service NHS Trust 
 
For the Purpose of 
 
Creating and maintaining the Bolton Care Record for 
the people of Bolton 
 
 
This  document  in  its  entirety  is  the  whole  Agreement  in  relation  to  the  sharing  of  Personal 
Confidential  Data  (PCD)  shared  between  the  partners  that  are  a  signatory  to  this  Agreement.  It  is 
intended to support the Information Sharing Protocol (ISP) for the ‘Bolton Care Economy’ and should 
be read together with that information sharing protocol. This agreement complements and does not 
contradict any provision of the information sharing protocol. 
 
The  agreement  outlines  the  information  which  will  be  shared  between  the  partners  to  this 
agreement and specific arrangements for assisting compliance with the information sharing protocol 
and relevant law and guidance. It sets out the specific details of the information sharing arrangement 
that  it  covers,  which  are  in  line  with  all  the  principles,  standards  and  governance  set  out  in  the 
information sharing protocol 
 
This document shall be governed solely by the laws of England and the English Courts shall have sole 
jurisdiction over the content of this Agreement. 
 
 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 2 
 
Document Control Sheet 
 
Title: 
Information Sharing Agreement – Bolton Care Record (BCR) 
 
Author/Contributor(s) 
Bolton Clinical Commissioning Group 
Next Review Date: 
December 2017 
 
Revision History 
 
 
 
Version 
Date of Release 
REVIEWER 
Summary of Changes 
v0.1 
 
Bolton CCG 
Initial draft 
v0.2 
 
Bolton CCG 
Second draft 
v0.3 
 
Bolton CCG 
Third draft 
v0.4 
12th July 2016 
Bolton CCG 
Fourth draft 
v0.5 
7th September, 2016 
Bolton CCG 
Fifth draft 
v0.6 
17th November 2016 
Bolton CCG 
 
v0.7 
16th December 2016 
GP EA Group 
GP Early Adopter Group Review 
v0.8 
9th January 2017 
IG Leads Group 
IG Leads Group Review 
v0.9 
10th January 2017 
Bolton CCG 
 
V1.0 
12th January 2017 
Bolton CCG 
 
 
 
 
 
 
 
 
 
 
Public 
 

link to page 4 link to page 4 link to page 6 link to page 7 link to page 8 link to page 10 link to page 11 link to page 12 link to page 13 link to page 13 link to page 14 link to page 14 link to page 14 link to page 15 link to page 17 link to page 17 link to page 17 link to page 18 link to page 19 link to page 19 link to page 21 link to page 21 link to page 21 link to page 21 link to page 22 link to page 23 link to page 24 link to page 27 link to page 28  
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 3 
 
TABLE OF CONTENTS 
 
Introduction................................................................................................................. 4 
Purpose of Sharing ....................................................................................................... 4 
Permitted Purposes ..................................................................................................... 6 
Consent Arrangements ................................................................................................. 7 
Justification for Sharing ................................................................................................ 8 
Partners to this Agreement ........................................................................................ 10 
Data Items to be Shared ............................................................................................. 11 
Legal Basis for Sharing ................................................................................................ 12 
Data Quality .............................................................................................................. 13 
Information Security .................................................................................................. 13 
Business Continuity .................................................................................................... 14 
Data Retention & Disposal ......................................................................................... 14 
Method of Update ..................................................................................................... 14 
Method of Transfer and Storage of Shared Information .............................................. 15 
Rights of Individuals ................................................................................................... 17 
Agreement / Review / Termination ............................................................................ 17 
Indemnity / Sanctions ................................................................................................ 17 
The De-Identified Dataset .......................................................................................... 18 
The Pseudonymised Dataset ...................................................................................... 19 
Information Governance Group .................................................................................. 19 
Notices ...................................................................................................................... 21 
Entire Agreement ....................................................................................................... 21 
Counterparts.............................................................................................................. 21 
Status, Governing Law and Jurisdiction ....................................................................... 21 
APPENDIX 1 – Host Organisation Details ..................................................................... 22 
APPENDIX 2 – Participant Organisation Details ........................................................... 23 
APPENDIX 3 – Data Sources and Categories ................................................................ 24 
APPENDIX 4 – Information Flows ................................................................................ 27 
APPENDIX 5 – Schematic and Dataflow Diagrams ........................................................ 28 
 
 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 4 
 
Introduction 
1.1 The purpose of this document is to detail the purpose and conditions that will govern the exchange of 
Personal Confidential Data (PCD) to be shared by the signatory partners (partners) to this Information 
Sharing Agreement (ISA) to ensure compliance with statutory legislation, regulations and the individual 
partners' own policies and procedures. 
1.2 This Information Sharing Agreement is an agreement between the partners needed to regulate the 
sharing of specific PCD between the partners. The ISA sets out what, how and when PCD will be shared. 
1.3 This ISA provides a framework for assuring the safeguarding of PCD by all partners partaking in this 
initiative. It formalises the data sharing arrangement between the partners whilst outlining the ISA’s 
compliance towards the Data Protection Act 1998 (DPA), the Information Commissioner’s Office (ICO) 
statutory Data Sharing Code of Practice and relevant Information Governance standards. 
1.4 Note:  The terms “information” and “data” have been used interchangeably in this document and have 
the same meaning of “data” as defined in the DPA. 
1.5 This ISA has been developed to: 
i. 
Facilitate the lawful sharing of PCD between all partners 
ii. 
Ensure common awareness to the provisions of this ISA by partners 
iii. 
Document  the  specific  purposes,  processes,  data  items,  information  flows,  and 
security measures the partners have agreed to ensure lawful sharing 
1.6 A full glossary of terms is provided in the Information Sharing Protocol for the Bolton Care Economy. 
Purpose of Sharing 
2.1 All the partners which provide health or social care have agreed to share information about their 
patients, service users and clients (who for convenience are also referred to in this agreement as 
‘individuals’ or ‘persons’) to establish an integrated digital care record. This will forthwith be known as 
the ‘Bolton Care Record’ (BCR). 
2.2 The partners to this ISA agree to limit their processing of the shared information to only the purposes 
defined in this agreement and to support any administration, audit, monitoring, regulatory oversight 
activity the respective partners are legally obligated to undertake. 
2.3 Each partner shall share necessary PCD extracted from each partner's records to establish the BCR. 
2.4 The BCR shall contain sensitive personal data and personal data from the coded and non-coded section 
of a person’s record, including but not limited to, medication records, diagnostic results and reports, 
procedure details, medications, summaries and assessments, appointment/event details, summary 
social care records and alerts to provide an integrated record for each person.  Certain highly sensitive 
sections of a person’s record will be excluded. 
2.5 The BCR shall also contain shared care plans which are created and updated in the BCR by one or more 
of the partners. The shared care plan will contain sensitive personal data and personal data from the 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 5 
 
coded and non-coded section of a person’s record, including but not limited to, medication records, 
diagnostic results and reports, procedure details, medications, summaries and assessments, 
appointment/event details, summary social care records and alerts to provide a shared care plan for 
each person.  Certain highly sensitive sections of a person’s record will be excluded. 
2.6 Any partner providing direct care for a person shall be able to access that person’s record electronically 
at the point of care.  The BCR shall provide a view only integrated shared care record for each individual, 
amalgamated from each partner's source systems. This ‘view only’ functionality shall not allow editing of 
the data. 
2.7 Any partner providing direct care to a person who has been consented into a programme of targeted 
care, will be able to view the BCR for each individual, amalgamated from each partner's source systems 
and other information input directly into the shared care plan. The partner will be able to view, edit and 
update the shared care plan for that person electronically at the point of care. 
2.8 Partners will be able to access information from the BCR about their own patients and service users, to 
support their identification of persons suitable for targeted care to be managed under a shared care 
plan. 
2.9 The partners have agreed to appoint the organisation detailed in Appendix 1 as the Host of the BCR, 
who in turn has agreed to fulfil that role.  The Host organisation shall not have any access to the BCR.  A 
data processing agreement has been established between all the partners to this agreement and the 
Host organisation detailed in Appendix 1 as the Data Processor. 
2.10 
This agreement therefore regulates the sharing of specific PCD between the partners for the 
delivery of direct care to persons in the Bolton locality.  This is a legally binding agreement. 
2.11 
The information sharing arrangement is represented in two diagrams at Appendix 5. 
2.12 
Bolton CCG will conduct a privacy impact assessment in relation to the BCR proposal, in accordance 
with the Privacy Impact Assessment Code of Practice published by the Information Commissioner's 
Office in February 2014, before the transfer of any data takes place and will report the findings to all the 
partners. 
2.13 
Each partner agrees that it is party to this agreement as a: 
i. 
data controller in respect of personal data that it shares with the BCR 
ii. 
data controller in common in respect of any information that it accesses in the  BCR, 
excluding information contained within shared care plans. 
iii. 
joint  data  controller  in  respect  of  any  personal  data  that  it  creates,  accesses  or 
discloses in any shared care plan. 
2.14 
The Host organisation detailed in Appendix 1 is a data processor of personal data shared by any of 
the other partners.   A separate data processor agreement will be established between the partners and 
the Host organisation before any transfer of data take place. 
2.15 
Shared data may also be de-identified in accordance with all applicable law and guidance (including, 
but not limited to, the BMA Confidentiality Toolkit and the Health and Social Care Information Centre 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 6 
 
Guide to Confidentiality) and used for the commissioning purposes of the partners which are CCGs ("the 
CCG Partners"), and for the health and social care purposes of the other partners. 
2.16 
This agreement does not provide for Bolton CCG to have any general access to personal data, except 
where direct care is being provided directly by the CCG. As direct care is provided by specific 
departments within the CCG they become a partner to this agreement. 
2.17 
Each partner confirms that its Caldicott Guardian, SIRO or Responsible Officer, as applicable, has 
reviewed and agrees with the provisions of this agreement. 
Permitted Purposes 
3.1 The purposes of the information sharing are to enable: 
3.1.1 
Any partner providing direct care to a person to access that person’s record electronically at 
the point of care.  The BCR shall provide a ‘view only’ integrated digital care record for each 
individual, amalgamated from each partner's source systems. This view only functionality 
shall not allow editing of the data; 
3.1.2 
Any partner providing direct care for a person to access the BCR for each individual, 
amalgamated from each partner's source systems. This ‘view only’ functionality shall not 
allow editing of the data; 
3.1.3 
Any partner to access information from the BCR about their own patients, service users or 
clients, to support their identification of persons suitable for targeted care under a shared 
care plan; 
3.1.4 
Any partner providing direct care for a person, who has been consented into a programme 
of targeted care via shared care plan, to access the BCR to create, access, edit and update 
the shared care plan for a person electronically at the point of care; 
3.1.5 
the data processor for the arrangement (as detailed in Appendix 1) is required to maintain 
the BCR including by human intervention where required to ensure data integrity ("the 
Maintenance Purpose"); and 
3.1.6 
the data processor for the arrangement (as detailed in Appendix 1) is to de-identify shared 
information so that it may be used for commissioning purposes by Bolton CCG ("the De-
identification Purpose"); 
3.1.7 
the data processor for the arrangement (as detailed in Appendix 1) is to pseudonymise 
shared information so that it may be used for healthcare purposes by partners to this 
agreement ("the Pseudonymisation Purpose"); 
(together, "the Purposes"). 
3.2 The partners agree that shared information will be de-identified and pseudonymised in accordance with 
all applicable law and guidance (including, but not limited to, the British Medical Association 
Confidentiality Toolkit and the Health and Social Care Information Centre Guide to Confidentiality), so 
that it may be used for the commissioning purposes of Bolton CCG, the health and social care 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 7 
 
commissioning and care provision purposes of partners which are local authorities, and the health and 
social care provision purposes of other partners. 
3.3 In particular, de-identified and pseudonymised copies of the BCR, ("the De-identified Dataset" and “the 
Pseudonymised Dataset”) will be used to provide information and analysis to partners. 
Consent Arrangements 
3.4 The partners recognise that different consent arrangements are needed in respect of sharing 
information for Direct Care and Indirect Care purposes.  The partners should refer to the overarching 
principles and clause 5 of the Information Sharing Protocol which relate to consent by individuals to 
share PCD. 
3.5 The consent arrangements required in respect of sharing PCD under this agreement are: 
3.5.1  effectively inform individuals about the ways the information they have provided may be used, 
who it may be shared with, what shall be shared and for what purpose; 
3.5.2  effectively inform individuals that they have the right to opt out of sharing their information or 
select/restrict which elements of their information may or may not be shared and that any 
consent can be changed in the future; 
3.5.3  effectively inform individuals of the implications for the provision of care or treatment, such as 
the potential risks involved if their full individual care record is not made available to healthcare 
professionals involved in their Direct Care; and 
3.5.4  ensure fair processing notices are always in place. 
3.6 Each partner shall employ a variety of channels to communicate with its patients, service users and 
clients regarding information sharing, such as information leaflets, posters, at the point of care, during 
the registration process or when referring into other services. 
3.7 Bolton CCG shall also employ a variety of channels to communicate with people in the Bolton locality 
regarding information sharing, such as operating a dedicated website setting out information about the 
information sharing, access to the ISP and enacted ISAs, preparing information leaflets, and distributing 
posters. 
3.8 Each partner shall have a mechanism in place to deal with individual’s requests to have their records 
excluded from the BCR either by excluding such records from their data extracts or by flagging them so 
that the BCR system does not allow the record to be viewed, until such time as the individual opts back 
in. 
3.9 An individual’s consent shall be obtained in line with applicable guidance then in force. Provided any 
disclosure is in accordance with this agreement, each partner shall share PCD when it is needed for the 
safe and effective care of an individual. 
3.10 
Explicit consent shall not be sought before PCD is transferred into the BCR, nor before Individual 
Care Records reports for GPs about persons registered to their own practice are created nor before the 
initial creation of a shared care plan in the BCR. As the sharing is for direct care purposes and partners 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 8 
 
shall have informed individuals about the sharing in accordance with clauses 3.8 and 3.9, consent shall 
be implied. 
3.11 
Nevertheless, as a matter of good practice, once a record is held or an associated shared care plan is 
created within the BCR, consent shall be sought for the sharing of that person’s information between 
care providers for the provision of direct or targeted integrated care.  This is deemed to be good 
practice, given that the data to be shared may include social and mental health data. If an individual 
subsequently wishes to withdraw or amend their consent they may either request this via their GP or 
from any partner to the agreement. 
3.12 
As a matter of good practice, the Bolton Locality complies with the NHS Constitution standards, 
ensuring that patients can withdraw consent for the sharing of their identifiable information for 
secondary purposes other than direct patient care, unless there is an overriding legal obligation as 
detailed above.  There are two types of national opt outs in relation to sharing of information for 
secondary purposes that patients can request:  Type 1 opt-outs prevents personal confidential data  
being shared outside of general practice, for purposes beyond direct care. Type 2 opt outs prevents 
personal confidential data from being shared by NHS Digital for purposes other than direct care.  
Registration of either type 1 or type 2 opt outs can only be registered with a patient’s GP, where the 
appropriate code will be recorded on the patient’s digital GP record 
3.13 
If a person lacks capacity to give consent and no existing consent is in place, the partner shall follow 
the relevant guidance in determining whether to access the BCR or Shared Care Plan. 
3.14 
Where information is being shared on an explicit consent basis then the consent should be recorded 
within the records of the partner(s) and a full audit trail retained of who obtained consent. 
Consideration should also be given and recorded where the opinion of a Health Professional is relied on 
where capacity to provide consent requires assessing. 
3.15 
If consent is withdrawn, the relevant partner(s) shall ensure that withdrawal of consent is recorded 
and a full audit trail retained of who recorded the withdrawal of consent. 
3.16 
In the event consent is withdrawn by the individual or someone with appropriate legal authority to 
act on behalf of the individual then each partner will be required to cease sharing the information. 
3.17 
Consent need not be sought for use of the De-identified Dataset for commissioning purposes, as no 
PCD shall be used, and accordingly the Data Protection Legislation will not regulate the use and no 
confidentiality applies.  However, if an individual has objected or withdrawn consent to their data being 
used in the BCR, that data will automatically be unavailable for use in the De-identified Dataset, as the 
De-identified Dataset shall be a de-identified copy of the BCR. 
Justification for Sharing 
4.1 Bolton CCG is investing in the development of an integrated digital care record (BCR) for the Bolton 
locality which is predicated on a number of key national, regional and local drivers. At a national level, 
NHS England published the ‘Five Year Forward View’ in October 2014. 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 9 
 
In November 2014, the National Information Board published a framework for action ‘Personalised 
Health and Care 2020’
, outlining their vision for joined up, digital real-time records, data standards, 
intelligence and citizen access to records across care settings.  
Personalised Health and Care 2020 states that “Better use of technology and data is a prerequisite 
for supporting and enabling the key developments needed to reshape the health and care system, 
which are at the centre of the Department of Health’s vision for health and care and the NHS’s Five 
Year Forward View, in response to increasing demand and constrained resources”. 
At the regional level, the ‘Greater Manchester CCG Primary Care IT Strategic Vision 2015-2018’ was 
approved by the IM&T Steering Group in June 2015.  This strategic vision comprises four overarching 
principles: 
  Connect:  connecting infrastructure and systems across GM enabling staff and information 
to flow dynamically across the region; 
  Integrate:  providing integrated records and intelligent systems that have the ability to be 
interlinked across GM and beyond.; single GM wide consent and information sharing 
model; 
  Empower:  providing patients and citizens access to their own information and online 
access to services and apps; 
  Collaborate:  inclusive governance and commissioning; innovation hubs and collaborative 
working. 
NHS England has approved a single, combined Digital Roadmap submission for all organisations 
in Greater Manchester. 
At the local level, improved information sharing across care professionals is a vital enabler to 
achieve improvements to health and social care in Bolton. The ‘Bolton Health and Care 5 Year 
Locality
  Plan’  and  the  ‘Bolton  Quality  Contract  2015-2016’  build  on  ‘Personalised  Health  and 
Care 2020’
 and The ‘Greater Manchester CCG Primary Care IT Strategic Vision 2015-2018’ and 
identifies  a  number  of  commitments  and  aims  that  can  only  be  fully  realised  if  the  right 
information is available to professionals, with the  right  access  permissions,  at the  right  time, 
and if the people of Bolton can access information about their own care. 
The  proposed  solution  will  enable  the  integration  of  information  from  a  number  of  sources, 
relating to the care of a person and enable this information to be viewed by authorised health 
and social care professionals involved in the care of that person. 
The range of benefits that are sought and enabled by improving information-sharing across care 
teams can be summarised as follows: 
  greater integrated working within community care teams, and between acute, 
community, urgent care and social care, to improve the appropriateness and timeliness of 
interventions and to improve a person’s safety 
  facilitation of combined assessment processes following the ability to view previous 
assessments carried out by different care professionals 
  reduced conveyances by the ambulance service 
  reduced A&E activity and fewer unplanned admissions 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 10 
 
  improved discharges and reduced excess bed days 
  reductions in inappropriate referrals to outpatients and for repeat and otherwise 
unnecessary diagnostics tests 
  time saving by clinicians and social care professionals 
  improved medicine utilisation through better reconciliation. 
For the people of Bolton 
  more informed members of the community, able to make more informed choices 
  safer care for individuals across care settings 
  more appropriate, timely care 
  improved health outcomes 
  observe the needs of members of the community regarding End of Life(EOL) and Care 
Plans 
  co-ordinated delivery of care across services and providers 
  reduction in adverse events 
  improved experience 
  avoid unnecessary diagnostic interventions 
  reduction in episodic care 
  reduced risk of medicines interactions and improved patient safety 
  time spent with clinicians and care professionals will be more appropriate and of 
improved value, rather than the need to repeat facts unnecessarily. 
For clinicians and care professionals 
  greater collaboration enabling the delivery of more efficient, effective care 
  access to a greater range of an individual’s information at point of care 
  reduction in time spent looking for information freeing up additional time 
  more efficient medicines reconciliation 
  improved data quality of records due to increased transparency of the record. 
For commissioners 
  greater opportunities to create and monitor care pathways 
  reduced costs associated with avoided acute (re)admissions and diagnostic tests 
  greater workforce efficiency - less time spent looking for information 
  enabling delivery of overall strategy as increase to care provided closer to home or in the 
most appropriate setting leading to reduction. 
Partners to this Agreement 
5.1 The partners detailed below in conjunction with the obligations detailed in the ‘Information Sharing 
Protocol for the Bolton Care Economy’ will abide by and comply with their responsibilities under this 
agreement and with all legislation and other requirements relevant to any processing of PCD being 
shared: 
 
Bolton Council (Adult and Children Social Care) 
Bolton GP Practices 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 11 
 
Bolton Clinical Commissioning Group 
Bolton NHS Foundation Trust 
Bolton GP Partnership Limited 
Bolton Hospice 
BARDOC Limited 
Greater Manchester Mental Health NHS Foundation Trust 
North West Ambulance Service 
 
5.2 Each partner to this agreement must complete the table in Appendix 2. 
5.3 Each partner will hold a copy of this agreement and is directly responsible for ensuring that the 
agreement is disseminated, understood and adhered to by all users authorised to have access to the 
data that is to be or has been shared in accordance with this agreement. 
5.4 See Appendix 2 for full details of the partners to this agreement. 
Data Items to be Shared 
6.1 All the above listed partners who provide health or social care have agreed to share information about 
the people of Bolton in order to establish a BCR. 
6.2 Each Partner shall share necessary PCD extracted from each partner's patient and service user records 
to establish the BCR. 
6.3 The BCR shall contain Sensitive Personal Data and Personal Data from the coded and non-coded sections 
of a person’s record, including but not limited to, medication records, diagnostic results and reports, 
procedure details, medications, summaries and assessments, appointment/event details, care plans and 
alerts to provide an integrated digital record for each person.  Certain highly sensitive sections of a 
person’s record will be excluded. 
6.4 Any partner providing direct care for a person, who has been consented into a programme of targeted 
care, shall be able to access that person’s record electronically at the point of care.  The BCR shall be 
accessed on a ‘view only’ basis for each person, amalgamated from each partner's source systems. This 
view only functionality shall not allow editing of the data. 
6.5 Shared Care Plans (SCPs) will be created and maintained within the BCR and will be visible to authorised 
users. The SCP will be made available for direct care as appropriate. 
6.6 The partners confirm that the data categories and items listed for each Partner Organisation in Appendix 
3 have been considered and agree these represent the minimum amount of personal information 
necessary to support the purpose for sharing defined in this agreement. 
 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 12 
 
Legal Basis for Sharing 
7.1 Deciding whether to share must be taken on a case by case basis, in accordance with this agreement and 
with due consideration to: 
i. 
The Data Protection Act 
ii. 
Common Law Duty of Confidentiality 
iii. 
Human Rights Act 
iv. 
Caldicott Guardian’s seven principles of good practice 
v. 
Informed Consent 
vi. 
Other Legal requirements 
7.2 Each partner is considered a data controller in its own right under the Data Protection Act 1998. 
7.3 The partners shall comply at all times with all applicable laws and regulations relating to processing of 
personal information and privacy in effect in the England and Wales from time to time, including where 
applicable the guidance and codes of practice issued by the Information Commissioner, the Department 
of Health and other relevant NHS bodies and shall not perform its obligations under this agreement in 
such a way as to cause any other partner to this agreement to breach any of its obligations under such 
applicable laws, regulations or guidance. 
7.4 The legal basis of the signatory parties being relied on to support this agreement is: 
7.4.1  The sharing of PCD into the BCR, its linkage, and the production of Shared Care Plans and Care 
Reports are for the purposes of direct care.  Accordingly, the individual’s consent to such sharing 
may be implied.  As set out above, fair processing notices are required and the nature of the 
sharing will be communicated to the people of Bolton by a variety of means, and all persons will 
have the opportunity to opt-out; 
7.4.2  Explicit consent will be sought by a partner before accessing a person’s care record and any 
associated shared care plan. The consent sought will cover accessing the care record and any 
associated care plan and sharing it with other providers of healthcare to that individual.  
Although there is duty to share information this can only take place on the basis of explicit 
consent; 
7.4.3  All data in the De-identified Dataset and shared with partners will be de-identified.  The Host 
organisation, acting as Data Processor, will be obliged to ensure that the data is de-identified to 
the Information Standards Board Standard for Health Data (ISB 1523), published at 
http://content.digital.nhs.uk/isce/publication/isb1523.  Any partners accessing the De-identified 
Dataset (and any contractors acting on their behalf) are obliged not to seek to re-identify data in 
the De-identified Dataset, and not to use the data to identify any individual or make any 
decisions relating to any individual. 
7.4.4  All data in the Pseudonymised Dataset and shared with partners will be de-identified but capable 
of being re-identified where patient safety or healthcare requirements dictate an intervention is 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 13 
 
required.  The Host organisation, acting as Data Processor, will be obliged to ensure that the data 
is de-identified to the Information Standards Board Standard for Health Data (ISB 1523), 
published at http://content.digital.nhs.uk/isce/publication/isb1523.  Any partners accessing the 
De-identified Dataset (and any contractors acting on their behalf) and seeking to re-identify data 
in the Pseudonymised Dataset, must ensure that they have a legal right or explicit consent to do 
so e.g. outbreak management or where there is a clearly defined overriding clinical need. 
Data Quality 
8.1 The partners agree to establishing and maintaining processes to support high quality, accurate and up to 
date data. Ideally this will be at the point of creation and applicable throughout the management of the 
information’s lifecycle. 
8.2 The partners agree to implement information standards applicable to their organisation or information 
system including connections with national systems to ensure currency of the data is maintained. 
Information Security 
9.1 In accordance with the requirements of the Data Protection Act all partners will take appropriate 
technical, security and organisational measures against unauthorised processing of personal data and 
against accidental loss or destruction or damage. 
9.2 Partners that are required to complete the Information Governance Toolkit, must achieve and maintain 
level 2 compliance.  For partners not required to complete the toolkit then they must complete ISO 
27001 series of standards, PSN Code of Connection or other suitable information handling standards. 
9.3 The partners should obtain independent assurance regarding their applicable information handling 
compliance. 
9.4 The partners will each maintain appropriate policies and procedures to ensure the information security 
and confidentiality of the PCD is maintained to the standards obligated on each partner 
9.5 The partners will each maintain an Information Asset Register (IAR) and any assets used to process 
shared data must be suitably recorded on that register with accompanying risk assessments. 
9.6 The partners will ensure that all electronic mobile devices, removable media or electronic transfers used 
to process PCD e.g. laptops, tablets, USB / memory sticks, smart phones, optical media, secure email etc. 
is suitably encrypted to NHS Digital or other appropriate legal requirements. 
9.7 The partners will ensure that all access to PCD is limited to only authorised staff and use a role based 
access or equivalent methodology. 
9.8 The partners will ensure that all users of a system have been adequately trained in the systems use. 
9.9 The partners will establish and maintain incident reporting procedures as required by NHS Digital and in 
accordance with their ‘Checklist Guidance for Reporting, Managing and Investigating Information 
Governance and Cyber Security Serious Incidents Requiring Investigation’ including ‘near misses’ 
situations. 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 14 
 
9.10 
The partners will inform each party to this agreement where the breach involves shared information 
that has been received from the respective partners. 
9.11 
The method(s) of transfers in accordance with this agreement are detailed in Appendix 4. 
Business Continuity 
10.1 
The partners will ensure regularly maintained and tested business continuity plans are in place for 
all information assets used to process information under this agreement. 
10.2 
The partners will ensure that business continuity plans adequately link with key roles in their 
organisation responsible for Information risk and governance and continuity processes are clearly 
understood by staff. 
Data Retention & Disposal 
11.1 
Each partner shall ensure that PCD for which it is data controller is retained in accordance with its 
own data retention policy.    
11.2 
The partners will ensure disposal of shared information is undertaken in a secure and confidential 
manner and in accordance with their respective policies and procedures. 
11.3 
The partners agree, subject to any applicable legislation, to make unavailable or dispose in 
accordance with record retention requirements, any shared information if another signatory partner has 
determined this to be a suitable course of action required.  
11.4 
If a partner organisation ceases to participate in the BCR, that partner’s data will be made 
unavailable to view and retained in accordance with records management requirements. 
11.5 
Data that is generated within the BCR, including audit trails, access logs, etc., are retained for a 
minimum of eight years in accordance with the NHS Records Management Code of Practice for Health 
and Social Care (2016). Please note that there are exceptions to the eight years minimum and these can 
be found within the Code of Practice. 
Method of Update 
12.1 
An initial data upload is extracted and processed for inclusion in the BCR.  This is retained as a delta 
feed. Changes to that data are replaced through real time or subsequent data feeds. 
12.2 
If an individual chooses to opt out, where a shared care record has already been created, the 
relevant partner will flag their record for exclusion and the data will be hidden from view.  This provides 
flexibility to reinstate the record quickly if the individual should change to be their mind and opt back in. 
12.3 
Shared care plans are created and maintained within the BCR and are not transferred to any other 
system, organisation or person. Access to the shared care plan is only available for direct care purposes 
and where explicit consent has been provided. 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 15 
 
Method of Transfer and Storage of Shared Information 
13.1 
All partners to this agreement are responsible for ensuring the accuracy, completeness and validity 
of the PCD and that appropriate security and confidentiality procedures are in place to protect the 
transfer and use of the shared PCD.  These obligations are set out in more detail in clauses 13.5 to 13.13 
below. 
13.2 
All partners to this agreement are required to keep and maintain information asset registers, data 
flow mapping and data sets. These obligations are set out in more detail in clauses 13.8 to 13.16 below. 
13.3 
All partners to this agreement are required to restrict access to the PCD shared under this 
agreement to those personnel/staff who have a reasonable need to access it for the Permitted Purpose 
and who are under written obligations to respect and maintain the confidentiality and security of the 
PCD. These obligations are set out in more detail in clauses 13.8 to 13.16 below. 
13.4 
As each partner is a data controller in its own right, each shall be responsible for handling any 
subject access request made under section 7 of the Data Protection Act. Additionally, each partner shall 
assist the others in responding to any such request or other request made under Data Protection 
Legislation made by persons who wish to access copies of information held about them, in accordance 
with clause 13 of the Information Sharing Protocol. 
13.5 
Complaints about information sharing conducted further to this agreement shall be routed through 
each partner's own complaints procedure but reported to the other partners' Responsible Managers 
listed in clause 5.1 of this agreement and brought to the attention of the Information Governance 
Group. 
13.6 
The partners shall use all reasonable endeavours to work together to resolve any dispute or 
complaint arising under this agreement or any data processing carried out further to it.  
13.7 
Basic details of this agreement shall be included in the appropriate log under each partner’s 
Publication Scheme. 
Information Governance and Security  
13.8 
Subject to clause 13.10, each partner shall comply with IGT requirements 110, 111 and 112, and 
make it a condition of employment that all employees, agents or contractors who may access the BCR 
shall abide by the rules and policies of that partner in relation to information governance. This condition 
shall be written into employment and other contracts and each partner shall make staff aware that any 
failure to comply with the requirements outlined in this agreement is likely to be subject to disciplinary 
action. 
13.9 
Subject to clause 13.10, each partner shall comply with: 
13.9.1 
Level 2 of the then current IGT as appropriate to its organisation type and adhere to robust 
information governance management and accountability arrangements, including effective 
security event reporting and management; and 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 16 
 
13.9.2 
The IGT assessment, reporting and audit requirements relevant to its organisation type. Each 
partner shall internally audit its compliance annually and report on such audit to the 
Information Governance Group. Audit of BCR Record access will be carried out regularly.  
Each partner shall provide other evidence of compliance to the Information Governance 
Group or the other partners on written request made on behalf of the Information 
Governance Group. 
13.10  Any partner which is a non-NHS organisation and unable to comply with the IGT shall obtain prior 
written approval from the Information Governance Group to adopt an alternative, but equivalent 
standard to the IGT. 
Access to the Bolton Care Record 
13.11  Each partner shall strictly restrict internal organisational access to any care record or associated SCP 
to those personnel/staff who are providing direct care to the relevant person(s) and who are under 
written obligations to respect and maintain the confidentiality and security of the PCD and have been 
properly trained to discharge any relevant obligations in accordance with this agreement. 
13.12  Each partner shall use user authentication mechanisms to ensure that all instances of access to any 
care record or associated SCP are auditable against an individual, including the following information: 
  Job role and name of staff member accessing the system; 
  Organisation name; 
  What actions were performed; and 
  The date and time the information was viewed. 
13.13  Each partner shall have established procedures in place to ensure that only authorised persons 
access any care record or associated SCP and ensure that such access is controlled by secure logins and 
associated audit trails. 
13.14  Each partner shall have established procedures in place to ensure the immediate removal of an 
individual user’s access to the shared care record and any associated SCP, in the event of access being 
no longer appropriate. 
13.15  Each partner shall have documented policies and procedures to ensure compliance with the national 
requirements for data protection, information security and confidentiality and be committed to 
ensuring that any information is shared in accordance with its legal, statutory and common law duties, 
and, that it meets the requirements of any additional guidance. 
13.16  Any partner that becomes aware of a security incident shall immediately inform the Head of IT at 
Bolton CCG and all other affected partners with as many details as are known at that time. Any affected 
partner (defined as the data controller of the PCD) shall investigate the security incident using that 
partner's data loss or data breach procedures. Any affected partner shall update the relevant partners 
and Information Governance Group thereafter, including in respect of the findings of any subsequent 
investigation report or remedial actions. 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 17 
 
Method for Sharing Information  
13.17  All data transfers will be in accordance with Secure File Transfer Protocols within the N3 network 
and/or in accordance with NHS Digital Good Practice Guidelines. 
Rights of Individuals 
14.1 
The partners will comply with the rights of individuals in accordance with the principles of the Data 
Protection Act, Freedom of Information Act and other legislation applicable to their organisation. 
14.2 
The partners will ensure that privacy notices detail contact details for handling requests for 
information from individuals. 
14.3 
The partners agree to giving due consideration in liaising with other signatory partners prior to 
disclosing shared information unless legislation applicable to the receiving partner requires disclosure in 
which case the partner should notify other partners of their disclosure intentions. 
14.4 
Contact details for DPA and / or FOI purposes can be found in Appendix A. 
Agreement / Review / Termination 
15.1 
This ISA will be reviewed every two years from the date of issue or as part of a business change 
process. 
15.2 
Any disputes, disagreements between partners or revisions to the agreement shall be resolved by 
discussion between the Responsible Officers recorded at Appendix A. 
15.3 
No partner accepts any responsibility for failure by any other partner subject to this agreement. This 
agreement shall not imply or confer any form of joint and / or several liabilities between the partners. 
15.4 
A partner’s participation in this agreement may be terminated by the partner giving 30 day’s written 
notice to the other partners. Such notifications shall be addressed to each responsible officer recorded 
at Appendix 2. On termination of the agreement by any partner any information in the possession of the 
terminating partner received from another partner to the agreement will delete or return that 
information to the organisation that supplied it, unless the information has to be retained for legal 
purposes applicable to the terminating partner. 
15.5 
This agreement and any amendments will come into effect on the date that responsible officers sign 
the agreement on behalf of two or more partners. 
Indemnity / Sanctions 
16.1 
Each partner shall be responsible for its own acts or omissions. 
16.2 
Nothing in this agreement shall limit liability for death or personal injury resulting from negligence 
or for fraud. 
16.3 
Where a partner discloses inaccurate information which subsequently incurs liability, cost or 
expense, the disclosing partner will indemnify the receiving partner(s) against such liability, cost or 
expenses incurred. 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 18 
 
16.4 
The indemnity only applies to inaccurate information created solely by the disclosing partner. If the 
inaccurate information originated from another organisation or was influenced by information from 
another organisation then the disclosing partner does not indemnify the receiving partner(s) against any 
liabilities, costs or expenses incurred. 
16.5 
This indemnity however should not apply in cases where the receiving partner has been negligent in 
the use of received information, makes an admission that may prejudice defence of the action, claim or 
demand, or reaches a settlement with the disclosing partner. 
16.6 
No partner will be liable for any financial loss or other damages incurred by other partners or third 
parties as a result of any information being wrongly disclosed by another partner or as a result of any 
negligent act or mission by another partner. 
16.7 
Where a breach has occurred by an individual working for or under contract to a partner then the 
partner responsible for that individual’s employment will be responsible for pursuing appropriate action 
against the individual in accordance with their policies and procedures. 
The De-Identified Dataset  
17.1 
Partners may access the De-identified Dataset, provided that no partner shall:  
17.1.1 
Attempt to re-identify any data contained within the De-identified Dataset; 
17.1.2 
Use any data contained within the De-identified Dataset to identify any individual; 
17.1.3 
Use any data contained within the De-identified Dataset to take a decision about any 
specified individual or individuals; 
17.1.4 
Share data contained within the De-identified Dataset with any third party, apart from a 
third party engaged by a partner to act on behalf of that partner, for the sole purpose of that 
third party acting on behalf of that partner, and where that third party is subject to 
contractual terms no less onerous than those imposed on partners by this agreement; 
17.1.5 
Link data in the De-identified Dataset with any other dataset containing personal data; or 
17.1.6 
Sell or otherwise exploit for commercial gain or reward any information contained in the De-
identified Dataset. 
17.2 
Bolton CCG as a partner may only use or allow any data contained within the De-identified Dataset 
to be used in connection with that CCG Partners' statutory functions as a commissioner of health care.  
17.3 
A partner which is a local authority may only use or allow any data contained within the De-
identified Dataset to be used in connection with that partner's statutory functions as a provider or 
commissioner of health and/or social care. 
17.4 
A partner (other than a local authority) may only use or allow any data contained within the De-
identified Dataset to be used in connection with that partner's statutory functions as a provider of 
health and/or social care. 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 19 
 
The Pseudonymised Dataset  
18.1 
Partners may access the Pseudonymised Dataset, provided that the partner shall: 
18.1.1 
Have the legal right to do so and has obtained consent where this is possible; 
18.1.2 
The access is for one of the permitted purposes; 
18.1.3 
Agree not to share data contained within the De-Pseudonymised Dataset with any third 
party, apart from a third party engaged by a partner to act on behalf of that partner, for the 
sole purpose of that third party acting on behalf of that partner, and where that third party 
is subject to contractual terms no less onerous than those imposed on partners by this 
agreement; 
18.1.4 
Sell or otherwise exploit for commercial gain or reward any information contained in the 
Pseudonymised Dataset. 
18.2 
Bolton CCG as a partner may only use or allow any data contained within the De-identified Dataset 
and the Pseudonymised Dataset to be used in connection with that CCG Partners' statutory functions as 
a commissioner of health care except for those departments within the CCG which provide direct care.  
18.3 
A partner which is a local authority may only use or allow any data contained within the De-
identified Dataset and the Pseudonymised Dataset to be used in connection with that partner's 
statutory functions as a provider or commissioner of social care.  
18.4 
A partner (other than a local authority) may only use or allow any data contained within the De-
identified Dataset and the Pseudonymised Dataset to be used in connection with that partner's 
statutory functions as a provider of health and/or social care. 
Information Governance Group 
19.1 
There shall be an Information Governance Group for this agreement. 
19.2 
The purpose of the Information Governance Group is to oversee, support and maintain the secure 
sharing of information under this agreement. 
19.3 
The Information Governance Group shall comprise: 
19.3.1   relevantly qualified individuals from each of the partner organisations e.g. Caldicott Guardian, 
Senior Information Risk Owner (SIRO) or IG Lead; 
19.3.2  a maximum of four clinical or non-clinical representatives from primary care. 
19.4 
Each individual member of the Information Governance Group shall act in accordance with his or 
her ethical and professional obligations. 
19.5 
The Information Governance Group shall meet at least every three months or at such other interval 
as the group shall determine. 
19.6 
The Information Governance Group shall appoint a Chair, and one or more individuals to receive and 
distribute communications on its behalf, and to deal with urgent matters that arise between scheduled 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 20 
 
meetings of the Information Governance Group.  The Information Governance Group may not, however, 
delegate decision-making responsibility. 
19.7 
The Information Governance Group will act in accordance of the Terms of Reference for the group 
as agreed by the BCR Programme Board. 
19.8 
Information Governance Group decisions shall be taken by consensus.  Before any decision is taken 
by the Group, those taking the decision shall satisfy themselves that they are authorised to do so (i.e. 
where relevant at IG lead / Caldicott Guardian /SIRO level) by those they represent. 
19.9 
If consensus on any decision cannot be reached, then the matter for decision will be referred, with 
Chairs recommendation, to the BCR Programme Board for consideration. 
19.10  The Information Governance Group shall have the following powers and responsibilities: 
19.10.1  to monitor and approve the ways in which information is used pursuant to the Permitted 
Purposes set out in this agreement; 
19.10.2  to maintain an information conduit between the partners; 
19.10.3  to maintain a channel of liaison with pan-Greater Manchester information sharing initiatives 
and relevant NHS and local authority national initiatives; 
19.10.4  to receive, understand and act accordingly in response to any investigation of breaches of the 
agreement and require partners to take remedial actions; 
19.10.5  to monitor each partner’s compliance with this agreement. The Information Governance Group 
may request evidence of compliance with this agreement on written request to any partner; 
19.10.6  to approve any proposed amendment to the information sharing arrangements (including for 
the avoidance of doubt any major system upgrades or changes that could impact the security of 
the system); 
19.10.7  to review and maintain the agreement to ensure that it reflects any legal and statutory 
obligations and any other related best practice guidance in relation to information governance. 
19.11  The Information Governance Group may approve the following things provided that the 
requirements of clause 19.11 are met: 
19.11.1  the use of data for other purposes related to the purposes of this agreement; 
19.11.2  amendments to this agreement; 
19.11.3  the appointment of any new sub-contractor. 
19.12  The process that must be followed for approving any of the things listed in clause 19.11 is: 
19.12.1  all partners must be made aware of the proposal (at IG lead / Caldicott Guardian / SIRO level) 
and given reasonable opportunity to consider, comment upon and object to the proposal.  The 
period for consideration will be two weeks unless the Information Governance Group decides 
that it is reasonable to set a longer or shorter period; 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Agreement 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 21 
 
19.12.2  the Information Governance Group must consider any comments and/or objections received 
pursuant to clause 19.12.1.  Having done so: 
(a)  if the Information Governance Group is satisfied that the action proposed is lawful and will 
not materially increase the risk of a breach of the Data Protection Legislation arising from 
the arrangements provided for in this Agreement, the Governing Group may approve the 
proposal and it may be implemented immediately; or  
(b)  the Information Governance Group may decide to re-circulate the same or a revised 
proposal to all partners in accordance with clause 19.12.1, then re-consider the proposal in 
accordance with this clause 19.12.2. 
19.13  Any partner that does not agree with an action approved by the Information Governance Group 
pursuant to clause 19.12.2 may request the decision be escalated to the BCR Programme Board for 
consideration. 
Notices 
20.1 
All notices that are required to be given under this agreement shall be in writing and shall be sent to 
the address of the partner(s) set out in the relevant executed Signature Page. 
Entire Agreement 
21.1 
This agreement and its appendices (including the Information Sharing Protocol) constitutes the 
entire agreement relating to its subject matter and supersedes all previous verbal or written proposals 
and agreements between the partners. 
Counterparts 
22.1 
This agreement may be executed in any number of counterparts, each of which shall be regarded as 
an original, but all of which together shall constitute one agreement binding on all of the parties, 
notwithstanding that all of the partners are not signatories to the same counterpart. 
22.2 
The agreement shall not be effective until at two signatories has executed a counterpart. 
22.3 
Any partner, which executes a counterpart after the commencement date, shall be bound by the 
terms of this agreement from the date of that partner's signature. 
Status, Governing Law and Jurisdiction 
23.1 
To the extent that this agreement governs arrangements between data controllers it shall be 
governed by the laws of England and Wales, and the English courts shall have exclusive jurisdiction to 
settle any dispute or claim that arises out of or in connection with it or its subject matter or formation.  
23.2 
To the extent that clause 23.1 does not apply, this agreement is a non-legally binding memorandum 
of understanding between its partners. 
 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Framework 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 22 
 
APPENDIX 1 – Host Organisation Details 
The organisation named has agreed to act as Host (Data Processor) for the Bolton Care Record.  A Data Processing Agreement <detailed reference> has 
been established between all partners to this agreement and the host organisation. 
 
Host Organisation:  NHS Oldham CCG (as the legal entity under which Greater Manchester Shared Services operates) 
Responsible Officer Signing 
Position / Contact details 
Date 
Signature 
 
 
 
 
Contact details for DPA / FOI Purposes 
Area  Responsible Officer 

Position / Contact Details 
DPA 
 
 
FOI 
 
 
Relevant Departments / Service Manager Leads sharing or receiving information 
Service Name 

Responsible Officer 
Position / Contact Details 
Flow Role 
 
 
 
<Sender, Receiver> 
 
 
 
 
 
 
 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Framework 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 23 
 
APPENDIX 2 – Participant Organisation Details 
 
For each partner which is not a GP practice the table should be signed by the Caldicott Guardian, SIRO or Responsible Officer. For each GP practice, the 
table should be completed and signed by a GP partner in the practice who is authorised to sign it on behalf of all the other GP partners in the practice. 
 
Partner Name: <Name of Organisation> 
Name – Responsible Officer Signing 
Position / Contact details 
Date 
Signature 
 
 
 
 
Contact details for DPA / FOI Purposes 
Area  Responsible Officer 

Position / Contact Details 
DPA 
 
 
FOI 
 
 
Relevant Departments / Service Manager Leads sharing or receiving information (if applicable) 
Service Name 

Responsible Officer 
Position / Contact Details 
Flow Role 
 
 
 
<Sender, Receiver> 
 
 
 
 
 
This page should be printed, signed, scanned and returned to xxxxxx.xxxxxxxxxx@xxx.xxx 
 
Bolton Care Record – Information Sharing Agreement: 12/01/2017 – Page Number 24 of 30. 
 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Framework 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 24 
 
APPENDIX 3 – Data Sources and Categories 
GP Data Extraction 
 
Data to be extracted from GP clinical systems will be comprised of the following categories of Read coded data items, subject to the data items not being 
included in the agreed Read code filter list. 
 
Active Problems 
Diabetes Diagnosis 
Medication issues 
Physiology Function Tests 
Administration 
ECG Pulmonary 
Microbiology 
Pregnancy, Birth & Post Natal 
Alcohol Exercise And Diet 
Encounters 
Obstetric procedures 
Recent Tests 
Allergy 
Family History 
Operations 
Referrals And Admissions 
Blood chemistry 
Full Problems List 
OTC Prophylactic Therapy 
Repeat Medication 
Blood Pressure 
Glucose/HbA1c 
Other Cytology/Pathology 
Smoking 
Cervical Cytology 
Haematology 
Other Diagnostic Procedures 
Social History 
Child Health 
Height and Weight 
Other Investigations 
Unmatched 
Chronic Disease Monitoring 
Imaging 
Other Preventative Procedures 
Urinalysis 
Contraception and HRT 
Investigations Admin 
Other Therapeutic Procedures 
Vaccination And Immunisation 
Contraindications 
Medication Administration 
Past Problems 
 
 
 
 
 
 
 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Framework 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 25 
 
 
NHS Bolton Foundation Trust 
 
Data to be extracted from clinical systems will be comprised of the following categories 
 
MPI 
Theatre Visits 
Alerts 
Waiting Lists 
Orders/Results 
Contacts 
ADT 
Reports 
Diagnoses 
Referrals 
Medications 
Procedures 
Appointments 
Correspondence 
Involved Professionals 
A&E Attendances 
Clinical Summary 
 
 
 
Greater Manchester Mental Health NHS Foundation Trust 
 
Data to be extracted from clinical systems will be comprised of the following categories 
 
MPI 
Alerts 
Waiting Lists 
Contacts 
Referrals 
Diagnoses 
Medications 
Procedures 
Correspondence 
Involved Professionals 
Clinical Summary 
Care Plans 
 
 
 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Framework 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 26 
 
 
Bolton Council – Social Care (Adult) 
 
Data to be extracted from social care system will be comprised of the following categories 
 
MPI 
Involved Professionals 
Care Plans 
Referrals 
Services 
Appointments 
Contacts 
 
 
 
Bolton Council – Social Care (Child) 
 
Data to be extracted from social care system will be comprised of the following categories 
 
MPI 
Involved Professionals 
Care Plans 
Referrals 
Services 
Appointments 
Contacts 
 
 
 
 
 
 
 
 
Public 
 

 
Document Control 
Reference:  
Information Sharing Framework 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 27 
 
APPENDIX 4 – Information Flows 
 
 
Organisation 
Information Feed 
Information Access 
Edit Shared Care Plan 
Bolton GP Practices 
Yes 
Yes 
Yes 
Bolton NHS Foundation Trust 
Yes 
Yes 
Yes 
Bolton GP Partnership Limited (GP Federation) 
No 
Yes 
Yes 
Bolton Council (Adult Social Care) 
Yes 
Yes 
Yes 
Bolton Council (Child Social Care) 
Yes 
Yes 
Yes 
Greater Manchester Mental Health NHS Foundation Trust 
Yes 
Yes 
Yes 
BARDOC Limited (Out of Hours) 
No 
Yes 
Yes 
Bolton Hospice 
No 
Yes 
Yes 
Bolton Clinical Commissioning Group (defined services) 
No 
Yes 
Yes 
North West Ambulance Service 
No 
Yes 
Yes 
 
 
 
 
Public 
 


 
Document Control 
Reference:  
Information Sharing Framework 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 28 
 
APPENDIX 5 – Schematic and Dataflow Diagrams 
 
 
 
 
Public 
 


 
Document Control 
Reference:  
Information Sharing Framework 
Issue No: 1.0 (Final) 
Issue Date: 12/01/2017 
Page: 29 
 
 
 
 
 
Public