This is an HTML version of an attachment to the Freedom of Information request 'GDPR & the Hampshire Health Record/CHIE'.


 
 
Informatics Directorate 
Freedom of Information Officer 
Old Nurses Home 
Mailpoint 79 
Southampton General Hospital 
Tremona Road 
Southampton  
SO16 6YD 
 
Tel: 023 8120 5079 
  
To
Dr Neil Bhatia (via email only)   
 [xxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxxxxxxxx.xxx]  
 
 
 
 
 
Ref:   
Freedom of Information Request 
Our Ref: 
FOI 5236 
Date:   
4th May 2018 
 
 
Dear Neil, 
 
I am writing in response to your email dated 25th April 2018 requesting information under the Freedom 
of Information Act 2000 (FOIA) regarding GDPR and CHIE. 
 
Q1 
Please could you tell me which lawful basis, as set  out in Article 6 of the GDPR, will 
*your*  organisation  be  relying  upon  to  enable  processing  of  personal  data  for  direct 
care purposes?
 
 
 
A1 
The lawful basis, as set out in Article 6 of the GDPR is as follows: 
 

6(1)(c) – Processing is necessary for compliance with a legal obligation 
6(1)(e) - Processing is necessary for the performance of a task carried out 
in the public interest  or  in the exercise of official authority  vested in the 
controller 
In some emergency medical situations this basis would also apply 
6(1)(d)  –  Processing  is   necessary  to  protect the  vital interests  of  a data 
subject or another person 

 
Because this is special category data a reason is also required under  Article 9, 
which is:  

9(2)(h)  processing  is  necessary  for  the  purposes  of  preventive  or 
occupational medicine, for the assessment of the working capacity of the 
employee,  medical  diagnosis,  the  provision  of  health  or  social  care  or 
treatment  or  the  management  of  health  or  social  care  systems  and 
services  on  the  basis  of  Union  or  Member  State  law  or  pursuant  to 
contract  with  a  health  professional  and  subject  to  the  conditions  and 
safeguards referred to in paragraph 3; 
 
These  are  the  lawful  basis  on  which  UHS  will  be  processing  the  relevant 
information.    
 
For further information on your rights under the Freedom of Information Act please visit our website at 
http://www.uhs.nhs.uk/AboutTheTrust/FreedomOfInformation or the Information Commissioner’s Office website at 
http://www.ico.gov.uk 
 
 
 
Page 1 of 4 
www.uhs.nhs.uk 

 
 
 
Q2 
Please could you provide me with the procedure that patients must follow in order to 
express their right to object to such processing (as is their right under Article 21 
 
 Please could you provide me with: 
 

a)  the form that they must fill in, or a description of the information that you require 
from them in order to process their objection 
 

b)   to whom they must send their objection (e.g. department, address or email 
address) 
 
c)  confirmation that patients will not simply be told to "go and see your GP" when 
expressing their right to object (i.e. that *you*, as the data controller, will deal 
with their objection as per Article 21 and Recital 69) 

 
d)  confirmation that any upheld objection will ensure that no data about the patient 
will be extracted and uploaded to the HHR by your organisation, yet still 
allowing the patient to have a HHR consisting of records derived from the other 
contributing organisations (including their GP practice) 

 
e)  any such policy that you have that, in part or whole, details how HHR "right to 
object" expressions for direct care will be managed by *your* organisation 
 
A2 
 
a)  This process is operated by the South, Central and West Commissioning 
Support Unit in their role as data processor to UHS as data controller. 
The  process  and  forms  are  published  and  publicly  available  online. 
Please use the following weblink: 
http://www.careandhealthinformationexchange.org.uk/find-out-more/ 
 
b)  As above, this information is already published and publicly available via 
the above link. 
 

c)  Information not held. Your interpretation of Recital 69 is simply your own 
opinion of what should or might be said to patients. 
 
d)  Information not held. As above. 
 
e)  This process is operated by the South, Central and West Commissioning 
Support Unit in their role as data processor to UHS as data controller. 
The  process  is  published  and  publicly  available  online.  Please  use  the 
following weblink: 
http://www.careandhealthinformationexchange.org.uk/find-out-more/ 
 
This is the only policy that UHS hold. 
 

 
 
Q3 
Please could you tell me which lawful basis, as set  out in Article 6 of the GDPR, will 
*your* organisation be relying upon to enable processing (extraction and uploading) of 
personal data for secondary uses?
 
 
 
A3 
This is explained in the following: 
http://www.careandhealthinformationexchange.org.uk/wp-
content/uploads/2018/04/CHIE-Review-of-Procedures-Compliance-with-

For further information on your rights under the Freedom of Information Act please visit our website at 
http://www.uhs.nhs.uk/AboutTheTrust/FreedomOfInformation or the Information Commissioner’s Office website at 
http://www.ico.gov.uk 
 
 
 
Page 2 of 4 
www.uhs.nhs.uk 

GDPR_V5-1.pdf 
 
These  are  the  lawful  basis  on  which  UHS  will  be  processing  the  relevant 
information
.    
 
 
 
Q4 
Please could you tell me which lawful basis, as set  out in Article 9 of the GDPR, will 
*your* organisation be relying upon to enable processing (extraction and uploading) of 
special category data for secondary uses?
 
 
 
A4 
This is explained in the following: 
http://www.careandhealthinformationexchange.org.uk/wp-
content/uploads/2018/04/CHIE-Review-of-Procedures-Compliance-with-
GDPR_V5-1.pdf 
 
These  are  the  lawful  basis  on  which  UHS  will  be  processing  the  relevant 
information
.    
 
 

 
 
Q5 
Please could you provide me with the procedure that patients must follow in order to 
express their right to object to such secondary uses processing (as is their right under 
Article 21). 
 
Please could you provide me with: 
 
a) the form that they must fill in, or a description of the information that you require 
from them in order to process their objection 
 
b) to whom they must send their objection (e.g. department, address or email address) 
 
c) confirmation that patients will not simply be told to "go and see your GP" when 
expressing their right to object (i.e. that *you*, as the data controller, will deal with their 
objection as per Article 21 and Recital 69) 
 
d) any such policy that you have that, in part or whole, details how HHR "right to 
object" expressions for secondary uses will be managed by *your* organisation
 
 
 
A5 
 
a)  This  process  is  operated  by  the  South,  Central  and  West 
Commissioning Support Unit in their role as data processor to UHS as 
data  controller.  The  process  and  forms  are  published  and  publicly 
available online. Please use the following weblink: 

http://www.careandhealthinformationexchange.org.uk/find-out-more/ 
 
b)  This process is operated by South, Central and West Commissioning 

Support Unit  in their role as data processor to UHS as data controller. 
The process is published at:  

http://www.careandhealthinformationexchange.org.uk/find-out-more/ 
 
 
c)  Information not held. 
 
d)  This process is operated by South, Central and West Commissioning 
Support Unit  in their role as data processor to UHS as data controller. 
For further information on your rights under the Freedom of Information Act please visit our website at 
http://www.uhs.nhs.uk/AboutTheTrust/FreedomOfInformation or the Information Commissioner’s Office website at 
http://www.ico.gov.uk 
 
 
 
Page 3 of 4 
www.uhs.nhs.uk 

The process is published at:  
           http://www.careandhealthinformationexchange.org.uk/find-out-more/ 
 
 
 
This letter confirms the completion of this request.  A log of this request will be held on a database 
held by the Trust.   
 
 
With regards, 
 
 
 
Freedom of Information Officer 
University Hospital Southampton NHS Foundation Trust 
For further information on your rights under the Freedom of Information Act please visit our website at 
http://www.uhs.nhs.uk/AboutTheTrust/FreedomOfInformation or the Information Commissioner’s Office website at 
http://www.ico.gov.uk 
 
 
 
Page 4 of 4 
www.uhs.nhs.uk