This is an HTML version of an attachment to the Freedom of Information request 'GDPR & the Hampshire Health Record/CHIE'.


 
 
 
 
 
Care and Health Information Exchange 
Compliance Review with General Data Protection 
Regulations  
 
 

Document Control Sheet 
Version 
1.1 
Status 
Published 
Author 
Peter Cambouropoulos 
Date Created 
13/12/16 
Date Last Updated 
19/01/18 
History 
Version 
Date 
Author(s) 
Comments 
0.1 
13/12/16 
PC 
Created 
0.2 
30/05/17 
PC 
Updated to reflect changes to DSA etc 
0.3 
10/07/17 
PC 
Compliance review with GDPR 
0.3.1 
27/07/17 
PC 
Updated to incorporate comments from GDPR 
expert  
0.4 
10/01/18 
PC 
Updated to clarify legal basis for CHIA 
0.5 
19/01/18 
PC 
Final Draft issued to CHIE Information Governance 
Group for approval  
1.0 
01/02/18 
PC 
Submitted to CHIE IG Group 
1.1 
15/02/18 
PC  
Minor corrections in line with CHIE IG Group 
Published to CHIE Website 
Contact Details 
Main points of 
Telephone number 
Email address 
contact 
P. Cambouropoulos 
07966841482 
xxxxxx@xxx.xxx 
 
 

link to page 1 link to page 1 link to page 5 link to page 6 link to page 7 link to page 8 link to page 9 link to page 9 link to page 10 link to page 10 link to page 11 link to page 14 link to page 14 link to page 15 link to page 15 link to page 16 link to page 17 link to page 17 link to page 17 link to page 18 link to page 18 link to page 19 link to page 19 link to page 19 link to page 19 link to page 20 link to page 20 link to page 21 link to page 22 Contents 
Care and Health Information Exchange .......................................................................................... 1 
Compliance Review with General Data Protection Regulations ..................................................... 1 

Purpose .................................................................................................................................... 5 

Overview of Patient Information Flows .................................................................................. 5 
2.1 
Data Sharing Architecture ................................................................................................ 6 
2.2 
Data Categories ................................................................................................................ 7 
2.3 
Physical Architecture ....................................................................................................... 8 
2.4 
Governance and Data Ownership .................................................................................... 8 
2.5 
Contractual Ownership .................................................................................................... 9 

GDPR Principles ..................................................................................................................... 10 
3.1 
processed lawfully, fairly and in a transparent manner in relation to individuals ........ 10 
3.2 
Article 6: Lawfulness ...................................................................................................... 13 
3.3 
Article 9: Processing of special categories of personal data .......................................... 14 
3.4 
Legal Basis for processing data for clinical care (CHIE) .................................................. 14 
3.4.1 
GDPR Section 6 ...................................................................................................... 14 
3.4.2 
GDPR Section 9 Special Categories of Data ........................................................... 15 
3.5 
Legal Basis for processing data for Analysis (CHIA) ....................................................... 16 
3.5.1 
GDPR Section 6 ...................................................................................................... 16 
3.5.2 
GDPR Section 9 Special Categories of Data ........................................................... 17 
3.5.3 
“Section 251” ......................................................................................................... 17 

Individual's Rights under GDPR ............................................................................................. 18 
4.1 
The right to be informed ................................................................................................ 18 
4.2 
The right of access ......................................................................................................... 18 
4.3 
The right to rectification ................................................................................................ 19 
4.4 
The right to erasure ....................................................................................................... 19 
4.5 
The right to restrict processing ...................................................................................... 20 
4.6 
The right to data portability ........................................................................................... 20 
4.7 
The right to object .......................................................................................................... 20 
4.7.1 
Dissent from Secondary use .................................................................................. 21 

link to page 23 link to page 24 link to page 25 link to page 25 link to page 25 link to page 25 link to page 25 link to page 25 link to page 25 link to page 25 link to page 26 link to page 32 link to page 32 link to page 32 4.7.2 
Explicit consent ...................................................................................................... 22 
4.8 
Rights in relation to automated decision making and profiling..................................... 23 
Appendix 1: Security and Confidentiality Protocol ....................................................................... 24 
Appendix 2: Data pseudonymisation for CHIA process ................................................................. 24 
Appendix 3: Data Sharing Agreement Templates and Acceptable use agreement ...................... 24 
Appendix 4: CHIE IG Group Terms of Reference ........................................................................... 24 
Appendix 5: Fair Processing materials ........................................................................................... 24 
Posters for GP and other settings .............................................................................................. 24 
Advert for local press ................................................................................................................. 24 
Patient Leaflet ........................................................................................................................... 24 
Appendix 6: Legislative Framework............................................................................................... 25 
Appendix 7: Standard Operating Procedures ................................................................................ 31 
Appendix 8: Opt-Out code implementation .................................................................................. 31 
Appendix 9: Exclusion Codes ......................................................................................................... 31 
 
 
Abbreviation 
Meaning 
AUA 
Acceptable use agreement 
CHIE 
Care and Health Information Exchange 
CHIA 
Care and Health Information Analytics 
CCG 
Clinical Commissioning Group 
DOH 
Department of Health 
DSA 
Data sharing agreement 
DSCRO 
Data Services for Commissioners Regional Offices 
GP 
General Practice 
HCC 
Hampshire County Council 
HHFT 
Hampshire Hospitals Foundation Trust 
HHR 
Hampshire Health Record 
HHRA 
HHR Analytics 
HHRIGG  
HHR Information Governance Group 
PHT 
Portsmouth Hospitals Trust 
SCW CSU 
South Central and West Commissioning support unit 
SHFT 
Southern Health Foundation Trust 
Solent 
Solent Healthcare Trust 
UHS 
University Hospital Southampton Foundation Trust 
RBAC 
Role Based Access Control 
 
 

link to page 24 1  Purpose 
This document is a review of the compliance of the Care and Health Information Exchange 
(CHIE) also known by its previous name, the Hampshire Health record (HHR). As of the date of 
this document, the process of re-branding HHR as CHIE is ongoing, and these names are used 
interchangeably in some documents.  
This document covers two separate but related services supplied by South, Central and West 
(SCW) commissioning support unit: 
  CHIE, a clinical and care service used by doctors, nurses, pharmacists, social workers and 
other professionals (whether in the public, private or third sector) involved in delivering 
NHS or local authority commissioned services. This is designed to support direct care to 
patients. 
  CHIE Analytics (CHIA), a service that provides business analytics and research capability 
using data supplied through CHIE 
The processes and procedures of the CHIE are governed by the security policy which is included 
below as  
 

link to page 24 link to page 25
Appendix 1: Security and Confidentiality Protocol 
2  Overview of Patient Information Flows 
The overall architecture is described pictorially below, with the primary data flows shown into 
CHIE and CHIA in terms of the types of data being processed: 
 
Records held on CHIE are held with clear NHS numbers and other identifiers required to locate 
records to deliver to professionals in support of treatment and care. 
For CHIA all records are pseudonymised by removing Name, NHS Number, address, postcode 
and date of birth from records. NHS Numbers are encrypted to provide a unique identifier 
(NHSNumber) and date of birth is converted to year of birth (except for infants below the age of 
one, where date of birth is converted to week of birth. Postcodes are converted to Super Output 
Area codes from which an Index of Multiple Deprivation is derived and attached to each patient 
record.  SOAs were designed to improve the reporting of small area statistics and are built up 
from groups of output areas (OAs).  Statistics for lower layer super output areas (LSOAs) and 
middle layer super output areas (MSOAs) were originally released in 2004 for England and Wales 
Extraction of data for analysis is done in response to approved requests for data by the CHIE IG 
Group Group and is supplied to CHIA in pseudonymised format. Only coded data is extracted to 
CHIA, no free text is supplied for analysis.  
Only a subset of data in CHIE is used in CHIA for analysis. These data sets are set out in the 
processing manual included as Appendix 2: Data pseudonymisation for CHIA process. The only 
data to be analysed in CHIA is: 

link to page 25 link to page 25 link to page 24   GP clinical codes, without any associated free text 
  Diagnostic codes which form the results of investigations for pathology and radiology 
from 
o  University Hospitals, Southampton 
o  Portsmouth Hospitals 
These are likewise without any associated commentary.  
CHIA does not combine or link data from CHIE to any other dataset. 
2.1 
Data Sharing Architecture 
Sharing of data with and by CHIE and CHIA is governed by: 
  Data Sharing Agreements (DSA) covering flows of data between organisations. This 
includes a requirement for the organisation to ensure acceptable usage where that 
organisation uses 'Single Sign On' (SSO) functionality.  
  Acceptable use agreements (AUA) by individuals. These have to be accepted and 
returned by users prior to release of access passwords. This applies to users that log on 
using the web front end into CHIE. Users that log on using SSO are covered by the 
organisational DSA (see above) 
  Where practical, consent to view at the point of use 
Template examples of DSA and AUA are included as Appendix 3: Data Sharing Agreement 
Templates 
below 
As well as the AUA, data is restricted using a Role Based Access Control (RBAC) model. This 
governs what information types are available to which staff groups based on their role. The full 
list of access types is included in  
 

link to page 24
Appendix 1: Security and Confidentiality Protocol 
This is represented below 
 
2.2 
Data Categories 
  Demographics/Allergies 
o  Orglinks (single tenancy) 
  GP data 
o  GP Extracts – Emis, INPS Vision and Microtest 
o  GP Extracts - TPP 
  Clinical Correspondence 
o  University Hospital of Southampton (UHS) – range of clinical correspondence 
o  Portsmouth Hospitals Trust (PHT) -  
o  Hampshire Hospitals Trust (HHFT) – discharge summaries 
o  Royal Bournemouth and Christchurch Foundation Trust (RBCH) – clinic 
letters/discharge summaries 
o  Care UK (Southampton independent treatment centre) – discharge summaries 
o  Documents uploaded by users e.g. care plans 
  Mental Health and Community 
o  Southern Health Foundation Trust – Rio 
o  Solent Health Foundation Trust – TPP SystmOne 
  Social Care 
o  Hampshire County Council (HCC) – Swift 

link to page 25   Pathology and Radiology 
o  University Hospital of Southampton (UHS) 
o  Portsmouth Hospitals Trust (PHT) 
2.3 
Physical Architecture 
The identifiable data stored in CHIE is physically located on the CSU network, in 2 secure data 
centres and provided to users using 128-bit secure socket layer (SSL) encryption through load 
balanced web servers. No data is ever physically resident on the client PC. 
The CHIE servers are managed by SCW CSU staff 
At a high level this architecture is comprised of: 
  Virtual data base which holds the CHIE operational data.  
  Virtual feed servers that receive data from external sources. This data is processed to 
allow it to be uploaded to CHIE-DB in the correct format, after which it is deleted from 
the FEED server.  
  Virtual web servers that provide the data to users 
  CHIA DB, which is a separate virtual server for processing secondary use requests and 
holds no patient identifiable data 
The CHIE servers sit within a separate dedicated domain and are protected by vArmour, which 
delivers a distributed platform with integrated security services including software-based 
segmentation, micro-segmentation, application-aware monitoring, and cyber deception. 
Penetration testing is carried out on a regular basis, as are windows and other security updates 
to the software. 
2.4 
Governance and Data Ownership 
The data on CHIE is owned by the data controllers, which comprise: 
  Individual GP practices 
  Acute Trusts 
  Community Trusts 
  Local Authorities 
  Independent treatment centres 
These organisations remain as joint data controllers under the data protection act (DPA) and this 
is expected to continue under GDPR. Data is supplied by GP practices, acute hospital trusts, 
social services, community and mental health trusts and others. 
Control of the data held in CHIE remains the joint responsibility of the data controllers of the 
organisations supplying that data. In order to facilitate decision making by the data controllers, 
CHIE has as part of its governance an information governance group (CHIE IG Group) which is 
charged with making IG decisions on behalf of the joint data controllers. Terms of reference for 
this group are included below as Appendix 4: CHIE IG Group Terms of Reference. 

link to page 25 SCW operate this product acting as data processors on behalf of the joint data controllers and 
are represented on the CHIE IG group. GPs are represented on the group by the Wessex local 
medical committee (LMC) of the British Medical Association (BMA). 
Data is processed by SCW CSU. In order to comply with the wishes of the data controllers: 
  all requests to CHIA and  
  any new developments to CHIE 
are subject to approval by the CHIE information governance group (CHIE IG Group). All 
development projects require a privacy impact assessment to be approved both by the CSU as 
data processor and by the CHIE IG Group.  
Terms of reference for this group are included as Appendix 4: CHIE IG Group Terms of Reference 
2.5 
Contractual Ownership 
The contract with Graphnet Health is owned jointly by the 7 CCGs that fund CHIE: 
  North Hants 
  North East Hants and Farnham 
  Southampton City 
  Portsmouth 
  South East Hants 
  Fareham and Gosport 
  West Hants 
  Isle of Wight  
These organisations hold the contract, but do not act as data controllers or data processors. The 
contract covers standard licensing and support term and conditions with the software supplier 
(Graphnet). In addition the funding CCGs hold a variation agreement with South Central and 
West CSU, Data Processor, for the provision of: 
  Hardware support 
  Supplier management 
  Training 
  Project management 
  Application support 
  Testing 
And other necessary functions to support and develop the CHIE service.  
3  GDPR Principles 
CHIE has always taken its commitment under the DPA seriously and has been set up following 
the principles set out in that legislation. GDPR refines those principles. Article 5 of the GDPR 
requires that personal data shall be: 

(a)  processed lawfully, fairly and in a transparent manner in relation to individuals; 
(b)  collected for specified, explicit and legitimate purposes and not further processed in a 
manner that is incompatible with those purposes; further processing for archiving 
purposes in the public interest, scientific or historical research purposes or statistical 
purposes shall not be considered to be incompatible with the initial purposes; 
(c)  adequate, relevant and limited to what is necessary in relation to the purposes for 
which they are processed; 
(d)  accurate and, where necessary, kept up to date; every reasonable step must be taken to 
ensure that personal data that are inaccurate, having regard to the purposes for which 
they are processed, are erased or rectified without delay; 
(e)  kept in a form which permits identification of data subjects for no longer than is 
necessary for the purposes for which the personal data are processed; personal data 
may be stored for longer periods insofar as the personal data will be processed solely 
for archiving purposes in the public interest, scientific or historical research purposes or 
statistical purposes subject to implementation of the appropriate technical and 
organisational measures required by the GDPR in order to safeguard the rights and 
freedoms of individuals; 
(f)  processed in a manner that ensures appropriate security of the personal data, including 
protection against unauthorised or unlawful processing and against accidental loss, 
destruction or damage, using appropriate technical or organisational measures. 
3.1 
processed lawfully, fairly and in a transparent manner in relation to individuals 
CHIE contains health and care data and is used to support treatment and care of patients and 
care recipients, as well as for planning and research purposes. CHIE makes the following 
statement publically on its website at www.chie.org.uk:  
Care And Health Information Exchange  
The primary purpose of the CHIE is to provide clinical and care professionals with 
complete, accurate and up-to-date information when caring for patients. This 
information comes from a variety of sources including GP practices, community 
providers, acute hospitals and (shortly) social care providers. CHIE is used by GP out of 
hours, acute hospital doctors, ambulance service, GPs and others in caring for patients. 
CHIE Analytics 
In addition to this your information can help in improving the way we care for you. CHIE 
analytics (or CHIA) is a database used for analysing trends in population health in order 
to identify better ways of treating patients. This is called ‘Secondary Processing’. CHIA is 
a physically separate database, which receives some data from CHIE. 
During the process of transfer from CHIE to CHIA patient identifiers are removed from 
the data. This includes names, initials, addresses, dates of birth and postcodes. NHS 
numbers are encrypted in the extract and cannot be read. This process is called 
‘pseudonymisation’. This subset of data does not include information typed in by hand, 

link to page 25 link to page 25 link to page 25 link to page 25 so there is no possibility of it containing references to family members or other people. 
It contains only coded entries for things like allergies and prescribed drugs. 
It is not possible to identify any patient by looking at the ‘pseudonymised’ data on the 
CHIA database. People who have access to CHIA do not have access to CHIE 
Who Uses CHIA? 
Data in CHIA is used to plan how health and care services will be delivered in future, 
based on what types of diseases are being recorded and how many are being referred to 
hospital etc. 
Data is also used to help research into new treatments for diseases. Examples of how 
this has helped patients with diabetes, acute kidney injury etc. can be found at 
http://www.hantshealthrecord.nhs.uk/news/publications  
Data in CHIA is never shared with commercial companies like drug manufacturers 
CHIE supplies posters for use in health and care settings and patient leaflets and also carries out 
regular advertising in local press to ensure that data subjects are aware of the service and if 
required, how to opt out of that service. Copies of the leaflet are included as Appendix 5: Fair 
Processing materials 
below.  
Article 5(2) requires that 
“the controller shall be responsible for, and be able to demonstrate, compliance with 
the principles.”  
Article 5(2) also introduces the concept of ‘accountability’ into GDPR, requiring organisations 
(including data processors) to demonstrate compliance with these principles e.g. documenting 
the decisions taken about a processing activity 
In order to comply with this requirement, the following must be communicated transparently 
through fair processing notices (FPNs): 
Information to be supplied 
Required for 
Compliance 
CHIE/CHIA 
service 

Identity and contact details of the 
Required 
Contained in all fair processing 
controller and where applicable, the 
materials (see Appendix 5: Fair 
controller’s representative) and the 
Processing materials) 
data protection officer 
In the case of CHIE/CHIA it is expected 
that the SCW team will act as the data 
controllers representative  
Purpose of the processing and the 
Required 
For CHIE/CHIA this is summarised in fair 
processing materials  and described in 

link to page 10 Information to be supplied 
Required for 
Compliance 
CHIE/CHIA 
service 

legal basis for the processing 
detail on website 
The legal bases for CHIE and CHIA are 
set out in on page 10 
The legitimate interests of the 
Required 
Not applicable  
controller or third party, where 
Public Authorities can no longer use 
applicable 
‘Legitimate Interests’ under GDPR as a 
lawful basis for processing 
Categories of personal data 
Required 
Categories would require an 
explanation of Personal Data and 
‘Special Categories’ (sensitive under 
DPA) data under GDPR which are not 
currently on the website  
To be summarised in fair processing 
materials and described in detail on 
website 
Any recipient or categories of 
Required 
Summarised in fair processing materials 
recipients of the personal data 
and described in detail on website 
Details of transfers to third country 
Not Required 
Not applicable 
and safeguards 
Retention period or criteria used to 
Required 
To be added to website 
determine the retention period 
The existence of each of data 
Required 
Stated in fair processing materials and 
subject’s rights 
on website 
The right to withdraw consent at 
Required 
Stated in fair processing materials and 
any time, where relevant 
on website 
The right to lodge a complaint with 
Required 
Stated in fair processing materials and 
a supervisory authority 
on website 
The source the personal data 
Required 
Summarised in fair processing materials 
originates from and whether it came 
and described in detail on website 

Information to be supplied 
Required for 
Compliance 
CHIE/CHIA 
service 

from publicly accessible sources 
Whether the provision of personal 
Not Required 
Not applicable 
data part of a statutory or 
contractual requirement or 
obligation and possible 
consequences of failing to provide 
the personal data 
The existence of automated 
Required 
Not applicable 
decision making, including profiling 
and information about how 
decisions are made, the significance 
and the consequences. 
3.2 
Article 6: Lawfulness 
Under GDPR section 6 (1), the following are given as lawful processing conditions. Processing 
may be legal if one or more of these criteria are met 
6(1)(a) – Consent of the data subject 
6(1)(b) –  Processing is necessary for the performance of a contract with the data 
subject or to take steps to enter into a contract 
6(1)(c) – Processing is necessary for compliance with a legal obligation 
6(1)(d) – Processing is  necessary to protect the vital interests of a data subject or 
another person 
6(1)(e) –  Processing is necessary for the performance of a task carried out in the public 
interest or in the exercise of official authority vested in the controller 
6(1)(f ) – Necessary for the purposes of legitimate interests pursued by the controller or 
a third party, except where such interests are overridden by the interests, rights or 
freedoms of the data subject. 
Note that this condition is not available to processing carried out by public authorities in 
the performance of their tasks. 
3.3 
Article 9: Processing of special categories of personal data 
GDPR makes special provision for processing of certain categories of data, specifically: 

Processing of personal data revealing racial or ethnic origin, political opinions, religious or 
philosophical beliefs, or trade union membership, and the processing of genetic data, 
biometric data for the purpose of uniquely identifying a natural person, data concerning 
health or data concerning a natural person's sex life or sexual orientation shall be 
prohibited [unless certain specific conditions set out in the regulations apply]. 
GDPR sets out a number of situations where it is legal to use data of this kind for specified 
purposes. The relevant conditions in regard to CHIE and CHIA are set out below. 
3.4 
Legal Basis for processing data for clinical care (CHIE) 
3.4.1  GDPR Section 6 
CHIE does not rely on the consent of the data subject to process data for direct care, although as 
good practice users are asked to seek the consent of the patient at the point where the data is 
accessed for clinical use. The advice given to users in the acceptable use agreement is: 
Where practical users should ask the patient before accessing CHIE. If the patient is 
unconscious or not present but would benefit from use of CHIE, users should exercise 
their professional judgement. 
This is in line with ICO guidance following their public consultation1. 
CHIE does rely on the following criteria for the legal basis for sharing data, in respect of direct 
care to patients: 
6(1)(d) – Processing is  necessary to protect the vital interests of a data subject or 
another person 
The vital interest being that safe treatment of patients requires knowledge of the medical 
history of the patient. This would apply only in certain emergency situations, for example if a 
patient was unconscious in A&E 
In normal situations, the health and care community which uses CHIE are governed by 
legislation requiring the sharing of data appropriately, under the condition: 
6(1)(c) – Processing is necessary for compliance with a legal obligation 
The following pieces of legislation contain requirements which apply to the sharing of data for 
patient care: 
  Health and Social Care (Quality & Safety) Act 2015 
  Health & Social Care Act 2012 
  Care Act 2014 
  The Children Act 1989 
                                                           
1 https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-
consultation-201703.pdf 


link to page 26 link to page 26   The Children Act 2004  
  Childcare Act 2006 
  Children (Leaving Care) Act 2000 
  Children and Families Act 2014 
  National Health Service Act 1977 
  National Health Service Act 2006 
  Education Act 2002 
  Special Education Needs and Disability Regulations 2014 
  Localism Act 2011 
  Immigration and Asylum Act 1999 
  Crime and Disorder Act 1998   
The specific sections of these pieces of legislation requiring health data to be shared in 
circumstances are set out in Appendix 6: Legislative Framework  below 
In addition, as statutory bodies, Health and Care organisations are under a duty to provide 
Health and Care services to patients and citizens. As such they are entitles to us the legal basis: 
Article 6(1)(e) processing is necessary for the performance of a task carried out in the 
public interest or in the exercise of official authority vested in the controller 
3.4.2  GDPR Section 9 Special Categories of Data 
CHIE processes data of a type specified in section 9 of GDPR and therefore require a reason for 
processing this data. Legitimate reasons are set out in Article 9 (2) of the GDPR. SCW consider 
the following reason apply to the direct care activities of CHIE. 
9(2)(h) processing is necessary for the purposes of preventive or occupational medicine, for 
the assessment of the working capacity of the employee, medical diagnosis, the provision of 
health or social care or treatment or the management of health or social care systems and 
services on the basis of Union or Member State law or pursuant to contract with a health 
professional and subject to the conditions and safeguards referred to in paragraph 3;  
Article 9(2)(h) will cover the majority of individual care uses of CHIE. In addition in some 
circumstances article 9(2)(c) may also apply 
9(2)(c) processing is necessary to protect the vital interests of the data subject or of 
another natural person where the data subject is physically or legally incapable of giving 
consent; 
This condition can be justified in potential life threatening situations where access to key 
information in CHIE would be vital to protect the life of an individual. 
As with the personal data processing conditions, the ‘member state laws’ are set out in 
Appendix 6: Legislative Framework. 
If access is needed to defend a legal claim then article 9(2)(f) ‘legal claims’ may well apply on a 
case by case basis, although to date this has not been invoked. 


3.5 
Legal Basis for processing data for Analysis (CHIA) 
3.5.1  GDPR Section 6 
In addition, the health and care community which uses CHIA are governed by legislation 
requiring the sharing of data appropriately, under the conditions: 
  In respect of CCGs and Local Authorities this condition applies: 
6(1)(c) – Processing is necessary for compliance with a legal obligation 
  In respect of Research Bodies, and only in relation to those requests specifically 
authorised by the CHIE IG group, this condition also applies: 
6(1)(e) –  Processing is necessary for the performance of a task carried out in the public 
interest or in the exercise of official authority vested in the controller 
The ICO guidance mentioned above specifically states that: 
A public task: If you need to process personal data to carry out your official functions or 
a task in the public interest – and you have a legal basis for the processing under UK law 
– you can.  If you are a UK public authority, our view is that this is likely to give you a 
lawful basis for many if not all of your activities. 
The following pieces of legislation contain requirements which apply to CCGs and Local 
Authorities in carrying out their statutory duties, which require data analysis: 
  Health and Social Care (Quality & Safety) Act 2015 
  Health & Social Care Act 2012 
Under this legislation, legal duties are placed on CCGs and Local Authorities to perform a 
number of functions. These are outlined in the document below and at 
https://www.england.nhs.uk/wp-content/uploads/2013/03/a-functions-ccgs.pdf  
 
CHIA provides information to CCGS and Local Authorities in support of these functions. The data 
provided is in fully anonymised form. 
3.5.2  GDPR Section 9 Special Categories of Data 
CHIA processes patient-level but de-identified data for this purpose. This is legal under the 
section 9 stipulations: 
(i) processing is necessary for reasons of public interest in the area of public health, such as 
protecting against serious cross-border threats to health or ensuring high standards of 
quality and safety of health care and of medicinal products or medical devices, on the basis 
of Union or Member State law which provides for suitable and specific measures to 
safeguard the rights and freedoms of the data subject, in particular professional secrecy 

link to page 6
(h)  processing is necessary for the purposes of preventive or occupational medicine, for the 
assessment of the working capacity of the employee, medical diagnosis, the provision of 
health or social care or treatment or the management of health or social care systems 
and services on the basis of Union or Member State law or pursuant to contract with a 
health professional and subject to the conditions and safeguards referred to in 
paragraph 3;  
Both of these apply to the processing activities carried out by CHIA for its support for public 
health and management respectively. The data processed by CHIA is de-identified 
(pseudonymised) and therefore it is not possible to identify individual patients using this 
information. SCW consider that this therefore meets the safeguards in respect of the rights and 
freedoms set out in the paragraph above. 
This has been reviewed in line with the advice in GDPR Recital 45 and SCW consider activities in 
CHIA to be in compliance with that advice.2 
3.5.3  “Section 251” 
This is a short-hand term, and refers to section 251 of the National Health Service Act 2006 and 
its current Regulations, the Health Service (Control of Patient Information) Regulations 2002. 
The powers of Section 251 are to permit processing that without approval would breach the 
common law of confidentiality without this approval 
In order to require a “section 251 derogation” the requested information must also be 
identifiable, for example where common identifiers include NHS Number, name, address and 
date of birth, or where, for example, the activity requires information on rare illnesses that 
could potentially identify a patient. ‘Confidential patient information’ also covers information 
related to deceased persons. 
As set out in Section 2 above the data held in CHIA is not patient identifiable and therefore 
“section 251” derogation in not required for its continued operation. This is because of the 
removal of all patient identifiers and restriction of access to this data to only specific individuals.  
Information about “Section 251” can be found below, and at 
https://www.hra.nhs.uk/documents/223/cag-frequently-asked-questions-1.pdf  
 
4  Individual's Rights under GDPR 
The GDPR provides the following rights for individuals: 
1.  The right to be informed 
                                                           
2 https://gdpr-info.eu/recitals/no-45/  

link to page 25 link to page 32 link to page 32 2.  The right of access 
3.  The right to rectification 
4.  The right to erasure 
5.  The right to restrict processing 
6.  The right to data portability 
7.  The right to object 
8.  Rights in relation to automated decision making and profiling. 
4.1 
The right to be informed 
Data subjects are informed about the remit of CHIE in 3 ways: 
  through the fair processing materials distributed to data controllers 
  on the website 
  in local media campaigns at regular intervals 
The content of these are given in Appendix 5: Fair Processing materials 
4.2 
The right of access 
Data subjects have a standing right to the audit report on who has accessed CHIE through Audit 
reports. This is operated through the standard operating procedure in Appendix 7: Standard 
Operating Procedures 

As the CHIE record is collated from a summary of data provided by individual data controllers, it 
is not appropriate for CHIE to provide Subject Access Request data directly, but CHIE does, on 
request, provide data subjects with an indication of which organisations hold relevant data for 
them. 
4.3 
The right to rectification 
As CHIE is a record collated from data supplied by external data controllers, data is not rectified 
directly within CHIE. To do so would create a dis-join between data held on CHIE and the 
originating system, e.g. hospital or GP record. This could be clinically dangerous.  
If CHIE are alerted to incorrect data, the relevant data controller is contacted and a rectification 
plan put in place on the source system. This action also rectifies the data on CHIE once the 
source has been updated 
4.4 
The right to erasure 
The right to erasure is also known as ‘the right to be forgotten’. The broad principle 
underpinning this right is to enable an individual to request the deletion or removal of personal 
data whether there is no compelling reason for its continued processing  
In common with many IT systems, CHIE does not currently have facility to fully erase data and is 
also bound by other legislation about retention of medical records including The Access to 
Health Records Act 1990 and The Medical Reports Act 1998. These set retention periods for 

medical records, which vary depending on the type of data in question (maternity, mental and 
physical health, paediatric etc.) 
However, CHIE do recognise the rights of data subjects in this regard. CHIE operate a system of 
functional erasure, where access to records is restricted from any user. At the time of writing 
SCW do not have a technical mechanism to meet this requirement. In respect of CHIA, this data 
is no longer considered ‘personal’ for the reasons given in section 2 above. 
In considering requests for erasure, it is also necessary to look at the circumstances under GDPR 
where the right to erasure does not apply.  Article 17(3) needs to be considered.  Specifically: 
17(3)(b)  ‘… or in the exercise of official authority vested in the controller’.  As 
highlighted earlier a key basis for processing data in CHIE is this condition.  Where that is 
the case in a specific situation, then the right to erasure would not apply and the 
reasons for this need to be put to the individual. 
17(3)(c) ‘for reasons of public interest in the area of public health in accordance with 
points (h) and (i) of Article 9(2).  This refers back to the condition to process for the 
‘provision of health or social care or treatment….  Article 9(2)(h)’.  There is a need for 
clarity over the reference to ‘public health’ and ‘public interest’, however if a request for 
erasure is made, these need to be explored in relation to the specifics of the request. 
17(3)(e) ‘for the establishment, exercise or defence of legal claims’.  It is conceivable 
that data on CHIE particularly that which provides evidence of access to information in 
the system could be key evidence in a legal claim such as negligence in care.  This also 
relates to the minimum legal retention periods for data, where these have not expired, 
then this element carries some weight with regard to refusal to erase.  However if the 
retention periods for the data in question have expired, then this goes straight back to 
the first erasure scenario ‘data is no longer necessary’ and erasure should happen 
4.5 
The right to restrict processing 
Under the DPA, individuals have a right to ‘block’ or suppress processing of personal data. The 
restriction of processing under the GDPR is similar. 
When processing is restricted, organisations are permitted to store the personal data, but not 
further process it. CHIE can retain just enough information about the individual to ensure that 
the restriction is respected in future. The operation of this right is the same as the right to object 
(see section 4.7 below). Data subjects can restrict processing to direct care (data not transferred 
to CHIA) only or completely (data not visible in CHIE or CHIA) 
4.6 
The right to data portability 
The right to data portability allows individuals to obtain and reuse their personal data for their 
own purposes across different services. 
It allows them to move, copy or transfer personal data easily from one IT environment to 
another in a safe and secure way, without hindrance to usability. 

link to page 32 As CHIE is a collated record, it is not practice to port data directly from CHIE. However, the 
originating systems do have facility to do this, and these are in regular use at least as far as 
primary care and diagnostic data is concerned. GP data for example is moved between systems 
using the GP2GP service operated by NHS Digital and radiology data via Image Exchange Portal.  
4.7 
The right to object 
CHIE complies with the right to object by operating an opt-out facility in 3 ways: 
1)  If a patient records their dissent with the GP practice and that GP is uploading data, 
then the code is sent to CHIE. This has the effect of preventing access to ANY of the 
information held on CHIE, whether that data originated with the GP or other provider 
2)  If the practice is not sending data, patients can fill out a dissent form and provide 
directly to CHIE, where it is processed with the same effect 
3)  Specific opt-out for secondary use 
The full list of dissent codes and the way they are implemented in the CHIE software is included 
in Appendix 8: Opt-Out code implementation 
Dissent from sharing for secondary use is recorded as a separate code. Recording this code 
allows clinical users to access data on CHIE, but prevents data being transferred to CHIA 
Dissent codes and the direct CHIE dissent are subject to a ‘double lock’. This means that the 
presence of a dissent code: 
1)  Stops data being processed onto CHIE through the feed servers 
2)  Prevents users from accessing data via the CHIE user interface, so if there was to be any 
data present from prior to the dissent code, then this will not be accessible by users.  
This is represented below 


 
4.7.1  Dissent from Secondary use 
If a patient dissents from secondary use, then their data continues to be processed and 
accessible on CHIE, but is not included in the anonymised extract to CHIA. The 
extraction/anonymisation of data from CHIE to CHIA is carried out by CSU staff acting under the 
DSCRO.  
The opt out for secondary use only is represented as below 

link to page 32 link to page 32 link to page 32 link to page 25 link to page 25
 
In addition to dissent, sensitive codes (HIV status, termination of pregnancy etc.) are not 
uploaded to CHIE or CHIA for any patient. The list of these codes is included as Appendix 9: 
Exclusion Codes.
 
As the opt-out model is operated via the GP practice, GPs are provided with an explicit set of 
instructions on how to operate the opt outs for both direct care and secondary processing. 
These instructions can be found in Appendix 8: Opt-Out code implementation 
4.7.2  Explicit consent  
As stated above and in FPNs the sharing and processing of data does not require consent as its 
legal basis. However, as good practice users are encouraged to ask consent where practical.  
The advice given to patients on when it is appropriate for clinical staff to access their record is as 
below: 
“Where practical care professionals will ask you before accessing CHIE for your care 
If you are unconscious or not present but it would benefit your care, professionals will use 
their judgement about accessing your information” 
This is supported by the following statement in the Acceptable Use Agreement (see Appendix 3: 
Data Sharing Agreement Templates and Acceptable use agreement):
 
I will ensure that where practical, as a care professional, I will ask the patient before 
accessing the CHIE for patient care. If the patient is unconscious or not present but would 


benefit from my care, I may use my judgement about accessing the information and will 
record my reason for doing so 
Users are required to acknowledge this on entry into the system as below and are also able to 
access the acceptable use agreement as well as advice from the CHIE team from this log in page 
if in any doubt about the appropriateness of the access: 
 
4.8 
Rights in relation to automated decision making and profiling 
The GDPR provides safeguards for individuals against the risk that a potentially damaging 
decision is taken without human intervention. These rights work in a similar way to existing 
rights under the DPA. Currently, CHIE and CHIA do not carry out this activity. 
 
 









Appendix 1: Security and Confidentiality Protocol 
Microsoft Word 97 - 
2003 Document
 
Appendix 2: Data pseudonymisation for CHIA process 
HHRA Manual 
v10.3.docx
 
Appendix 3: Data Sharing Agreement Templates and Acceptable 
use agreement 

Microsoft Word 
Document
  
 
Appendix 4: CHIE IG Group Terms of Reference 
Microsoft Word 97 - 
2003 Document
  
Appendix 5: Fair Processing materials 
Posters for GP and other settings 
 
Advert for local press 
 
Patient Leaflet 
 

Appendix 6: Legislative Framework 
Legislation 
Legal gateway 
Organisation 
Health and Social 
Section 3(1),(2)(a)(b): 
All 
Care (Quality & 
(1)This section applies in relation to information 
Safety) Act 2015 
about an individual that is held by a relevant health 
 
or adult social care commissioner or provider (“the 
relevant person”). 
(2)The relevant person must ensure that the 
information is disclosed to (a)persons working for 
the relevant person, and (b)any other relevant 
health or adult social care commissioner or 
provider with whom the relevant person 
communicates about the individual. 
Health & Social Care  Part 5 – contains guidance about specific duties of 
All 
Act 2012 
co-operation, including creating a Health and 
Wellbeing Board, which must, for the purpose of 
advancing the health and wellbeing of the people 
in its area, encourage persons who arrange for the 
provision of any health or social care services in 
that area to work in an integrated manner. 
Care Act 2014 
Section 1 – (1)The general duty of a local authority,  Local authorities 
in exercising a function under this Part in the case 
of an individual, is to promote that individual’s 
well-being. 
Well-being in this Part includes: 
(b) physical and mental health and emotional well-
being; 
(c) protection from abuse and neglect; 
(f) social and economic well-being; 
Care Act 2014 
Section 3 – Local authorities must exercise their 
Local authorities 
functions under this Part with a view to ensuring 
the integration of care and support provision with 
health provision and health-related provision 
where it considers that this would— 

(a)promote the well-being of adults in its area with 
needs for care and support and the well-being of 
carers in its area, 
(b)contribute to the prevention or delay of the 
development by adults in its area of needs for care 
and support or the development by carers in its 
area of needs for support, or 
(c)improve the quality of care and support for 
adults, and of support for carers, provided in its 
area (including the outcomes that are achieved 
from such provision). 
The Children Act 
Section 47(9)(11): 
All 
1989 
Where a local authority are conducting enquiries 
under this section, it shall be the duty of any 
person mentioned in subsection (11) to assist them 
with those enquiries (in particular by providing 
relevant information and advice). 
The persons are—. 
(a) any local authority;  
(d) any Local Health Board , Special Health 
Authority, Primary Care Trust, National Health 
Service trust or NHS foundation trust; and 
(e) Any person authorised by the Secretary of State 
for the purposes of this section. 
The Children Act 
A local authority may also request help from those 
Local authorities 
1989 
listed above in connection with its functions under 
Part 3 of the Act. Part 3 of the Act, which comprises 
of sections 17-30 allows for local authorities to 
provide various types of support for children and 
families 
The Children Act 
Section 10 – Co-operation to improve well-being. 
Local authorities  
2004  
(2) The arrangements are to be made with a view 
CCG’s 
to improving the well-being of children in the local 
authority’s area so far as relating to—. 
(a) Physical and mental health and emotional well-

being; 
(b) Protection from harm and neglect; (e) Social 
and economic well-being. 
(4) For the purposes of this section each of the 
following is a relevant partner: 
District councils 
The police 
The probation service 
Youth offending teams (YOTs) 
Health and Wellbeing Board.   
Any clinical commissioning group for an area any 
part of which falls within the area of the authority 
The Children Act 
Section 11 – Arrangements to safeguard and 
All 
2004 
promote welfare. The section applies to  
(a) a local authority in England  
(b) a district council which is not such an authority; 
(c) a Strategic Health Authority; 
(d) a Special Health Authority, so far as exercising 
functions in relation to England, designated by 
order made by the Secretary of State for the 
purposes of this section; 
(e) a Primary Care Trust; 
(f) an NHS trust all or most of whose hospitals, 
establishments and facilities are situated in 
England; 
(g) an NHS foundation trust; 
Childcare Act 2006 
Section 1 - General duties of local authority in 
Local authorities 
relation to well-being of young children. 
(1)An English local authority must—. 
(a)improve the well-being of young children in their 
area, and 
(2) In this Act “well-being”, in relation to children, 

means their well-being so far as relating to—. 
(a) Physical and mental health and emotional well-
being; 
(b) Protection from harm and neglect; 
(e) Social and economic well-being. 
Children (Leaving 
The main purpose of the Act is to help young 
Local authorities 
Care) Act 2000 
people who have been looked after by a local 
authority, move from care into living 
independently in as stable a fashion as possible. To 
do this it amends the Children Act 1989 (c.41) to 
place a duty on local authorities to assess and meet 
need.  
The responsible local authority is under a duty to 
assess and meet the care and support needs of 
eligible and relevant children and young people 
and to assist former relevant children, in particular 
in respect of their employment, education and 
training.  
Sharing information with other agencies will enable 
the local authority to fulfil the statutory duty to 
provide after care services to young people leaving 
public care. 
Children and 
Section 23 - places a duty on health bodies to bring  All 
Families Act 2014 
certain children to local authority’s attention, 
where the health body has formed the opinion that 
the child has (or probably has) special educational 
needs or a disability 
Children and 
Section 25 - places a duty on a local authority to 
Local authorities 
Families Act 2014 
exercise its functions with a view to ensuring the 
integration of educational provision, training 
provision with health care and social care provision 
where it thinks that this would –  
(a) promote the well-being of children or young 
people in its area who have special education 
needs or a disability, or  
(b) improve the quality of special educational 
provision in its area or outside its area for children 

it is responsible for who have special educational 
needs 
National Health 
Section 22 - Co-operation between health 
All 
Service Act 1977 
authorities and local authorities.E+W+S 
(1)In exercising their respective functions NHS 
bodies (on the one hand) and local authorities (on 
the other) shall co-operate with one another in 
order to secure and advance the health and 
welfare of the people of England and Wales. 
National Health 
Section 82 – Places a duty on NHS bodies and local 
All 
Service Act 2006 
authorities to co-operate with one another in order 
to secure and advance the health and welfare of 
the people of England and Wales. 
The duty laid out in section 11 of the Children Act 2004 
Education Act 2002 
All 
mirrors the duty imposed by section 175 of the 
Education Act 2002 on LEAs and the governing bodies of 
both maintained schools and further education 
institutions. This duty is to make arrangements to carry 
out their functions with a view to safeguarding and 
promoting the welfare of children and follow the 
guidance in Safeguarding Children in Education (DfES 
2004).  
The guidance applies to proprietors of independent 
schools by virtue of section 157 of the Education Act 
2002 and the Education (Independent Schools 
Standards) Regulations 2003.  
Section 21 of the Act, as amended by section 38 of the 
Education and Inspections Act 2006, places a duty on 
the governing body of a maintained school to promote 
the well-being of pupils at the school. Well-being in this 
section is defined with reference to section 10 of the 
Children Act 2004 (see paragraph 5.5 above). The Act 
adds that this duty has to be considered with regard to 
any relevant children and young person’s plan.  
This duty extends the responsibility of the governing 
body and maintained schools beyond that of 
educational achievement and highlights the role of a 
school in all aspects of the child’s life. Involvement of 
other services may be required in order to fulfil this duty 
so there may be an implied power to work 
collaboratively and share information for this purpose.  
Special Education 
Section 6 states, where the local authority secures 
All 
Needs and Disability  an EHC needs assessment for a child or young 
Regulations 2014 
person, it must seek the advice and information in 

relation to educational, medical needs, 
psychological needs and advice and information 
relating to Social Care from the named authorities. 
The Regulations also requires the local authority to 
seek advice and information from any other person 
the local authority thinks is appropriate.  
Section 7 states: “When securing an EHC needs 
assessment a local authority must consult (a) the 
child and the child’s parent, or the young person 
and take into account their views, wishes and 
feelings” and (d) “engage the child and the child’s 
parent, or the young person and ensure they are 
able to participate in decisions. 
Localism Act 2011 
Section 1 - This has repealed the wellbeing powers 
Local authorities 
of the Local 
Government Act 2000 (but not for Welsh 
Authorities). The general power of competence is a 
new power available to local authorities in England 
that will allow them to do “anything that 
individuals generally may do”.  
Immigration and 
Section 20 - provides for a range of information 
All 
Asylum Act 1999 
sharing for the purposes of the Secretary of State:  
To undertake the administration of immigration 
controls to detect or prevent criminal offences 
under the Immigration Act;  
To undertake the provision of support for asylum 
seekers and their dependents 
Crime and Disorder 
Section 17 - Duty to consider crime and disorder 
Local authorities 
Act 1998   
implications. 
(1) Without prejudice to any other obligation 
imposed on it, it shall be the duty of each authority 
to which this section applies to exercise its various 
functions with due regard to the likely effect of the 
exercise of those functions on, and the need to do 
all that it reasonably can to prevent, crime and 
disorder in its area. 
(2) This section applies to a local authority, a joint 





authority, [F1the London Fire and Emergency 
Planning Authority,] a police authority, a National 
Park authority and the Broads Authority. 
Appendix 7: Standard Operating Procedures 
SOP2- HHR Subject 
Data Access and Audit Trail.docx
 
Appendix 8: Opt-Out code implementation  
TechNote23-OptInO
ptOut.pdf
 
Appendix 9: Exclusion Codes 
Microsoft Excel 95 
Worksheet