This is an HTML version of an attachment to the Freedom of Information request 'Policies'.


 
 
 
 
 
 
 
 
 
 
 
 
CONFIDENTIALITY AND DATA PROTECTION 
POLICY 
 
 
 
 
 

Policy author 
Information Governance Manager 
Accountable Executive Lead 
Director of Governance 
Approving body 
Risk Management Committee 
Policy reference 
SWBH/ORG/016  
 
 
 
POLICY APPROVAL 
ESSENTIAL READING FOR THE FOLLOWING STAFF 
DATE: 
GROUPS: 
May 2018 
1 – Information Governance Group 
 
 
POLICY 
 
IMPLEMENTATION 
STAFF GROUPS WHICH SHOULD BE AWARE OF THE 
DATE: 
POLICY FOR REFERENCE PURPOSES:  
May 2018 
All staff. 
 
DATE POLICY TO  
BE REVIEWED: 
May 2021 
 
 Confidentiality and Data Protection Policy v2                                                 Page 1 of 19 

DOCUMENT CONTROL AND HISTORY 
 
Version 
Date 
Date of 
Next 
Reason for change (e.g. full 
No 
Approved 
implementation 
Review 
rewrite, amendment to reflect new 
Date 
legislation, updated flowchart, 
etc.) 
1.0 
Nov 2015 
Dec 2015 
Dec 2018  Policy update 
2.0 
May 2018 
May 2018 
May 2021  Updates  to  incorporate  changes  to 
Data  Protection  legislation  (inc. 
GDPR) 
 
 
 
 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 Confidentiality and Data Protection Policy v2                                                 Page 2 of 19 

CONFIDENTIALITY AND DATA PROTECTION POLICY 
 
KEY POINTS 
 
 
1. 
All  staff  are  bound  by  a  legal  duty  of  confidence  to  protect  personal 
information they may come into contact with during the course of their work. 
This  is  not  just  a  requirement  of  their  contractual  responsibilities  but  also  a 
requirement  within  the  Common  Law  Duty  of  Confidence  and  the  Data 
Protection legislation. 
2. 
Trust systems and procedures comply with the Data Protection legislation. 
3. 
Trust systems and procedures adhere to Caldicott principles and the National 
Data Guardian Data Security Standards. 
4. 
Confidentiality  and  data  protection  risks  are  managed  in  accordance  with 
Trust risk management policy and procedures. 
5. 
Incidents (including near misses) related to confidentiality and data protection 
are  reported  and  managed  in  accordance  with  the  Trust  incident  reporting 
policy and procedure. 
6. 
Trust  mandatory  IG  training  ensures  staff  are  made  aware  of  confidentiality 
and data protection requirements. 
7. 
Trust information security policy and procedures apply to all existing and new 
systems including electronic or paper based. 
8. 
Disclosure  of  personal  information  is  subject  to  the  Trust  Subject  Access 
Requests (SARs) Policy. 
 
 
 
 
 
 
 
 

PLEASE NOTE THAT THIS LIST IS DESIGNED TO ACT 
AS A QUICK REFERENCE GUIDE ONLY AND IS NOT 
INTENDED TO REPLACE THE NEED TO READ THE 
FULL POLICY 
 Confidentiality and Data Protection Policy v2                                                 Page 3 of 19 

 
Contents 

INTRODUCTION ................................................................................................... 5 

OTHER POLICY DOCUMENTS TO WHICH THIS POLICY RELATES ................ 5 

GLOSSARY AND DEFINITIONS ........................................................................... 5 

PRINCIPLES ......................................................................................................... 6 

ROLES AND RESPONSIBILITIES ........................................................................ 7 
5.1 
The Chief Executive ......................................................................................... 7 
5.2 
The Caldicott Guardian .................................................................................... 7 
5.3 
Executive Director of Workforce and OD ......................................................... 7 
5.4 
Directors and Senior Managers ....................................................................... 7 
5.5 
Data Protection Officer .................................................................................... 7 
5.6 
Information Governance Manager ................................................................... 7 
5.7 
Line Managers ................................................................................................. 7 
5.8 
All Staff ............................................................................................................ 8 

CONFIDENTIALITY AND DATA PROTECTION ................................................... 8 
6.1 
The Data Protection Principles ........................................................................ 8 
6.2 
Fair and Lawful Processing ............................................................................. 9 
6.2.1 
Fair processing .......................................................................................... 9 
6.2.2 
Consent and recognising objections to the processing of information ....... 9 
6.3 
Caldicott Guardian ......................................................................................... 10 
6.4 
Disclosure of Personal Information ................................................................ 10 
6.5 
Access to Personal Information ..................................................................... 10 
6.6 
Access to information about deceased persons ............................................ 11 
6.7 
Information Security ....................................................................................... 11 
6.8 
Audit and monitoring ...................................................................................... 11 
6.9 
Data Flow Mapping ........................................................................................ 12 
6.10 
Retention & Storage ................................................................................... 12 
6.11 
Freedom of Information .............................................................................. 12 

CONSULTATION ................................................................................................. 12 

AUDITABLE STANDARDS/ PROCESS FOR MONITORING EFFECTIVENESS 12 

TRAINING AND AWARENESS ........................................................................... 12 
10 
EQUALITY AND DIVERSITY ............................................................................ 13 
11 
REVIEW ............................................................................................................ 13 
12 
REFERENCE DOCUMENTS AND BIBLIOGRAPHY ........................................ 13 
13 
FURTHER ENQUIRIES .................................................................................... 13 
14 
APPENDIX A - Staff Confidentiality Good Practice Guide ................................ 14 
15 
APPENDIX B – GDPR legal bases for processing personal data ..................... 18 
 
 
 

 
 
 
 
 
 Confidentiality and Data Protection Policy v2                                                 Page 4 of 19 

1  INTRODUCTION  
 
This  policy  sets  out  the  confidentiality  and  data  protection  principles  for  all  staff 
working in Sandwell and West Birmingham Hospitals (SWBH). 
  
All employees working in the NHS are bound by a legal duty of confidence to protect 
personal information they may come into contact with during the course of their work. 
This  is  not  just  a  requirement  of  their  contractual  responsibilities  but  also  a 
requirement  within  the  Common  Law  Duty  of  Confidence  and  the  Data  Protection 
legislation. It is also a requirement within the NHS Care Record Guarantee, produced 
to assure patients regarding the use of their information. 
 
 
2  OTHER POLICY DOCUMENTS TO WHICH THIS POLICY 
RELATES  
 
•  Information Governance Policy 
•  Information Security Policy 
•  Incident Reporting Policy and Procedure 
•  Risk Management Policy and Procedure 
•  Information Sharing Policy 
•  Safe Haven Guidance 
•  SARs (Subject Access Requests) Policy 
 
 
3  GLOSSARY AND DEFINITIONS  
 
Personal  information  /  data  means  any  information  relating  to  an  identified  person 
(the ‘data subject’) who can be identified, directly or indirectly, by an identifier such as: 
Name;  NHS  number;  ID  number;  address;  physical;  physiological;  genetic;  mental; 
economic; cultural or social identity (e.g. bank details etc…) 
 
‘Special  Categories’  of  personal  data  (sensitive  personal  data)  includes  race  / 
ethnic  origin;  religion  /  philosophical  beliefs;  Trade  Union  membership;  genertic  and 
biometric  data;  health  information;  sex  life  and  sexual  orientation.  Note:  Criminal 
offences are no longer classified as sensitive personal data. 
 
Confidential  information  within  the  NHS  is  commonly  thought  of  as  health 
information;  however,  it  can  also  include  information  that  is  private  and  not  public 
knowledge or information that an individual would not expect to be shared. It can take 
many forms including patient level health information, employee records, occupational 
health records, etc. It also includes SWBH confidential business information. 
 
Processing  in  relation  to  information  or  data,  means  obtaining,  recording  or  holding 
the  information  or  data  or  carrying  out  any  operation  or  set  of  operations  on  the 
information or data,  
 
 Confidentiality and Data Protection Policy v2                                                 Page 5 of 19 

Non-person-identifiable  information  or  information  which  does  not  contain  person-
identifiers  can  also  be  confidential  such  as  confidential  business  information,  e.g. 
financial  reports;  commercially  sensitive  information,  e.g.  contracts,  trade  secrets, 
procurement information, which should also be treated with the same degree of care. 
 
Data Controller is the term given in the Data Protection  legislation for the person  or 
organisation  who  decides  the  purposes  for  which  data  is  (or  will  be)  gathered  and 
processed. SWBH NHS Trust is the data controller for its patient and staff information. 
On  occasion,  there  may  be  more  than  one  Data  Controller  (Data  Controllers  in 
common or joint Data Controllers). 
 
Data  Processor  is  the  term  given  in  the  Data  Protection  legislation  for  the 
organisation  or  person  (other  than  the  employees  of  the  Data  Controller)  who  is 
processing  data  on  behalf  of  the  data  controller.  Appropriate  confidentiality  and  data 
protection  clauses  need  to  be  in  place  in  contracts,  to  ensure  that  data  processors 
manage personal information in accordance with the Trust’s policies and procedures. 
 
Data  Protection  Legislation  means  all  relevant  data  protection  regulations  such  as 
the GDPR (General Data Protection Regulation) and the UK’s own Data Protection Act 
(2018). 
 
Data Subject is the term given in the Data Protection legislation for the person who is 
the subject of personal data. Patients and employees of the Trust are data subjects of 
information the Trust processes.  
 
Explicit  Consent  is  an  articulated  agreement  by  an  individual;  it  is  a  clear  and 
voluntary indication of preference or choice, usually given orally or in writing and freely 
given in circumstances where the available options and the consequences have been 
made clear. 
 
Pseudonymisation  is a  procedure  by  which  the  most identifying  fields  from within  a 
data  record  are  replaced  by  one  or  more  identifiers  (pseudonyms).  There  is  still 
potential to trace back to identify an individual when using pseudonymised information 
which may also be described as semi-identifiable information. 
 
Anonymisation  is  when  an  individual’s  identifying  descriptors  have  been  completely 
removed and the information cannot be linked or traced back to a specific individual. 
 
4  PRINCIPLES  
 
This  policy  aims  to  ensure  that  all  Trust  staff  are  aware  of  their  responsibilities  in 
regards to data protection and confidentiality.  
 
All incidents involving near misses or breaches of data protection or confidentiality are 
subject to local and/ or corporate review and investigation.   
 
Data  protection  and  confidentiality  risks  are  managed  in  accordance  with  the  Trust 
Risk Management Policy and Procedure. 
 
 Confidentiality and Data Protection Policy v2                                                 Page 6 of 19 

5  ROLES AND RESPONSIBILITIES 
 
5.1  The Chief Executive 
The  Chief  Executive  has  overall  responsibility  for  strategic  and  operational 
management, including ensuring that Trust policies comply with all legal, statutory and 
good practice guidance requirements. 
5.2  The Caldicott Guardian 
The  Caldicott  Guardian  is  responsible  for  ensuring  implementation  of  the  Caldicott 
Principles with respect to patient-identifiable information. 
5.3  Executive Director of Workforce and OD 
The Director with responsibility for HR is responsible for ensuring that the contracts of 
all staff (permanent and temporary) are compliant with the requirements of the policy 
and  that  data  protection  and  confidentiality  is  included  in  corporate  inductions  for  all 
staff. 
5.4  Directors and Senior Managers 
Directors  and  Senior  Managers  are  responsible  for  ensuring  that  the  policy  and  its 
supporting standards and guidelines are built into local processes and that there is on-
going  compliance.  They  must  ensure  that  any  breaches  of  the  policy  are  reported, 
investigated and acted upon via the Trust Incident Reporting Procedure. 
 
5.5  Data Protection Officer 
Under data protection  legislation, from 25th  May  2018 the Trust is required to have  a 
senior staff member (reporting directly to the Board for Data Protection issues) who is 
the  first  point  of  contact  for  all  enquiries  relating  to  data  protection.  It  is  their 
responsibility to ensure that all data protection legislation is adhered to within the Trust 
and also to investigate any incidents or breaches relating to personal information. 
5.6  Information Governance Manager 
The  Information  Governance  Manager  is  responsible  for  maintaining  this  policy, 
providing advice on request to any member of staff on the issues covered within it.   
5.7  Line Managers 
Line  Managers  are  responsible  for  ensuring  their  service  works  within  the  Data 
Protection legislation.  They will ensure that:  
•  Staff  for  whom  they  are  responsible,  attend  and  complete  relevant  training, 
induction  and  mandatory  updates  in  relation  to  information  governance.  This 
applies  to  all  staff  whether  substantive,  agency,  bank,  staff  on  honorary 
contracts, locums, volunteers, students. Line managers must ensure mandatory 
training is up to date for these non-substantive staff and if not arrange for them 
to complete it. Line managers are accountable for any staff who have access to 
patient / staff systems where it is known that staff are not up to date with their 
IG training.  
•  There  are  effective  methods  for  communicating  confidentiality  and  data 
protection related issues within their teams. 
 Confidentiality and Data Protection Policy v2                                                 Page 7 of 19 

•  Are  responsible  for  ensuring  that  their  departments  data  flow  maps  and 
information  asset registers  are kept up to date and  reviewed  whenever further 
sharing takes place or new systems are employed. 
•  Staff are aware of and understand their responsibilities under Trust information 
governance policies and procedures.  
•  Incident reporting policies and procedures are adhered to. 
•  Confidentiality and data protection risks are managed in accordance with Trust 
risk assessment and risk register policy and procedure.   
5.8   All Staff 
 All staff, including temporary and agency staff, are responsible for:  
•  Adhering to their obligations under the HSCIC Code of Practice on Confidential 
Information  2014.    https://digital.nhs.uk/data-and-information/looking-after-
information/data-security-and-information-governance/codes-of-practice-for-
handling-information-in-health-and-care  
•  It is the responsibility of all staff (permanent, agency, locums, students, 
volunteers etc.) to ensure that they complete the mandatory ‘Data 
Security Awareness level 1’ training every year. This training is available 
online via ESR. 

•  Co-operating  with  the  development  and  implementation  of  policies  and 
procedures as part of their normal duties and responsibilities.  
•  Identifying  training  needs  in  respect  of  general  and  role  specific  needs  and 
requirements, or policies and  procedures  and bringing them to the attention of 
their line manager.  
•  Reporting  confidentiality  and  data  protection  incidents  and  near  misses  in 
accordance with the Trust Incident Reporting Policy and Procedure. 
 
6  CONFIDENTIALITY AND DATA PROTECTION 
 
The  following  sections  summarise  key  legal  and  national  confidentiality  and  data 
protection requirements. 
6.1  The Data Protection Principles 
Data  Protection  legislation  in  2018  applies  to  information  about  living  individuals.  It 
sets  out  six  Data  Protection  Principles  to  support  good  practice  and  fairness  in 
processing personal information. Personal Information will be:   
 
 
1.   processed lawfully, fairly and in a transparent manner in relation to individuals; 
 
2.  collected for specified, explicit and legitimate purposes and not further 
processed in a manner that is incompatible with those purposes; further 
processing for archiving purposes in the public interest, scientific or historical 
research purposes or statistical purposes shall not be considered to be 
incompatible with the initial purposes; 
 
3.   adequate, relevant and limited to what is necessary in relation to the purposes 
for which they are processed; 
 
4.  accurate and, where necessary, kept up to date; every reasonable step must be 
 Confidentiality and Data Protection Policy v2                                                 Page 8 of 19 

taken to ensure that personal data that are inaccurate, having regard to the 
purposes for which they are processed, are erased or rectified without delay; 
 
5.   kept in a form which permits identification of data subjects for no longer than is 
necessary for the purposes for which the personal data are processed; personal 
data may be stored for longer periods insofar as the personal data will be 
processed solely for archiving purposes in the public interest, scientific or 
historical research purposes or statistical purposes subject to implementation of 
the appropriate technical and organisational measures required by the GDPR in 
order to safeguard the rights and freedoms of individuals; and 
 
6.  processed in a manner that ensures appropriate security of the personal data, 
including protection against unauthorised or unlawful processing and against 
accidental loss, destruction or damage, using appropriate technical or 
organisational measures. 
6.2  Fair and Lawful Processing 
6.2.1  Fair processing 
Under the first principle of the Data Protection legislation the Trust should ensure 
patients  are  informed  about  the  uses  of  and  their  rights  in  regards  to  the 
processing  of  their  personal  information.  This  information  is  communicated  via 
posters supplied by the IG Team and a patient information leaflet about how the 
Trust  uses  patient  information  These  materials  are  displayed  and  available  in 
patient waiting areas and on the Trust internet and intranet sites.  
 
The  Trust  also  publishes  information  about  specific  patient  information  sharing 
activities on its website (also known as a privacy notice). 
6.2.2  Consent and recognising objections to the processing of 
information 
An  aspect  of  fair  processing  relates  to  individuals  giving  their  consent  for  their 
information to be processed explicit consent should be obtained and always recorded 
in  cases  where  use  of  personal  information  would  not  be  reasonably  expected  and 
where the information being processed is classed as particularly sensitive information. 
Consent is only 1 of the legal bases for sharing personal information. 
 
For data processed for health and social care reasons (i.e. the majority of work 
undertaken within the Trust) the legal basis for processing is as follows: 
 
Article 6(1)(e) Processing is necessary for the performance of a task carried out 
in  the  public  interest  or  in  the  exercise  of  official  authority  vested  in  the 
controller  
 
and  
 
Article  9  (2)(h)  Processing  is  necessary  for  the  purposes  of  preventative  or 
occupational  medicine,  for  assessing  the  working  capacity  of  the  employee, 
medical  diagnosis,  the  provision  of  health  or  social  care  or  treatment  or 
management  of  health  or  social  care  systems  and  services  on  the  basis  of 
Union or Member State law or a contract with a health professional 
 
 Confidentiality and Data Protection Policy v2                                                 Page 9 of 19 

Under  Data  Protection  legislation,  Subjects  have  the  right  to  object  to  their  personal 
data being processed and the Trust has a duty to ensure such objections are recorded 
and  managed  appropriately.  However,  there  are  some  circumstances  where  an 
individual  cannot  prevent  the  processing  of  their  data,  e.g.  reporting  notifiable 
diseases. 
 
Individuals also have the right for their data to be amended if it is incorrect or deleted 
(however  the  NHS  must  adhere  to  the  records  management  code  of  practice  for 
retention  of  medical  records,  which  must  not  be  deleted  before  the  retention  period 
noted in the document) 
6.3  Caldicott Guardian 
The Caldicott Committee Report on the review of patient-identifiable information 1997 
and  the  subsequent  Information  Governance  Review  in  2013  (Caldicott2  Report) 
identified seven  good  practice principles  for the  health service  when  handling patient 
information:  
 
1.  Justify the purpose for using or sharing person-identifiable information. 
2.  Only use person-identifiable information when absolutely necessary. 
3.  Use the minimum person-identifiable information necessary. 
4.  Access to person-identifiable information should be on a strict need to know 
basis. 
5.  All  staff  handling  person-identifiable  information  should  be  aware  of  their 
responsibilities. 
6.  Understand  and  comply  with  the  law:    Every  use  of  person-identifiable 
information must be lawful. 
7.  The  duty  to  share  information  can  be  as  important  as  the  duty  to  protect 
confidentiality. 
 
Each organisation has a Caldicott Guardian (Medical Director within SWBH) who acts 
as  the  conscience  of  the  organisation  and  is  the  most  senior  person  responsible  for 
patient  confidentiality.  It  is  the  Caldicott  Guardian’s  responsibility  for  ensuring 
implementation of the Caldicott principles. 
6.4  Disclosure of Personal Information 
Whether personal information can be disclosed to others is dependent on a number of 
factors,  including,  whether  the  patient/  service  user  has  consented  to  the  information 
being  shared;  to  whom  the  information  is  being  disclosed,  and  the  reason  for  its 
disclosure (i.e. the legal basis for sharing). There are a number of considerations to be 
made  when  deciding  whether  or  not  to  disclose  information. The  approach may  vary 
according to the individual circumstances surrounding the disclosure. For example, the 
considerations in disclosing personal information to the police will be different to those 
in  disclosing  information  for  research  purposes.  These  are  explained  further  in  the 
Trust Subject Access Request (SARs) Policy. 
6.5  Access to Personal Information  
 
Individuals  or  persons  acting  on  their  behalf  with  consent  have  a  right  of  access  to 
data held about them. Any person who wishes to exercise this right should make their 
request  in  writing  to  the  Legal  Services  team  (for  patient  information),  Occupational 
Health Dept. for occupational health records or the Information Governance team (for 
staff information).  The process for doing this is described in Trust SARs Policy. 
 Confidentiality and Data Protection Policy v2                                                 Page 10 of 19 

6.6  Access to information about deceased persons 
 
Data  Protection  legislation  applies  only  to  information  about  living  individuals. Where 
the  subject  is deceased  access  to  health  records  comes  under the  Access  to  Health 
Records Act 1998.  
 
The Act permits access to records  of the  deceased to the  legal representative  of the 
deceased and any individual with a legitimate claim arising from the death. Though not 
specified  in  statute,  duty  of  confidence  remains  applicable  to  the  deceased  and  this 
should be considered prior to any information disclosure. 
6.7  Information Security  
In order to ensure the confidentiality of personal information, systems and procedures 
are  in  place  to  control  access  to  such  information.    Such  controls  are  essential  to 
ensure that only authorised persons have:  
•  physical access to computer hardware and equipment, 
•  access  to  computer  system  utilities  capable  of  overriding  system  and  access 
controls e.g. administrator rights, 
•  access  to  either electronic  or  paper records  containing  confidential  information 
about individuals. 
 
The  arrangements  for  the  security  of  computer  hardware,  system  utilities,  computer 
files  and  folders  is  set  out  in  the  Information  Security  Policy  and  related  procedures. 
The  policy  contains  guidance  on  access  controls,  encryption  of  data,  security 
monitoring and incidents, secure disposal of equipment and user responsibilities.  
 
For  further  guidance  on  maintaining  the  confidentiality  and  security  of  personal 
information whilst in transit please refer to the Trust’s Information Security Policy and 
Safe Haven Guidance. 
6.8  Audit and monitoring 
The  Trust  will  ensure  that  it  has  assigned  overall  responsibility  for  monitoring  and 
auditing  access  to  confidential  personal  information  to  an  appropriate  senior  staff 
member, e.g. the Caldicott Guardian and Data Protection Officer. They will ensure that 
the  Trust  has  developed  and  implemented  confidentiality  audit  procedures  and 
communicating those to all staff who have access to personal, confidential data. The 
procedures will include:  
• 
monitoring against NICE Clinical Guideline 138 and Quality Standard 15 
• 
how access to confidential information will be monitored;  
• 
who will carry out the monitoring of access;  
• 
reporting processes and escalation processes;  
• 
disciplinary processes.  
The  following  are  examples  of  events  that  the  Trust  will  audit  for  frequency, 
circumstances, location etc:  
• 
failed attempts to access confidential information;  
• 
repeated attempts to access confidential information;  
 Confidentiality and Data Protection Policy v2                                                 Page 11 of 19 

• 
successful access of confidential information by unauthorised persons;  
• 
evidence of shared login sessions/ passwords;  
• 
disciplinary actions taken.  
6.9  Data Flow Mapping 
 
The  Trust  is  required  to  map  all  routine  flows  of  personal  information  and  assess 
associated  risks.    The  IG  team  coordinates  an  annual  review  across  all  Trust 
departments  of  existing  data  flows  is  reviewed  at  least  annually  to  meet  the  Data 
Security  &  Protection  Toolkit  and  the  Data  Protection  Officer  informs  the  annual 
statutory  submission  to  the  Information  Commissioner’s  Office  in  regards  to 
processing activities and transfers of personal information outside the UK and EEA. 
6.10 Retention & Storage 
 
Records are to be retained in accordance with the NHS Records Management Code of 
Practice. Records, whether held in paper or electronic form must be stored securely to 
prevent  unauthorised  access.  Further  information  regarding  secure  storage  is 
available  from  the  Information  Security  Policy  (i.e.  access  controls)  the  Corporate 
Records  Management  Policy  and  Health  Records  Management  Policy  (i.e.  storage 
and retention).  
6.11 Freedom of Information 
 
A  Freedom  of  Information  (FOI)  request  is  when  a  member  of  the  public  asks  for 
information  about  the  Trust.  The  request  must  be  in  writing,  does  not  need  to  state 
“FOI”  and  the  sender  does  not  need  to  disclose  their  identity.  All  FOI  requests  are 
processed by the Trusts’ FOI lead, whose contact email is:  
xxxxxxxxxxxxxxxxxxx@xxx.xxx 
 
7  CONSULTATION 
 
This  policy  has  been  circulated  to  Risk  Management  Committee  members  for 
comment prior to being ratified by a Trust Executive Committee.  
 
8  AUDITABLE STANDARDS/ PROCESS FOR MONITORING 
EFFECTIVENESS   
 
Effectiveness  of  this  policy  will  be  monitored  through  corporate,  group  and  local 
analysis of data protection and confidentiality risk assessments and audits, inspections 
and incident investigations. 
 
9  TRAINING AND AWARENESS  
 
Confidentiality  and  data  protection  training  and  awareness  is  achieved  through  the 
Trust’s mandatory data security training programme and supplemented with additional 
 Confidentiality and Data Protection Policy v2                                                 Page 12 of 19 

training as and when identified.   
 
Awareness  of  this  policy  is  achieved  via  corporate  publicity  (e.g.  electronic 
communications) and the line management and governance structures. 
 
10 EQUALITY AND DIVERSITY  
 
The Trust recognizes the diversity of the local community and those in its employment.  
Our  aim  is,  therefore,  to  provide  a  safe  environment  free  from  discrimination  and  a 
place  where  all  individuals  are  treated  fairly,  with  dignity  and  appropriately  to  their 
need.  The  Trust  recognizes  that  equality  impacts  on  all  aspects  of  its  day-to-day 
operations and has produced and Equality Policy Statement to reflect this. All policies 
are assessed in accordance with the SWBH Equality Impact Assessment Toolkit, the 
results for which are monitored centrally. 
 
11  REVIEW  
 
This policy will be reviewed after three years or sooner if legislation, national standards 
or local requirements mandate it or Trust practice is amended. 
 
12  REFERENCE DOCUMENTS AND BIBLIOGRAPHY  
•  NHS Confidentiality Code of Practice, 2003 
•  HSCIC,  A Guide to Confidentiality in Health and Social Care, 2014 
•  NHS Care Record Guarantee 
•  NHS Code of Practice: Records Management 
•  Data Protection Act (2018) 
•  EU GDPR (General Data Protection Regulation) 
 
 
13 FURTHER ENQUIRIES  
 
Further information and support for data protection and confidentiality matters can be 
obtained from the Trusts Data Protection Officer email: xxxx.xxxx@xxx.xxx . 
 
  
 Confidentiality and Data Protection Policy v2                                                 Page 13 of 19 

14 APPENDIX A - Staff Confidentiality Good Practice Guide 
 
Confidential information can relate to personal information about: 
•  Staff 
•  Patients 
•  Contractors 
•  Third parties e.g. patient or staff relatives, members of the public. 
•  Confidential information can also relate to information that is: 
Commercially  sensitive  e.g.  trade  secret,  contractual  arrangements,  pricing 
structures,  information  concerning  national  security,  information  that  could 
damage an organisation’s reputation…this list is not exhaustive. 
 
Duty of Confidentiality 
 
The organisation and its employees have a legal duty to keep confidential information 
secret. Failure to keep this type of information secret could cause damage, harm, and 
distress  to  the  person  or  organisation  whose  confidential  information  has  been 
disclosed without their permission. 
 
How the law protects confidentiality 
Confidentiality is protected by the following laws: 
•  Common Law Duty of Confidence 
•  Human Rights Act 1998 
•  Data Protection Act (2018) 
•  EU GDPR 
•  Access to Health Records Act 1990 
•  Health and Social Care Act 2008 
•  NHS Act 2006 
•  Privacy and Electronic Communications Regulations 2003 
 
 
Consequences if a breach of confidentiality occurs 
 
Legal  action  can  be  taken  against  either  individual  members  of  staff  or  the 
organisation (or both) depending upon where the fault is found to lie.  
 
In addition, regulatory bodies exist to make sure we look after information properly and 
these  bodies  can  impose  fines  (up  to  4%  of  annual  turnover)  or,  in  the  worst  case, 
could even order the NHS to stop handling people’s information. 
 
Employees  may  be  subject  to  disciplinary  and  or  legal  action  if  they  breach 
confidentiality. 
 
Fines can be issued up to 4% of annual turnover and or imprisonment for a breach of 
the Data Protection legislation. 
 
All  new  uses  or  methods  of  using  person-identifiable  information  e.g.  monitoring, 
marketing,  and  change  of  IT  system  must  undertake  a  privacy  impact  assessment 
(see  Privacy  Impact  Assessment  policy  and  procedure).  Contact  Information 
Governance for advice. 
 Confidentiality and Data Protection Policy v2                                                 Page 14 of 19 

 
Confidentiality measures 
 
The  duty  of  confidence  regulates  the  disclosure  of  written  and  spoken  information  - 
however  patient  information  needs  to  be  shared  with  other  NHS  staff  and  partner 
organisations  to  provide  effective  healthcare.  Refer  to  the  Department  of  Health 
Confidentiality Code of Practice for further information. 
 
Confidentiality  measures  allow  information  to  be  shared  but  under  strict  controls  to 
ensure  that  the  duty  of  confidence  is  maintained.  These  measures  are  aimed  at 
everyone  who  might  see  or  overhear  person-identifiable  confidential  information  to 
which  they  should  not  be  party  -  cleaners,  messengers,  maintenance  staff,  IT  staff, 
volunteers,  porters, caretakers,  drivers,  catering  and  laundry  staff, even  for  example, 
other healthcare professionals not involved in the patient’s care. 
 
Summary of the Staff Code of Practice 
 
All staff contracts contain a Code of Confidentiality clause. To summarise: 
 
•  Information  about  patients  must  NOT  be  given  either  spoken  or  provided  in 
written  form  to  another  person  unless  that  person  is  directly  involved  in  that 
patients care. Unless… 
 
a)  A  patient  has  provided  informed  consent  to  the  disclosure  of  all  or  part  of 
their record e.g. to a patient representative (Solicitor/ next of kin) or consent 
for participation in patient research or clinical audit. 
 
Or  
 
b)  Section  251  approval  has  been  granted.  Applications  for  section  251 
approvals  set  aside  the  Common  Law  Duty  of  Confidence.  Approval  of 
applications  under  section  251  will  only  be  considered  where  consent  is 
genuinely impracticable and where pseudonymised or anonymised data will 
not  suffice.  Applications  for  section  251  need  to  be  submitted  to    Health 
Research Authority HRA to be considered by the Ethics and Confidentiality 
Committee. 
 
[In  2006,  Section  60  of  Health  and  Social  Care  Act  2001  was  replaced  by 
Section 251 of the NHS Act 2006. The HRA currently acts as the statutory 
body responsible for Section 251 of the NHS Act 2006 (formerly Section 60 
of the Health and Social Care Act 2001). ]  
 
Or  
 
c)  The patient data has been removed of all identifiers e.g. pseudonymised or 
anonymised. 
 
Or 
 
d)  There are other legal grounds for disclosure, e.g. Court Order. 
 
 Confidentiality and Data Protection Policy v2                                                 Page 15 of 19 

•  Secondary  use  of  patient  data  refers  to  any  use  of  patient  data  that  is  not 
directly required for delivery of the patient’s care, e.g. service planning, service 
evaluation, clinical research, clinical audit, commissioning data. 
 
•  Information  about  staff  or  third  parties  must  NOT  be  given  either  spoken  or 
provided in  written form to another  person  unless that  person has  a legitimate 
and strict business need or legal reason to view that information.  
 
•  Processing of staff personal data by the organisation is permitted for workforce 
management  and  administration  purposes  only.    E.g.  any  external  workforce 
related  initiatives  will  require  staff  consent  before  aspects  of  their  staff 
information can be shared with partner organisations. 
 
•  Information  about  staff  or  patients  may  be  disclosed  to  a  third  party  for 
legitimate  legal  reasons  without  their  consent  e.g.  prevention  or  detection  of 
crime,  safeguarding,  to  protect  national  security.  However  this  will  always  be 
dealt  with  by  the  relevant  senior  manager,  Legal  Dept.  or  IG  Manager  and 
processed in accordance with that person’s rights. 
 
•  Patient,  staff  and  Trust  business  records  MUST  be  held  securely  at  all  times. 
This includes written and electronic correspondence.  
 
•  Keep manual records and documents locked away.  
 
•  Protect  the  Trust  electronic  information  against  unauthorised  access.  Do  not 
share  passwords  or  Smartcards.  Lock  computers  when  not  in  use  using  the 
CTRL+ALT+DELETE keys  to  lock  the  computer.  Do  not  leave  your  Smartcard 
unattended and  notify  IT  Services  immediately  if  you  lose  your  Smartcard.  Do 
not  record  your  passwords  or  access codes. This  is necessary  to  comply  with 
the Trust IT User Policy which is designed to protect confidentiality. 
 
•  Ensure doors remain closed to secure areas. Notify Security immediately of any 
suspicious  activity  or  person(s).  Check  staff,  contractor  ID  before  allowing 
access to staff restricted areas. 
 
•  Ensure  confidential  conversations  about  patients/  staff  or  other  third  party  do 
not  take  place  in  areas  where  they  may  be  overheard  by  others  nearby    e.g. 
corridors, reception areas, canteens, lifts and shared transport. 
 
•  You  are  required  at  all  times  to  be  aware  of  and  comply  with  the  Trust’s  Data 
Quality Policy, Information Security Policy and IT User Policy. 
 
 Confidentiality and Data Protection Policy v2                                                 Page 16 of 19 

People who can help you 
 
Your line manager 
Workforce, if you have a query about use of staff information. 
 
Data Protection Officer 
First point of contact for any queries regarding data protection legislation. 
 
xxxx.xxxx@xxx.xxx 
 
The Caldicott Guardian 
Caldicott Guardian, if you have a query about use of patient information. 
 
Information Governance Manager  
For any type of enquiry about use of confidential information. 
 
 
 
xxxxxxxxxxx@xxx.xxx 
0121 507 4681 
 
 
 Confidentiality and Data Protection Policy v2                                                 Page 17 of 19 

15 APPENDIX B – GDPR legal bases for processing 
personal data 
 
The bases highlight in bold are the legal basis for the vast majority of the work 
undertaken within the NHS (i.e. sharing for health and social care purposes). 
 
Processing of personal data requires a legal basis from article 6; processing sensitive 
data (such as medical information) also requires a legal basis from article 9. 
 
Conditions for processing: Personal Data  
 
Article 6 GDPR: 
 
6(1) (a) the data subject has given consent to the processing of his or her personal 
data for one or more specific purposes; 
 
6(1) (b) processing is necessary for the performance of a contract to which the data 
subject is party or in order to take steps at the request of the data subject prior to 
entering into a contract; 
 
6(1) (c) processing is necessary for compliance with a legal obligation to which the 
controller is subject; 
 
6(1) (d) Processing is necessary to protect the vital interests of a data subject or 
another person (e.g. Safeguarding) 
 
6(1)(e) Processing is necessary for the performance of a task carried out in the public 
interest or in the exercise of official authority vested in the controller 
 
6(1)(f ) Processing is necessary for the purposes of the legitimate interests pursued by 
the controller or by a third party, except where such interests are overridden by the 
interests or fundamental rights and freedoms of the data subject which require 
protection of personal data, in particular where the data subject is a child.  
Point (f) of the first subparagraph shall not apply to processing carried out by public 
authorities in the performance of their tasks. 
 
Conditions for Processing Special Categories of Personal Data (1) (Sensitive 
Personal Data) 
 
Article 9 GDPR: 
 
1. 
Processing of personal data revealing racial or ethnic origin, political opinions, 
religious or philosophical beliefs, or trade union membership, and the processing of 
genetic data, biometric data for the purpose of uniquely identifying a natural person, 
data concerning health or data concerning a natural person's sex life or sexual 
orientation shall be prohibited. 
 
2. 
Paragraph 1 shall not apply if one of the following applies: 
 
9(2) (a) Explicit consent of the data subject, unless reliance on consent is prohibited by 
EU or Member State law; 
 Confidentiality and Data Protection Policy v2                                                 Page 18 of 19 

 
9(2) (b) Processing is necessary for carrying out obligations under employment, social 
security or social protection law, or a collective agreement; 
 
9(2) (c) Processing is necessary to protect the vital interests of a data subject or 
another individual where the data subject is physically or legally incapable of giving 
consent; 
 
9(2)(d) Processing carried out by a not-for-profit body with a political, philosophical, 
religious or trade union aim provided the processing relates only to members or former 
members (or those who have regular contact with it in connection with those purposes) 
and provided there is no disclosure to a third party without consent; 
 
9(2)(e) Processing relates to personal data manifestly made public by the data subject; 
 
9(2) (f) Processing is necessary for the establishment, exercise or defence of legal 
claims or where courts are acting in their judicial capacity; 
 
9(2)(g) Processing is necessary for reasons of substantial public interest on the basis 
of Union or Member State law which is proportionate to the aim pursued and which 
contains appropriate safeguards; 
 
9(2)(h) Processing is necessary for the purposes of preventative or occupational 
medicine, for assessing the working capacity of the employee, medical diagnosis, the 
provision of health or social care or treatment or management of health or social care 
systems and services on the basis of Union or Member State law or a contract with a 
health professional; 
 
9(2)(I) Processing is  necessary for reasons of public interest in the area of public 
health, such as protecting against serious cross-border threats to health or ensuring 
high standards of healthcare and of medicinal products or medical devices; 
 
9(2)(j) Processing is necessary for archiving purposes in the public interest, or 
scientific and historical research purposes or statistical purposes in accordance with 
Article 89(1). 
 
 
 
 Confidentiality and Data Protection Policy v2                                                 Page 19 of 19