This is an HTML version of an attachment to the Freedom of Information request 'Policies'.


 Enclosure 3 
 
Data Protection Impact Assessment (DPIA) 
 
SECTION 1 – General Details 
 
1.1 Explain the change / project aims to achieve and what type of processing it involves 
Currently the medicines management processes on wards are based on systems from the 
1950’s. Stock counting, ordering, picking, distribution and putting away of medicines, together 
with stock rotation and expiry checking is a totally manual process and heavily labour intensive 
on both nursing and pharmacy staff. Drug security has been ‘red’ on the Trust risk register for 
a number of years due to poor compliance with Duthie requirements. The CQC inspection in 
2015  identified drug security and storage (under medicines management) as needing 
addressing urgently and a ‘must do’. Together, the storage and management issues pose 
current risks to both patient and staff safety, and thus the organisation as a whole. The 
Omnicell Automated Medicines cabinets allow nurses to access their stored drugs via 
fingerprint access and records transactions against individual patients.   
1.2 Provide some background information as to why this change / project is required? 
Benefits:  the benefits are designed to speed up the drug availability process and provide 
increased time to patient care:1) No requirement to find the location of drug keys on a ward, 2) 
Automated ordering of medicines direct to Pharmacy, reducing ad-hoc orders, 3) Faster 
dispensing of medicines/locating medicines, flashing light guidance system, 4) an electronic 
CD register rather than paper, 5) Quicker re-stock process provided by Pharmacy 6) 
Reduction in missed doses –  due to the guiding systems and improved stock availability, 7) 
Reduced Consumption – reduced spend per patient 
Constraints: N/A 
Relationships (e.g. with other Trust’s / organisations): N/A 
Stakeholders / customers / interested parties: This change will mainly affect nursing staff and 
in some areas doctors will need access to the cabinets.  
1.3 Who is responsible for the completion of this DPIA? 
Name: 
 
Job title: 
  
Department/Specialty: 
 
Email:
 
Telephone: 
 
1.4 What is the time scale / implementation date of this change/project? 
To start 18th June 2018 with the first cabinets going live on 2nd July. Final cabinets will be in 
place and in use in December 2018. 

SECTION 2 – DPIA Screening Questions 
Answering ‘yes’ to any of these questions is an indication that there is a potential IG risk 
that will have to be further analysed or risk assessed, and helps determine the need for a 
DPIA. 
 
No.  Question 
Yes / 
No 
2.1 
Will the project involve the collection of new information about individuals?  Yes 
Will the project compel individuals to provide information about 
2.2 
Yes 
themselves? 
Will information about individuals be disclosed to organisations or people 
2.3 
No 
who have not previously had routine access to the information? 
Are you intending to use information about individuals for a purpose it is 
2.4 
No 
not currently used for, or in a way it is not currently used? 
Does the project involve using new technology which might be perceived 
2.5 
as being privacy intrusive? For example, the use of IP address, genetics, 
Yes 
biometrics or facial recognition. 
Will the project result in you making decisions or taking action against 
2.6 
Yes 
individuals in ways which can have a significant impact on them? 
Is the information about individuals of a kind particularly likely to raise 
privacy concerns or expectations? For example, health records, criminal 
2.7 
No 
records or other information that people would consider to be particularly 
private. 
Will the project require you to contact individuals in ways which they may 
2.8 
No 
find intrusive? 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 2 of 13 

SECTION 3 – Information Governance Checklist 
 

3.1. Does this change/project involve a system (Information Asset - IA)?  
Yes  
No 
3.2. If Yes to Q1, what is the name of / who is the supplier of the system (IA)? 
Omnicell  
 
 
3.3. What is this system (Information Asset) used for? 
Secure medicines cabinets to store medication on wards to supply to patients.   
 
 
3.4. How will the system be affected by this change / project? What is the impact? 
x  New or different in/out bound data flows  x 
Access requirements for staff 
 
Secure transmission of data 

Capturing/recording of activity 
 
Referral To Treatment (18 wk or 2ww)  

Reporting requirements 
 
Transfer of data / legacy data 

First time use  
Use this space to explain / describe the impact of this change  
 
 
3.5. Provide the details below for the IAO & IAA of the system: 
Information Asset Owner (IAO) 
Information Asset Administrator (IAA) 
Name: 
 
Name: 
 
Job title: 
 
Job title: 
 
 
Department/Specialty: 
 
Department/Specialty: 
 
Email: 
 
Email: j
 
Telephone: 
 
Telephone: 
 
3.6. Does this change/project involve the handling (e.g. collection, storage, sharing) of 
any person identifiable information? 
Yes 
No 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 3 of 13 

3.7. Select the data fields that will be handled, and use the blank fields for additional 
data items. 
 
 
Staff 
Patients  
 
First name 


 
Surname 


 
Date of birth 
 

 
Age 
 

 
Address  
 

 
Post code 
 

 
Hospital number 
 

 
NHS number 
 

 
Gender  
 

 
Ethnicity 
 
 
 
Learning disabilities 
 
 
 
Biometrics  

 
 
 
 
 
 
 
 
 
 
 
 
 
3.8. Has the IAO/IAA completed the IG Systems Standards – if you are not the IAO/IAA 
then please check and confirm?  
Yes 
No 
Not applicable 
Further work required 
If the answer is not ‘Yes’ – use this space to explain 
IG System Standards:  
1.  Is there a documented starters and leaver’s process? – Yes, it will be part of the Trust IT 
starters and leavers process.  
2.  Is there a documented access control model and description of the functionality for the 
information asset? Yes – it is in the Omnicell user guide.  
3.  Does the information asset have audit functionality to be able to report on user activity? 
Yes – it is available in excel or pdf formats. 
4.  Is there a documented programme of audit in place for the information asset that checks 
for inappropriate access? Access is via fingerprint of registered users; there is an 
audit process for failed access, and it can also report on drugs that have been 
accessed inappropriately.  

5.  Is there a documented process that describes the steps to be followed if an information 
security incident occurs with this information asset?  In process of being done.  
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 4 of 13 

6.  Have all the data flows into and out of the information asset been documented? Yes – see 
section 3.12 
7.  Is there person identifiable data contained within this information asset? Yes  
8.  Is the data from the information asset shared externally (to UHCW)? No, not shared.  
9.  Is there a maintenance and support contract in place for the information asset? Yes, in 
contract 
10. Does the ICT department have any responsibilities for the maintenance and support of this 
information asset? Responsible for maintaining the server. No support provided. 
11. Has training and support documentation been created for: 
•  Users of the system  - yes 
•  ICT for support – not needed 
•  System administration and management - yes, training provided and 
documentation
12. Is there an approved, tested and documented business continuity plan for the information 
asset? In the process of being created.  
13. Does this information asset use the NHS Number?  Yes  
14. Was a Privacy Impact Assessment completed? No, as this was superseded by the 
DPIA.  
3.9. Is this change/project going through the ICT Department DRF Process?  
(DRF – Development Request Form) 
Yes 
No 
Not applicable 
Further work required 
If the answer is not ‘Yes’ use this space to explain your answer. Otherwise provide the DRF 
Reference Number. 
 (ICT) is the IT lead for this project and reports to the Automated Cabinets project 
group. 
 
3.10. Are there appropriate Contracts/Service Level Agreements /Information Sharing or 
Processing Agreements in place?  
Yes 
No 
Not applicable 
Further work required 
If Yes, provide the name of the document being referenced. Otherwise use this space to 
explain your answer 
There is a contract between UHCW and Omnicell for the medicines cabinets. GDPR 
information is not currently included in the contract but will be added as a variation to the 
contract.  
3.11. How will the data be collected, used, stored, deleted?  
•  Information will be stored on a Trust server and does not leave the site.  
•  Data is collected also for patients from IPM. There will be an interface to the MPI (master 
patient index). 
•  The information will be used for medicines usage reports.  
•  Staff biometrics will be stored on the server and used only to access the medicine’s 
cabinets and to identify who has accessed if needed (clinical audit trail).  
•  Biometric and password data is encrypted and therefore not accessible to anyone.  
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 5 of 13 

3.12. Has a data flow mapping exercise been completed? If Yes, provide the data flow 
mapping. If No, please ensure a data flow mapping exercise is undertaken. 
Data flows for the cabinets; 
•  Inbound patient data from IPM 
•  Inbound (manual input) drug files and prices 
•  Inbound staff data including biometrics 
•  Outbound reporting (manual and automated) patient data and drug utilisation. 
•  Outbound reporting (manual and automated) staff access to cabinets 
 
 
3.13. Are there any third parties involved in the processing of information? 
No 
3.14. Is there any additional information sharing as part of this change / project? 
No  
3.15 Is there any legacy data that is involved in this project? If there is, what are the 
arrangements? 

No  
3.16. Will any information be sent off site? If Yes, please specify the recipient, 
frequency and requirements. 

No  
3.17. Has the requirement to apply clinical risk management to the deployment of 
patient based systems been addressed and in what ways? 

Clinical Risk management is underway. Risks identified and mitigated.  
 
3.18 What are the arrangements for the information if this project / change is dis-
continued? How will the information be retained/archived/transferred/disposed of? 

This is a new system that is being introduced with a new way of working. The Trust will not revert back 
to the old way of working.  
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 6 of 13 

SECTION 4 – Legal Compliance 
Provide evidence of how compliance is being achieved in your responses. 
 
General Data Protection Regulations (GDPR) – Principles 
Article 5(2) requires that the data controller shall be responsible for, and be able to 
demonstrate, compliance with the principles. 
Article 5 of the GDPR requires that personal data shall be: 
a)  processed lawfully, fairly and in a transparent 
Yes – for direct care. 
manner in relation to individuals. 
Staff data will only be used for access 
to the cabinets and as an audit trail on 
who has accessed the cabinets.  
b)  collected for specified, explicit and legitimate 
Data collected on medicines usage 
purposes and not further processed in a manner  will be used for reports but not 
that is incompatible with those purposes; further  identified by individual patient 
processing for archiving purposes in the public 
information. 
interest, scientific or historical research purposes  Patient information is only accessible 
or statistical purposes shall not be considered to  once the nurse has logged into the 
be incompatible with the initial purposes; 
system. Nurses are trained to log out 
immediately after use and there is a 
45 second automatic log out process 
as backup.  
c)  adequate, relevant and limited to what is 
necessary in relation to the purposes for which 
Yes, see above   
they are processed  
Staff data: processes for removing 
d)  accurate and, where necessary, kept up to date;  biometric data once no longer needed 
every reasonable step must be taken to ensure 
are in place. 
that personal data that are inaccurate, having 
regard to the purposes for which they are 
Patient data: current IPM data is used 
processed, are erased or rectified without delay;   and processed in accordance with the 
existing policies in place.    
e)  kept in a form which permits identification of data 
subjects for no longer than is necessary for the 
purposes for which the personal data are 
processed; personal data may be stored for 
Biometric data will be removed once 
longer periods insofar as the personal data will be not used for a period of time.   
processed solely for archiving purposes in the 
public interest, scientific or historical research 
purposes or statistical purposes subject to 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 7 of 13 

implementation of the appropriate technical and 
organisational measures required by the GDPR in 
order to safeguard the rights and freedoms of 
individuals; and  
f)  processed in a manner that ensures appropriate 
security of the personal data, including protection 
against unauthorised or unlawful processing and  All data stored on trust server and 
against accidental loss, destruction or damage, 
does not leave the site.  
using appropriate technical or organisational 
measures.”. 
 
 
Common Law Duty of Confidentiality 
Yes – consent form has been created and is 
1.  Is consent required from the individual 
circulated as part of the implementation plan. 
whose personal confidential information  This will also form part of the new user process 
is being collected? 
administered by ICT.  
2.  Has the individual provided consent 
ICT security policy  
(please state how this has been 
captured, and where it will be stored)? 
Newly completed consent form   
If a person does not consent to storage of 
biometrics an alternative method of logon by ID 
and Password is supported. If a person 
removes consent for biometrics storage those 
details will be removed and the user will revert 
to ID and password. Once a member of staff 
has left an area or the Trust their authority to 
access and their biometric details will be 
3.  How will the withdrawal of consent be 
removed (this is also essential for security). 
managed? 
However audit trail records identifying the 
 
member of staff who has accessed cabinets 
will be retained for the period determined by 
law, regardless of consent consistent with the 
lawful basis for holding those records. 
 
Staff will be deleted when they leave the Trust 
and if an account remains inactive the account 
will automatically delete after 6 months.  
4.  If applicable, is the disclosure of the 
N/A 
personal confidential information being 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 8 of 13 

collected in the public interest?  
5.  If applicable, is there a legal duty to 
If required, in the event of an untoward incident 
disclose the personal confidential 
audits can be obtained. (can be obtained in 
information being collected (for example, either excel or PDF format) 
a court order)? 
6.  If applicable, is there a statutory basis 
that permits the disclosure of the 
personal confidential information being  As above  
collected (for example, Section 251 of 
the NHS Act)?  
 
 
Human Rights Act (HRA) 
The HRA establishes the right to respect for private and family life. Compliance with the 
Data Protection Act and common law duty of confidentiality should satisfy human rights 
requirements. 
1.  Will this collection of personal 
confidential information interfere with 
Used for specific purpose to access medicines 
rights to privacy of the individual 
cabinets in the Trust. All staff have consented 
concerned? 
and can withdraw at any time they want.  
 
2.  Have the social needs of this project or 
change been identified? 
N/A 
 
3.  Is this collection of personal confidential 
information proportionate to the social 
need?  
Yes – reference question 1.  
 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 9 of 13 

SECTION 5 – Identify and assess risks 
 

Describe the source of risk and nature of potential impact on individuals. Include 
associated compliance and corporate risks as necessary.  

Likelihood of  Severity of 
Risks 
Overall risk 
harm 
harm 
1.  Unauthorized access and obtaining drugs. 



 
2.  No access to cabinet i.e. temporary staff. 


15 
 
3.  Staff login details remain on the system 


12 
beyond their employment in the Trust. 
 
4.  Power failure will result in cabinet not being 


10 
able to be opened. 
 
5.  No current full integration with Active directory 



during the roll out. 
 
6.  Synchronization of Active Directory and 



Omnicell cabinets. Staff may still be able to 
access the cabinet if they are dismissed from 
site.  
 
7.  Use of agency staff temporary IDs. 



 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 10 of 13 

SECTION 6 – Identify measures to reduce risks 
 

Identify additional measures you could take to reduce or eliminate risks identified as 
medium or high risk in step 5 
 
Likelihood of  Severity of 
Risk 
Options to reduce or eliminate risk 
Overall risk 
harm 
harm 

Unauthorized access and obtaining 



drugs. Users are trained to log out after 
every use. If they fail to do so the 
system will log them out after 45 
seconds.  

No access to cabinet i.e. temporary 



staff. Super users will be trained in all 
areas to allow temporary staff a 
temporary login.   

Staff login details remain on the system 



beyond their employment in the Trust. 
A process has been created to delete 
staff after they leave. If an account 
remains inactive for 6 months the 
account will be automatically deleted. 

Power failure will result in cabinet not 



being able to be opened. There is a 
battery in each cabinet which will keep 
them operational until hospital backup 
generators take over.  There are also 
keys to the cabinets which will be 
distributed in the event of catastrophic 
fail.  

Full integration will be operating from 



February 2019 which will remove this 
risk. 

There is a very small risk that someone 



may access cabinets after dismissal 
however the risk has been greatly 
reduced by introducing the omnicell 
cabinets. Greater risks before with staff 
being able to walk onto any ward in 
their uniform and ask for keys. In 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 11 of 13 

addition all removal of drugs has an 
audit trail and therefore there would be 
evidence now. 
Agency nurses are given temporary 




access to the Omnicell cabinets which 
expires between 1 and 5 days. The 
ward super-user will register the nurse 
and they will be issued with a unique 
username and choose their own 
password. All access to the cabinet by 
the temporary nurse is fully auditable. 
These accounts are not generic and are 
unique to the member of staff. Reports 
are checked to ensure that no generic 
name has been issued. Demonstration 
given to 
 
 
  
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 12 of 13 

SECTION 7 – DPIA Sign Off 
 
Project Manager or Lead Manager  
 - 
Name 
 
Job Title 
 
Date 
 
Signature   
 
Comments   
 
 
Technical Input (from ICT Department) 
Name 
 
Job Title 
 
Date 
 
Signature   
 
Comments   
 
 
 
Senior Management (e.g. Group Manager / Director / Clinical Director) 
 
Name 
  
Job Title 
Date 
 
Signature   
 
Comments   
 
 
 
Information Governance Committee 
Date 
 
Item 
 
 
Comments   
or issues 
 
raised 
 
 
 
Caldicott Guardian / Senior Information Risk Owner (if required) 
Name 
 
Job Title 
 
Date 
 
Signature   
 
Comments   
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 13 of 13 


Item 18 
 
 
Data Protection Impact Assessment (DPIA) 
 
SECTION 1 – General Details 
 
1.1 Explain the change / project aims to achieve and what type of processing it involves 
This implementation is an Electronic Order Communications solution for Pathology Tests; 
which will improve the accuracy, appropriateness and timeliness of pathology test ordering 
and reporting.  The objective is to achieve a solution for CWPS (Coventry and Warwickshire 
Pathology Service) customers to subscribe to and which could eventually (with additional 
funding) incorporate the ordering of Radiology examinations. 
 
CWPS ‘owns’ the Order Communications functionality which will enable a service to be 
offered to customers. CWPS will co-ordinate necessary licenses and training for staff, and 
facilitate promoting and championing the system in order to gain maximum benefit from its 
implementation. 
 
Scope 
CWPS provides a comprehensive pathology service to primary care across Coventry and 
Warwickshire, the three hospital trusts and wider health community. It serves 
 
 of the county.  It is expected that all 
GP Practices in Coventry and Warwickshire will benefit from this implementation. 
 
Process 
Currently GPs request a test from Pathology via provision of a paper form which includes bar 
codes of the GP Surgery and requesting clinician only.  On receipt of the paper form and 
sample in Pathology the information relating to the request is manually input into the 
Laboratory Information Management System (LIMS) with the bar codes of GP Surgery and 
requesting clinician scanned so that manual entry is not required for these data items. 
 
The implementation of Primary Care Order Communications will mean that GPs will enter the 
information as now but as well as the paper form an electronic message is issued to the 
LIMS so the LIMS has the data ready for when the sample arrives in Pathology to be tested 
without the need to manually enter the details into the LIMS.  On receipt of the Sample in 
Pathology the form is scanned which contains enough information to recognise the test that 
has already been submitted electronically and the Sample is receipted. 
 
GPs can order tests based on diagnosis / condition.  GPs will have access to all Pathology 
Results for their patient by access to a new system (Review) and the ability to copy any of 
these results (not just results of requested tests) into the GP Clinical System. They currently 
have access to the same data but via multiple systems rather than one. 
 
This implementation is a change to the vehicle for processing data not the actual data 
captured
 


1.2 Provide some background information as to why this change / project is required? 
Benefits: 
NHS Improvement (www.improvement.nhs.uk), following the Carter Review improvements 
resulting from implementation of order communication systems continue and early evidence 
shows: 
• 
43% - 90% reduced end to end turnaround times; 
• 
20% reduction in inappropriate demand; 
• 
cost savings of up to £125,000 pa recovered from within the system; 
• 
50% improved turnaround times for MRSA testing; 
• 
20% reductions in inappropriate demand and additional cost savings; 
• 
avoidance of unnecessary admissions. 
 
In addition CWPS have identified potential for improvements and efficiencies in the overall 
process and the removal of manual interventions with potential of reduction in Medical 
Laboratory Assistants and redeployment of staff to front line services (such as Phlebotomy).   
 
Constraints: 
This system is for use by Primary Care (GPs) and does not include ordering from the Acute 
Trusts served by CWPS who have their own Order Communications Solutions. 
This does not include printing of sample labels within practices.  
The project currently covers pathology services only, radiology is excluded 
 
Relationships (e.g. with other Trust’s / organisations): 
NHS England GP IT Funding have provided initial funding for this project and ongoing 
funding is provided via CCGs. 
 
Stakeholders / customers / interested parties: 
This system will provide tangible benefits to primary care in streamlining pathology 
requesting, and supporting best practice and pathway adherence.  
 
1.3 Who is responsible for the completion of this DPIA? 
Name
 
Job title
 
Department/Specialty: 
 
Email: 
 
Telephone: 
 
1.4 What is the time scale / implementation date of this change/project? 
The functionality will be available to 
 
 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 2 of 15 

 
 
 
 
 
 
 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 3 of 15 

SECTION 2 – DPIA Screening Questions 
Answering ‘yes’ to any of these questions is an indication that there is a potential IG risk 
that will have to be further analysed or risk assessed, and helps determine the need for a 
DPIA. 
 
No.  Question 
Yes / 
No 
2.1 
Will the project involve the collection of new information about individuals?  NO 
Will the project compel individuals to provide information about 
2.2 
NO 
themselves? 
Will information about individuals be disclosed to organisations or people 
2.3 
NO 
who have not previously had routine access to the information? 
Are you intending to use information about individuals for a purpose it is 
2.4 
NO 
not currently used for, or in a way it is not currently used? 
Does the project involve using new technology which might be perceived 
2.5 
as being privacy intrusive? For example, the use of IP address, genetics, 
NO 
biometrics or facial recognition. 
Will the project result in you making decisions or taking action against 
2.6 
NO 
individuals in ways which can have a significant impact on them? 
Is the information about individuals of a kind particularly likely to raise 
privacy concerns or expectations? For example, health records, criminal 
2.7 
YES 
records or other information that people would consider to be particularly 
private. 
Will the project require you to contact individuals in ways which they may 
2.8 
NO 
find intrusive? 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 4 of 15 

SECTION 3 – Information Governance Checklist 
 

3.1. Does this change/project involve a system (Information Asset - IA)?  
Yes 
No 
3.2. If Yes to Q1, what is the name of / who is the supplier of the system (IA)? 
System is:  
tQuest & Review 
 
Supplier is:  

 
 
 
 
3.3. What is this system (Information Asset) used for? 
To enable Requestors to electronically order tests direct to Pathology 
3.4. How will the system be affected by this change / project? What is the impact? 
√  New or different in/out bound data flows  √  Access requirements for staff 
√  Secure transmission of data 
√  Capturing/recording of activity 
 
Referral To Treatment (18 wk or 2ww)  
 
Reporting requirements 
 
Transfer of data / legacy data 
√  First time use / Other 
Use this space to explain / describe the impact of this change  
 
Electronically ordering pathology tests will reduce the level of manual input by Pathology 
Specimen Reception and greatly improve the quality of orders received from Requestors. 
 
3.5. Provide the details below for the IAO & IAA of the system: 
Information Asset Owner (IAO) 
Information Asset Administrator (IAA) 
Name: 
 
Name: 
 
Job title:
 
 
 
 
 
 
 
3.6. Does this change/project involve the handling (e.g. collection, storage, sharing) of 
any person identifiable information? 
Yes 
No 
3.7. Select the data fields that will be handled, and use the blank fields for additional 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 5 of 15 

data items. 
√ 
Patient name 
√ 
Requester Name 
√ 
NHS Number 
√ 
Position 
√ 
Date of birth 
√ 
Practice located 
√ 
Gender 
√ 
Prescribing Code 
√ 
Address  
√ 
IP Address of Practice 
√ 
Post Code 
√ 
Pathology Tests requested 
 
 
√ 
Brief Clinical detail for patient 
3.8. Has the IAO/IAA completed the IG Systems Standards – if you are not the IAO/IAA 
then please check and confirm?  
Yes 
No 
Not applicable 
Further work required 
If the answer is not ‘Yes’ – use this space to explain 
IG System Standards:  
1. Is there a documented starters and leaver’s process? 
Yes -  will be part of the liaison with GP Practices 
 
2. Is there a documented access control model and description of the functionality for 
the information asset?  
Yes – in the tQuest & Review user guide.  
 
3. Does the information asset have audit functionality to be able to report on user 
activity?  
Each Practice can see what they have ordered.  There is no facility to audit what has been 
ordered across all the system.  Any questions regarding the activity of a user can be 
answered via a support call to EMIS. Reports are also available within the GP System and 
the LIMS of activity. 
 
4. Is there a documented programme of audit in place for the information asset that 
checks for inappropriate access?  
Access is only available if a user is setup in tQuest and the GP System to place orders 
and see results on Review.  It is possible to see which users can request. 
 
5. Is there a documented process that describes the steps to be followed if an 
information security incident occurs with this information asset? 
Yes this is a Support Call to EMIS who would respond to an Information Governance 
issue. 
 
6. Have all the data flows into and out of the information asset been documented?  
Yes – see section 3.12 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 6 of 15 

7. Is there person identifiable data contained within this information asset? 
Yes  
 
8. Is the data from the information asset shared externally (to UHCW)? 
Yes via Order and Results Interface. 
 
9. Is there a maintenance and support contract in place for the information asset? 
Yes in is included in the contract with the supplier. 
 
10.  Does the ICT department have any responsibilities for the maintenance and 
support of this information asset?  
ICT is responsible for maintaining the hardware and Operating System including backups; 
SQL server support and administration as well as HL7 system interfaces (order & results). 
CWPS Pathology IT is responsible for the system management of tQuest / Review. 
 
11.  Has training and support documentation been created for: 
•  Users of the system – yes 
•  ICT for support – not needed 
•  System administration and management – yes, training and documentation 
provided. 
 
12.  Is there an approved, tested and documented business continuity plan for the 
information asset?  
In the process of being created.  
 
13.  Does this information asset use the NHS Number?   
Yes which is fed direct from the Practice Management System 
 
14.  Was a Privacy Impact Assessment completed? 
Not required as this DPIA is being completed. 
 
3.9. Is this change/project going through the ICT Department DRF Process?  
(DRF – Development Request Form) 
Yes 
No 
Not applicable 
Further work required 
If the answer is not ‘Yes’ use this space to explain your answer. Otherwise provide the DRF 
Reference Number. 
 
 
3.10. Are there appropriate Contracts/Service Level Agreements /Information Sharing or 
Processing Agreements in place?  
Yes 
No 
Not applicable 
Further work required 
If Yes, provide the name of the document being referenced. Otherwise use this space to 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 7 of 15 

explain your answer 
•  Contract between 
 for the provision of the tQuest system, 
licenses and support; 
•  Contract between 
 for the provision of Electronic Ordering  
 
3.11. How will the data be collected, used, stored, deleted?  
The request will be entered onto tQuest by the GP / Authorised Requestor.  The server for 
tQuest is held at 
 and managed by ICT. 
 
The request will be sent from tQuest to 
) where it will wait for the 
sample to be scanned in at Specimen Reception when it will be activated and processed as 
currently. User information will be collected from the GP Practices for all Users requiring 
access to request tests. A proforma will be issued to GP Practices for the User Information to 
be provided and a process will be in place for GP Practices to notify CWPS of any changes 
to User details.   
 
Users no longer requiring access to the service will be inactivated; however cannot be 
deleted as their record is held against any orders issued.  If a GP moves Practice this will be 
notified to the System Manger; but the access to the Practice is managed via the GP Clinical 
System with subsequent access to tQuest (and therefore Review) if registered as a User. 
 
Users will be able to view historic results of tests for their patients that have been requested 
by other clinicians across the health economy (i.e. UHCW, George Eliot Hospital or Warwick 
Hospitals) in Review. Access to Review is configured so that the User accesses results for 
each patient via the patient record held in their GP clinical system.  
 
Data will be held in accordance with the IGA (Information Governance Alliance) Records 
Management Code of Practice for Health and Social Care (2016), and the system servers will 
be monitored for capacity and system performance.  Data may be archived as Results and 
Orders are available on other systems, and indefinite result history of each patient is not 
required by the GPs. This will be reviewed post go live with the Early Adopter Practices. 
 
3.12. Has a data flow mapping exercise been completed? If Yes, provide the data flow 
mapping. If No, please ensure a data flow mapping exercise is undertaken. 
tQuest 
Processes.pdf
Attached are flows of the Order and Print process.
 
3.13. Are there any third parties involved in the processing of information? 
GPs will place the request from within the Primary Care clinical System linked to tQuest. GPs 
will receive results of GP Requested tests as currently via LABCOMM3 which store in the GP 
System.  In addition GPs will have the ability to select all Results of Interest from Review 
which can be converted to LABCOMM format to also be available within the GP Clinical 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 8 of 15 

System if selected – this is new information. 
3.14. Is there any additional information sharing as part of this change / project? 
No, only what has been described. 
3.15 Is there any legacy data that is involved in this project? If there is, what are the 
arrangements? 

Six months of results will be loaded to Review at go-live to enable Requesters to have the 
immediate benefit of all results for a patient available to view and checks of repeat testing will 
function.  Data is being loaded from UHCW data held as part of the Local Health Economy 
information sharing protocol and strategy. 
3.16. Will any information be sent off site? If Yes, please specify the recipient, 
frequency and requirements. 

No. GPs will access tQuest via a secure URL from within the Primary Care Management 
System.  tQuest and Review are hosted at UHCW. 
3.17. Has the requirement to apply clinical risk management to the deployment of 
patient based systems been addressed and in what ways? 

CWPS have consulted with a trained Clinical Safety Officer within ICT regarding this 
implementation.  The view is that there is less risk to the patient of an Electronic Order than 
manual entry of an order i.e. removing human factor of selection of the wrong patient to 
order.  In addition there are complex patient matching rules in place as described. 
3.18 What are the arrangements for the information if this project / change is dis-
continued? How will the information be retained/archived/transferred/disposed of? 

If this project were to be discontinued, the process for requesting tests could be reverted back 
to the manual process currently undertaken. 
As tQuest is a conduit to placing orders which are subsequently held in the LIMS (ULTRA) 
there would be no requirement to access these orders in the future.  Data held on tQuest could 
be disposed of as per the IGA Records Management Code of Practice for Health and Social 
Care (2016) / UHCW records management policy. 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 9 of 15 

SECTION 4 – Legal Compliance 
Provide evidence of how compliance is being achieved in your responses. 
 
General Data Protection Regulations (GDPR) – Principles 
Article 5(2) requires that the data controller shall be responsible for, and be able to 
demonstrate, compliance with the principles. 
Article 5 of the GDPR requires that personal data shall be: 
a)  processed lawfully, fairly and in a transparent 
Yes – for direct care 
manner in relation to individuals. 
Staff data will only be used to 
determine access to place orders 
following training; 
b)  collected for specified, explicit and legitimate 
Access to tQuest & Review will be via 
purposes and not further processed in a manner 
an additional tab from within the GP 
that is incompatible with those purposes; further 
Clinical System which is only available 
processing for archiving purposes in the public 
if the user has been authorized and 
interest, scientific or historical research purposes 
setup to have access to that system 
or statistical purposes shall not be considered to 
which will only provide the Requestor 
be incompatible with the initial purposes; 
the patients associated with that 
Practice. 
Orders entered will be sent to 
Pathology LIMS for processing. 
c)  adequate, relevant and limited to what is 
necessary in relation to the purposes for which 
Yes, see (b) above. 
they are processed  
The core demographic data will be 
transposed from the GP Clinical 
d)  accurate and, where necessary, kept up to date; 
System into tQuest for the entry of the 
every reasonable step must be taken to ensure 
electronic order. This data will be kept 
that personal data that are inaccurate, having 
up to date via the existing processes 
regard to the purposes for which they are 
in place for the use of the GP Clinical 
processed, are erased or rectified without delay;  
Systems (as per national guidance 
and standards from NHS England and 
NHS Digital for clinical systems). 
e)  kept in a form which permits identification of data 
subjects for no longer than is necessary for the 
purposes for which the personal data are 
processed; personal data may be stored for longer 
periods insofar as the personal data will be 
As per the IGA Records Management 
processed solely for archiving purposes in the 
Code of Practice for Health and Social 
public interest, scientific or historical research 
Care (2016). 
purposes or statistical purposes subject to 
implementation of the appropriate technical and 
organisational measures required by the GDPR in 
order to safeguard the rights and freedoms of 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 10 of 15 

individuals; and  
f)  processed in a manner that ensures appropriate 
security of the personal data, including protection 
All data is stored on trust servers.  
against unauthorised or unlawful processing and 
Messages (Results) are sent to GP 
against accidental loss, destruction or damage, 
Systems via LabComm which is an 
using appropriate technical or organisational 
existing secure process on N3. 
measures.”. 
 
 
Common Law Duty of Confidentiality 
Consent is not required from the patient as 
the lawful purpose for collecting this data is 
1.  Is consent required from the individual whose  direct care. The GP Practices already 
personal confidential information is being 
collect the personal information from their 
collected? 
patients, which was used for the previous 
manual process.  
2.  Has the individual provided consent (please 
state how this has been captured, and where  Not applicable – please see (1) above. 
it will be stored)? 
3.  How will the withdrawal of consent be 
Not applicable – please see (1) above. 
managed? 
4.  If applicable, is the disclosure of the personal 
confidential information being collected in the  Not applicable. 
public interest?  
5.  If applicable, is there a legal duty to disclose 
Any legal duty to disclose the personal 
the personal confidential information being 
confidential data being collected will be 
collected (for example, a court order)? 
dealt with on a request basis. 
6.  If applicable, is there a statutory basis that 
There is no known immediate statutory duty 
permits the disclosure of the personal 
to disclose the personal confidential data 
confidential information being collected (for 
being collected. 
example, Section 251 of the NHS Act)?  
 
 
Human Rights Act (HRA) 
The HRA establishes the right to respect for private and family life. Compliance with the Data 
Protection Act and common law duty of confidentiality should satisfy human rights 
requirements. 
1.  Will this collection of personal confidential 
information interfere with rights to privacy of No 
the individual concerned? 
 
2.  Have the social needs of this project or 
change been identified? 
Not applicable 
 
3.  Is this collection of personal confidential 
Yes 
information proportionate to the social 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 11 of 15 

need?  
 
 
 
SECTION 5 – Identify and assess risks 
 

Describe the source of risk and nature of potential impact on individuals. Include 
associated compliance and corporate risks as necessary.  

Likelihood  Severity of 
Risks 
Overall risk 
of harm 
harm 
There are multiple patients on the receiving 
Laboratory Information System (ULTRA) with the 
same NHS No. There is a risk that the Order 



Interface will assign the Order to the incorrect 
patient record on ULTRA (allocated via address) 
The process for Starters & Leavers of Users in GP 
Practices is not documented and communicated to 



users by Go Live 
A Business Continuity Plan is not documented, 



tested and approved prior to Go Live 
Failed electronic order requests. 



 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 12 of 15 

SECTION 6 – Identify measures to reduce risks 
 

Identify additional measures you could take to reduce or eliminate risks identified as 
medium or high risk in step 5 
 
Likelihood  Severity of 
Risk 
Options to reduce or eliminate risk 
Overall risk 
of harm 
harm 
There is some selection logic that runs 
through 2 passes: 
 
1.  The first check is to see if the 
patient, that the order has been 
placed against has a Hospital 
Medical Record Number (MRN) 
from one or more acute hospitals, 
based on the patient’s NHS Number 
contained within the ordering HL7 
message. 
a. if the patient has a single MRN, 
the MRN is added to the 
Order 
Ordering message and sent to 
Interface will 
the Ultra Order Comm Interface 
assign the 
(lor_oe).  
Order to the 
b. If the patient is known to two or 
incorrect 
more hospitals, and therefore 
patient 
has two or more MRNs, then the 
record on 



interface interrogates a copy of 
ULTRA 
the Ultra collection centre table. 
(allocated 
The interrogation uses the GP 
via address) 
Practice code (within the OCS 
 
message) and finds the acute 
 
hospital catchment area the 
patient’s GP practice resides in, 
the interfaces then adds the 
MRN of the catchment area 
hospital to the OCS message, 
before passing it to the lor_oe 
HL7 interface.  
2.  If the patient has no MRN then the 
Order Comms message is passed 
to the lor_oe HL7 order comms 
interface, without an MRN 
a. if the patient is not known to 
Ultra, then the lor_oe interface 
creates a new patient record, 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 13 of 15 

using the NHS Number, 
surname, forename, date of 
birth, GP practice, etc.  
b. if the patient’s NHS Number is 
known in Ultra then validation is 
performed against a number of 
identification fields to place the 
order against the patient record. 
 
Ultra performs validation against all 
orders passed to it via the lor_oe HL7 
Order Comms interfaces. The 
validation is performed against a 
number of the following list of patient 
identifiers: NHS Number, MRN, 
Surname, Forename, Date of Birth 
and Gender. If validation is made, the 
order is place against the record. If 
Failed 
validation fails, the order will be 
electronic 
placed in the error directory of the 
order 



lor_oe interface.  
requests. 
There is the potential that the physical 
specimen doesn’t reach CWPS’ 
specimen reception and the electronic 
order doesn’t pass validation and is 
placed in the error directory of the 
lor_oe interfaces. 
Any failed order will be dealt with by 
CWPS. 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 14 of 15 

SECTION 7 – DPIA Sign Off 
 
Project Manager or Lead Manager – Coventry & Warwickshire Pathology Services 
 
Name 
Job Title 
 
 
 
Date 
1st May 2019 
Signature 
  
 
Comments   
 
 
Technical Input (from ICT Department) 
Name 
 
Job Title 
 
Date 
 
Signature 
  
 
Comments   
 
 
Senior Management (e.g. Group Manager / Director / Clinical Director) 
 
Name 
 
Job Title 
 
Date 
1st May 2019 
Signature 
  
 
Comments   
 
 
Information Governance Committee 
Date 
 
Item 
 
Comments   
or issues 
 
raised 
 
 
Caldicott Guardian / Senior Information Risk Owner (if required) 
Name 
 
Job Title 
 
Date 
 
Signature   
 
Comments   
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 15 of 15 


 
Item 20 
 
 
 
 
 

Data Protection Impact Assessment (DPIA) 
 
SECTION 1 – General Details 
 
1.1 Explain the change / project aims to achieve and what type of processing it involves 
 
The FOI and Access to Health Records department would like to purchase a system called 
Infreemation. Infreemation provides an advanced FOI and SAR request management 
system. The functionality and flexibility Infreemation offers makes it much more effective than 
using Microsoft Excel and Access, which is currently what is being used by the department to 
capture Subject Access Requests (Under the Data Protection Act 2018) and Freedom of 
Information Act (FOIA) Requests. The personal data being processed is: patient 
demographic details, and the details of the requester if they are not the patient, and the 
details of the requester of any FOIA request. 
 
1.2 Provide some background information as to why this change / project is required? 
Benefits: 
•  Infreemation has an intelligent rule-based algorithm which allows for workflow 
management where repetitive tasks can be streamlined and automated, minimizing room 
for errors and increasing overall efficiency. 
•  Infreemation is an online cloud-based service so there are no hardware or software costs. 
•  It is used at over 50 NHS organisations. 
•  Will help UHCW meet its statutory requirements 
•  Case management system with real-time reporting 
•  Reduced duplication of work 
•  Website forms 
•  Is a Crown Commercial Services Supplier and is available under the UK Government’s 
Digital Market Place under G-Cloud 11 
•  The supplier’s dedicated servers are UK based – no data is held outside of the UK 
 
Constraints: 
•  A count of the number of requests is reported to the Information Governance Committee, 
but no analysis, modelling or projections have been possible as every task is a manual 
process. 
•  The Microsoft Excel spreadsheet and Microsoft Access database are not resilient or 
robust. Both have suffered data corruption errors. 
•  The department does not have the appropriate skill set to develop the spreadsheet or the 
database to a level where reports can be generated or any analysis can be undertaken. 
•  The Trust does have an Informatics department, but it doesn’t have the capacity to 
develop any bespoke in-house system for the management of FOIA requests and SARs. 
Furthermore, any system that is developed requires on-going maintenance and support 
which the Informatics department are not able to provide 
 

Relationships (e.g. with other Trust’s / organisations): 
Any NHS organisation that submits a subject access request.  . 
 
Stakeholders / customers / interested parties: 
Patients, coroners, solicitors, third party patient representatives, insurance companies, 
safeguarding professionals, Department of Work and Pensions, other official government 
departments. Internal UHCW departments (Legal, Quality, Complaints, Safeguarding, 
Medical Photography, Emergency Department, Audiology, Physiotherapy, Workforce, 
Occupational Health) 
 
1.3 Who is responsible for the completion of this DPIA? 
 
Name: 
 
Job title: 
 
 
Email: 
  
Telephone:
 
 
1.4 What is the time scale / implementation date of this change/project? 
 
By 31st March 2020. 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 2 of 13 

SECTION 2 – DPIA Screening Questions 
Answering ‘yes’ to any of these questions is an indication that there is a potential IG risk 
that will have to be further analysed or risk assessed, and helps determine the need for a 
DPIA. 
 
No.  Question 
Yes / 
No 
2.1 
Will the project involve the collection of new information about individuals?  NO 
Will the project compel individuals to provide information about 
2.2 
YES 
themselves? 
Will information about individuals be disclosed to organisations or people 
2.3 
NO 
who have not previously had routine access to the information? 
Are you intending to use information about individuals for a purpose it is 
2.4 
NO 
not currently used for, or in a way it is not currently used? 
Does the project involve using new technology which might be perceived 
2.5 
as being privacy intrusive? For example, the use of IP address, genetics, 
YES 
biometrics or facial recognition. 
Will the project result in you making decisions or taking action against 
2.6 
NO 
individuals in ways which can have a significant impact on them? 
Is the information about individuals of a kind particularly likely to raise 
privacy concerns or expectations? For example, health records, criminal 
2.7 
NO 
records or other information that people would consider to be particularly 
private. 
Will the project require you to contact individuals in ways which they may 
2.8 
NO 
find intrusive? 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 3 of 13 

SECTION 3 – Information Governance Checklist 
 

3.1. Does this change/project involve a system (Information Asset - IA)?  
Yes 
No 
3.2. If Yes to Q1, what is the name of / who is the supplier of the system (IA)? 
 
Infreemation 
 
3.3. What is this system (Information Asset) used for? 
 
Infreemation is a cloud based application, meaning there is no hardware or software to 
install. It can be accessed through any Internet browser via a secure login. Infreemation 
provides an advanced SARs and FOI request case management system. It has an intelligent 
rules based system for the handling of all requests. 
 
3.4. How will the system be affected by this change / project? What is the impact? 
X  New or different in/out bound data flows   
Access requirements for staff 
X  Secure transmission of data 
 
Capturing/recording of activity 
 
Referral To Treatment (18 wk or 2ww)  
 
Reporting requirements 
 
Transfer of data / legacy data 
 
First time use / Other 
Use this space to explain / describe the impact of this change  
 
The FOI and Access to Health Records department will benefit from work flow management 
that complies with the Data Protection Act 2019 and FOI Act 2000. All requests will be 
handled using the principles of case management, which will ensure that all requests are 
trackable, and there is real-time reporting and dashboards. 
 
3.5. Provide the details below for the IAO & IAA of the system: 
Information Asset Owner (IAO) 
Information Asset Administrator (IAA) 
Name: 
 
Name: 
 
Job title: 
  Job title: 
 
 
 
Department/Specialty: 
 
Department/Specialty: 
 
  
 
Email: 
  
Email: 
  
Telephone: x
 
Telephone: 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 4 of 13 

3.6. Does this change/project involve the handling (e.g. collection, storage, sharing) of 
any person identifiable information? 
Yes 
No 
3.7. Select the data fields that will be handled, and use the blank fields for additional 
data items. 

First name 

Email address of patient 

Surname 

Email address of third parties 

Date of birth 

Third party demographic details. 

Age 

Telephone number – patient 

Address  

Telephone number – third party 

Post code 
 
 

Hospital number 
 
 

NHS number 
 
 

Gender  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
3.8. Has the IAO/IAA completed the IG Systems Standards – if you are not the IAO/IAA 
then please check and confirm?  
Yes 
No 
Not applicable 
Further work required 
If the answer is not ‘Yes’ – use this space to explain 
 
This is a web-based system that requires minimal operational set-up and administration. The 
supplier (Digital Interactive) will provide training and systems documentation. Any local 
process or procedural documentation will be created by the IAA (
). 
 
3.9. Is this change/project going through the ICT Department DRF Process?  
(DRF – Development Request Form) 
Yes 
No 
Not applicable 
Further work required 
If the answer is not ‘Yes’ use this space to explain your answer. Otherwise provide the DRF 
Reference Number. 
 
Infreemation is a web-based stand-alone system requiring no intervention from ICT. 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 5 of 13 

3.10. Are there appropriate Contracts/Service Level Agreements /Information Sharing or 
Processing Agreements in place?  
Yes 
No 
Not applicable 
Further work required 
If Yes, provide the name of the document being referenced. Otherwise use this space to 
explain your answer 
 
There will be a contractual relationship between the FOI and Access to Health Records 
Deportment and 
 upon purchase of the Infreemation system; the contract 
will cover the processing arrangements. 
 
3.11. How will the data be collected, used, stored, deleted?  
 
Electronically via the Infreemation portal / web application. The FOI and Access to Health 
Records Department will adhere to the IGA Records Management Code of Practice for the 
retention of requests received. There is archiving and delete functionality within the system 
that a system administrator can authorise. 
 
3.12. Has a data flow mapping exercise been completed? If Yes, provide the data flow 
mapping. If No, please ensure a data flow mapping exercise is undertaken. 
 
The data flow mapping will be completed with the supplier as part of the implementation.  
 
3.13. Are there any third parties involved in the processing of information? 
 
• 
 is the supplier of Infreemation. 
• 
 HM Crown Commercial Services Supplier 
•  Infreemation is available under the Government’s G-Cloud 11  
•  All servers are based in the UK – no data goes out of the UK 
•  ICO Registration: 
  
• 
   
 
3.14. Is there any additional information sharing as part of this change / project? 
 
No 
 
3.15 Is there any legacy data that is involved in this project? If there is, what are the 
arrangements? 

 
All active subject access requests and FOI request (i.e. those that still require disclosure) will 
be uploaded to the system by the supplier. The details will be discussed during the initial 
discussions and scoping of the implementation. 
 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 6 of 13 

3.16. Will any information be sent off site? If Yes, please specify the recipient, 
frequency and requirements. 

 
Yes, Infreemation is a cloud-based system accessible through the internet. Data will be 
entered on a daily basis. 
 servers are all in the UK – no data will be sent 
out of the UK. 
 
3.17. Has the requirement to apply clinical risk management to the deployment of 
patient based systems been addressed and in what ways? 

 
Infreemation is not a clinical system, and therefore does not require the application of clinical 
risk management.  
 
3.18 What are the arrangements for the information if this project / change is dis-
continued? How will the information be retained/archived/transferred/disposed of? 

 
The personal data will not be retained; it will be permanently deleted from the system by 
vCreate. 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 7 of 13 

SECTION 4 – Legal Compliance 
Provide evidence of how compliance is being achieved in your responses. 
 
General Data Protection Regulations (GDPR) – Principles 
Article 5(2) requires that the data controller shall be responsible for, and be able to 
demonstrate, compliance with the principles. 
Article 5 of the GDPR requires that personal data shall be: 
Infreemation is a system specifically 
built for subject access requests and 
a)  processed lawfully, fairly and in a transparent 
FOI requests; it processes personal 
manner in relation to individuals. 
data fairly, lawfully and in a 
transparent manner as per the 
DPA18. 
b)  collected for specified, explicit and legitimate 
purposes and not further processed in a manner  The personal data is collected directly 
that is incompatible with those purposes; further  from data subjects or their 
processing for archiving purposes in the public 
representative and only processed for 
interest, scientific or historical research 
the specific purpose of subject access 
purposes or statistical purposes shall not be 
requests and FOI requests. 
considered to be incompatible with the initial 
purposes; 
The personal data is collected directly 
c)  adequate, relevant and limited to what is 
from data subjects or their 
necessary in relation to the purposes for which 
representative and only processed for 
they are processed  
the specific purpose of subject access 
requests and FOI requests. 
d)  accurate and, where necessary, kept up to date;  The FOI and Access to Health 
every reasonable step must be taken to ensure 
Records department will ensure that 
that personal data that are inaccurate, having 
all personal data collected, processed, 
regard to the purposes for which they are 
and held by it is kept accurate and up-
processed, are erased or rectified without delay;   to-date. 
e)  kept in a form which permits identification of 
data subjects for no longer than is necessary for 
the purposes for which the personal data are 
The FOI and Access to Health 
processed; personal data may be stored for 
Records department will ensure that 
longer periods insofar as the personal data will 
all personal data collected, processed, 
be processed solely for archiving purposes in 
and held by it is kept accurate and up-
the public interest, scientific or historical 
to-date, and only kept for the duration 
research purposes or statistical purposes 
as specified in the IGA Records 
subject to implementation of the appropriate 
Management Code of Practice. 
technical and organisational measures required 
by the GDPR in order to safeguard the rights 
and freedoms of individuals; and  
f)  processed in a manner that ensures appropriate  Infreemation is a secure web-based 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 8 of 13 

security of the personal data, including 
system that can only be accessed by 
protection against unauthorised or unlawful 
unique user login credentials. Access 
processing and against accidental loss, 
privileges are segmented. The 
destruction or damage, using appropriate 
Supplier has the appropriate technical 
technical or organisational measures.”. 
security accreditations, and 
registration with the ICO. 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 9 of 13 

 
Common Law Duty of Confidentiality 
1.  Is consent required from the individual 
The patient consents before they submit their 
whose personal confidential information is 
request for information. 
being collected? 
2.  Has the individual provided consent (please  The signed SAR form is kept as part of the 
state how this has been captured, and 
record by the FOI and Access to Health 
where it will be stored)? 
Records team. 
The FOI and Access to Health Records team 
3.  How will the withdrawal of consent be 
with comply with the wishes of the patient, 
managed? 
though it is rare that a patient withdraws their 
request for information. . 
4.  If applicable, is the disclosure of the 
personal confidential information being 
Not applicable. 
collected in the public interest?  
5.  If applicable, is there a legal duty to 
Yes – occasionally FOI and Access to Health  
disclose the personal confidential 
Records may receive a court order to 
information being collected (for example, a 
disclose personal information 
court order)? 
6.  If applicable, is there a statutory basis that 
permits the disclosure of the personal 
Yes – this could happen. 
confidential information being collected (for 
example, Section 251 of the NHS Act)?  
 
 
Human Rights Act (HRA) 
The HRA establishes the right to respect for private and family life. Compliance with the Data 
Protection Act and common law duty of confidentiality should satisfy human rights 
requirements. 
1.  Will this collection of personal confidential 
information interfere with rights to privacy of  No, the subject has the right to request their 
the individual concerned? 
information. 
 
2.  Have the social needs of this project or 
change been identified? 
Infreemation helps to support the individual 
information rights of subjects. 
 
3.  Is this collection of personal confidential 
information proportionate to the social 
need?  
Yes, only the necessary data is collected. 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 10 of 13 

SECTION 5 – Identify and assess risks 
 

Describe the source of risk and nature of potential impact on individuals. Include 
associated compliance and corporate risks as necessary.  

Likelihood of  Severity of 
Risks 
Overall risk 
harm 
harm 
1.  There are further delays with the disclosure of 
subject access requests due to downtime 
during implementation of the new system. 



This could result in a complaint to the ICO 
against UHCW for late disclosures. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 11 of 13 

SECTION 6 – Identify measures to reduce risks 
 

Identify additional measures you could take to reduce or eliminate risks identified as 
medium or high risk in step 5 
 
Likelihood of  Severity of 
Risk 
Options to reduce or eliminate risk 
Overall risk 
harm 
harm 
•  The supplier has significant 
experience of working with NHS 
organisations which can be drawn 
on to manage the implementation 
with minimal impact to patients. 
•  Keep all stakeholders informed of 
any potential downtime. 
1. 




  Ensure all staff are available during 
the transfer over to the new system. 
•  Ensure there is resilience in the new 
processes and procedures. 
•  Staff receive appropriate training 
where they are confident in the use 
of the new system. 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 12 of 13 

SECTION 7 – DPIA Sign Off 
 
Project Manager or Lead Manager  
 
Name 
 
Job Title 
 
Date 
19 September 2019 
Signature 
  
 
Comments   
 
 
Technical Input (from ICT Department) 
Name 
 
Job Title 
 
Date 
 
Signature   
 
Comments  No input is required from ICT as this is a web-based system. 
 
 
 
Senior Management (e.g. Group Manager / Director / Clinical Director) 
Name 
 
Job Title 
 
Date 
 
Signature   
 
Comments   
 
 
 
Information Governance Committee 
Date 
25th September 2019 
Item 
20 
 
Comments   
or issues 
 
raised 
 
 
 
Caldicott Guardian / Senior Information Risk Owner (if required) 
Name 
 
Job Title 
 
Date 
 
Signature   
 
Comments   
 
 
 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 13 of 13 


REPORT TO INFORMATION GOVERNANCE COMMITTEE 
HELD ON 25 SEPTEMBER 2019 
Subject Title 
vCreate 
Executive Sponsor 
None 
Sue Ellis – Lead Nurse – Paediatrics 
Author 
Harjit Matharu – Head of Information Governance 
Attachments 
VCreate DPIA 
Recommendation (s) 
The IGC are asked to approve the vCreate DPIA. 
EXECUTIVE SUMMARY 
• The Neonatal Unit would like to purchase a system called vCreate.
• vCreate is a trusted Secure Video Messaging service that allows clinical teams to quickly and
easily produce video updates for families when they are unable to be at the unit. It forms a secure
video diary accessible 24/7 on any device which aims to provide reassurance and minimise any
separation anxiety.
• Videos are not accessible outside of the vCreate application.
• vCreate is an NHS Trusted Application in the UK - www.nhs.uk/apps-library/vcreate
• vCreate are registered with the ICO (Registration: ZA502424)
• VCreate have the Cyber Essentials Certification: www.vcreate.tv/cyber-essentials.
PREVIOUS DISCUSSIONS HELD
None. 
KEY IMPLICATIONS 
Financial 
Funding is available. 
It allows families to share wellbeing updates with extended members 
Patients Safety or Quality 
and is part of the proven Family-Centred Care initiative 
Human Resources 
Operational 
The system and device(s) will be managed by the Neonatal Unit 
UNIVERSITY HOSPITALS COVENTRY AND WARWICKSHIRE NHS TRUST 
Page 1 of 


Item 19 
 
Data Protection Impact Assessment (DPIA)
SECTION 1 – General Details 
1.1 Explain the change / project aims to achieve and what type of processing it involves 
vCreate is a Secure Video Messaging service for clinical teams to securely produce and 
deliver video updates for families of babies when they are unable to be at the neonatal unit. 
1.2 Provide some background information as to why this change / project is required? 
Benefits: 
The videos provide reassurance to families and minimise separation anxiety which in the 
case of Maternity can help new mothers express milk. It allows families to share wellbeing 
updates with extended members and is part of the proven Family-Centred Care initiative. It 
allows units to communicate more effectively with families and in a more visual way. 
• Families receive reassuring updates on the patient’s wellbeing to minimise separation
anxiety when away from the unit. 
• A video diary builds up over time which families can access 24 hours per day
• Secure video messages are managed and controlled by the unit staff at all times
• Videos can be recorded on any device with the option to add personalised text to the
video
• System can be used to provide important information to families via video
Constraints: 
None. 
Relationships (e.g. with other Trust’s / organisations): 
vCreate Ltd are the software providers, and will have a direct contractual relationship with 
UHCW. 
Stakeholders / customers / interested parties: 
Patients and their families. 
1.3 Who is responsible for the completion of this DPIA? 
Name: Sue Ellis 
Job title: Lead Nurse - Paediatrics 
Department/Specialty: Paediatrics 
Email: xxx.xxxxx@xxxx.xxx.xx  
Telephone: 27228 
1.4 What is the time scale / implementation date of this change/project? 
ASAP 

SECTION 2 – DPIA Screening Questions 
Answering ‘yes’ to any of these questions is an indication that there is a potential IG risk 
that will have to be further analysed or risk assessed, and helps determine the need for a 
DPIA. 
No.  Question 
Yes / 
No 
2.1 
Will the project involve the collection of new information about individuals?  YES 
Will the project compel individuals to provide information about 
2.2 
YES 
themselves? 
Will information about individuals be disclosed to organisations or people 
2.3 
YES 
who have not previously had routine access to the information? 
Are you intending to use information about individuals for a purpose it is 
2.4 
YES 
not currently used for, or in a way it is not currently used? 
Does the project involve using new technology which might be perceived 
2.5 
as being privacy intrusive? For example, the use of IP address, genetics, 
NO 
biometrics or facial recognition. 
Will the project result in you making decisions or taking action against 
2.6 
NO 
individuals in ways which can have a significant impact on them? 
Is the information about individuals of a kind particularly likely to raise 
privacy concerns or expectations? For example, health records, criminal 
2.7 
YES 
records or other information that people would consider to be particularly 
private. 
Will the project require you to contact individuals in ways which they may 
2.8 
NO 
find intrusive? 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 2 of 12 

SECTION 3 – Information Governance Checklist 
3.1. Does this change/project involve a system (Information Asset - IA)? 
Yes 
No 
3.2. If Yes to Q1, what is the name of / who is the supplier of the system (IA)? 
vCreate Ltd 
3.3. What is this system (Information Asset) used for? 
vCreate is trusted Secure Video Messaging service that allows clinical teams to quickly and 
easily produce video updates for families when they are unable to be at the unit. It forms a 
secure video diary accessible 24/7 on any device which aims to provide reassurance and 
minimise any separation anxiety. Families create an account on the system which is only 
activated once approved by the unit system administrator. Units record videos on a unit-
approved device and videos are assigned to the correct account via a unique QR code 
scanned at the bedside. Units have full control of the videos at all times. Approved families 
login to the vCreate service, which is a responsive web app accessed through a browser, to 
watch their videos. Units delete videos and accounts when the patient is discharged. 
3.4. How will the system be affected by this change / project? What is the impact? 
X  New or different in/out bound data flows 
Access requirements for staff 
X  Secure transmission of data 
Capturing/recording of activity 
Referral To Treatment (18 wk or 2ww) 
Reporting requirements 
Transfer of data / legacy data 
First time use / Other 
Use this space to explain / describe the impact of this change 
The clinical team on the neonatal unit will use a unit approved device to record video updates 
of babies for their parents. 
3.5. Provide the details below for the IAO & IAA of the system: 
Information Asset Owner (IAO) 
Information Asset Administrator (IAA) 
Name: Sue Ellis 
Name: 
Job title: Lead Nurse - Paediatrics 
Job title: 
Department/Specialty: Paediatrics 
Department/Specialty: 
Email: xxx.xxxxx@xxxx.xxx.xx  
Email: 
Telephone: x27228 
Telephone: 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 3 of 12 

3.6. Does this change/project involve the handling (e.g. collection, storage, sharing) of 
any person identifiable information? 
Yes 
No 
3.7. Select the data fields that will be handled, and use the blank fields for additional 
data items. 

First name 

Email address 

Surname 

Videos of patient 
Date of birth 
Age 
Address 
Post code 
Hospital number 
NHS number 
Gender 
Ethnicity 
Learning disabilities 
3.8. Has the IAO/IAA completed the IG Systems Standards – if you are not the IAO/IAA 
then please check and confirm?  
Yes 
No 
Not applicable 
Further work required 
If the answer is not ‘Yes’ – use this space to explain 
This is a web-based system that requires minimal operational set-up and administration. 
VCreate has provided the system documentation. 
3.9. Is this change/project going through the ICT Department DRF Process? 
(DRF – Development Request Form) 
Yes 
No 
Not applicable 
Further work required 
If the answer is not ‘Yes’ use this space to explain your answer. Otherwise provide the DRF 
Reference Number. 
vCreate is a web-based stand-alone system requiring no intervention from ICT. 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 4 of 12 

3.10. Are there appropriate Contracts/Service Level Agreements /Information Sharing or 
Processing Agreements in place?  
Yes 
No 
Not applicable 
Further work required 
If Yes, provide the name of the document being referenced. Otherwise use this space to 
explain your answer 
There will be an Information Sharing Agreement between the Trust and vCreate once the 
system is approved for use, and a contract. 
3.11. How will the data be collected, used, stored, deleted? 
Electronically via the vCreate responsive web application. 
3.12. Has a data flow mapping exercise been completed? If Yes, provide the data flow 
mapping. If No, please ensure a data flow mapping exercise is undertaken. 
1.
Families register for an account – Email address, password and full name is stored in the
online vCreate database.
2.
The account is approved by the Neonatal Unit, and the the account is set to active.
3.
The Unit produce videos which are assigned to the family account via a scanned QR
code at the bedside. Videos are stored on the vCreate platform and referenced to the
account by a unique ID.
4.
The family is alerted by email or SMS that there is a new video.
5.
Families login with their user credentials – vCreate records last access stats by ID.
6.
The video is watched by the family of the patient; vCreate serves the video and tracks
views and video events such as pause, referenced to the family account by ID.
7.
Videos can be downloaded upon discharge – vCreate downloads all the videos to a zip
file for families to save. The zip file is then deleted.
8.
The videos are deleted – Data, videos and the account are permanently deleted from the
system including tracking data
3.13. Are there any third parties involved in the processing of information? 
• vCreate is the supplier.
• Create does not connect to secure hospital systems or networks – it requires internet
access only.
• Families must sign a consent form to use the service including cross-border privacy
protection
• Family accounts are approved and access to videos are controlled by the Neonatal Unit
at all times
• Videos are not accessible outside of the vCreate application
• VCreate is an NHS Trusted Application in the UK - www.nhs.uk/apps-library/vcreate
• Microsoft Azure IaaS - UK Government approved
• ICO Registration: ZA502424
• Cyber Essentials Certification: www.vcreate.tv/cyber-essentials
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 5 of 12 

3.14. Is there any additional information sharing as part of this change / project? 
No 
3.15 Is there any legacy data that is involved in this project? If there is, what are the 
arrangements? 

No 
3.16. Will any information be sent off site? If Yes, please specify the recipient, 
frequency and requirements. 

Yes, vCreate is a cloud-based web app 
3.17. Has the requirement to apply clinical risk management to the deployment of 
patient based systems been addressed and in what ways? 

vCreate is not a clinical system, and therefore does not require clinical risk management. 
However, as per the requirements of the DPIA a risk assessment has been done. 
3.18 What are the arrangements for the information if this project / change is dis-
continued? How will the information be retained/archived/transferred/disposed of? 

The personal data will not be retained, it will be permanently deleted from the system by 
vCreate. 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 6 of 12 

SECTION 4 – Legal Compliance 
Provide evidence of how compliance is being achieved in your responses. 
General Data Protection Regulations (GDPR) – Principles 
Article 5(2) requires that the data controller shall be responsible for, and be able to 
demonstrate, compliance with the principles. 
Article 5 of the GDPR requires that personal data shall be: 
vCreate has provided their Data 
Protection and Security Policy 2018 
a) processed lawfully, fairly and in a transparent
for review by UHCW. It contains 
manner in relation to individuals.
sections on the fair and lawful 
processing of personal data, and 
upholding individual information rights. 
b) collected for specified, explicit and legitimate
vCreate collects and processes the 
purposes and not further processed in a manner  personal data s directly from data 
that is incompatible with those purposes; further
subjects and only processes, and 
processing for archiving purposes in the public
holds personal data for the specific 
interest, scientific or historical research
purposes. Data subjects are kept 
purposes or statistical purposes shall not be
informed at all times of the purpose or 
considered to be incompatible with the initial
purposes for which vCreate uses their 
purposes;
personal data.  
VCreate will only collect and process 
c) adequate, relevant and limited to what is
personal data for and to the extent 
necessary in relation to the purposes for which
necessary for the specific purpose or 
they are processed
purposes of which data subjects have 
been informed. 
VCreate will ensure that all personal 
data collected, processed, and held by 
d) accurate and, where necessary, kept up to date; it is kept accurate and up-to-date 
every reasonable step must be taken to ensure
except where the data subject is 
that personal data that are inaccurate, having
responsible for the maintenance of 
regard to the purposes for which they are
their own data. This includes, but is 
processed, are erased or rectified without delay; not limited to, the rectification of 
personal data at the request of a data 
subject.  
e) kept in a form which permits identification of
data subjects for no longer than is necessary for Data subjects have the right to object 
the purposes for which the personal data are
to vCreate processing their personal 
processed; personal data may be stored for
data. Where a data subject objects to 
longer periods insofar as the personal data will
the processing their personal data 
be processed solely for archiving purposes in
vCreate. 
the public interest, scientific or historical
research purposes or statistical purposes
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 7 of 12 

subject to implementation of the appropriate 
technical and organisational measures required 
by the GDPR in order to safeguard the rights 
and freedoms of individuals; and  
vCreate will ensure that all personal 
data collected, held, and processed is 
kept secure and protected against 
f) processed in a manner that ensures appropriate unauthorised or unlawful processing 
security of the personal data, including
and against accidental loss, 
protection against unauthorised or unlawful
destruction, or damage. Further 
processing and against accidental loss,
details of the technical and 
destruction or damage, using appropriate
organisational measures which shall 
technical or organisational measures.”.
be taken are provided in the vCreate 
Data Protection and Security Policy 
2018 which has been provided to 
UHCW. 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 8 of 12 

Common Law Duty of Confidentiality 
1. Is consent required from the individual
The parent will consent on behalf of the 
whose personal confidential information is
patient (child). 
being collected?
2. Has the individual provided consent (please  Signed parent consent form kept in the 
state how this has been captured, and
patient notes 
where it will be stored)?
3. How will the withdrawal of consent be
managed?
The account will be deleted 
4. If applicable, is the disclosure of the
personal confidential information being
Not applicable. 
collected in the public interest?
5. If applicable, is there a legal duty to
disclose the personal confidential
Not applicable. 
information being collected (for example, a
court order)?
6. If applicable, is there a statutory basis that
permits the disclosure of the personal
Not applicable. 
confidential information being collected (for
example, Section 251 of the NHS Act)?
Human Rights Act (HRA) 
The HRA establishes the right to respect for private and family life. Compliance with the Data 
Protection Act and common law duty of confidentiality should satisfy human rights 
requirements. 
1. Will this collection of personal confidential
information interfere with rights to privacy of
No, the parents opt to register for the 
the individual concerned?
service. 
2. Have the social needs of this project or
change been identified?
Yes, it is in use in over 50 neonatal units 
worldwide. 
3. Is this collection of personal confidential
information proportionate to the social
need?
Yes, only the necessary data is collected. 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 9 of 12 

SECTION 5 – Identify and assess risks 
Describe the source of risk and nature of potential impact on individuals. Include 
associated compliance and corporate risks as necessary.  

Likelihood of  Severity of 
Risks 
Overall risk 
harm 
harm 
1. Units assign the wrong video to the wrong
Rare 
Minor 

family account
2. Unauthorised access to the server
Rare 
Minor 

3. Videos are stored on the unit device
Rare 
Minor 

4. Illegitimate access, undesired modification
Rare 
Minor 

and disappearance of data
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 10 of 12 

SECTION 6 – Identify measures to reduce risks 
Identify additional measures you could take to reduce or eliminate risks identified as 
medium or high risk in step 5 
 
Likelihood of  Severity of 
Risk 
Options to reduce or eliminate risk 
Overall risk 
harm 
harm 

vCreate uses QR codes that units 
Rare 
Minor 

scan at the bedside when creating a 
video which automatically matches the 
video to the correct family account 

Key data is encrypted at REST plus 
Rare 
Minor 

the server resides in a UK government 
approved Microsoft Azure data centre 
vCreate does not store the recorded 

video on the device. It is sent directly 
Rare 
Minor 

from the camera’s memory to the 
vCreate platform meaning no video 
files remain on the device 

vCreate creates an audit trail as to 
which admin accounts modify data 
Rare 
Minor 

including assigning videos and 
updating family accounts 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 11 of 12 

SECTION 7 – DPIA Sign Off 
Project Manager or Lead Manager 
Name 
Sue Ellis 
Job Title 
Lead Nurse Paediatrics 
Date 
 05 August 2019 
Signature  xxx.xxxxx@xxxx.xxx.xx 
Comments 
Technical Input (from ICT Department) 
Name 
Job Title 
Date 
Signature 
Comments  No input is required from ICT as this is a web-based system. 
Senior Management (e.g. Group Manager / Director / Clinical Director) 
Name 
Kara Marshall 
Job Title 
Group Director of Operations 
Date 
Signature 
Comments 
Information Governance Committee 
Date 
25th September 2019 
Item 
19 
Comments 
or issues 
raised 
Caldicott Guardian / Senior Information Risk Owner (if required) 
Name 
Job Title 
Date 
Signature 
Comments 
UHCW Data Protection Impact Assessment 
Update: May 2018 – v1 
Page 12 of 12 

Document Outline