Behandlingsgrunnlagene er definert i personvernforordningen Artikkel 6 nr. 1 bokstav a til f (lovdata.no). I de samme bestemmelsene beskrives kravene til når de forskjellige behandlingsgrunnlagene kan brukes.
Det er alltid slik at virksomheten ikke skal samle inn flere opplysninger enn det som er nødvendig for å ivareta formålet med behandlingen av personopplysninger.
Dette følger av dataminimeringsprinsippet, men også nødvendighetskrav knyttet til noen av behandlingsgrunnlagene. Se dataminimeringsprinsippet i personvernforordningen Artikkel 5. nr. 1 bokstav c (lovdata.no) og Personvernprinsippene (faktaark 57)
Dataminimeringsprinsippet og nødvendighetskravene innebærer at virksomheten må vurdere om den kan ivareta formålet med behandlingen av personopplysninger på en mindre inngripende måte, for eksempel ved å samle inn færre eller ingen personopplysninger.
Hvilke personopplysninger det er nødvendig å behandle må vurderes konkret for hvert enkelt tilfelle. Der formålet med en behandling av personopplysninger er å oppfylle plikten til å gi forsvarlig helsehjelp, vil det være en medisinskfaglig vurdering som styrer hvilke personopplysninger det er nødvendig å behandle.
Eksempel
Dette illustreres i en sak fra Personvernnemda (PVN-2021-08) hvor en fastlege hadde skrevet at en pasient tilhørte Romanifolket i et henvisningbrev til et distriktspsykiatrisk senter.
Overlegen på det aktuelle distriktspsykiatriske senteret hadde også sendt en epikrise tilbake til fastlegen hvor det også sto at pasienten tilhørte Romanifolket. Pasienten mente at hverken fastlegen eller det distriktspsykiatriske senteret hadde grunnlag for å behandle denne personopplysningen.
Det distriktspsykiatrisk senteret mente imidlertid at opplysningen var relevant for helsehjelpen på lik linje med annen bakgrunnsinformasjon som ble gitt i henvisningsbrevet.
Både Datatilsynet og Personvernnemda uttalte at de er varsomme med å overprøve medisinskfaglige vurderinger av hvilke helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp.