NMBU som behandlingsansvarlig må ha et rettslig behandlingsgrunnlag for behandling av hver enkelt personopplysning. Personopplysninger som behandles for samme formål, vil ha samme behandlingsgrunnlag. Det er opp til systemeierne å vurdere om man har et grunnlag og i så fall hvilket. Dette gjøres i systemoversikten.

Fødselsnummer regnes ikke som en sensitiv opplysning. 

Sensitive personopplysninger, som i loven kalles "særlige kategorier av personopplysninger", defineres som følgende opplysningstyper:

• rase eller etnisk opprinnelse  
• politisk oppfatning 
• religiøs overbevisning eller livssyn 
• genetiske opplysninger 
• biometriske opplysninger
• helseopplysninger 
• opplysninger om seksuelle forhold eller seksuelle orientering 
• fagforeningsmedlemskap 

GDPR (personvernforordningen) setter strengere vilkår for å behandle slike opplysninger, som krever ekstra vern, jf. artikkel 9.

For at NMBU skal kunne behandle slike opplysninger, kreves det at vi i tillegg til et alminnelig behandlingsgrunnlag oppfyller et av følgende vilkår:  

• Den registrerte har gitt uttrykkelig samtykke for ett eller flere spesifikke formål (sjeldent anvendelig i arbeidsforhold) 
• Nødvendig for å oppfylle arbeidsrettslige forpliktelser eller rettigheter 
• Personopplysninger som den registrerte selv åpenbart har offentliggjort 
• Nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav 
• Nødvendig av hensyn til viktige allmenne interesser, med hjemmel i lov 
• Nødvendig i forbindelse med arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, med hjemmel i lov eller en avtale med helsepersonell, og forutsatt lovpålagt taushetsplikt 
• Nødvendig av allmenne folkehelsehensyn, som f.eks. smittevern. Behandlingen må ha lovhjemmel og det forutsettes at det gjelder lovpålagt taushetsplikt. 
• Nødvendig av arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning, eller for statistiske formål.