Uppgifterna i Socialstyrelsens hälsodataregister, socialtjänstregister samt dödsorsaksregister är belagda med absolut sekretess, vilket är lagens starkaste sekretesskydd. Undantag gäller bara för uppgifter som behövs för forsknings- eller statistikändamål och uppgifter som inte direkt kan hänföras till den enskilde, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355).
Sekretessprövningen tar sitt avstamp i offentlighets och sekretesslagen, dataskyddsförordning (EU) 2016/679 samt etikprövningslagen och syftar till att värna den personliga integriteten hos forskningspersonerna.
Varje utlämnande måste föregås av ett formellt skriftligt beslut som bygger på en särskild sekretessprövning där Socialstyrelsen utreder om det finns juridiskt stöd för att bryta sekretessen enligt offentlighets och sekretesslagen (24:8). Detta gäller nya ärenden så väl som när man beställer uppdateringar av pågående projekt där Socialstyrelsen tidigare har lämnat ut uppgifter.
Sekretessprövningen startar när handläggaren går igenom ärendet och kan ses som en fortlöpande process under det att handläggaren för en dialog med beställaren som mynnar ut i en specifikation. Sekretessprövningen kan avslutas först efter det att specifikationen är bekräftad då det är först då som Socialstyrelsen har en klar bild över beställningens omfattning och vilket stöd för utlämnandet som finns. Först efter att sekretessprövningen är genomförd kan ett formellt beslut fattas i ärendet.
Lag om etikprövning av forskning som avser människor specificerar att behandling av känsliga personuppgifter i forskningssyfte endast får ske om behandlingen godkänts av Etikprövningsmyndigheten. Notera att det är behandlingen av de känsliga personuppgifterna som måste godkännas av Etikprövningsmyndigheten och inte uppgifterna i sig.
En konsekvens av detta är att det i den forskningsetiska ansökan uttryckligen måste framgå att uppgifterna ska komma från ett namngivet register hos Socialstyrelsen. Om ansökan som godkänts av Etikprövningsmyndigheten specificerar att diagnosuppgifter ska sökas i sjukhusjournaler så kan Socialstyrelsen inte lämna ut diagnosuppgifter från patientregistret även om det i princip rör sig om samma uppgifter som finns i sjukhusjournalerna.
Ett godkännande av projektet från Etikprövningsmyndigheten är en förutsättning för att känsliga personuppgifter får behandlas men det innebär automatiskt inte att Socialstyrelsen får bryta sekretessen och lämna ut uppgifterna till beställaren utan det utgör endast en del av den sekretessprövning som Socialstyrelsen är skyldig att göra inför varje utlämnande.
När Socialstyrelsen utför en sekretessprövning så granskas bland annat följande: