Med inre sekretess menas vanligen att personalen inom en verksamhet inte får – muntligen eller på något annat sätt – lämna ut uppgifter som omfattas av sekretess till sina arbetskamrater. I förarbetena (prop. 2007/08:126 s. 141 ff.) till patientdatalagen (2008:355) ges dock inre sekretess en vidare innebörd som inrymmer flera frågeställningar om hur känsliga uppgifter om patienternas hälsa och andra personliga förhållanden bör hanteras inom en verksamhet för att minska risken för obefogade intrång i den personliga integriteten.
Av grundläggande betydelse för hantering av patientuppgifter är 2 a § hälso- och sjukvårdslagen (1982:763) och 3 § tandvårdslagen (1985:125). Enligt dessa bestämmelser ska hälso- och sjukvården bygga på respekt för patientens självbestämmande och integritet, och så långt det är möjligt ska vården utföras och genomföras i samråd med patienten. Bestämmelserna har även betydelse för hur vården ska hantera information om patienten. Enligt justitieombudsmannen (JO) innebär den angivna bestämmelsen i hälso- och sjukvårdslagen också att vården ska respektera en patients uttryckliga önskemål om att journaler inte lämnas till andra kliniker på samma sjukhus (JO 1986/87 s. 199).
Bestämmelsen i 4 kap. 1 § patientdatalagen om inre sekretessen innebär att den som arbetar hos en vårdgivare bara får ta del av sådana patientuppgifter om han eller hon deltar i vården av patienten, eller av något annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Med vård avses även undersökning och behandling, se 1 § hälso- och sjukvårdslagen och 1 § tandvårdslagen.
Enligt patientdatalagen gäller den inre sekretessen för alla dokumenterade personuppgifter om patienter eller andra enskilda registrerade, det vill säga även vårddokumentation så som administrativ dokumentation, kvalitetsregisteruppgifter med mera som behandlas enligt patientdatalagen. Bestämmelsen gäller både manuellt och elektroniskt behandlade patientuppgifter, och även uppgifter om avlidna personer. Tillämpningsområdet är heller inte begränsat till hälso- och sjukvårdspersonal vid en viss enhet och dess arbete på enheten, utan bestämmelsen omfattar all personal oavsett var den tjänstgör och oavsett varför uppgifterna behövs (prop. 2007/08:126 s. 143).
Bestämmelsen om inre sekretess i 4 kap. 1 § patientdatalagen uttrycker ett personligt ansvar för den som arbetar hos en vårdgivare. Den bestämmelsen kompletteras av övriga bestämmelserna i kapitlet som beskriver vårdgivarens ansvar för att den inre sekretessen upprätthålls i verksamheten. Vårdgivaren har enligt 4 kap. 2 § patientdatalagen ansvar för att tilldela behörighet för elektronisk åtkomst till patientuppgifter på ett sådant sätt att personalen inte har mer behörighet än vad de behöver för att kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Dessutom har vårdgivaren enligt 4 kap. 3 § patientdatalagen ansvar för att åtkomst till patientuppgifter dokumenteras (loggas) och kan kontrolleras.
I 2 kap. 6–12 §§ i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården finns bestämmelser om hur vårdgivaren ska tilldela, styra och kontrollera åtkomsten till patientuppgifter.
Även bestämmelserna i 4 kap. 4–5 §§ patientdatalagen ska skydda patientens integritet när uppgifter om honom eller henne behandlas inom en vårdgivares verksamhet. Dessa paragrafer ger patienterna en uttrycklig rätt att motsätta sig att uppgifter som dokumenterats i journalen hos en vårdenhet eller vårdprocess görs elektroniskt tillgängliga för någon som arbetar vid en annan vårdenhet eller inom en annan vårdprocess. I sådana fall ska uppgifterna genast spärras.
Många vårdgivare är offentliga, det vill säga statliga myndigheter, landsting och kommuner, men det finns förstås också privata vårdgivare. Ett landsting eller en kommun kan som vårdgivare bedriva sin hälso- och sjukvård med hjälp av olika myndigheter (olika nämnder).
I 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen (2009:400) finns en ny bestämmelse som innebär att uppgifter som normalt omfattas av hälso- och sjukvårdssekretess ändå kan lämnas från en myndighet som bedriver någon hälso- och sjukvårdsverksamhet till en annan sådan myndighet i samma landsting eller i samma kommun (prop. 2007/08:126 s. 164). Denna lättnad i sekretessen gäller bara för utbyte av uppgifter inom samma kommun eller inom samma landsting, och bestämmelsen förändrar inte sekretessgränserna mellan ett landsting och en kommun. Lättnaden gäller också bara mellan vårdgivare inom kommunen eller landstinget. Sekretessbestämmelserna gäller alltså fortfarande när uppgifter ska överföras mellan socialtjänsten och hälso- och sjukvården inom en kommun.
I detta sammanhang jämställs kommunala företag, det vill säga bolag, föreningar och stiftelser som styrs av en kommun eller ett landsting, med myndigheter i samma kommun eller landsting. Det framgår av 1 kap. 9 § sekretesslagen. Enligt 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen hindrar inte sekretessen att patientuppgifter överförs mellan ett sådant kommunalt bolag och den nämnd eller de nämnder i landstinget som bedriver hälso- och sjukvård. Förutsättningen är att landstinget äger mer än 50 procent av aktierna i det kommunala bolaget. Detta gäller dock bara om uppgifterna inte överförs genom direktåtkomst (prop. 2007/08:126 s. 166 och 270), se nedan.
Denna förändring av sekretessreglerna innebär till exempel vissa förenklingar för skolhälsovården som kan vara organiserad under olika nämnder i en kommun. I fortsättningen krävs alltså inget aktivt samtycke för att överföra elevernas patientuppgifter mellan de olika förvaltningarna. Däremot anger ju lagen att eleverna med stigande ålder och mognad kan motsätta sig att någon annan enhet får tillgång till deras uppgifter genom elektroniskt åtkomst. Vårdnadshavarna kan dock inte hindra att uppgifter om deras barn förs över (4 kap. 4 § andra stycket patientdatalagen).
Om ett landsting eller en kommun bedriver hälso- och sjukvård genom flera myndigheter får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma landsting eller kommun. Detta anges i 5 kap. 4 § andra stycket patientdatalagen. Denna bestämmelse tillsammans med undantaget från sekretessen tydliggör att en landstingskommunal eller en kommunal vårdgivare som bedriver hälso- och sjukvård genom flera olika myndigheter inte behöver tillämpa reglerna om sammanhållen journalföring för elektroniskt utbyte av journaluppgifter mellan de olika myndigheterna.
Regeringen har dock i propositionen till patientdatalagen framfört att kommunala bolag inte bör ha direktåtkomst till landstingets patientuppgifter förutom när det gäller bestämmelserna om sammanhållen journalföring. Anledningen är enligt regeringen främst att direktåtkomst innebär en större risk för integriteten. Det är då nödvändigt att vara särskilt återhållsam, bland annat därför att de kommunala företagen kan ha andra intressenter som äger delar av företagen. Exempelvis kan ett kommunalt aktiebolag ägas till 49 procent av privata intressenter eller andra sjukvårdshuvudmän, vilket skapar en annan situation än då ett landsting eller en kommun låter flera myndigheter bedriva den egna hälso- och sjukvården (prop. 2007/08:126 s. 172). Detta innebär till exempel att ett landsting måste tillämpa reglerna om sammanhållen journalföring när ett sjukhus som landstinget driver i bolagsform ska få direktåtkomst till patientuppgifter.