Korrigert juridisk dokumentasjon mot faktisk lovtekst

Gjennomført systematisk verifisering av wiki-dokumentasjon mot Lovdata:

Helseregisterloven (6 paragrafer korrigert):
- §8: Rettet overskrift til 'Vilkår for etablering ved forskrift'
- §9: Rettet til 'Samtykkebaserte registre eller uten personidentifikasjon'
- §10: Rettet til 'Registre med reservasjonsrett'
- §11: Rettet til 'Lovbestemte helseregistre'
- §12: Fullstendig omskrevet - handler om Helsearkivregisteret, ikke innsynsrett
- §13: Rettet til 'Innmelding av helseopplysninger'

Smittevernloven (3 paragrafer korrigert):
- §4-10: Rettet til 'Bistandsplikt for andre myndigheter'
- §7-10: Tydeliggjort at dette gjelder Helsedirektoratet, ikke FHI
- §7-11: Rettet til 'Forskriftshjemmel for departementet'

Forskrifter (7 hjemmelhenvisninger korrigert):
- Endret fra '§8' til '§§ 8 og 11 bokstav X' for korrekt hjemmel

Nye paragrafer lagt til:
- §21 Informasjonssikkerhet
- §24 Rett til informasjon og innsyn
- §25 Retting, sperring eller sletting

wiki/Lover/Helseregisterloven/§21.md

@@ -0,0 +1,77 @@
+# Helseregisterloven § 21 - Informasjonssikkerhet
+
+## Lovtekst
+
+<details>
+<summary>
+Paragrafen stiller krav til informasjonssikkerhet ved behandling av helseopplysninger.
+</summary>
+
+> Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll. I registre som er etablert med hjemmel i §§ 10 eller 11, skal navn, fødselsnummer og andre personidentifiserende kjennetegn lagres kryptert.
+>
+> Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.
+</details>
+
+## Om bestemmelsen
+
+Paragrafen stiller konkrete krav til hvordan helseopplysninger skal sikres. Dette er en sentral bestemmelse for FHIs drift av helseregistre.
+
+## Implikasjoner for FHI
+
+### Lovpålagte sikkerhetstiltak
+
+FHI må som dataansvarlig sørge for:
+
+| Tiltak | Beskrivelse |
+|--------|-------------|
+| **Tilgangsstyring** | Kun autoriserte personer skal ha tilgang til opplysningene |
+| **Logging** | All tilgang til personidentifiserbare opplysninger skal logges |
+| **Etterfølgende kontroll** | Loggene skal gjennomgås for å avdekke uautorisert tilgang |
+| **Kryptering** | Personidentifikatorer skal lagres kryptert |
+
+### Krypteringskrav
+
+For registre etter §§ 10 og 11 (registre uten samtykke) skal følgende lagres **kryptert**:
+- Navn
+- Fødselsnummer
+- Andre personidentifiserende kjennetegn
+
+Dette gjelder alle FHIs sentrale helseregistre (MSIS, SYSVAK, Dødsårsaksregisteret, Kreftregisteret, etc.).
+
+### Risikobasert tilnærming
+
+Sikkerhetsnivået skal være "egnet med hensyn til risikoen". FHI må:
+1. **Vurdere risiko:** Identifisere trusler og sårbarheter
+2. **Implementere tiltak:** Velge tiltak som reduserer risikoen til akseptabelt nivå
+3. **Dokumentere:** Dokumentere risikovurderinger og valgte tiltak
+4. **Evaluere:** Jevnlig evaluere om tiltakene er tilstrekkelige
+
+### Tekniske tiltak
+
+Eksempler på tekniske tiltak FHI må implementere:
+- Brannmurer og nettverkssegmentering
+- Kryptering av data i transit og i ro
+- Multifaktorautentisering
+- Automatisk logging av all tilgang
+- Backup og gjenopprettingsrutiner
+
+### Organisatoriske tiltak
+
+Eksempler på organisatoriske tiltak:
+- Opplæring av ansatte
+- Taushetserklæringer
+- Rutiner for tilgangsstyring
+- Prosedyrer for hendelseshåndtering
+- Internkontroll og revisjon
+
+## Relasjon til andre bestemmelser
+
+- **[§ 22](§22.md):** Internkontroll
+- **[§ 24](§24.md):** Loggeinnsyn for registrerte
+- **GDPR artikkel 32:** Sikkerhet ved behandling
+- **Norm for informasjonssikkerhet:** Bransjenorm for helsesektoren
+
+---
+
+**Hjemmel:** Helseregisterloven § 21
+**Lovdata:** [NL/lov/2014-06-20-43](https://lovdata.no/dokument/NL/lov/2014-06-20-43)