# Helseregisterloven § 21 - Informasjonssikkerhet

## Lovtekst

<details>
<summary>
Paragrafen stiller krav til informasjonssikkerhet ved behandling av helseopplysninger.
</summary>

> Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll. I registre som er etablert med hjemmel i §§ 10 eller 11, skal navn, fødselsnummer og andre personidentifiserende kjennetegn lagres kryptert.
>
> Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.
</details>

## Om bestemmelsen

Paragrafen stiller konkrete krav til hvordan helseopplysninger skal sikres. Dette er en sentral bestemmelse for FHIs drift av helseregistre.

## Implikasjoner for FHI

### Lovpålagte sikkerhetstiltak

FHI må som dataansvarlig sørge for:

| Tiltak | Beskrivelse |
|--------|-------------|
| **Tilgangsstyring** | Kun autoriserte personer skal ha tilgang til opplysningene |
| **Logging** | All tilgang til personidentifiserbare opplysninger skal logges |
| **Etterfølgende kontroll** | Loggene skal gjennomgås for å avdekke uautorisert tilgang |
| **Kryptering** | Personidentifikatorer skal lagres kryptert |

### Krypteringskrav

For registre etter §§ 10 og 11 (registre uten samtykke) skal følgende lagres **kryptert**:
- Navn
- Fødselsnummer
- Andre personidentifiserende kjennetegn

Dette gjelder alle FHIs sentrale helseregistre (MSIS, SYSVAK, Dødsårsaksregisteret, Kreftregisteret, etc.).

### Risikobasert tilnærming

Sikkerhetsnivået skal være "egnet med hensyn til risikoen". FHI må:
1. **Vurdere risiko:** Identifisere trusler og sårbarheter
2. **Implementere tiltak:** Velge tiltak som reduserer risikoen til akseptabelt nivå
3. **Dokumentere:** Dokumentere risikovurderinger og valgte tiltak
4. **Evaluere:** Jevnlig evaluere om tiltakene er tilstrekkelige

### Tekniske tiltak

Eksempler på tekniske tiltak FHI må implementere:
- Brannmurer og nettverkssegmentering
- Kryptering av data i transit og i ro
- Multifaktorautentisering
- Automatisk logging av all tilgang
- Backup og gjenopprettingsrutiner

### Organisatoriske tiltak

Eksempler på organisatoriske tiltak:
- Opplæring av ansatte
- Taushetserklæringer
- Rutiner for tilgangsstyring
- Prosedyrer for hendelseshåndtering
- Internkontroll og revisjon

## Relasjon til andre bestemmelser

- **[§ 22](§22.md):** Internkontroll
- **[§ 24](§24.md):** Loggeinnsyn for registrerte
- **GDPR artikkel 32:** Sikkerhet ved behandling
- **Norm for informasjonssikkerhet:** Bransjenorm for helsesektoren

---

**Hjemmel:** Helseregisterloven § 21
**Lovdata:** [NL/lov/2014-06-20-43](https://lovdata.no/dokument/NL/lov/2014-06-20-43)