torbjorn/lovdata-test
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
c1d8ba5b1f8c5c70fc8d7b2198e689d9237f152e
lovdata-test/wiki/Lover/Helseregisterloven/§21.md
Torbjørn Lindahl c312adee3f Korrigert juridisk dokumentasjon mot faktisk lovtekst 
Gjennomført systematisk verifisering av wiki-dokumentasjon mot Lovdata:

Helseregisterloven (6 paragrafer korrigert):
- §8: Rettet overskrift til 'Vilkår for etablering ved forskrift'
- §9: Rettet til 'Samtykkebaserte registre eller uten personidentifikasjon'
- §10: Rettet til 'Registre med reservasjonsrett'
- §11: Rettet til 'Lovbestemte helseregistre'
- §12: Fullstendig omskrevet - handler om Helsearkivregisteret, ikke innsynsrett
- §13: Rettet til 'Innmelding av helseopplysninger'

Smittevernloven (3 paragrafer korrigert):
- §4-10: Rettet til 'Bistandsplikt for andre myndigheter'
- §7-10: Tydeliggjort at dette gjelder Helsedirektoratet, ikke FHI
- §7-11: Rettet til 'Forskriftshjemmel for departementet'

Forskrifter (7 hjemmelhenvisninger korrigert):
- Endret fra '§8' til '§§ 8 og 11 bokstav X' for korrekt hjemmel

Nye paragrafer lagt til:
- §21 Informasjonssikkerhet
- §24 Rett til informasjon og innsyn
- §25 Retting, sperring eller sletting
2026-01-23 14:07:31 +01:00

2.9 KiB
Raw Blame History

Helseregisterloven § 21 - Informasjonssikkerhet

Lovtekst

Paragrafen stiller krav til informasjonssikkerhet ved behandling av helseopplysninger.

Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll. I registre som er etablert med hjemmel i §§ 10 eller 11, skal navn, fødselsnummer og andre personidentifiserende kjennetegn lagres kryptert.

Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.

Om bestemmelsen

Paragrafen stiller konkrete krav til hvordan helseopplysninger skal sikres. Dette er en sentral bestemmelse for FHIs drift av helseregistre.

Implikasjoner for FHI

Lovpålagte sikkerhetstiltak

FHI må som dataansvarlig sørge for:

Tiltak Beskrivelse
Tilgangsstyring Kun autoriserte personer skal ha tilgang til opplysningene
Logging All tilgang til personidentifiserbare opplysninger skal logges
Etterfølgende kontroll Loggene skal gjennomgås for å avdekke uautorisert tilgang
Kryptering Personidentifikatorer skal lagres kryptert

Krypteringskrav

For registre etter §§ 10 og 11 (registre uten samtykke) skal følgende lagres kryptert:

  • Navn
  • Fødselsnummer
  • Andre personidentifiserende kjennetegn

Dette gjelder alle FHIs sentrale helseregistre (MSIS, SYSVAK, Dødsårsaksregisteret, Kreftregisteret, etc.).

Risikobasert tilnærming

Sikkerhetsnivået skal være "egnet med hensyn til risikoen". FHI må:

  1. Vurdere risiko: Identifisere trusler og sårbarheter
  2. Implementere tiltak: Velge tiltak som reduserer risikoen til akseptabelt nivå
  3. Dokumentere: Dokumentere risikovurderinger og valgte tiltak
  4. Evaluere: Jevnlig evaluere om tiltakene er tilstrekkelige

Tekniske tiltak

Eksempler på tekniske tiltak FHI må implementere:

  • Brannmurer og nettverkssegmentering
  • Kryptering av data i transit og i ro
  • Multifaktorautentisering
  • Automatisk logging av all tilgang
  • Backup og gjenopprettingsrutiner

Organisatoriske tiltak

Eksempler på organisatoriske tiltak:

  • Opplæring av ansatte
  • Taushetserklæringer
  • Rutiner for tilgangsstyring
  • Prosedyrer for hendelseshåndtering
  • Internkontroll og revisjon

Relasjon til andre bestemmelser

  • § 22: Internkontroll
  • § 24: Loggeinnsyn for registrerte
  • GDPR artikkel 32: Sikkerhet ved behandling
  • Norm for informasjonssikkerhet: Bransjenorm for helsesektoren

Hjemmel: Helseregisterloven § 21 Lovdata: NL/lov/2014-06-20-43

Reference in New Issue View Git Blame Copy Permalink