For å kunne vurdere om et system skal tas i bruk, må risikoområdene, som informasjonssikkerhet, personvern og pasientsikkerhet, vurderes opp mot hverandre. Det er ledelsens ansvar i hver enkelt virksomhet å vurdere om risikoene ved å implementere et system er akseptable eller ikke. En grundig risikovurdering vil kunne bidra til en bedre forståelse av disse risikoene og styrke beslutningsgrunnlaget for ledelsen.
Risikoområder som er beskrevet i dette kapitlet er ikke uttømmende. Den aktuelle situasjonen i virksomheten og hos leverandøren kan medføre andre problemstillinger innenfor de områdene som er beskrevet.
Situasjonsbildet for trusler knyttet til skytjenester, endres raskt og kan gi nye eller endrede trusler som kan innebære risiko. Det er ulike aktører som utgir oppdaterte situasjons- og risikorapporter, for eksempel lokalt i de ulike helseforetakene og Nasjonal Sikkerhetsmyndighet, og fra organisasjoner som Cloud Security Alliance og OWASP.
