4. Risiko

I helse- og omsorgssektoren handler risiko i ytterste konsekvens om liv og død. For å yte helsehjelp og levere forsvarlige helse- og omsorgstjenester må risiko håndteres på tvers av ulike fagområder som informasjonssikkerhet, personvern og pasientsikkerhet.

Disse områdene er imidlertid tett knyttet, og bidrar sammen til forsvarlige helse- og omsorgstjenester for pasienter og brukere.

Risikostyring er koordinerte aktiviteter som har til hensikt å rettlede og kontrollere en organisasjon med tanke på risiko.

Det omfatter å få oversikt over informasjon og teknologi i virksomheten, identifisere trusler, sårbarheter og konsekvenser ved mulige uønskede hendelser både for virksomheten og for registrerte personer, analysere risikoen og etablere tiltak for å opprettholde et egnet sikkerhetsnivå.

Normen sier at virksomhetene, innenfor lovverkets rammer, skal søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og robusthet.

Risikostyring er et viktig verktøy for å søke en slik balansert tilnærming, inkludert risikovurderinger av informasjonssikkerhet og vurderinger av personvernkonsekvenser.

Det skal tas hensyn til den tekniske utviklingen, gjennomføringskostnader og informasjonsbehandlingens art, omfang, formål og sammenhengen den utføres i, når det vurderes om en risiko kan aksepteres.

Arbeidet med risikostyring skal ta hensyn til for eksempel type og mengde opplysninger, virksomhetens størrelse og behandlingens kompleksitet.

En sentral del av risikostyringen handler med andre ord om å veie ulike viktige hensyn opp mot hverandre og avgjøre hvilken risiko virksomheten kan akseptere både totalt sett og i enkeltprosesser.

Dette beskrives blant annet i Helse- og omsorgsdepartementets rundskriv I-3/2019 om informasjonshåndtering i spesialisthelsetjenesten (www.regjeringen.no)

Vi må ha disse perspektivene med oss i ulike deler av den helhetlige risikostyringen, samt før, under og etter at man har gjennomført en risikovurdering