Virksomhetens øverste ledelse har ansvaret for å sørge for at virksomheten følger gjeldende krav til informasjonssikkerhet og personvern, og at virksomhetens informasjonsbehandling gir et sikkerhetsnivå som er egnet med hensyn til risikoen og behandlingens art.
Jf. personvernforordningen artikkel 32. Sikkerhet ved behandlingen (lovdata.no): «Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen»
Dette ansvaret bør ivaretas som en del av arbeidet med virksomhetsstyring og kvalitetsforbedring. Ansvaret inkluderer å sette føringer for vurdering og håndtering av risiko, herunder fastsette kriterier for å akseptere risiko, samt å sørge for velfungerende styring og kontroll.
Jf. ISO 27001:2023 2017 pkt. 6.1.2 Risikovurdering av informasjonssikkerhet, særlig bokstav a, og kapittel 6.1.3 Behandling av informasjonssikkerhetsrisikoene, jf. Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) § 15 Internkontroll på informasjonssikkerhetsområdet (lovdata.no)
Virksomheten skal dokumentere alle tiltak.
Virksomheter som er omfattet av både Normens krav og forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten, bør legge denne forskriftens bestemmelser til grunn for å sikre at helse- og omsorgslovgivningens krav til informasjonssikkerhet og personvern etterleves.
