Risikovurdering er et verktøy for å identifisere uønskede hendelser. Risikovurderingen bør ta utgangspunkt i en kartlegging av informasjonsverdier og hva som vil bli konsekvensen av hendelser som rammer tilgjengeligheten, integriteten og konfidensialiteten til informasjonsverdiene. Virksomheten skal vurdere sannsynligheten for og mulige konsekvenser av at en hendelse inntreffer. Dersom risikoen er uakseptabel, skal virksomheten gjennomføre tiltak for å redusere risikoen.
Les mer i Normens veileder om risikostyring for informasjonssikkerhet og personvern
Virksomheten skal gjennomføre risikovurderinger, og de skal som minimum gjennomføres før:
- etablering av eller endring i behandling av helse- og personopplysninger
- etablering av nye systemer eller registre som inneholder eller benytter helse- og personopplysninger
- det etableres organisatoriske, tekniske eller andre endringer med betydning for informasjonssikkerheten
- det etableres eller endres tilgang til helseopplysninger mellom virksomheter
Risikovurdering bør oppdateres ved endring i trusselbildet. I tillegg skal virksomhetens ledelse jevnlig gjennomføre risikovurderinger som ledd i sitt arbeid med å kontrollere informasjonssikkerheten.
Vurdering og håndtering av risiko skal gjennomføres med utgangspunkt i minimumskravene for konfidensialitet, integritet, tilgjengelighet og robusthet og virksomhetens akseptkriterier. Det skal tas avgjørende hensyn til konsekvenser for pasient/ bruker og forsvarlig helsehjelp i risikovurderingene.
Risikovurderinger skal dokumenteres. Der det er nødvendig å gjennomføre tiltak for å oppnå akseptabel risiko, skal tiltakene fremgå av en plan med tydelig frist og hvem som er ansvarlig for gjennomføring. Planen skal forankres hos virksomhetens ledelse.
Dersom planlagte tekniske tiltak for å oppnå akseptabel risiko ikke kan innføres umiddelbart, bør risikoreduserende administrative tiltak f.eks. i form av rutine vurderes.
Virksomheten skal sikre at den har tilstrekkelig kompetanse tilgjengelig for å kunne vurdere risiko. Representanter for de som yter helsehjelp skal søkes involvert der det er relevant. De som utfører risikovurderingene, skal ha en tydelig eskaleringsvei til ledelsen/styret. Resultater fra risikovurderingen og plan for oppfølging av tiltak skal kommuniseres på rett detaljnivå til virksomhetens ledelse og ev. styret der dette er relevant.
