Virksomhetens ledelse er ansvarlig for at det gjennomføres sikkerhetsrevisjon. For mindre virksomheter bør daglig leder selv gjennomføre sikkerhetsrevisjonene, i samarbeid med andre som har roller ift. sikkerhet og drift av datasystemene. I større virksomheter kan den praktiske gjennomføringen gjøres av for eksempel sikkerhetsleder eller personvernombud. Det presiseres at det ikke er krav om bruk av ekstern revisor.
Resultater fra sikkerhetsrevisjonen skal dokumenteres og gjennomgås ifm ledelsens gjennomgang. I tillegg skal det i etterkant av den enkelte revisjon vurderes gjennomføring av tiltak for å rette opp avvik som er avdekket. Identifiserte avvik skal behandles iht. prosedyre for avviksbehandling. I den årlige sikkerhetsrevisjon skal det kontrolleres at alle avvik er håndtert.
Omfanget av sikkerhetsrevisjoner skal tilpasses virksomhetens størrelse og behov og dekke relevante områder som har betydning for tilfredsstillende informasjonssikkerhet. Det anbefales å gjennomføre mindre revisjoner som dekker enkeltområder og som til sammen dekker hele området ila en periode.
For eksempel kan en sikkerhetsrevisjon dekke:
- fysisk sikring av lokaler som benyttes til behandling av helse- og personopplysninger
- prosedyre for kontroll av hendelsesregistre
- prosedyre ved fratredelse av ansatt / medarbeider
- tilgang til helseopplysninger mellom virksomheter
- gjennomgang og kontroll av oppføringer i autorisasjonsregisteret
Databehandler skal gjennomføre sikkerhetsrevisjon av egen behandling av helse- og personopplysninger. For å ivareta dataansvarliges plikt til å forsikre seg om at informasjonssikkerheten er tilfredsstillende bør databehandler utlevere resultat fra gjennomførte sikkerhetsrevisjoner til dataansvarlig. Dette avtales i databehandleravtalen.
For en komplett sikkerhetsrevisjon av alle Normens krav kan vedlegget til Normens krav benyttes. Vedlegget kan benyttes som grunnlag for å utarbeide egne revisjonslister tilpasset virksomhetens art og omfang.
