Risikovurdering er et verktøy for å identifisere uønskede hendelser, om risiko ved behandlingen av helse- og personopplysninger.
Det skal alltid gjennomføres risikovurdering:
- før behandling av helse- og personopplysninger starter
- ved alvorlige sikkerhetshendelser
- endringer i IT systemer, støttesystemer/pasientjournalsystemet eller i organisasjonen
- ved bytte av leverandør (for eksempel ved overgang til bruk av skytjenester)
Eksempel: Normland helsesenter gjennomførte en risikovurdering ved omleggingen til sky-basert EPJ-tjeneste. I tillegg tas en jevnlig gjennomgang av om det har skjedd endringer i risikobildet i forbindelse med "sikkerhetspraten". |
Virksomheten skal ha en bevisst holdning til hvilke risikoer som finnes ved behandling av helse og personopplysninger. Gjennomfør heller flere små vurderinger enn en stor risikovurdering.
En risikovurdering for å forebygge svikt og uønskede hendelser skal gi svar på:
- hva som kan gå galt (uønsket hendelse). Identifisere områder der svikt kan få alvorlige eller uønskede følger for pasienter/brukere eller virksomheten.
- hvor stor sannsynlighet det er for at det går galt. Identifisere områder der svikt kan inntre ofte
- hva som er konsekvensene hvis det går galt.
- hvilke tiltak som er iverksatt og om nye tiltak må iverksettes.
- hvem som skal gjennomføre tiltakene, når og hvordan.
Start med å utarbeide konkrete forslag til trusler og uønskede hendelser knyttet til scenarioer.
