Eksempler på scenarioer som kan vurderes:
- Opplysninger i journalsystemet endres uten at dette er sporbart (logges)
- Epikrise skannes inn i journalsystemet på feil pasient
- Serveren med journalsystemet blir stjålet
- IT-systemer hackes
- Utskrifter med helseopplysninger kommer på avveie
- Snoking i journaler
- Helseopplysninger sendes i ordinær e-post eller som ordinær SMS
- Journalsystemet er nede i mer enn 4 timer per uke
- Driftsavbrudd med varighet over én arbeidsdag
Scenariene bør drøftes, prioriteres og hvert scenario vurderes for:
- Mulige konsekvenser
- Eksisterende tiltak og behov for nye eller endrede tiltak
- Utarbeid en oppsummering og et sammendrag. Det er viktig at alle i virksomheten blir involvert i en slik prosess og det kan med fordel opprettes en arbeidsgruppe. Øverste leder må sikre at virksomheten planlegger hvordan risiko innenfor de aktuelle områdene kan minimaliseres.
- Utarbeid en tiltaksliste som viser tiltak, hvem som er ansvarlig og når tiltakene skal være gjennomført.
Se Normen sin veileder om risikostyring i informasjonssikkerhet og personvern som forklarer mer om risikovurdering.
