Risikovurdering

Gjennom en risikovurdering skal virksomheten identifisere uønskede hendelser og risikoen for at disse skal inntreffe. 

Risikovurderinger skal gjennomføres før personopplysninger behandles og før systemene tas i bruk. Virksomheten skal også gjennomføre risikovurdering ved endringer i forhold som kan påvirke informasjonssikkerheten, slik som endringer i behandlingene, oppdateringer eller fornyelser av systemer eller endringer i trusselbildet.

Risiko betegner forholdet mellom sannsynligheten for at en uønsket hendelse vil inntreffe og konsekvensene av en slik hendelse. 

Som en del av internkontrollen skal alle virksomheter som behandler personopplysninger, føre en protokoll over behandlingsaktivitetene de har ansvar for og hvilke personopplysninger som inngår der. Denne oversikten skal brukes som underlag ved risikovurderinger.

Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå tilfredsstillende informasjonssikkerhet.

Hvilken metode man bruker for å gjennomføre risikovurderinger er ikke knyttet til regelverket. Vi vil derfor anbefale å på veiledning hos andre instanser slik som Norsk Sikkerhetsmyndighet (NSM) og Digitaliseringsdirektoratet.

Les mer om risikovurderinger i veiledningen om vurderinger av personvernkonsekvenser.

Etablering av internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger, sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig. Vi har laget utdypende veiledning om hva internkontroll handler om, og hvordan man kan etablere og følge den opp.

Etablering av internkontroll