Risikovurdering

En risikovurdering er et verktøy for å identifisere uønskede hendelser og risikoen for at disse skal inntreffe. Som en del av internkontrollen skal virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke personopplysninger som inngår i disse. Denne oversikten skal brukes som underlag ved risikovurderinger.

Virksomheten skal gjennomføre en risikovurdering før personopplysninger behandles og før man tar i bruk et informasjonssystem. Virksomheten skal også gjennomføre risikovurdering ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i behandlinger, endringer av informasjonssystem eller endringer i trusselbildet.

Risiko betegner forholdet mellom sannsynligheten for at en uønsket hendelse vil inntreffe og konsekvenser av en slik hendelse. Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå tilfredsstillende informasjonssikkerhet.

Datatilsynet hadde tidligere en veileder i metode for risikovurderinger. Den viste til bestemmelser i den tidligere personopplysningsloven.

Det gjeldende regelverket gir nye plikter knyttet til informasjonssikkerhet og internkontroll. Vi har foreløpig ingen ny veileder om risikovurdering, men grunnprinsippene i veilederen vil være i tråd med dagens regler og kan derfor benyttes som støtteverktøy.

Last ned den gamle veilederen om risikovurdering av informasjonssystem (pdf)

Hvilken metode man bruker for å gjennomføre risikovurderinger er ikke knyttet til regelverket. Vi vil derfor anbefale at man ser på andres veiledere som for eksempel Difi og NSM

Etablering av internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger, sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig. Vi har laget utdypende veiledning om hva internkontroll handler om, og hvordan man kan etablere og følge den opp.

Etablering av internkontroll
22