Virksomheten skal gjennomføre en risikovurdering før personopplysninger behandles og før man tar i bruk et informasjonssystem. Virksomheten skal også gjennomføre risikovurdering ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i behandlinger, endringer av informasjonssystem eller endringer i trusselbildet.
Risiko betegner forholdet mellom sannsynligheten for at en uønsket hendelse vil inntreffe og konsekvenser av en slik hendelse. Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå tilfredsstillende informasjonssikkerhet.
Datatilsynet hadde tidligere en veileder i metode for risikovurderinger. Den viste til bestemmelser i den tidligere personopplysningsloven.
Det gjeldende regelverket gir nye plikter knyttet til informasjonssikkerhet og internkontroll. Vi har dessverre ingen ny veileder om risikovurdering, men grunnprinsippene i veilederen vil være i tråd med dagens regler og kan derfor benyttes som et støtteverktøy.
Last ned den gamle veilederen om risikovurdering av informasjonssystem (pdf)
Hvilken metode man bruker for å gjennomføre risikovurderinger er ikke knyttet til regelverket. Vi vil derfor anbefale at man ser på veiledning hos andre instanser slik som Norsk Sikkerhetsmyndighet (NSM) og Digitaliseringsdirektoratet.