Risikovurdering

En risikovurdering er et verktøy for å identifisere uønskede hendelser og risikoen for at disse skal inntreffe. Datatilsynets veileder forklarer hvordan virksomheten bør gjennomføre en risikovurdering.

Som en del av internkontrollen skal virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke personopplysninger som inngår i disse. Denne oversikten skal brukes som underlag ved risikovurderinger.

Virksomheten skal gjennomføre risikovurdering før man iverksetter en behandling og før man tar i bruk et informasjonssystem. Virksomheten skal videre gjennomføre risikovurdering ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i behandlinger, endringer av informasjonssystem eller endringer i trusselbildet.

Risiko betegner forholdet mellom sannsynligheten for at en uønsket hendelse vil inntreffe og konsekvenser av en slik hendelse. Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå tilfredsstillende informasjonssikkerhet.

Vi har foreløpig ikke laget noen veiledning til risikovurdering. Det er derimot mulig å bruke vår gamle veileder som støtteverktøy, men den viser til bestemmelser i det gamle personvernregelverket. Det gjeldende regelverket gir noen nye plikter knyttet til informasjonssikkerhet og internkontroll. Det er likevel slik at grunnprinsippene i den gamle veilederen vil være i tråd med dagens regler. 

Hvilken metode man bruker for å gjennomføre risikovurderinger er ikke knyttet til regelverket. Vi vil derfor anbefale at man ser på andres veiledere, slik som for eksempel Difi og NSM.

Det danske Datatilsynet har også laget en veileder man eventuelt kan se på når man skal gjøre risikovurderinger.

Veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

Veileder i internkontroll
17