Risikovurdering (ROS)

Hva er en risikovurdering? 

En risikovurdering er et verktøy for å identifisere uønskede hendelser og risikoen for at disse skal inntreffe. Også den risikoen behandlingen av helse- og personopplysninger utgjør for den registrerte, skal vurderes.  

En risikovurdering må dokumenteres. Dersom det er nødvendig å gjennomføre tiltak for å oppnå en akseptabel risiko, så skal tiltakene også dokumenteres i en plan med tydelig frist for gjennomføring av tiltakene og hvem som er ansvarlig for dette.  

Risiko er det at en hendelse kan inntreffe og påvirke måloppnåelsen negativt. 

Risikovurdering innebærer å ta stilling til sannsynligheten for at en hendelse med negativ effekt på måloppnåelsen vil inntreffe, og den forventede konsekvensen av hendelsen. Resultatet av vurderingen indikerer hvor høy den enkelte risiko er, og danner grunnlag for å prioritere hvilke risikoer som må følges opp (håndteres), og hvordan oppfølgingen skal skje. 

Konsekvensen av at risikoen inntreffer vil ofte være tap av noe en har, eller noe en planlegger å oppnå. Hvor alvorlig konsekvensen er, vil blant annet avhenge av det mulige tapets art og omfang, sett opp mot virksomhetens målsettinger. Det kan for eksempel dreie seg om konsekvenser som: 

  1. tap av liv og helse 
  1. tap av materielle verdier/økonomisk konsekvens 
  1. Tap av fremdrift i planlagt aktivitet 
  1. Forsinket helsehjelp 
  1. Ikke god nok kvalitet på helsehjelp 
  1. tap av informasjon 
  1. tap av tid 
  1. tap av omdømme 

Konsekvensene må likevel tilpasses det aktuelle omfanget på risikovurderingen. 

Etter Normen skal vurdering av risiko gjennomføres med utgangspunkt i minimumskravene for konfidensialitet, integritet, tilgjengelighet og robusthet og kontrolleres mot virksomhetens nivå for akseptabel risiko. Det skal tas avgjørende hensyn til konsekvenser for pasient/ bruker og forsvarlig helsehjelp i risikovurderingene. 

Akseptabelt risikonivå er den risikoen som dataansvarlig er villig til å akseptere for å nå sine mål. Hvert helseforetak er selv ansvarlig for å definere hva som er et akseptabelt risikonivå, og det er ledelsens oppgave å definere foretakets risikotoleranse. For å kunne finne hvilket risikonivå som er akseptabelt, er det derfor viktig å ha et bevisst forhold til hvem som er dataansvarlig.  ​

Risikovurdering omfatter identifikasjon, analyse og evaluering av risiko. Vurderingen må derfor gjennomføres med riktig omfang og detaljeringsnivå. Etter risikovurderingen må risikoeier ta stilling til hvordan risiko skal håndteres som grunnlag for å iverksette nødvendige tiltak. Tiltakene skal utarbeides og iverksettes i samsvar med fastlagte kriterier for akseptabel risiko.  

 

En risikovurdering skal gjennomføres ved oppstarten av et prosjekt. Det anbefales at den gjennomføres så tidlig som mulig i planleggingsfasen i et prosjekt, og som et minimum må den gjøres før man begynner med noen aktiviteter i prosjektet som f.eks. behandler personopplysninger.  

Dersom prosjektet løper over flere år, så bør risikovurderingen tas frem jevnlig (muligens årlig) for å se om den behøver justeringer.  

Risikovurderingen bør gjøres «ut fra en objektiv vurdering der det fastslås om behandlingen av personopplysningene innebærer en risiko eller en høy risiko». 

Risikovurdering har også en side mot vurdering av personvernkonsekvenser (DPIA) etter artikkel 35. Dersom risikovurderingen viser at det er sannsynlig at behandlingen vil medføre en «høy risiko» for den registrerte, skal det gjennomføres en DPIA i tillegg.  ​

Dersom det skjer endringer i risikobildet eller dersom forutsetninger for bruken av systemet/tjenesten endres, så må risikovurderingen revideres.  

 

Det er dataansvarlig som er ansvarlig for at det gjennomføres risikovurderingen. I praksis vil dette medføre at prosjektet får ansvaret for selve gjennomføringen, men at UNN kan bidra som fasilitator når UNN er dataansvarlig.  

Ved behov for gjennomføring av risikovurdering melder prosjektet til Digitale tjenester og teknologi ved UNN ved å bruke følgende e-post: UNN-KVALUT-Ehelse-Postboks@unn.no

Etter gjennomført risikovurdering må det gjennomføres tiltak dersom det er oppdaget risikoelementer. Tiltakene skal sørge for at prosjektet er innenfor akseptabelt risikonivå. Normalt vil en av deltakerne i risikovurderingen få ansvaret for at tiltaket følges opp og gjennomføres. Dette vil UNN avgjøre i samarbeid med prosjektet under risikovurderingen.  

Til sist skal det utarbeides en risikovurderingsrapport som skal arkiveres som dokumentasjon. ​

Dersom det ikke utarbeides en risikovurdering, så skal dette begrunnes og dokumenteres.  

 

Normen inneholder mer informasjon om risikovurdering: 

Normen for informasjonssikkerthet og personvern i helse- og omsorgssektor ​

Digitaliseringsdirektoratet: 


 

 

 

 

 

 

 




Sist oppdatert 10.05.2023