Vurdering av risiko (RV)
Risikoeiere planlegger og gjennomfører risikovurderinger på sitt ansvarsområde, for å styre risiko på oppgaver og tjenester.
Avhengig av hvor stort og komplekst ansvarsområdet er, bør risikoeier benytte resultatet av foranalysen til å dele opp området i hensiktsmessige deler, eller gruppere deler som kan vurderes sammen.
Vurdering av risiko gjennomføres systematisk og planlagt (ref. Vurdere behov for risikovurderinger (OP-3)), men også når det oppstår særskilt behov – for eksempel etter hendelser eller i forbindelse med endringer i oppgaver og tjenester, inkludert anskaffelser og utvikling av digitale systemer.
Merk:
RV-1 Planlegge risikovurdering
Risikoeier skal sørge for at det legges en plan før en risikovurdering gjennomføres.
Planleggingen bør som minimum inneholde:
- Beskrivelse av omfang og avgrensninger
- Hvilken kompetanse det er behov for, og hvem som skal delta
- Valg av framgangsmåte, inkludert hensiktsmessige metoder og støttemetoder
- Estimat av ressursbruk
- Hvordan arbeidet skal dokumenteres
Husk:
Det finnes en rekke regelverk som stiller spesifikke krav til hvordan en risikovurdering skal gjennomføres, og elementer som skal tas med (ref. Kartlegge eksterne krav(OP-2)). Dette må tas hensyn til i planleggingen.
Gir evne til
- effektiv gjennomføring av risikovurderinger, som gir et godt beslutningsgrunnlag
RV-2 Vurdere personvernkonsekvensvurdering (DPIA)
All behandling av personopplysninger krever et formål, et behandlingsgrunnlag, en vurdering av nødvendighet og proporsjonalitet og skal i hovedsak dokumenteres i en protokoll over behandlingsaktiviteter. En slik behandlingsprotokoll kan publiseres offentlig som en del av personvernerklæringen.
Dersom det er sannsynlig at en type behandling av personopplysninger kan medføre høy risiko for fysiske personer skal risikoeier i tillegg sørge for å gjennomføre en personvernkonsekvensvurdering (DPIA) for å finne de ekstra tiltakene som må til for å redusere en høy risiko. Slike vurderinger skal omfatte alle forhold og plikter knyttet til personvern, inkludert personopplysningssikkerhet. En vurdering av personvernkonsekvenser skal minimum inneholde:
- En systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen
- En vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene
- En vurdering av risikoene for de registrertes rettigheter og friheter
- De planlagte tiltakene for å håndtere risikoene og for å påvise at forordningen overholdes
Funn og tiltak fra denne prosessen skal valideres (sjekke at de er gode nok for formålet, og oppfyller kravene) og godkjennes av ledelsen.
Dersom en vurdering av personvernkonsekvenser tilsier at behandlingen tross tiltak fremdeles vil medføre en høy risiko, skal den behandlingsansvarlige rådføre seg med Datatilsynet (gjennom den formelle prosessen Forhåndsdrøftelse) før behandlingen av personopplysninger igangsettes.
En vurdering av personvernkonsekvenser er særlig nødvendig i følgende tilfeller (listen er ikke uttømmende):
- bruk av ny teknologi, nye måter å behandle personopplysninger på eller nye bruksområder for personopplysninger
- en systematisk og omfattende vurdering av personopplysninger basert på automatisert behandling som i betydelig grad påvirker den fysiske personen
- behandling i stor skala av særlige kategorier av personopplysninger
- en systematisk overvåking i stor skala
Gir evne til
- å ivareta de registrertes rettigheter før behandling av personopplysninger starter
- å effektivt behandle, dele og motta personopplysninger knyttet til oppgaver, tjenester og produkter
- å dokumentere at personopplysninger behandles lovlig og ansvarlig
- å oppfylle informasjonsplikten til de registrerte, samarbeidspartnere og myndigheter
- å skape tillit fra ansatte, kunder/brukere, samarbeidspartnere og samfunnet generelt
RV-3 Gjennomføre risikovurdering
Risikoeiere skal sørge for at nødvendige risikovurderinger og personvernkonsekvensvurderinger blir gjennomført. Omfang og praktisk gjennomføring må tilpasses det som skal vurderes. Risikoeier skal sørge for at metodene som benyttes er egnet til det som skal vurderes, og ivaretar relevante regelverkskrav.
Risikoeiere skal benytte resultatet fra foranalysen i Oversikt over ansvarsområde (OP-1) når de vurderer risiko.
Når vurderinger oppdateres kan det være tilstrekkelig å vurdere om det har skjedd endringer som påvirker eksisterende vurderinger. For eksempel ny kunnskap om sårbarheter, hvilke hendelser som kan inntreffe, eller hvilke konsekvenser som kan oppstå.
Risikovurderingen skal dokumenteres, og danner et beslutningsgrunnlag for risikoeier for håndtering av risiko.
Ved gjennomføring av en risikovurdering vil normalt være behov for å ta hensyn til
- hvilke konsekvenser informasjonssikkerhets- og personvernbrudd kan få for virksomhetens oppgaver og tjenester, virksomhetens økonomi, individer, andre virksomheter, miljø, samfunnsfunksjoner eller nasjonale sikkerhetsinteresser
- allerede etablerte sikkerhets- og personverntiltak for å forebygge, oppdage og reagere på hendelser som kan føre til informasjonssikkerhets- eller personvernbrudd
- hvor sannsynlig det er at konsekvensene inntreffer
Gir evne til
- å få oversikt over risiko på et område (oppgave, tjeneste, digitalt system eller annen avgrensing)
- å ta beslutninger om risiko, inkludert bruk av virksomhetens ressurser på håndtering av risiko
RV-4 Vurdere risiko etter hendelser
Når risikoeiere blir kjent med informasjonssikkerhetshendelser eller hendelser som har påvirket personopplysningsvernet, skal de gjøre ny behovsvurdering, og gjennomføre risikovurderinger hvis det er behov for det.
Husk:
Det kan her være snakk om både hendelser som har inntruffet i egen virksomhet, og relevante hendelser man hører om fra andre virksomheter.
Gir evne til
- å ha oppdatert oversikt over risiko når hendelser har tilført ny informasjon til bruk i vurderingene