Virksomhetens øverste ledelse har ansvar for å sikre at virksomheten opprettholder et egnet sikkerhetsnivå og følger gjeldende krav til informasjonssikkerhet og personvern. Ledelsen skal gjennomgå virksomhetens styringssystem for informasjonssikkerhet og personvern minst en gang i året.
Grunnlag for gjennomgangen skal omfatte vurdering av:
- status på aktiviteter fra tidligere ledelsens gjennomgang
- endringer i behandlinger av helse- og personopplysninger (protokoll)
- endringer i organiseringen av arbeidet
- resultatene fra risikovurderinger og status for planer for risikobehandling
- resultat av personvernkonsekvensvurderinger (DPIA)
- resultater fra revisjoner
- resultat av avviksbehandling
- oppfølging av leverandører og databehandleravtaler
- endring i akseptabel risiko
Resultatene fra ledelsens gjennomgang skal omfatte beslutninger om eventuelle behov for endringer i styringssystemet. Dersom gjennomgangen avdekker at virksomhetens risiko ikke er akseptabel, skal det vedtas tiltaksplaner for å rette opp dette, med tidsfrister og plassering av ansvar. Ledelsens gjennomgang skal dokumenteres.
