3.4. Risikovurdering og risikohåndtering

3.4.1 Risikovurdering

Risikovurdering er et verktøy og skal være av et slikt omfang at virksomheten kan identifisere nødvendige sikkerhetstiltak. Virksomhetene skal utarbeide, vedlikeholde og dokumentere risikovurderinger. Ved endringer i virksomheten som kan påvirke informasjonssikkerhet, skal risikoen som disse endringene medfører vurderes.

Risikovurderinger skal minst inneholde:

  • kartlegging av virksomhetens nettverk- og informasjonssystemer, samt deres betydning for leveransen av samfunnsviktige tjenester.
  • identifikasjon av potensielle hendelser som kan påvirke virksomhetens nettverk- og informasjonssystemer.
  • analyse av sårbarheter knyttet til virksomhetens nettverk- og informasjonssystemer.
  • vurdering av sannsynligheten for at en hendelse kan inntreffe.
  • vurdering av konsekvensene av hendelser
  • analyse av virksomhetens avhengighet av andre virksomheter for å fungere optimalt

Risikovurderingen bør ta utgangspunkt i en kartlegging av informasjonsverdier og hva som vil bli konsekvensen av hendelser som rammer tilgjengeligheten, integriteten og konfidensialiteten til informasjonsverdiene. Virksomheten skal vurdere sannsynligheten for at en hendelse kan inntreffe og konsekvensen av hendelsen. Dersom risikoen er uakseptabel, skal virksomheten gjennomføre tiltak for å redusere risikoen. Les mer i Normens veileder om risikostyring for informasjonssikkerhet og personvern

Virksomheten skal gjennomføre risikovurderinger, og de skal som minimum gjennomføres før:

  • etablering av eller endring i behandling av helse- og personopplysninger
  • etablering av nye informasjonssystemer eller registre som inneholder eller benytter helse- og personopplysninger
  • endringer i eksisterende informasjonssystemer eller registre som inneholder eller benytter helse- og personopplysninger
  • det etableres organisatoriske, tekniske, fysiske, personellmessige tiltak eller andre endringer med betydning for informasjonssikkerheten
  • det etableres eller endres tilgang til helseopplysninger mellom virksomheter

Risikovurdering bør oppdateres ved endring i trusselbildet. I tillegg skal virksomhetens ledelse jevnlig gjennomføre risikovurderinger som ledd i sitt arbeid med å kontrollere informasjonssikkerheten.

3.4.2 Risikohåndtering

Basert på risikovurderingen skal virksomhetene ha en plan for å håndtere risiko. Som en del av risikohåndteringen skal virksomhetene iverksette nødvendige sikkerhetstiltak for å redusere risiko og opprettholde et egnet sikkerhetsnivå.

Risikohåndtering skal gjennomføres med utgangspunkt i minimumskravene for konfidensialitet, integritet, tilgjengelighet og robusthet, og virksomhetens akseptkriterier. Det skal tas avgjørende hensyn til konsekvenser for pasient/ bruker og forsvarlig helsehjelp i risikovurderingene.

Når det er nødvendig å gjennomføre tiltak for å oppnå akseptabel risiko, skal tiltakene fremgå av en plan med tydelig frist og hvem som er ansvarlig for gjennomføring. Planen skal forankres hos virksomhetens ledelse.

Dersom planlagte tekniske tiltak for å oppnå akseptabel risiko ikke kan innføres umiddelbart, bør risikoreduserende administrative tiltak f.eks. i form av rutine vurderes.

Virksomheten skal sikre at den har tilstrekkelig kompetanse tilgjengelig for å kunne vurdere risiko. Representanter for de som yter helsehjelp skal søkes involvert der det er relevant. De som utfører risikovurderingene, skal ha en tydelig eskaleringsvei til ledelsen/styret. Resultater fra risikovurderingen og plan for oppfølging av tiltak skal kommuniseres på rett detaljnivå til virksomhetens ledelse og ev. styret der dette er relevant.

Normen

Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 25. september 2025