Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

3. Risikovurdering

Etter helselovgivningen og personvernlovgivningen plikter enhver virksomhet som behandler helse- og personopplysninger å gjennomføre tekniske og organisatoriske tiltak som sikrer overholdelse av krav til informasjonssikkerhet og personvern.

Virksomhetene må gjennomføre tilstrekkelige risikovurderinger for å unngå at informasjonsbehandlingen i virksomheten gir uakseptabel risiko for oppsporing av trusselutsatte personer. Arbeidet bør være risikobasert, dvs. at risikovurdering og -håndtering prioriteres på de områdene med (antatt/vurdert) høyest risiko.

Det er viktig at personellet som gjennomfører risikovurderingen er riktig sammensatt og består av kompetanse som forstår hele verdikjeden. Dette er særlig viktig der geolokaliserende opplysninger skal behandles av en databehandler.

3.1. Hva bør risikovurderes?

3.2. Vurderinger av tiltak

3.3. Utarbeidelse av rutiner


Normen

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 20. november 2023