Wikier

Planlegge og...

Risikovurdering ved håndtering av personopplysninger - helseforskning

Personopplysningsforskriften § 2–4 stiller krav om risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd med hensyn håndtering av personopplysninger.

Her vurderes blant annet prosjektets omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i og prosjektets varighet.

En forutsetning for å kunne ha en forsvarlig risikostyring er at konkrete hendelser kan vurderes i forhold til forhåndsdefinerte kriterier for akseptabelt risikonivå.

Kriterier som påvirkes av ytre rammevilkår og lovpålagte krav, skal fastlegges for alle sikkerhetsbehov som konfidensialitet, tilgjengelighet og integritet

Akseptabelt risikonivå skal angi hvilke personopplysninger og behandlinger som berøres, hendelser med betydning for personvernet og akseptable nivåer for sannsynlighet og konsekvens. En detaljert beskrivelse av akseptabelt risikonivå inngår i underlaget for å gjennomføre risikovurdering.

Hva er akseptabelt risikonivå?

Eksempler på beskrivelse av akseptabelt risikonivå:

  • "Sikkerhetstiltak skal iverksettes slik at personer utenfor virksomheten/prosjektet ikke skal kunne forårsake uønskede hendelser som medfører konsekvenser for enkeltmenneskers personvern"
  • "Egne medarbeidere /prosjektdeltakere skal ha tilstrekkelig kjennskap til hvilke sikkerhetsbestemmelser som gjelder i virksomheten/prosjektet slik at uønskede hendelser reduseres til et minimum"
  • "Utlevering av sensitive personopplysningene kan medføre alvorlig tap av anseelse og integritet for dem det gjelder. Det er derfor nødvendig å sikre opplysningenes konfidensialitet. Dette hensynet har prioritet foran hensynet til tilgjengelighet og integritet."
  • "Medarbeidere skal ikke kunne forårsake konfidensialitetsbrudd ved uaktsomt eller ved forsett – eller ved at personer utenfor virksomheten med overlegg gis tilgang til disse"
  • "Sikkerhetskopier med medisinsk eller helsefaglig informasjon som bringes ut av virksomheten skal være kryptert, slik at tap av disse ikke får konsekvenser for konfidensialiteten uten at både krypteringsnøkkel og sikkerhetskopi kommer på avveie"
  • "Sensitive personopplysninger skal ikke kunne utleveres gjennom informasjonssystemet ved uaktsomhet"

På bakgrunn av akseptkriterier skal det utarbeides retningslinjer som angir hvilke virkemidler som skal benyttes for å oppnå "tilfredsstillende sikkerhetsnivå". Dersom forskningsprosjekter behandler personopplysninger på annen måte enn det som er omfattet av NTNUs løsning for lagring, pålegges prosjektleder selv å klargjøre hvilke akseptkriterier som skal gjelde i angjeldende forskningsprosjekt.

Se også