Risikovurderinger

Risikovurderinger består av en beskrivelse av hva som skal risikovurderes, hvilke uønskede hendelser som kan skje, en vurdering av hvor sannsynlig det er at disse hendelsene inntreffer og hvilke negative konsekvenser det kan få hvis hendelsene faktisk skjer.

Dersom dere finner ut at sannsynligheten og konsekvensene er store, vil sikkerhetstiltak redusere risikoen for at hendelsen inntreffer.

Hva er risiko?

Det er en viss sannsynlighet for at en uønsket hendelse vil inntreffe, og for at hendelsen vil ha en konsekvens. Dette er hendelsens risiko. Jo høyere sannsynlighet og alvorligere konsekvens, jo høyere risiko.

Uønskede hendelser

En uønsket hendelse kjennetegnes ved at personopplysninger enten er tilgjengelige for uvedkommende (brudd på konfidensialiteten), kan endres eller slettes utilsiktet eller av uvedkommende (brudd på integriteten), eller at de ikke er tilgjengelige i det hele tatt (brudd på tilgjengeligheten).

Uønskede hendelser i barnehagen eller skolen kan for eksempel være at

• personopplysninger kommer på avveie fordi læreren har mistet en minnepenn eller gått fra pc-en ulåst
• personopplysninger går tapt fordi det ikke blir tatt sikkerhetskopi av dokumenter
• uvedkommende får tilgang til personopplysninger fordi elevenes brukernavn og passord står på en liste som oppbevares i klasserommet
• personopplysninger forsvinner fordi ansatte bruker private e-postkontoer for mellomlagring av dokumenter og notater
• en elev får tilgang til klassekameratens konto på læringsplattformen og sender meldinger i klassekameratens navn
• det skoleadministrative systemet «er nede» når administrasjonen skal skrive ut vitnemål
• lærer låner ut pc-en sin med personopplysninger om elevene

Mye av risikovurderingsarbeidet går ut på å finne frem til slike mulige uønskede hendelser.

Sannsynlighet

I en risikovurdering skal man vurdere hvor sannsynlig det er at en uønsket hendelse inntreffer. Sannsynligheten for at en uønsket hendelse skjer, for eksempel at læreren blir frastjålet pc-en sin, påvirkes av flere faktorer. Det kan være hvor lett det er å få tak i pc-en når læreren ikke er på arbeidsrommet, og hvor fristende det er for noen å stjele med seg en pc fra skolens område.

Konsekvens

Man skal også vurdere hva som er konsekvensen eller skadevirkningen dersom en uønsket hendelse inntreffer. Konsekvensen av en hendelse kan ramme ett enkelt eller flere barn, elever eller lærere, men den kan også ramme mange andre personer som foreldre eller søsken. Skadevirkningen kan være at personopplysninger blir gjort kjent for uvedkommende. En annen skadevirkning kan være at noen ikke får tilgang til sine opplysninger eller dokumenter.

Konsekvensen av en uønsket hendelse vil variere. En hendelse som rammer flere personer har større skadevirkning enn der hendelsen kun rammer én person. Skadevirkningene er også mye større om opplysningene som er kommet på avveie er personopplysninger av særlig kategori, enn hvis det er alminnelige personopplysninger.

Risikofaktor

Når dere har vurdert hvor sannsynlig det er at en uønsket hendelse inntreffer og hva konsekvensen kan bli, kommer dere frem til det som kalles en risikofaktor.
Risikofaktoren finner dere ved å anslå hendelsens sannsynlighet og konsekvens på en skala fra for eksempel 1 (lite sannsynlig, ufarlig) til 5 (svært sannsynlig, kritisk).

Risikofaktoren er verdien for sannsynlighet multiplisert med verdien for konsekvens. Hvis du anslår sannsynligheten til å være 2 og konsekvensen til å være 3, blir risikofaktoren 6.