Risikovurdering (ROS)

Når du gjør en risikovurdering setter du opp mulige uønskede hendelser, vurderer sannsynligheten for at de inntreffer og de konsekvenser hendelsene kan få. For å vurdere hvilke konsekvenser hendelsen kan få er det viktig å gjøre en verdivurdering av det du skal behandle. 

Hendelser kan være knyttet til et digitalt system eller en dataflyt. For å redusere eller hindre at disse hendelsene inntrer skal du også sette opp tiltak. Det kan være en rutine, opplæring, kryptering, tilgangskontroll osv. Målet er å finne et akseptabelt risikonivå.

OsloMet har en retningslinje for risikostyring av informasjonssikkerhet som skal bidra til å forebygge uønskede hendelser eller mangler ved informasjonssikkerheten.

• Risikovurderingen skal gjøres før behandlingen av personopplysninger starter.

• Det skal gjøres en ny risikovurdering ved endringer som har betydning for personopplysningssikkerheten.

• Det bør gjøres en ny risikovurdering for systemer annen hvert år og for behandlingsprosesser, forsknings- og studentprosjekter etter ca. 3 år.

En risikovurdering skal kunne dokumenteres. Risikovurderingen bør derfor arkiveres i P360 (sharepoint.com) eller i et tilsvarende oversiktlig system, slik at den er lett å finne ved et eventuelt tilsyn. Innen forskning og for studentprosjekter, se punkt om Risikovurdering innen forskning og veiledning for rett lagring av ROS-analyser i Public 360 (sharepoint.com).

• Om materialet er sensitivt eller ikke og grad av sensitivitet (kan dreie seg om behandling av personopplysninger og forretningshemmeligheter, samt eksportkontroll).
• Grad av personidentifiserende faktorer i materialet, direkte eller indirekte. Direkte personidentifiserende faktorer er navn, personnummer eller andre personentydige kjennetegn. Indirekte personidentifiserende faktorer vil være bakgrunnsvariabler.
• Hvis du mener at personopplysningene i materialet er tilstrekkelig anonymiserte eller anonyme, sjekk ut om det stemmer. Anses opplysningene å være tilstrekkelig anonyme gjelder ikke personvernlovgivningen.
• Omfang av behandlingen, f.eks. antall deltakere/studenter/ansatte og lignende, og antall personopplysninger der det er relevant.
• Behandlingens varighet.
• I hvor stor grad institusjonen har tekniske løsninger/ innhenter tjenester for sikker lagring av forskningsdata og andre data. OsloMet benytter f.eks. Tjenester for sensitive data (TSD 2.0), en forskningsplattform levert av UiO. Et annet eksempel er P360 for saksbehandling og arkivering.
• Se også OsloMet sin lagringsguide.

Ansvar

Risikoeier - normalt "eier" av en behandling/arbeidsprosess eller systemeier/tjeneste-eier/applikasjonseier er ansvarlig for at det gjennomføres en risikovurdering av dataflyten, og for å godkjenne denne og akseptere risikonivå. Signatur og dato skal påføres ROS-vurderingen; evt. på skjemaet sin første side (hvis det blir benyttet et skjema av excel- eller word-format).

Skjema for ROS-vurdering

OsloMet har et eget risikovurderingsskjema (.xlsx).

Du kan også lære mer om risikovurdering på sikresiden.no. Der ligger en e-læring og ulike maler for risikovurdering.

Saksnummer i P360 eller tilsvarende system registreres på

• behandlingen/arbeidsprosessen i behandlingsoversikten til OsloMet i systemet Ardoq i felt for Dokumentasjon

• systemet/tjenesten/applikasjonen/ i excel-skjema som lastes opp i Teams.

Registreringen utføres av personvernkontakten ved aktuell enhet. 

Ved oppstart av prosjektet, før igangsettelse av innsamling, skal prosjektleder gjennomføre en risikovurdering av dataflyten og etablere rutiner for hvordan personopplysninger skal behandles.

Ansvar

Prosjektleder er ansvarlig for å gjennomføre en risikovurdering av dataflyten i forskningsprosjektet sitt, mens instituttleder/instituttdirektør er ansvarlig for å godkjenne denne og akseptere risikonivå.

Skjema for ROS-vurdering

OsloMet har et eget skjema for ROS-vurdering (excel) som bør benyttes for risikovurdering av dataflyten i forskning. Utfylt skjema skal lagres i ditt fakultets/institutt sin ROS-mappe i P360 (sharepoint.com).

Hvilke prosjekter skal gjennomføre ROS-vurdering?

ROS-vurdering skal gjennomføres av alle forsknings- og studentprosjekter som behandler personopplysninger.

Når bør det gjøres en ny ROS-vurdering?

• Det bør gjøres en ny ROS-vurdering etter ca. tre år.
• Det skal gjøres en ny ROS-vurdering ved endringer i prosjektet som har betydning for personopplysningssikkerheten.

Sårbarheter

En risikovurdering vil avdekke de sårbarheter som finnes i dataflyten og som kan oppstå i ditt prosjekt. På bakgrunn av denne vurderingen bør du sette i gang tiltak som legger grunnlaget for hvilke rutiner som bør etableres. Det er normalt størst risiko knyttet til oppstartfasen (innsamling, konvertering, kryptering og overføring) før data lagres på godt sikret elektronisk løsning.

Sårbarheter kan for eksempel lett oppstå ved innsamling av rådata som inneholder personopplysninger og i håndtering av koblingsnøkkel og forsknings-fil, se definisjonsliste. Sårbarheten kan, grovt sagt, være mennesker (prosjektmedarbeider og/eller eksterne innenfor eller utenfor institusjonen) og systemer (institusjonens IKT-system og/eller eksterne systemer), og da gjerne en kombinasjon av disse.

Hendelser

På basis av ovennevnte kan det identifiseres konkrete hendelser som kan føre til at opplysningene blir

• kjent for uvedkommende (konfidensialitet)
• endret av uvedkommende (integritet)
• ikke er tilgjengelige en periode eller er borte for godt (tilgjengelighet)
• ikke er oppdaterte og riktige (kvalitet)

Vurdering av sannsynlighet og konsekvens

Videre kan du vurdere sannsynligheten for at en hendelse inntreffer og for eksempel score høy, middels og lav. Du kan også vurdere skadevirkningene av en hendelse og score den stor, middels eller lav.

Eksempler på risikovurdering

Rådata

Rådata lagret på minnepinne på avveie.

• Sannsynlighet: Middels
• Konsekvens: stor

Forskningsfil

Uvedkommende kan kjenne igjen opplysninger i filen, da den ikke er tilstrekkelig avidentifisert.

• Sannsynlighet: Middels
• Konsekvens: Stor

Koblingsnøkkel

Tilsatte ved IKT-avdelingen får se koblingsnøkkelen.

• Sannsynlighet: Middels
• Konsekvens: Stor

Både villede handlinger (hacking, virus etc.) og statiske hendelser (teknisk og menneskelige feil) må tas med i vurderingen.

Iverksetting av tiltak og etablering av rutiner

Etter at risikovurderinger er gjennomført skal prosjektleder etablere rutiner og iverksette tiltak, i forbindelse med dataflyten, som er nødvendige for å forebygge hendelser med uakseptabel høy risiko. Ovennevnte tabell er et enkelt eksempel på hvordan en risikovurdering kan gjennomføres.

Avvik

Kritiske hendelser og avvik skal prosjektleder sørge for blir behandlet fortløpende og meldt inn til, fortrinnsvis, riktig sted. OsloMet sentralt vurderer og avgjør om det har skjedd et brudd på personopplysningssikkerheten. Prosjektleder skal sørge for at alle avvik og sikkerhetsbrudd blir lukket, herunder be om assistanse fra IKT- eller Eiendomsavdelingen ved håndtering av tekniske eller fysiske sikkerhetsbrudd dersom det er nødvendig.

• Risikovurderingsskjema (xlsx)

• ROS-analyse - skjema i forskning (.xlsx)
• Risikovurderinger (sikresiden.no)
• Retningslinje for risikostyring av informasjonssikkerhet
• Dokumentasjon av personvern i P360.​​​​​​

• Verdivurdering

• Rådgivning - Kompetansegrupper ved OsloMet

• Veileder for personvern og informasjonssikkerhet i forskningsprosjekter s. 27 (ehelse.no)
• Datatilsynets veiledning for risikovurdering av informasjonssystem (datatilsynet.no)