16 / 58
16
1 2 Beslutt , planl egg og forbered Gj ennom før Evalue r og følg opp Vur der b ehov og kartlegg risiko 3 4 Datatilsynets veilederforklarer
hvordan virksomheten bør
gjennomføre en risikovurdering
Enkle kontrolltiltak som adgangskontroll og produksjonskontroll blir vanligvis ikke reg-
net som spesielt belastende. Mer inngripende tiltak som kroppsvisitering vil ofte ikke
være tillatt. Hvor grensen går, må imidlertid vurderes konkret i den enkelte saken.
Arbeidsgiveren må vurdere om kontrolltiltaket skal omfatte alle ansatte. Hvis noen
grupper skal velges ut, må utvalget gjøres basert på en saklig begrunnelse.
Arbeidsgiveren må også vurdere den samlede belastningen av alle kontrolltiltakene
i bedriften.
3. Er den arbeidsmiljømessige risikoen og personvernkonsekvensene
kartlagt og vurdert?
Alle tiltak som kan påvirke arbeidstakernes fysiske eller psykiske helse og sikkerhet,
samt arbeidstakernes personvern, skal kartlegges og vurderes. Risikovurderingen
skal være skriftlig og inngå i det systematiske helse-, miljø- og sikkerhetsarbeidet
i virksomheten.
Virksomheten må også kartlegge og vurdere hvilke konsekvenser tiltaket kan føre
med seg for arbeidstakernes personvern.
4. Er det gjort en risikovurdering av informasjonssikkerheten?
Virksomheten må sørge for at personopplysningene er godt nok sikret. Ved inn-
føring av nye tiltak som får følger for IKT-systemer og informasjonssikkerhet, må
virksomheten foreta en risikovurdering. En risikovurdering skal identifisere uønskede
hendelser og redusere risikoen for at de skjer. Virksomheten må ta stilling til om den
er villig til å akseptere risikoen tiltaket fører med seg.
*
Videre lesning
*