RISIKOANALYSE: RESTRISIKO-RAPPORT

Q: Er metoden riktig iht. anerkjente prinsipper?

Ja, metoden følger ISO 27005 og NIST ved å bruke degressive modeller og vektet kontroll-effektivitet for å beregne restrisiko.

Q: Når utløses kravet om DPIA?

Krav om DPIA utløses når restrisikoen vurderes som høy eller kritisk (score over 11) iht. GDPR Art. 35.

Q: Hvordan fastsettes tiltakseffekt?

Gjennom en degressiv modell hvor første tiltak gir størst reduksjon, mens påfølgende tiltak har avtagende marginal effekt.

Question 1

Er metoden "riktig" iht. anerkjente prinsipper?

Answer

Ja, metoden følger prinsippet om Risikoreduksjon gjennom barrierer, men med en viktig nyanse:

ISO 27005 & NIST: Disse standardene slår fast at risiko er en funksjon av trussel, sårbarhet og konsekvens. Tiltak (kontroller) kan enten redusere sannsynligheten (f.eks. 2FA) eller konsekvensen (f.eks. kryptering).
Vektingen (0.1 - 0.4): Disse verdiene er ikke tilfeldige. De representerer "Control Effectiveness". ENISA og store revisjonshus (Big 4) opererer med at et enkelt teknisk tiltak sjelden fjerner mer enn 20-30 % av en iboende risiko alene, fordi menneskelig svikt alltid forblir en restfaktor.
Algoritmen: I versjon 1.6 oppgraderte vi til en degressiv modell. Dette er mer realistisk: Jo flere tiltak du legger på, jo vanskeligere er det å fjerne den siste biten av risiko. Man kan aldri nå 0 i risiko (Residual Risk is never zero).

Question 2

Hvordan fastsettes og beregnes tiltakseffekten?

Answer

Tiltakseffekten beregnes matematisk basert på den degressive kontrollmodellen. Dette betyr at det første og mest kritiske tiltaket du velger gir størst risikoreduksjon. Påfølgende tiltak gir en gradvis avtagende marginal effekt. Dette hindrer at man feilaktig tror at "mange enkle tiltak" kan eliminere en kritisk grunnrisiko, og gir et mye mer etterrettelig bilde for ledelsen og tilsynsmyndigheter.

Question 3

Hva brukes risikoscoren til i det daglige arbeidet?

Answer

Risikoscoren i denne analysen har fire hovedfunksjoner: 1. Beslutningsstøtte: Gir ledelsen et objektivt grunnlag for å godkjenne eller avvise en behandling. 2. DPIA-terskel: Identifiserer om det er et rettslig krav om full konsekvensutredning (Art. 35). 3. Protokollføring: Fungerer som dokumentasjon på etterlevelse av Art. 24 og 32. 4. Tiltaksstyring: Viser hvilke tekniske og organisatoriske barrierer (TOMs) som må prioriteres for å beskytte de registrerte.

Question 4

Hva er forskjellen på iboende risiko og restrisiko?

Answer

Iboende risiko er farenivået slik det eksisterer uten noen sikkerhetstiltak (rå risiko). Restrisiko er det farenivået som gjenstår etter at du har implementert barrierer som kryptering, adgangsstyring og opplæring. Ledelsen plikter å ta stilling til om restrisikoen er akseptabel.

Question 5

Hvorfor påvirker sårbarhet selve scoren så mye?

Answer

GDPR Artikkel 35 og EDPB-veiledere legger stor vekt på sårbare registrerte. Dersom behandlingen omfatter barn, ansatte (maktubalanse) eller pasienter, vil sårbarhetsmultiplikatoren automatisk løfte risikoscoren for å sikre korrekt beskyttelsesnivå i tråd med den registrertes forventning om vern.

Question 6

Når utløses kravet om DPIA (Konsekvensutredning)?

Answer

Dersom restrisikoen i dette verktøyet klassifiseres som HØY / KRITISK (score over 11), utløses kravet om en fullstendig konsekvensutredning for personvern (DPIA) iht. GDPR Art. 35. Dette verktøyet dokumenterer saksbehandlingen frem mot denne terskelen.

Question 7

Hvorfor er årlig revisjon obligatorisk?

Answer

Risikobildet endrer seg i takt med teknologi og trusler. Verktøyet genererer automatisk en 12-måneders frist for revisjon for å sikre samsvar med internkontrollforskriften og prinsippet om kontinuerlig forbedring.

Risiko for Registrerte-Vurdering™ PRO