Hva er en risikovurdering, og når er den påkrevd?

En risikovurdering innebærer å vurdere sannsynligheten for og konsekvensene av at personopplysninger går tapt, blir endret, kommer på avveie eller misbrukes. GDPR krever at virksomheter gjennomfører risikobaserte vurderinger og etablerer sikkerhetstiltak som står i forhold til risikoen, jf. artiklene 24, 25 og 32. Risikovurderinger bør gjennomføres både ved innføring av nye systemer og som en del av det løpende personvernarbeidet.