...
Stig | Rekstraráhættur | Fjárhagslegar áhættur | Lagalegar áhættur | Áhættur gagnvart hinum skráða | Ímyndarlegar áhættur | |
|---|---|---|---|---|---|---|
1 | Mjög lítil | Lítillvægilegar truflanir á rekstri stofnunar | Mjög takmarkaður fjárhagslegur skaði | Mögulegar ávítur eða athugasemdir eftirlitsvalds | Engin áhrif á fyrir hinn skráða | Óverulegar neikvæðar athugasemdir |
2 | Lítil | Lítil truflun á rekstri stofnunar | Fjárhagslegur skaði umfram 0,5% af heildarveltu | Mögulegar ávítur, brot á innri reglum | Engin áhrif eða minniháttar óþægindi fyrir hinn skráða. Um er að ræða vinnslu persónuupplýsinga sem eru aðgengilegar opinberlega. | Nokkur neikvæð umræða |
3 | Miðlungs | Miðlungs áhrif á rekstur stofnunar | Fjárhagslegur skaði umfram 0.7% af heildarveltu | Mögulegar málsóknir. Mögulegar kröfur Ríkisendurskoðunar um aðgerðir eða umbætur. | Minniháttar óþægindi fyrir hinn skráða, sem getur þó krafist vandamála að komast yfir. Um er að ræða persónuupplýsingar sem eru aðgengilegar, en þó ekki endilega opinberar. | Neikvæð umræða og mögulega varanlegur skaði á ímynd |
4 | Mikil | Miklar truflanir á rekstri stofnunar | Fjárhagslegur skaði umfram 1% af heildarveltu | Auknar líkur á málssóknum. Mögulega tilefni Ríkisendurskoðunar til skýrslu til Alþingis. | Talsverð óþægindi fyrir hinn skráða. Hinn skráði gæti upplifað alvarlegar afleiðingar, sem jafnvel getur verið mjög erfitt að komast yfir. Um er að ræða persónuupplýsingar þar sem uppljóstrun geti haft áhrif á orðspor hins skráða (d. Upplýsingar um tekjur, félagslegar bætur, skatta eða gjöld). | Neikvæð fjölmiðlaumfjöllun og varanlegur skaði á ímynd |
5 | Mjög mikil | Mjög miklar truflanir á rekstri stofnunar | Fjárhagslegur skaði umfram 2% af heildarveltu, kallar á breytingu á fjármálaáætlun. | Alvarlegar málsóknir. Mögulega tilefni Ríkisendurskoðunar til skýrslu til Alþingis. | Umtalsverð óþægindi fyrir hinn skráða. Hinn skráði gæti upplifað alvarlegar og mögulega óafturkallanlegar afleiðingar. Uppljóstrun, breyting, tap eða eyðing á umræddum persónuupplýsingum getur haft áhrif á afkomu, heilsu, frelsi eða líf hins skráða. (D. upplýsingar um innlögn á stofnun, dóm, umsagnir í starfi, heilbrigðisupplýsingar, innheimtar skuldir, eða ef mögulegt er að hinn skráði verði fórnarlamb í sakamáli). | Víðtæk neikvæð umfjöllun og alvarlegur álitshnekkur fyrir stofnun |
Skilgreining á áhættueiganda
Áhættueigandi er sá aðili innan viðkomandi stofnunar sem mun bera ábyrgð á að brugðist verði við viðkomandi áhættu, hún verði leyst eða gerir tillögu til viðeigandi stjóernenda að áhætta sé samþykkt. Áhættueigandi skal þekkja til viðkomandi áhættu og þekkja afleiðingar hennar ef hún stigmagnast, viðkomandi þarf að geta tekið ákvarðanir um lausnir eða framkvæmdir til að minnka viðkomandi áhættu. Lokaákvörðun varðandi áhættueiganda er hjá viðeigandi stjórnendum. Fylgja skal skilgreiningum um flokkun verkefna eins og við á og fylgja fyrirliggjandi ferlum. Viðeigandi stjórnendur skulu staðfesta endurmat áhættu að loknum úrbótum.
Í þeim tilvikum þegar meðhöndlun áhættu er utan stofnunar, til dæmis hjá rekstraraðila eða skýjaþjónustu skal samt tilnefndur áhættueigandi innan stofnunar fyrir viðkomandi áhættu í samræmi við reglur viðkomandi stofnunar. Viðkomandi aðili ber ábyrgð á að fylgjast með stöðu viðkomandi áhættu, tryggja að rekstraraðili hafi brugðist við henni með ásættanlegum hætti og framkvæma viðeigandi eftirlit á að meðhöndlun sé framkvæmd í samræmi við væntingar stofnunar. Ástæða er til að minna á að stjórnunarlegri ábyrgð er ekki útvistað.
Mikilvægt er að áhættueigandi sé aðili sem hefur, í krafti stöðu sinnar, nauðsynleg völd til að breyta ráðandi verklagi eða taka ákvarðanir sem hafa áhrif á alla stofnuna. Ef viðkomandi ákvörðun eða breyting hefur einungis áhrif á afmarkað svið eða hóp fólks, getur verið nauðsynlegt að áhættueigandi sé næsti sameiginlegi stjórnandi. Þetta er þá sá aðili sem mun þurfa að svara fyrir stöðuna á viðkomandi áhættu, hvort brugðist hafi verið við henni og hvort eftirlit hafi verið framkvæmt.