For de fleste Fiks-tjenestene har KS laget maler dere kan ta utgangspunkt i når dere gjør deres egne risiko- og sårbarhetsanalyser (ROS) og vurderer personvernkonsekvenser (DPIA). Vi håper malene kan være til hjelp, men dere må selv gjøre deres egne vurderinger og tilpasse innholdet til kommunens situasjon.

Slik vurderer dere risiko

Malene for ROS-analyse tar utgangspunkt i en såkalt «trafikklystabell» som vi bruker for å vurdere om en risiko er akseptabel eller ikke. Med fargene grønn, gul og rød ønsker vi å signalisere hvor akseptabel en risiko er: grønt betyr kjør, gult betyr at vi må vurdere om vi kan kjøre og rød betyr full stans.

Det er kombinasjonen av sannsynlighets- og konsekvensvurdering som gir oss en risikoverdi. Hvis vi har vurdert sannsynligheten for en hendelse til å være «usannsynlig», altså 1, og konsekvensen til å være «alvorlig”, altså 3, får vi en risikoverdi ved å multiplisere sannsynlighetsverdi 1 med konsekvensverdi 3, som gir oss en risikoverdi på 3, altså grønn. Risikoer som havner i grønne celler (verdi: 1–3) aksepteres uten å iverksette ytterligere tiltak. Scenarier som havner i gule celler (verdi: 4–6), bør vurderes grundigere for å avgjøre om det skal iverksettes ytterligere tiltak. Risikoer som havner i røde celler (verdi: 8–16), skal umiddelbart medføre risikoreduserende tiltak.

Hvordan beregne sannsynlighet?

Sannsynlighet for at en gitt hendelse kan inntreffe kan være svært vanskelig å anslå, selv om vi vet at den har inntruffet flere ganger før. I denne typen risikovurdering, matrisebasert, kvalitativ vurdering, handler det om å gjøre en skjønnsmessig vurdering av hvor sannsynlig vi mener det er at en gitt hendelse inntreffer, og hvor stor konsekvens vi skjønnsmessig mener at dette i så fall kan få.

Når vi ikke aner om en bestemt hendelse kan komme til å inntreffe eller ikke, må vi anta at sannsynligheten er like stor for begge utfall. Det vil si at det er like sannsynlig at hendelsen inntreffer, som at den ikke inntreffer. For å belyse denne vurderingen, kan vi bryte ned den kunnskapen vi har om den gitte hendelsen. En svært viktig variabel da er; tiltak. Vi kan belyse vår kunnskap om hvilke tiltak, om noen, som er iverksatt for å unngå den aktuelle hendelsen. Dette kan vi gjøre med spørsmål som:

  1. Har vi gjort noen tiltak som påvirker sannsynligheten for at hendelsen kan inntreffe?
  2. Hvilke tiltak er anbefalt?
  3. Har vi gjort alle anbefalte tiltak?

For å kunne svare på spørsmålene må vi undersøke de faktiske forhold.

Hva er anbefalte tiltak?

Hvilke av disse tiltakene er gjort?

Har vi gjort andre tiltak?

Svaret på disse spørsmålene vil hjelpe oss med å vurdere om sannsynligheten er større eller mindre enn 50%. Hvis svaret på spørsmål 3 i listen over er “ja”, vil sannsynligheten synke betraktelig, og vi bør kunne anta at sannsynligheten er tilnærmet “usannsynlig”. Er svaret derimot “nei”, vil sannsynligheten øke med antallet anbefalte tiltak som ikke er gjort. Graden og styrken på svarene vil påvirke vår skjønnsmessige vurdering av hvor vidt sannsynligheten heller i retning av “usannsynlig” eller “svært sannsynlig”. Det er viktig å merke seg at her finnes ingen fasit, og vurderingen er kvalitativ og skjønnsmessig. Det vil si at man bør kunne gjøre en vurdering, argumentere for hvorfor man vurderer som man gjør og sette en “omtrentlig” verdi basert på denne argumentasjonen. Om argumentasjonen får stå uimotsagt, kan den anses som gyldig inntil noe oppstår som taler i mot.

Konsekvens

Konsekvens handler om hvilken effekt eller hvilke effekter en hendelse vil ha dersom den inntreffer. I konsekvensmatrisen nedenfor stilles to områder opp som normative, kvalitative skalaer med økende grad av uønsket konsekvens innenfor de to områdene.

Konsekvens
 PersonvernTjenesteproduksjon
Ubetydelig (1)Små eller ingen konsekvenser for personvernet.Kortvarig stopp, eller redusert kvalitet i mindre i 1 dag eller mindre.
Moderat (2)Kan få konsekvenser for personvernet til enkeltpersoner.Stopp 1-5 dager, eller redusert kvalitet i 1-15 dager.
Alvorlig (3)Vil få konsekvenser for personvernet til enkelte eller kan få konsekvenser for personvernet til mange.Stopp i 5-10 dager, eller redusert kvalitet i 15-30 dager.
Kritisk (4)Vil få alvorlige konsekvenser for personvernet til én eller flere.Stopp i 10-30 dager, eller redusert kvalitet i 30-60 dager.

Maler for ROS og DPIA

ROS og DPIA for Fiks vaksinestatus

ROS og DPIA Fiks klinikermelding