Krav til risikovurdering finner du i ulike lover og forskrifter, tilpasset bransje og virksomhetsområde i Norge. De mest sentrale regelverkene inkluderer arbeidsmiljøloven, personopplysningsloven (GDPR), sikkerhetsloven, og spesialforskrifter som kraftberedskapsforskriften og hvitvaskingsloven.

Hovedkilder til krav om risikovurdering

Arbeidsmiljøloven

Arbeidsmiljøloven pålegger alle virksomheter å gjennomføre og dokumentere risikovurderinger for å forebygge skader og helseplager. Dette utdypes videre i HMS-forskriften, som beskriver hvordan dette skal integreres som en del av systematisk helse-, miljø- og sikkerhetsarbeid.

GDPR og Personopplysningsloven

Når det gjelder behandling av personopplysninger, stiller GDPR og personopplysningsloven krav til risikovurdering for å sikre personvern. Dette gjelder spesielt før man innfører nye løsninger eller ved endringer som påvirker personvernrisikoen.

Sikkerhetsloven

For virksomheter som håndterer nasjonale sikkerhetsinteresser, krever sikkerhetsloven regelmessige og grundige risikovurderinger. Disse inkluderer analyser av trusler, sårbarheter og avhengigheter, som igjen skal danne grunnlaget for nødvendige tiltak.

Bransjespesifikke forskrifter

Sektorer som energi og finans har egne forskrifter. Eksempelvis pålegger kraftberedskapsforskriften energiselskaper å gjennomføre årlige risikovurderinger, mens hvitvaskingsloven krever vurdering av risiko knyttet til hvitvasking og terrorfinansiering innen finanssektoren.

Hvor kan du finne detaljene?

• Arbeidstilsynet: Informasjon om HMS og arbeidsmiljøloven
• Datatilsynet: Veiledninger for personvern og GDPR
• Nasjonal sikkerhetsmyndighet (NSM): Ressurser knyttet til sikkerhetsloven
• Bransjeorganisasjoner: Maler og veiledninger tilpasset spesifikke sektorer, som Finanstilsynet for bank og NVE for energisektoren

Praktisk oppsummering

Du finner krav til risikovurdering i sentrale lover og regler som arbeidsmiljøloven og GDPR, samt i spesialforskrifter for ulike bransjer. For eksempel kan en arbeidsplass begynne med Arbeidstilsynets veiledninger, mens en bedrift som behandler sensitive data må prioritere Datatilsynets anbefalinger. Sørg for at risikovurderingene dine er tilpasset både virksomhetens størrelse, type og spesifikke risikobilde.