Personvernbrota i Nav
Nav bryt personvernregelverket systematisk og fører heller ikkje kontinuerleg kontroll med kven som går inn på folks opplysningar i systema sine, slår Datatilsynet fast.
Arbeids- og velferdsforvaltinga, Nav, og direktør Hans Christian Holte fekk førre veke varsel om gebyr på 20 millionar kroner fordi sikringa av personopplysningar i IT-systema til etaten ikkje er god nok.
Foto: Stian Lysberg Solum / NTB
Nav
Vart oppretta i 2006 ved ei samanslåing av Aetat og trygdeetaten
Overtok òg ansvaret for økonomisk sosialhjelp
Er ein av dei største offentlege etatane i Noreg
Har ansvar for ei rekkje ulike ordningar, som sjukepengar, dagpengar, pensjon, kontantstøtte, arbeidsavklaringspengar og barnetrygd
Utbetalte i 2022 til saman 535 milliardar kroner i stønader til 2,9 millionar personar
Kjelde: Store norske leksikon
og Nav
Nav
Vart oppretta i 2006 ved ei samanslåing av Aetat og trygdeetaten
Overtok òg ansvaret for økonomisk sosialhjelp
Er ein av dei største offentlege etatane i Noreg
Har ansvar for ei rekkje ulike ordningar, som sjukepengar, dagpengar, pensjon, kontantstøtte, arbeidsavklaringspengar og barnetrygd
Utbetalte i 2022 til saman 535 milliardar kroner i stønader til 2,9 millionar personar
Kjelde: Store norske leksikon
og Nav
NAV
eva@dagogtid.no
Datatilsynet har vore på tilsyn hjå Arbeids- og velferdsforvaltinga, Nav, og vil no gje etaten eit gebyr på 20 millionar kroner for brot på personvernregelverket og fordi sikringa av personopplysningar i IT-systema til etaten ikkje er god nok.
Nav, som har såkalla sensitiv informasjon om så godt som alle innbyggjarar i Noreg, behandlar altså ikkje den sensitive informasjonen forsiktig nok. Det er eit paradoks, men det er slett ikkje det einaste paradokset i saka.
For medan Datatilsynet meiner Nav har handla forsetteleg, har Nav-direktør Hans Christian Holte avvist at lovbrota er medvitne. Samstundes har han stadfesta at Nav ikkje var overraska over at Datatilsynet har slått ned på nett dei områda dei har slått ned på i tilsynsrapporten. «Vi er godt klar over de sentrale områdene som Datatilsynet peker på i dette tilsynet», sa han til NTB.
Eit anna paradoks er at Datatilsynet legg til grunn at Nav har unngått å sikre opplysningar «i lang tid og om et høyt antall personer», og seier gebyret både skal stå i forhold til lovbrotet og verke avskrekkande, samstundes som tilsynet enda opp med eit gebyr som ligg på under ein tidel av det personvernlovverket gjev grunnlag for å gje i dette tilfellet.
Det største paradokset er kanskje likevel kvifor Datatilsynet ikkje har reagert sterkare overfor Nav tidlegare.
– Ei enorm mengd
Det er nemleg ein oppsiktsvekkjande historikk Datatilsynet påpeikar i gjennomgangen av Nav.
Ikkje berre åtvara tilsynet mot dei lovbrota det no har avdekt hjå Nav, alt før Nav vart oppretta – gjennom samanslåinga av tidlegare Aetat, trygdeetaten og den kommunale sosialtenesta – i 2006. Datatilsynet har også påpeika nett dei same lovbrota hjå etaten ved tre tidlegare tilsyn, i 2007, 2010 og 2011, og gjeve pålegg om endringar – utan at Nav har fått retta opp feila.
Juridisk seniorrådgjevar Ingrid Helene Espolin Johnson hjå Datatilsynet seier det kan vere fleire grunnar til at det ikkje er reagert sterkare før.
– Det å gjennomføre tilsyn er for det fyrste eit verkemiddel vi ønskjer skal vere ei rettleiing til å gjere ting betre sjølv, heller enn at vi ønskjer å ta nokon. I dei tidlegare tilsyna hadde vi heller ikkje høve til å gje dei gebyra vi kan gje no, med det nye verktøyet GDPR.
GDPR, eller General Data Protection Regulation – EUs personvernforordning, tredde i kraft i Noreg i juli 2018 og hadde som føremål å sikre effektivt vern av personopplysningar i ei ny og meir digital tid. Johnson seier Datatilsynet òg har hatt mykje arbeid med førebuing og innføring av det nye regelverket, og at dette er blant årsakene til at det har gått lang tid sidan førre tilsyn hjå Nav.
– Det har vore eit spørsmål om ressursar. Vi er ikkje så mange. Og tanken er at verksemdene skal få rettleiing i det nye regelverket og tid og pusterom før vi kjem på tilsyn, seier ho.
– Kva var bakgrunnen for tilsynet hjå Nav no i haust?
– Nav er ei spesiell verksemd fordi ho forvaltar ei enorm mengd opplysningar om heile befolkninga, inkludert opplysningar frå andre aktørar. Alt ein seier til legen, kan til dømes ende hjå Nav. Nav bør såleis vere best i klassen på å handsame sensitive opplysningar, seier Johnson.
Ho legg til at Nav har ei kompleks organisasjonsform og over 22.000 tilsette, slik at reglar for å styre kven som skal ha tilgang til kva for data, system og tenester i verksemda, bør vere særleg viktig.
– Det gjer det naturleg for Datatilsynet å følgje med på korleis Nav varetek pliktene sine. Dessutan har vi fått svært mange tips utanfrå om at ting ikkje er på stell, både frå tilsette i NAV og frå tenestemottakarar. Og det har vi jo sett sjølv òg, i tidlegare tilsyn. Vi har nok likevel tenkt at det hadde skjedd større endringar sidan 2011.
Manglande kontroll
Lovbrota som no er påpeika, handlar om at opplysningar Nav har om folks fysiske og psykiske helse, familieforhold og økonomi, ligg tilgjengelege for dei fleste som er tilsette i Nav. Måten Nav har organisert seg på, gjer at tilsette treng svært vide tilgangar for å utøve arbeidsoppgåvene, som å gjere vedtak om pensjon, sjukepengar, arbeidsavklaringspengar, kontantstøtte, barnetrygd eller kva det måtte vere.
Det skal understrekast at det ikkje dimed er sagt at personopplysningar vert sette eller brukte av andre enn dei som faktisk treng opplysningane for å gjere jobben sin. Det Datatilsynet påpeikar, er at Nav har «systematiske, organisatoriske svakheter», ikkje at veikskapane vert misbrukte. Samstundes kan det ikkje avvisast at dei vert det. Nav driv nemleg ikkje systematisk kontroll med kven som går inn på folks opplysningar i Nav-systema og ikkje, ifølgje Datatilsynet.
Når tilsette i Nav jobbar med saker som inneber at dei ser personopplysningar, vert det rett nok loggført i systema, men Nav manglar ifølgje tilsynet både rutinar og retningsliner for å kontrollere loggane på ein systematisk måte.
– Kva er det mest alvorlege av lovbrota, er det at for mange har tilgang til opplysningar, eller at det manglar loggføring og -kontroll av kven som har innsyn?
– Det er kombinasjonen av alt dette som gjer det svært alvorleg. Hadde færre hatt tilgang til opplysningane, hadde det kan hende vore greitt å ikkje ha så streng loggkontroll. Og hadde Nav gjennomført ein svært streng loggkontroll, kunne det kanskje vore meir greitt med så vide tilgangar, for då kunne ein fanga opp og reagert på ulovleg bruk likevel. Samstundes er det òg enkeltting i systema vi har reagert på, som at det ikkje er noka historisk avgrensing i alle systema. I tillegg til at mange har tilgang til opplysningane, kan dei ha tilgang til alt Nav har om livshistoria til personen, seier Johnson.
– Forverra situasjon
Nokre forbetringar sidan førre tilsyn i 2011 har Nav derimot gjort. I ei pressemelding syner etaten sjølv til at det er utvikla nye løysingar for handsaming av foreldrepengar, pleiepengar og sjukepengar, og ei sjølvbeteningsløysing som gjev brukarane innsyn i kva for personopplysningar Nav har lagra om dei i dei nye systema. Personvernet for tilsette er også betra ved at sakene deira vert skjerma i systema og behandla av eigne sakshandsamarar med spesifikk tilgang til å handsame Nav-tilsette. Vert ein Nav-tilsett sjukemeld, er det altså ikkje ein kollega på same kontor som skal handsame sjukemeldinga.
Datatilsynet ser derimot ikkje berre lyst på endringane som er gjorde. På plussida stadfestar tilsynet at Nav etter tilsyn i 2010 etablerte loggføring av kven som er inne på saker der dei ser personopplysningar. Når det gjeld styring av kven som har tilgang til å sjå personopplysningar, og å føre kontroll med innsynsloggane, vurderer tilsynet at situasjonen i Nav i dag er tilsvarande eller endåtil verre enn i 2011. Det går fram av brevet tilsynet sende Nav saman med varsel om gebyr nyleg.
– Nav sette etter tilsynet i 2011 i gang tiltak for å prøve å styre kven som har tilgang til personopplysningar, betre, men så har dei over tid gått vekk frå det og organisert seg slik at dei tekniske løysingane som vart laga til det, ikkje lenger går an å bruke i praksis, seier Johnson.
– Men personvernet for eigne tilsette er betra?
– Vi påla Nav å gjere nokre endringar i ordninga for eigne tilsette, og i 2019 vart det oppretta ei settekontorordning. Men vi har enno ikkje konkludert med om den ordninga varetek personvernet godt nok eller ikkje. Ordninga må få verke litt over tid, før vi kan vurdere det, seier ho.
Veike forklaringar
Ei av hovudårsakene til personvernlovbrota i Nav, er altså at etaten er organisert slik at eit stort tal tilsette jobbar med saker frå heile landet, innan fleire tenesteområde, og dimed har tilsvarande vide tilgangar til personopplysningar.
Ifølgje Nav vart den landsdekkjande saksbehandlinga innført gradvis, og ho vart innført på dei fyrste ytingane alt i 2013. Sjølve organiseringa av saksbehandlinga vart ikkje revurdert i samband med innføringa av EUs personvernforordning i 2018, får Dag og Tid opplyst frå Nav.
Ifølgje Datatilsynet har representantar frå Nav i møte med tilsynet lagt vekt på å forklare kvifor systema må innrettast slik dei er i dag. Nav-direktør Hans Christian Holte har elles uttalt at mange av problema kjem av gamle datasystem det er vanskeleg å byggje ny tryggleik rundt. Til NTB har Holte òg sagt at det med lovbrota som no er påpeika, «heldigvis ikke (er) snakk om personopplysninger som er på avveie».
Slik Datatilsynet vurderer det, er derimot ingen av desse forklaringane fullgode.
– Det er fyrst og fremst omsynet til effektivitet som ligg bak måten Nav har organisert seg på, ikkje personvernomsyn. Og det vert gjeve uttrykk for at dei tekniske systema er så gamle og kompliserte at det vil ta år å løyse problema. Men vi trur dei kunne gjort ganske mykje meir med dei systema dei alt har, for å betre personvernet. Dette skal vi følgje opp i det vidare arbeidet med Nav, seier Johnson.
Om personopplysningar kan ha kome på avvegar eller ikkje, kjem an på kva ein legg i omgrepet, legg ho til.
Ho syner til at Datatilsynet berre har sett på korleis Nav sikrar personopplysningane internt, ikkje korleis dei er sikra mot eksterne risikofaktorar.
– Vi meiner det er ting som tyder på at Nav ikkje har sett på sine eigne tilsette som nokon risikofaktor når dei har gjort vurderingar av personopplysningstryggleiken. Og om personopplysningar har hamna i feil hender internt, er ikkje noko Nav kan vite så lenge etaten ikkje kontrollerer innsynsloggane systematisk, seier ho.
Holte svarar i ein e-post til Dag og Tid at det aldri går å garantere fullt og heilt at personopplysningar ikkje har kome på avvege, men understrekar at Nav overvakar systema sine og at det ikkje finst nokon indikasjonar på at personopplysningar har kome på avvege.
Stadfesta brot
Det finst òg ting som kan tyde på at Nav-tilsette i enkelttilfelle har vore inne i personopplysningar utan å ha behov for det for å utføre arbeidsoppgåvene sine: Ein tidlegare Nav-tilsett har gått til retten mot Nav fordi 136 kollegaer i Nav hadde slått opp i opplysningane hennar meir enn 1500 gonger. Både tingretten og lagmannsretten har stadfesta at det har skjedd brot på reglane om personvern, men har avslått krav om erstatning. I september vart det kjent at saka vert teken til menneskerettsdomstolen i Strasbourg.
Eit av offera for den såkalla Nav-skandalen fortalde tidlegare i haust under vitneforklaring i Oslo tingrett at Nav-tilsette har vore inne i mappa med alle opplysningane om han lenge etter at saka hans var ferdigbehandla i Nav. Gjennom innsynsloggar hadde han fått stadfesta at det berre i løpet av eit år den siste tida var gjort nær 500 oppslag i mappa, av 55 ulike Nav-tilsette rundt om i landet. Loggen synte at fleire av oppslaga var gjorde på laurdagskveldar mellom klokka halv ti og halv elleve.
Nav kan ikkje kommenterer den konkrete saka, men syner til at det generelt ikkje er avgrensingar i kva tid Nav-systema kan brukast. På grunn av lange saksbehandlingstider vert det i periodar òg sett inn ekstra innsats utanfor vanleg arbeidstid, også i helger, får Dag og Tid opplyst frå Nav.
Ventar endeleg vedtak
Holte seier i ei pressemelding at Nav tek tilbakemeldingane frå Datatilsynet på alvor og vil gå i gang med å utarbeide tiltak for å ordne opp med det same. Når det gjeld styring av kven som har tilgang til personopplysningar, er etaten alt i gang med utbetringar, seier han.
Etaten skal gje Datatilsynet tilsvar på varselet dei no har fått om 20 millionar i gebyr innan jul, før Datatilsynet gjer endeleg vedtak.
Johnson seier det ikkje er mogleg å stoppe Nav-systema inntil ting er på plass, men at tilsynet vil be Nav lage klare tidsplanar for når dei ulike lovbrota skal utbetrast.
– I fyrste omgang ventar vi på å høyre kva Nav sjølv svarar, men kan hende kjem vi òg til å måtte påleggje Nav å rette opp nokre avvik innan ein bestemt frist, seier ho.
– Kva sanksjonar har de om Nav framleis ikkje gjer nok for å sikre personopplysningar?
– Dersom dei varsla pålegga vert vedtekne, og Nav ikkje oppfyller dei innan tidsfristane vi set, kan det resultere i tvangsmulkt.
– I varselet dykkar no har de skrive at gebyret de gjev, skal vere «virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende». Er 20 millionar kroner avskrekkande for ein organisasjon som Nav, som forvaltar ein tredjedel av statsbudsjettet?
– Ja, det håpar vi. Summen er nok til at Nav bør forstå alvoret, og det verkar det òg som etaten gjer. Samstundes er det jo ei litt kunstig øving å gje gebyr til ei offentleg verksemd. Det er ei symbolsk handling meir enn noko anna.
– Gebyret no er eit svar på til saman tolv lovbrot de identifiserte under tilsynet tidlegare i haust. Kan det finnast meir som ikkje er på stell?
– Ja, det kan det absolutt. Vi var på tilsyn berre éin dag, og sette då søkjelys på enkelte ting, men vi har ikkje gjort noko komplett undersøking av korleis personvernregelverket vert følgd av Nav. Men vi trur vi har klart å sjå på noko av det viktigaste, seier ho.
Er du abonnent? Logg på her for å lese vidare.
Digital tilgang til DAG OG TID – heilt utan binding
Prøv ein månad for kr 49.
Deretter kr 199 per månad. Stopp når du vil.
NAV
eva@dagogtid.no
Datatilsynet har vore på tilsyn hjå Arbeids- og velferdsforvaltinga, Nav, og vil no gje etaten eit gebyr på 20 millionar kroner for brot på personvernregelverket og fordi sikringa av personopplysningar i IT-systema til etaten ikkje er god nok.
Nav, som har såkalla sensitiv informasjon om så godt som alle innbyggjarar i Noreg, behandlar altså ikkje den sensitive informasjonen forsiktig nok. Det er eit paradoks, men det er slett ikkje det einaste paradokset i saka.
For medan Datatilsynet meiner Nav har handla forsetteleg, har Nav-direktør Hans Christian Holte avvist at lovbrota er medvitne. Samstundes har han stadfesta at Nav ikkje var overraska over at Datatilsynet har slått ned på nett dei områda dei har slått ned på i tilsynsrapporten. «Vi er godt klar over de sentrale områdene som Datatilsynet peker på i dette tilsynet», sa han til NTB.
Eit anna paradoks er at Datatilsynet legg til grunn at Nav har unngått å sikre opplysningar «i lang tid og om et høyt antall personer», og seier gebyret både skal stå i forhold til lovbrotet og verke avskrekkande, samstundes som tilsynet enda opp med eit gebyr som ligg på under ein tidel av det personvernlovverket gjev grunnlag for å gje i dette tilfellet.
Det største paradokset er kanskje likevel kvifor Datatilsynet ikkje har reagert sterkare overfor Nav tidlegare.
– Ei enorm mengd
Det er nemleg ein oppsiktsvekkjande historikk Datatilsynet påpeikar i gjennomgangen av Nav.
Ikkje berre åtvara tilsynet mot dei lovbrota det no har avdekt hjå Nav, alt før Nav vart oppretta – gjennom samanslåinga av tidlegare Aetat, trygdeetaten og den kommunale sosialtenesta – i 2006. Datatilsynet har også påpeika nett dei same lovbrota hjå etaten ved tre tidlegare tilsyn, i 2007, 2010 og 2011, og gjeve pålegg om endringar – utan at Nav har fått retta opp feila.
Juridisk seniorrådgjevar Ingrid Helene Espolin Johnson hjå Datatilsynet seier det kan vere fleire grunnar til at det ikkje er reagert sterkare før.
– Det å gjennomføre tilsyn er for det fyrste eit verkemiddel vi ønskjer skal vere ei rettleiing til å gjere ting betre sjølv, heller enn at vi ønskjer å ta nokon. I dei tidlegare tilsyna hadde vi heller ikkje høve til å gje dei gebyra vi kan gje no, med det nye verktøyet GDPR.
GDPR, eller General Data Protection Regulation – EUs personvernforordning, tredde i kraft i Noreg i juli 2018 og hadde som føremål å sikre effektivt vern av personopplysningar i ei ny og meir digital tid. Johnson seier Datatilsynet òg har hatt mykje arbeid med førebuing og innføring av det nye regelverket, og at dette er blant årsakene til at det har gått lang tid sidan førre tilsyn hjå Nav.
– Det har vore eit spørsmål om ressursar. Vi er ikkje så mange. Og tanken er at verksemdene skal få rettleiing i det nye regelverket og tid og pusterom før vi kjem på tilsyn, seier ho.
– Kva var bakgrunnen for tilsynet hjå Nav no i haust?
– Nav er ei spesiell verksemd fordi ho forvaltar ei enorm mengd opplysningar om heile befolkninga, inkludert opplysningar frå andre aktørar. Alt ein seier til legen, kan til dømes ende hjå Nav. Nav bør såleis vere best i klassen på å handsame sensitive opplysningar, seier Johnson.
Ho legg til at Nav har ei kompleks organisasjonsform og over 22.000 tilsette, slik at reglar for å styre kven som skal ha tilgang til kva for data, system og tenester i verksemda, bør vere særleg viktig.
– Det gjer det naturleg for Datatilsynet å følgje med på korleis Nav varetek pliktene sine. Dessutan har vi fått svært mange tips utanfrå om at ting ikkje er på stell, både frå tilsette i NAV og frå tenestemottakarar. Og det har vi jo sett sjølv òg, i tidlegare tilsyn. Vi har nok likevel tenkt at det hadde skjedd større endringar sidan 2011.
Manglande kontroll
Lovbrota som no er påpeika, handlar om at opplysningar Nav har om folks fysiske og psykiske helse, familieforhold og økonomi, ligg tilgjengelege for dei fleste som er tilsette i Nav. Måten Nav har organisert seg på, gjer at tilsette treng svært vide tilgangar for å utøve arbeidsoppgåvene, som å gjere vedtak om pensjon, sjukepengar, arbeidsavklaringspengar, kontantstøtte, barnetrygd eller kva det måtte vere.
Det skal understrekast at det ikkje dimed er sagt at personopplysningar vert sette eller brukte av andre enn dei som faktisk treng opplysningane for å gjere jobben sin. Det Datatilsynet påpeikar, er at Nav har «systematiske, organisatoriske svakheter», ikkje at veikskapane vert misbrukte. Samstundes kan det ikkje avvisast at dei vert det. Nav driv nemleg ikkje systematisk kontroll med kven som går inn på folks opplysningar i Nav-systema og ikkje, ifølgje Datatilsynet.
Når tilsette i Nav jobbar med saker som inneber at dei ser personopplysningar, vert det rett nok loggført i systema, men Nav manglar ifølgje tilsynet både rutinar og retningsliner for å kontrollere loggane på ein systematisk måte.
– Kva er det mest alvorlege av lovbrota, er det at for mange har tilgang til opplysningar, eller at det manglar loggføring og -kontroll av kven som har innsyn?
– Det er kombinasjonen av alt dette som gjer det svært alvorleg. Hadde færre hatt tilgang til opplysningane, hadde det kan hende vore greitt å ikkje ha så streng loggkontroll. Og hadde Nav gjennomført ein svært streng loggkontroll, kunne det kanskje vore meir greitt med så vide tilgangar, for då kunne ein fanga opp og reagert på ulovleg bruk likevel. Samstundes er det òg enkeltting i systema vi har reagert på, som at det ikkje er noka historisk avgrensing i alle systema. I tillegg til at mange har tilgang til opplysningane, kan dei ha tilgang til alt Nav har om livshistoria til personen, seier Johnson.
– Forverra situasjon
Nokre forbetringar sidan førre tilsyn i 2011 har Nav derimot gjort. I ei pressemelding syner etaten sjølv til at det er utvikla nye løysingar for handsaming av foreldrepengar, pleiepengar og sjukepengar, og ei sjølvbeteningsløysing som gjev brukarane innsyn i kva for personopplysningar Nav har lagra om dei i dei nye systema. Personvernet for tilsette er også betra ved at sakene deira vert skjerma i systema og behandla av eigne sakshandsamarar med spesifikk tilgang til å handsame Nav-tilsette. Vert ein Nav-tilsett sjukemeld, er det altså ikkje ein kollega på same kontor som skal handsame sjukemeldinga.
Datatilsynet ser derimot ikkje berre lyst på endringane som er gjorde. På plussida stadfestar tilsynet at Nav etter tilsyn i 2010 etablerte loggføring av kven som er inne på saker der dei ser personopplysningar. Når det gjeld styring av kven som har tilgang til å sjå personopplysningar, og å føre kontroll med innsynsloggane, vurderer tilsynet at situasjonen i Nav i dag er tilsvarande eller endåtil verre enn i 2011. Det går fram av brevet tilsynet sende Nav saman med varsel om gebyr nyleg.
– Nav sette etter tilsynet i 2011 i gang tiltak for å prøve å styre kven som har tilgang til personopplysningar, betre, men så har dei over tid gått vekk frå det og organisert seg slik at dei tekniske løysingane som vart laga til det, ikkje lenger går an å bruke i praksis, seier Johnson.
– Men personvernet for eigne tilsette er betra?
– Vi påla Nav å gjere nokre endringar i ordninga for eigne tilsette, og i 2019 vart det oppretta ei settekontorordning. Men vi har enno ikkje konkludert med om den ordninga varetek personvernet godt nok eller ikkje. Ordninga må få verke litt over tid, før vi kan vurdere det, seier ho.
Veike forklaringar
Ei av hovudårsakene til personvernlovbrota i Nav, er altså at etaten er organisert slik at eit stort tal tilsette jobbar med saker frå heile landet, innan fleire tenesteområde, og dimed har tilsvarande vide tilgangar til personopplysningar.
Ifølgje Nav vart den landsdekkjande saksbehandlinga innført gradvis, og ho vart innført på dei fyrste ytingane alt i 2013. Sjølve organiseringa av saksbehandlinga vart ikkje revurdert i samband med innføringa av EUs personvernforordning i 2018, får Dag og Tid opplyst frå Nav.
Ifølgje Datatilsynet har representantar frå Nav i møte med tilsynet lagt vekt på å forklare kvifor systema må innrettast slik dei er i dag. Nav-direktør Hans Christian Holte har elles uttalt at mange av problema kjem av gamle datasystem det er vanskeleg å byggje ny tryggleik rundt. Til NTB har Holte òg sagt at det med lovbrota som no er påpeika, «heldigvis ikke (er) snakk om personopplysninger som er på avveie».
Slik Datatilsynet vurderer det, er derimot ingen av desse forklaringane fullgode.
– Det er fyrst og fremst omsynet til effektivitet som ligg bak måten Nav har organisert seg på, ikkje personvernomsyn. Og det vert gjeve uttrykk for at dei tekniske systema er så gamle og kompliserte at det vil ta år å løyse problema. Men vi trur dei kunne gjort ganske mykje meir med dei systema dei alt har, for å betre personvernet. Dette skal vi følgje opp i det vidare arbeidet med Nav, seier Johnson.
Om personopplysningar kan ha kome på avvegar eller ikkje, kjem an på kva ein legg i omgrepet, legg ho til.
Ho syner til at Datatilsynet berre har sett på korleis Nav sikrar personopplysningane internt, ikkje korleis dei er sikra mot eksterne risikofaktorar.
– Vi meiner det er ting som tyder på at Nav ikkje har sett på sine eigne tilsette som nokon risikofaktor når dei har gjort vurderingar av personopplysningstryggleiken. Og om personopplysningar har hamna i feil hender internt, er ikkje noko Nav kan vite så lenge etaten ikkje kontrollerer innsynsloggane systematisk, seier ho.
Holte svarar i ein e-post til Dag og Tid at det aldri går å garantere fullt og heilt at personopplysningar ikkje har kome på avvege, men understrekar at Nav overvakar systema sine og at det ikkje finst nokon indikasjonar på at personopplysningar har kome på avvege.
Stadfesta brot
Det finst òg ting som kan tyde på at Nav-tilsette i enkelttilfelle har vore inne i personopplysningar utan å ha behov for det for å utføre arbeidsoppgåvene sine: Ein tidlegare Nav-tilsett har gått til retten mot Nav fordi 136 kollegaer i Nav hadde slått opp i opplysningane hennar meir enn 1500 gonger. Både tingretten og lagmannsretten har stadfesta at det har skjedd brot på reglane om personvern, men har avslått krav om erstatning. I september vart det kjent at saka vert teken til menneskerettsdomstolen i Strasbourg.
Eit av offera for den såkalla Nav-skandalen fortalde tidlegare i haust under vitneforklaring i Oslo tingrett at Nav-tilsette har vore inne i mappa med alle opplysningane om han lenge etter at saka hans var ferdigbehandla i Nav. Gjennom innsynsloggar hadde han fått stadfesta at det berre i løpet av eit år den siste tida var gjort nær 500 oppslag i mappa, av 55 ulike Nav-tilsette rundt om i landet. Loggen synte at fleire av oppslaga var gjorde på laurdagskveldar mellom klokka halv ti og halv elleve.
Nav kan ikkje kommenterer den konkrete saka, men syner til at det generelt ikkje er avgrensingar i kva tid Nav-systema kan brukast. På grunn av lange saksbehandlingstider vert det i periodar òg sett inn ekstra innsats utanfor vanleg arbeidstid, også i helger, får Dag og Tid opplyst frå Nav.
Ventar endeleg vedtak
Holte seier i ei pressemelding at Nav tek tilbakemeldingane frå Datatilsynet på alvor og vil gå i gang med å utarbeide tiltak for å ordne opp med det same. Når det gjeld styring av kven som har tilgang til personopplysningar, er etaten alt i gang med utbetringar, seier han.
Etaten skal gje Datatilsynet tilsvar på varselet dei no har fått om 20 millionar i gebyr innan jul, før Datatilsynet gjer endeleg vedtak.
Johnson seier det ikkje er mogleg å stoppe Nav-systema inntil ting er på plass, men at tilsynet vil be Nav lage klare tidsplanar for når dei ulike lovbrota skal utbetrast.
– I fyrste omgang ventar vi på å høyre kva Nav sjølv svarar, men kan hende kjem vi òg til å måtte påleggje Nav å rette opp nokre avvik innan ein bestemt frist, seier ho.
– Kva sanksjonar har de om Nav framleis ikkje gjer nok for å sikre personopplysningar?
– Dersom dei varsla pålegga vert vedtekne, og Nav ikkje oppfyller dei innan tidsfristane vi set, kan det resultere i tvangsmulkt.
– I varselet dykkar no har de skrive at gebyret de gjev, skal vere «virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende». Er 20 millionar kroner avskrekkande for ein organisasjon som Nav, som forvaltar ein tredjedel av statsbudsjettet?
– Ja, det håpar vi. Summen er nok til at Nav bør forstå alvoret, og det verkar det òg som etaten gjer. Samstundes er det jo ei litt kunstig øving å gje gebyr til ei offentleg verksemd. Det er ei symbolsk handling meir enn noko anna.
– Gebyret no er eit svar på til saman tolv lovbrot de identifiserte under tilsynet tidlegare i haust. Kan det finnast meir som ikkje er på stell?
– Ja, det kan det absolutt. Vi var på tilsyn berre éin dag, og sette då søkjelys på enkelte ting, men vi har ikkje gjort noko komplett undersøking av korleis personvernregelverket vert følgd av Nav. Men vi trur vi har klart å sjå på noko av det viktigaste, seier ho.
– Alt ein seier til legen, kan ende hjå Nav. Nav bør såleis vere best i klassen på å handsame sensitive opplysningar.
Ingrid Helene Espolin Johnson, juridisk seniorrådgjevar i Datatilsynet
Fleire artiklar
Teikning: May Linn Clement
«Rørslene me skildrar som vipping, er gjerne større og kjem mindre tett enn dei me omtalar som vibrering.»
Foto: Agnete Brun
Med den monumentale boka Sjøfareren Erika Fatland gitt oss eit uvant, og skremmande, perspektiv på europeisk kolonialisme.
Moss–Horten-ferja er den mest trafikkerte i landet. Skjer det noko uføresett, som då dei tilsette blei tatt ut i LO-streik i fjor, veks køane på begge sider av fjorden.
Foto: Terje Bendiksby / AP / NTB
Ferja, ein livsnerve for mange, er eigd av folk vi ikkje aner kven er, utanfor vår kontroll.
Kongsbonden Johan Jógvanson bur i den Instagram-venlege bygda Saksun. Men sjølv om han skjeller ut turistar, er det ikkje dei han er forbanna på. Det er politikarane inne i Tórshavn.
Alle foto: Hallgeir Opedal
Turistinvasjonen har gjort Johan Jógvanson til den sintaste bonden på Færøyane.
Finansminister Trygve Slagsvold Vedum (Sp) på pressekonferanse etter framlegginga av statsbudsjettet måndag. For dei som er opptekne av klima, var ikkje budsjettet godt nytt.
Foto: Fredrik Varfjell / NTB
Kapitulasjon i klimapolitikken
Regjeringa veit ikkje om statsbudsjettet bidreg til å redusere eller å auke klimagassutsleppa. Derimot er det klart at det nasjonale klimamålet for 2030 ikkje blir nådd.