Datatilsynet slakter Navs personvern og IT-sikkerhet

TeamXon.com - Automatic

Det norsk folk's enkeltskjebner - og det gjelder mange flere!
- HUSK Å DELE SIDEN MED FLEST MULIG -
Ønsker du din historie på denne siden, eller skrive den selv ?

Kontakt oss!

Datatilsynet har funnet 12 lovbrudd knyttet til personvern hos Nav. Nå vil de gi Nav en bot på 20 millioner kroner. En fersk tilsynsrapport slakter Nav sitt forhold til personvern, tilgangsstyring og loggkontroll.

1. Datatilsynet slakter Navs personvern og IT-sikkerhet

Datatilsynet har funnet 12 lovbrudd knyttet til personvern hos Nav. Nå vil de gi Nav en bot på 20 millioner kroner. En fersk tilsynsrapport slakter Nav sitt forhold til personvern, tilgangsstyring og loggkontroll.

SVIKT PÅ SVIKT: Datatilsynets gransking av Datatilsynet viser omfattende svikt i personvern i Nav.

Publisert 28.11.2023, kl. 06.30

– Vi finner situasjonen for personvern i Nav meget alvorlig. Derfor har vi varslet Nav om at vi gir et rekordstort gebyr på 20 millioner kroner for å vise at dette er alvor, sier direktør Line Coll hos Datatilsynet til NRK.

I september gjennomførte Datatilsynet et varslet tilsyn hos Nav for å granske etatens IT-sikkerhet og personvern.

Resultatet etter tilsynet var 12 ulike lovbrudd som gjaldt personvern, særlig er tilgangsstyringen og loggkontrollen dårlig.

Nav sitter på sensitiv personopplysninger om vår fysiske og psykiske helse, våre familieforhold og økonomi. Nær alle de 22.500 ansatte i Nav har tilgang til denne informasjonen, samtidig som tilgangsstyringen og loggkontrollen er mangelfull, påpeker rapporten.

– Nav ivaretar personvernet til alle innbyggerne i Norge fra vugge til grav. Nav har organisert seg slik at de har gitt nær alle ansatte tilgang til personsensitiv informasjon, det er uheldig og i strid med loven, sier Coll.

GRANSKERNE: Juridisk seniorrådgiver Ingrid Espolin Johnsen, kommunikasjonsdirektør Janne Stang Dahl og direktør i Datatilsynet Line Coll med tilsynsrapporten Nav mottok tirsdag

Datatilsynet skriver i rapporten at årsaken til at de gir et så stort forelegg skyldes:

1. Personvernfordringen artikkel 5. nr. 1 som følge av behandling av personvern på en måte som ikke sikrer tilstrekkelig sikkerhet for personopplysningene.

2. Personvernforordningen artikkel 5, nr. 2 som følge av ikke å ha gjennomført egnede tekniske og organisatoriske tiltak for å sikre og påvise behandlingen av personopplysninger utførew i samsvar med personvernfordringen.

Her er lovbruddene

Nav-ansatte har tilgang til all informasjon som er samlet om en person i Nav-systemet i løpet av et helt liv. Ingenting om oss forsvinner fra datasystemene.

– Dette er en alvorlig beskjed om at vi har utfordringer med å ivareta personvernet godt nok. Det er en viktig beskjed til Nav om ting vi må jobbe bedre med fremover. Tilsynsrapporten peker på ting som vi jobber mye med i dag, men samtidig så ser vi at vi må gjøre mer, sier toppsjefen i Nav, Hans Kristian Holte.

Datatilsynet har ikke hatt et slikt omfattende tilsyn og kontroll med Nav siden 2011. Også da var Datatilsynet kritisk til Navs tilgangsstyring og påpekte at personvernet var for dårlig ivaretatt. Også den gangen på det påpekt at altfor mange Nav-ansatte hadde mulighet til å gå inn i saksmappene til nordmenn flest. Nav fikk pålegg om å forbedre personvernet, og Nav lovet den gang at nye omfattende tiltak ble iverksatt.

Datatilsynet mener Nav ikke har gjennomført tiltakene som de har sagt har vært iverksatt.

Nav-direktøren mener at etaten har gjort flere tiltak for å bedre personvernet de siste årene, og at personvernet er bedre enn tidligere

– Vi har bedret personvernet for folk som trenger spesiell beskyttelse og vi har forbedret personvernet for de ansatte. Det er gjort mye godt personvernarbeid de siste årene, men vi er ikke i mål, sier Hans Kristian Holte.

SKULLE RYDDE: Hans Kristian Holte fikk jobben som Nav-sjef i 2020, og skulle rydde opp i den store virksomheten.

Men Datatilsynet mener dette ikke stemmer. Personvernet er blitt dårligere de siste årene og de mener Nav bevisst har brutt loven. Etaten har visst om lovbruddene uten å rydde opp og uten å melde fra til myndighetene, understreker Datatilsynet.

Ifølge rapporten så har overtredelsene pågått over år og mange av dem helt siden Nav ble opprettet. Datatilsynet mener det er kritikkverdig at Nav ikke har fulgt opp tidligere pålegg fra tilsyn i 2010 og i 2011.

– Det er derfor vi varsler et så stort gebyr. Vi mener at Nav bevisst har brutt loven, de har med forsett brutt loven og latt være å rydde opp og endre virksomheten slik at de følger loven. Beløpet på 20 millioner er stort og er det største gebyret en offentlig virksomhet noensinne er blitt varslet om. Men hadde Nav vært en privat virksomhet hadde forelegget vært betydelig større, sier Coll.

Navs toppsjef Hans Kristian Holte avviser at lovbruddene er gjort bevisst.

– Det er sterke ord i tilsynsrapporten fra Datatilsynet. Men når de sier at det er gjort med forsett så opplever jeg det slik at de sier at vi ikke har tolket personvernet godt nok sett med deres øyne Vi har kanskje undervurdert hva det kreves å ha et godt nok personvern for så store systemer som vi har i Nav, sier Holte.

NRK avdekket tidligere i november at Nav har omfattende svikt og avvik når det gjelder personvern i sin arbeidsformidlingstjeneste. Denne saken er ikke omhandlet i rapporten, og Datatilsynet gransker nå denne også.

Les også Datatilsynet undersøker personvernbrudd i Nav

Ifølge rapporten har ikke Nav-ledelsen nok fokus på personvern, tilgangsstyring og loggføring.

– Det å etterleve personvernregelverket er et ledelsesansvar, og det å ikke sørge for en gjennomgående etterlevelser i egen organisasjon er svært alvorlig, sier Coll.

Holte er enig i at det er et lederansvar, men han vil ikke si noe om lovbruddene får noen konsekvenser.

– Det er for tidlig å si, fremhever Holte.

I fjor fikk Nav et forelegg på 5 millioner av Datatilsynet i forbindelse med at CV-er med personlig informasjon var lagt i en database som arbeidsgivere hadde tilgang til.

Les også Tar saken mot Nav til Strasbourg

– Det forelegget var til da det største vi hadde gitt en offentlig virksomhet, men nå varsler vi altså et forelegg som er fire ganger så stort og vi gir også Nav pålegg om å iverksette tiltak raskt for å rette opp i avvikene, sier Coll.

Etter det NRK kjenner til har både internrevisjonen og eksterne konsulentselskaper de siste årene påvist at Nav har store utfordringer med personvern og tilgangsstyring.

Nav har tre ukers frist for å gi tilsvar på forelegget og alle påleggene. Hvis Nav ikke aksepterer dette, kan de klage til Personvernnemnda.

Har du tanker om denne saken? Send meg gjerne en mail. Jeg jobber mye med arbeidsliv, personvern og  IT-sikkerhet. For tiden arbeider jeg også mye med fiskeoppdrettsbransjen. Vil gjerne ha innspill eller tips til andre saker jeg burde se på.  Ta kontakt da. 

LES MER:

Comments

https://lykkelandet.com/assets/images/user-avatar-s.jpg

0 comment

Write the first comment for this!

Facebook Conversations