Datatilsynet slakter Navs personvern og IT-sikkerhet - Hva skjer i NAV ?

1. Datatilsynet slakter Navs personvern og IT-sikkerhet

Datatilsynet har funnet 12 lovbrudd knyttet til personvern hos Nav, og mener de bevisst har brutt loven. Nå kommer kravene om oppvask fra Stortinget.

SVIKT PÅ SVIKT: Datatilsynets gransking av Nav viser omfattende svikt i personvern i Nav. Elisabeth Thoresen mener kjempebot er helt på sin plass.

Publisert 28.11.2023, kl. 06.30
Oppdatert 28.11.2023, kl. 16.05

– Vi finner situasjonen for personvern i Nav meget alvorlig. Derfor har vi varslet Nav om at vi gir et rekordstort gebyr på 20 millioner kroner for å vise at dette er alvor, sier direktør Line Coll hos Datatilsynet til NRK.

I september gjennomførte Datatilsynet et varslet tilsyn hos Nav for å granske etatens IT-sikkerhet og personvern.

De fant en rekke personvern-lovbrudd, og at tilgangsstyringen og loggkontrollen var særlig dårlig.

I rapporten skriver Datatilsynet at nær alle de 22.500 ansatte i Nav har tilgang til informasjon om vår fysiske og psykiske helse, våre familieforhold og økonomi.

– Nav har organisert seg slik at de har gitt nær alle ansatte tilgang til personsensitiv informasjon, det er uheldig og i strid med loven, sier Coll.

GRANSKERNE: Juridisk seniorrådgiver Ingrid Espolin Johnsen, kommunikasjonsdirektør Janne Stang Dahl og direktør i Datatilsynet Line Coll med tilsynsrapporten Nav mottok tirsdag

Saken skader tilliten til Nav, mener SVs arbeids- og sosialpolitiske talsperson Freddy André Øvstegård.

– Dette er svært alvorlig og må få konsekvenser. Snoking i folks sensitive detaljer uten tjenestebehov er et alvorlig overtramp, sier han til NRK.

OPPVASK: SVs Freddy André Øvstegård.

– Jeg vil be arbeidsminister Tonje Brenna (Ap) komme til Stortinget for å svare på hva regjeringen gjør for å rydde opp i dette, og om hva de har visst. Hvis Nav har brutt loven med forsett, er det viktig å vite om regjeringen har kjent til denne praksisen, sier SV-toppen.

Rødts Mimir Kristjansson krever full opprydning, men mener det er åpenbart at Nav ikke kan få tillit til å rydde opp selv.

OVERGREP: Rødts Mimir Kristjansson.

– Dette viser at trygdede folk i Norge ikke har tilstrekkelig rettsvern i velferdsstaten, sier han til NRK.

– Vi tar ikke på alvor de rettighetene syke og fattige folk har når de ber om hjelp. Det er helt grusomt.

Kristjansson sier det må bli slutt på at 20 000 ansatte i Nav har tilgang til sensitiv personinformasjon i Navs IT-systemer.

– Regjeringen og politikerne må inn og styre. Nav har fått advarsler og bøter før, men det har skjedd fint lite, sier Rødt-politikeren.

Han kaller avsløringene «et nytt overgrep» mot alle dem som trenger hjelp fra Nav.

Arbeids- og inkluderingsminister Tonje Brenna sier folk skal være helt trygge på at opplysninger de gir til Nav, blir ivaretatt på en skikkelig måte, og at personvernet overholdes.

– Dette er en alvorlig sak som må ryddes opp i, sier hun til NRK.

Statsråden vil nå sette seg inn i det Datatilsynet har funnet og har avtalt et møte med Nav før jul.

– Det er ikke første gang dette har vært oppe. Er det umulig å rydde opp i dette?

– Dette er store og kompliserte systemer som skal tilby tjenester og ha informasjon om veldig mange mennesker på samme tid. Men det er ikke noen unnskyldning for at personvernet ikke overholdes.

OPPRYDNING: Arbeids- og inkluderingsminister Tonje Brenna (Ap) må svare Stortinget om Navs håndtering av sensitive personopplysninger.

– Hvordan er tilliten din til Nav-sjef Hans Christian Holte?

– Jeg har stor tro på at Nav klarer å rydde opp i dette.

– Hva har du å si til dem som frykter at personvernopplysninger har havnet på avveier?

– Sånn skal vi ikke ha det i Norge. Du skal være helt trygg på at når du gir informasjon til myndighetene, tas det godt vare på.

Elisabeth Thoresen er leder for AAP-aksjonen og har selv kjent det hun mener er brudd på personvernet fra Nav på kroppen.

Da Thoresen fikk utlevert sin egen Nav-logg, så hun at flere titalls Nav-ansatte hadde vært inne i hennes mappe.

Hun sier til NRK at de fleste oppslagene i mappen hennes har skjedd etter at hun og AAP-aksjonen fikk medieoppmerksomhet, men at det har pågått fra hun ble uføretrygdet og helt frem til i dag.

Elisabeth Thoresen sier søkene i mappen hennes gjør at hun føler seg mistenkeliggjort av Nav.

Hun sier at det har gått fysisk og psykisk inn på henne at så mange Nav-ansatte har slått henne opp i sine systemer.

Hun har følgende reaksjon på at Datatilsynet nå ønsker å bøtelegge Nav for brudd på personvernet:

– Det synes jeg er helt på sin plass.

Thoresen mener enhver avsluttet Nav-sak bør lukkes, og bare være søkbar dersom personen får en ny, aktiv sak hos Nav.

– Så burde det da vært et varslingssystem hvor vi fikk beskjed om at noen hadde vært inne i mappen vår, og hvorfor, sier Thoresen.

Datatilsynet skriver i rapporten at årsaken til at de gir et så stort forelegg skyldes:

1. Personvernfordringen artikkel 5. nr. 1 som følge av behandling av personvern på en måte som ikke sikrer tilstrekkelig sikkerhet for personopplysningene.

2. Personvernforordningen artikkel 5, nr. 2 som følge av ikke å ha gjennomført egnede tekniske og organisatoriske tiltak for å sikre og påvise behandlingen av personopplysninger utførew i samsvar med personvernfordringen.

Her er lovbruddene

– Dette er en alvorlig beskjed om at vi har utfordringer med å ivareta personvernet godt nok. Det er en viktig beskjed til Nav om ting vi må jobbe bedre med fremover.

Det sier toppsjefen i Nav, Hans Christian Holte, om Datatilsynets rapport.

Datatilsynet har ikke hatt et slikt omfattende tilsyn og kontroll med Nav siden 2011.

Også da var Datatilsynet kritisk til Navs tilgangsstyring og påpekte at personvernet var for dårlig ivaretatt.

Det ble blant annet pekt på at altfor mange Nav-ansatte hadde tilgang til folks saksmapper.

Nav lovet den gang at nye omfattende tiltak ble iverksatt. Datatilsynet mener disse ikke er gjennomført.

Nav-direktøren mener at etaten har gjort flere tiltak for å bedre personvernet de siste årene, og at det er bedre enn tidligere.

Han mener blant annet personvernet for folk som trenger spesielt beskyttelse er blitt bedre. Det samme gjelder personvernet for ansatte.

SKULLE RYDDE: Hans Kristian Holte fikk jobben som Nav-sjef i 2020, og skulle rydde opp i den store virksomheten.

Datatilsynet mener dette ikke stemmer. De mener personvernet i Nav er blitt dårligere de siste årene, og at Nav har brutt loven.

«Etaten har visst om lovbruddene uten å rydde opp og uten å melde fra til myndighetene», understreker Datatilsynet.

Ifølge rapporten har overtredelsene pågått helt siden Nav ble opprettet. Datatilsynet mener det er kritikkverdig at Nav ikke har fulgt opp tidligere pålegg fra tilsyn i 2010 og i 2011.

– Det er derfor vi varsler et så stort gebyr. Vi mener at Nav bevisst har brutt loven, de har med forsett brutt loven og latt være å rydde opp og endre virksomheten slik at de følger loven, sier Coll fra Datatilsynet.

Beløpet på 20 millioner er det største gebyret en offentlig virksomhet noensinne er blitt varslet om.

– Men hadde Nav vært en privat virksomhet hadde forelegget vært betydelig større, sier Coll.

Navs toppsjef Hans Kristian Holte avviser at lovbruddene er gjort bevisst.

– Det er sterke ord i tilsynsrapporten fra Datatilsynet. Vi har kanskje undervurdert hva det kreves å ha et godt nok personvern for så store systemer som vi har i Nav, sier Holte.

NRK avdekket tidligere i november at Nav har omfattende svikt og avvik når det gjelder personvern i sin arbeidsformidlingstjeneste.

Les også Datatilsynet undersøker personvernbrudd i Nav

– Det å etterleve personvernregelverket er et ledelsesansvar, og det å ikke sørge for en gjennomgående etterlevelser i egen organisasjon er svært alvorlig, sier Coll.

Holte er enig i at det er et lederansvar, men han vil ikke si noe om lovbruddene får noen konsekvenser.

– Det er for tidlig å si, sier han.

I fjor fikk Nav et forelegg på 5 millioner av Datatilsynet i forbindelse med at CV-er med personlig informasjon var lagt i en database som arbeidsgivere hadde tilgang til.

Les også Tar saken mot Nav til Strasbourg

– Det forelegget var til da det største vi hadde gitt en offentlig virksomhet, men nå varsler vi altså et forelegg som er fire ganger så stort, sier Coll.

Etter det NRK kjenner til har både internrevisjonen og eksterne konsulentselskaper de siste årene påvist at Nav har store utfordringer med personvern og tilgangsstyring.

Nav har tre ukers frist for å gi tilsvar på forelegget og alle påleggene. Hvis Nav ikke aksepterer dette, kan de klage til Personvernnemnda.

Har du tanker om denne saken? Send meg gjerne en mail. Jeg jobber mye med arbeidsliv, personvern og  IT-sikkerhet. For tiden arbeider jeg også mye med fiskeoppdrettsbransjen. Vil gjerne ha innspill eller tips til andre saker jeg burde se på.  Ta kontakt da. 

LES MER: