– Likhet for loven er et prinsipp som vi har i Norge, og nå er Datatilsynet i ferd med å undergrave dette, sier Rune Aale-Hansen administrerende direktør i Regnskap Norge.
Da Datatilsynet denne uken foreslo at Nav får et gebyr på 20 millioner kroner for 12 ulike brudd på personvern, sa direktør Line Coll følgende:
– 20 millioner kroner er relativt lavt i forhold til hva det skulle vært hvis det hadde vært en privat aktør, men vi mener at det er et riktig beløp når vi skal gi et overtredelsesgebyr til en offentlig etat som Nav.
Aldri før har det vært gitt et så stort overtredelsesgebyr til en offentlig virksomhet. Coll begrunnet størrelsen på boten på 20 millioner kroner med at Nav bevisst har brutt loven og unnlatt å gjennomføre pålegg som de tidligere har fått av Datatilsynet.
– Dette er skjerpende og bidrar til at beløpet blir såpass høyt, sa hun.
Nav tilbakeviser at lovbruddene er skjedd med vilje.
Navs toppsjef Hans Kristian Holte mener Nav trolig har undervurdert hva det kreves å ha et godt nok personvern for så store systemersom Nav har.
Strafferabatt
Regnskap Norge er kritisk til begrunnelsen for nivået på boten til Nav.
– Når man forskjellsbehandler offentlig og privat virksomhet så undergraver man rettssikkerheten til privat næringsliv. Datatilsynet gir en strafferabatt til Nav og det er ikke begrunnet i lov, sier Aale- Hansen.
Men Datatilsynets ledelse er uenig i dette.
– Vi er helt uenige i at Nav får strafferabatt. Men hvis man tenker kun på utmålingen av penger, så skjønner jeg diskusjonen om dette. Men Datatilsynet har gjort en helhetlig vurdering, også juridisk. I regelverket er det lagt til rette for ulik utmålingspraksis overfor offentlige og private, sier kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet.
Regnskap Norge mener at Nav er i en særstilling, siden etaten forvalter så mye personsensitiv informasjon om befolkningen.
– Nav er den virksomheten som har størst innsyn i personopplysninger og da burde man stille strengere krav til dem enn andre til at loven etterleves, sier Aale-Hansen
– Hvor stor burde boten vært?
– Ut ifra det som Datatilsynet sa i intervjuet med NRK slipper Nav billig unna, Datatilsynet sier jo selv at de ville ilagt et mye høyere forelegg til en privat virksomhet, så da strengt burde Nav hatt en høyere bot, sier Aale-Hansen.
Rammen for å gi gebyr etter personvernforordningen, det såkalte GDPR, ligger på 20 millioner euro.
– Det betyr at NAV i verste fall har fått en strafferabatt på 90 prosent utelukkende fordi det er en offentlig virksomhet, mener Aale-Hansen.
Forskjell på private og offentlige
Men Datatilsynet mener at det er forskjell på private virksomheter som kan tjene på å bryte personvernet og offentlige etater som Nav som får tilskudd fra staten.
– Hvis vi foreslår et overtredelsesgebyr som er enda høyere, så har ikke Nav nok penger til å utføre sine lovpålagte oppgaver overfor innbyggerne, og da må jo staten gi en tilleggsbevilling for å holde Nav gående, sier Stang Dahl i Datatilsynet.
Datatilsynet håper at overtredelsesgebyret skal ha effekt og føre til at personvern blir bedre ivaretatt hos Nav.
–Gebyret til Nav er både avskrekkende og vil forhåpentlig føre til forbedring og at de gjennomfører de påleggene vi mener de må gjøre, sier Stang Dahl.
Det største overtredelsesgebyret som Datatilsynet har gitt et privat selskap er på 65 millioner kroner, og var til datingappen Grindr for å bryte personopplysningsloven.