Hopp til innhold

Datatilsynet gir 20 millioner i bot til Nav

Datatilsynet har funnet 12 lovbrudd knyttet til personvern hos Nav, og mener de bevisst har brutt loven. Nå kommer kravene om oppvask fra Stortinget.

Datatilsynet Line Coll, Janne Stang Dahl

REKORDSTRO BOT: Datatilsynet gir Nav en rekordstor bot på 20 millioner kroner for 12 ulike brudd på personvern. På bildet; juridisk seniorrådgiver Ingrid Espolin Johnsen, kommunikasjonsdirektør Janne Stang Dahl og direktør Line Coll

Foto: Anne Cecilie Remen / NRK

– Vi finner situasjonen for personvern i Nav meget alvorlig. Derfor har vi varslet Nav om at vi gir et rekordstort gebyr på 20 millioner kroner for å vise at dette er alvor, sier direktør Line Coll hos Datatilsynet til NRK.

I september gjennomførte Datatilsynet et varslet tilsyn hos Nav for å granske etatens IT-sikkerhet og personvern.

De fant en rekke personvern-lovbrudd, og at tilgangsstyringen og loggkontrollen var særlig dårlig.

I rapporten skriver Datatilsynet at nær alle de 22.500 ansatte i Nav har tilgang til informasjon om vår fysiske og psykiske helse, våre familieforhold og økonomi.

– Nav har organisert seg slik at de har gitt nær alle ansatte tilgang til personsensitiv informasjon, det er uheldig og i strid med loven, sier Coll.

Datatilsynet Line Coll, Janne Stang Dahl

GRANSKERNE: Juridisk seniorrådgiver Ingrid Espolin Johnsen, kommunikasjonsdirektør Janne Stang Dahl og direktør i Datatilsynet Line Coll med tilsynsrapporten Nav mottok tirsdag

Foto: Anne Cecilie Remen / NRK

Krever Brenna-svar

Saken skader tilliten til Nav, mener SVs arbeids- og sosialpolitiske talsperson Freddy André Øvstegård.

– Dette er svært alvorlig og må få konsekvenser. Snoking i folks sensitive detaljer uten tjenestebehov er et alvorlig overtramp, sier han til NRK.

Freddy André Øvstegård (SV) under muntlig spørretime på Stortinget.

OPPVASK: SVs Freddy André Øvstegård.

Foto: Terje Pedersen / NTB

– Jeg vil be arbeidsminister Tonje Brenna (Ap) komme til Stortinget for å svare på hva regjeringen gjør for å rydde opp i dette, og om hva de har visst. Hvis Nav har brutt loven med forsett, er det viktig å vite om regjeringen har kjent til denne praksisen, sier SV-toppen.

Rødts Mimir Kristjansson krever full opprydning, men mener det er åpenbart at Nav ikke kan få tillit til å rydde opp selv.

Stortingsrepresentant Mimir Kristjansson, Rødt.

OVERGREP: Rødts Mimir Kristjansson.

Foto: Kristian Skårdalsmo

– Dette viser at trygdede folk i Norge ikke har tilstrekkelig rettsvern i velferdsstaten, sier han til NRK.

– Vi tar ikke på alvor de rettighetene syke og fattige folk har når de ber om hjelp. Det er helt grusomt.

Kristjansson sier det må bli slutt på at 20 000 ansatte i Nav har tilgang til sensitiv personinformasjon i Navs IT-systemer.

– Regjeringen og politikerne må inn og styre. Nav har fått advarsler og bøter før, men det har skjedd fint lite, sier Rødt-politikeren.

Han kaller avsløringene «et nytt overgrep» mot alle dem som trenger hjelp fra Nav.

– Må ryddes opp

Arbeids- og inkluderingsminister Tonje Brenna sier folk skal være helt trygge på at opplysninger de gir til Nav, blir ivaretatt på en skikkelig måte, og at personvernet overholdes.

– Dette er en alvorlig sak som må ryddes opp i, sier hun til NRK.

Statsråden vil nå sette seg inn i det Datatilsynet har funnet og har avtalt et møte med Nav før jul.

– Det er ikke første gang dette har vært oppe. Er det umulig å rydde opp i dette?

– Dette er store og kompliserte systemer som skal tilby tjenester og ha informasjon om veldig mange mennesker på samme tid. Men det er ikke noen unnskyldning for at personvernet ikke overholdes.

Stortinget

OPPRYDNING: Arbeids- og inkluderingsminister Tonje Brenna (Ap) må svare Stortinget om Navs håndtering av sensitive personopplysninger.

Foto: William Jobling / NRK

– Hvordan er tilliten din til Nav-sjef Hans Christian Holte?

– Jeg har stor tro på at Nav klarer å rydde opp i dette.

– Hva har du å si til dem som frykter at personvernopplysninger har havnet på avveier?

– Sånn skal vi ikke ha det i Norge. Du skal være helt trygg på at når du gir informasjon til myndighetene, tas det godt vare på.

– Helt på sin plass

Elisabeth Thoresen er leder for AAP-aksjonen. Hun har følgende reaksjon på at Datatilsynet nå ønsker å bøtelegge Nav for brudd på personvernet:

Elisabeth Thoresen

Elisabeth Thoresen sier søkene i mappen hennes gjør at hun føler seg mistenkeliggjort av Nav.

Foto: Anders Haualand / NRK

Det synes jeg er helt på sin plass.

Thoresen mener enhver avsluttet Nav-sak bør lukkes, og bare være søkbar dersom personen får en ny, aktiv sak hos Nav.

– Så burde det da vært et varslingssystem hvor vi fikk beskjed om at noen hadde vært inne i mappen vår, og hvorfor, sier Thoresen.

Alvorlig

– Dette er en alvorlig beskjed om at vi har utfordringer med å ivareta personvernet godt nok. Det er en viktig beskjed til Nav om ting vi må jobbe bedre med fremover.

Det sier toppsjefen i Nav, Hans Christian Holte, om Datatilsynets rapport.

Datatilsynet har ikke hatt et slikt omfattende tilsyn og kontroll med Nav siden 2011.

Også da var Datatilsynet kritisk til Navs tilgangsstyring og påpekte at personvernet var for dårlig ivaretatt.

Det ble blant annet pekt på at altfor mange Nav-ansatte hadde tilgang til folks saksmapper.

Nav lovet den gang at nye omfattende tiltak ble iverksatt. Datatilsynet mener disse ikke er gjennomført.

Bevisste lovbrudd

Nav-direktøren mener at etaten har gjort flere tiltak for å bedre personvernet de siste årene, og at det er bedre enn tidligere.

Han mener blant annet personvernet for folk som trenger spesielt beskyttelse er blitt bedre. Det samme gjelder personvernet for ansatte.

Hans Kristian Holte, Nav.sjef

SKULLE RYDDE: Hans Kristian Holte fikk jobben som Nav-sjef i 2020, og skulle rydde opp i den store virksomheten.

Datatilsynet mener dette ikke stemmer. De mener personvernet i Nav er blitt dårligere de siste årene, og at Nav har brutt loven.

«Etaten har visst om lovbruddene uten å rydde opp og uten å melde fra til myndighetene», understreker Datatilsynet.

Ifølge rapporten har overtredelsene pågått helt siden Nav ble opprettet. Datatilsynet mener det er kritikkverdig at Nav ikke har fulgt opp tidligere pålegg fra tilsyn i 2010 og i 2011.

Rekordstor bot

– Det er derfor vi varsler et så stort gebyr. Vi mener at Nav bevisst har brutt loven, de har med forsett brutt loven og latt være å rydde opp og endre virksomheten slik at de følger loven, sier Coll fra Datatilsynet.

Beløpet på 20 millioner er det største gebyret en offentlig virksomhet noensinne er blitt varslet om.

– Men hadde Nav vært en privat virksomhet hadde forelegget vært betydelig større, sier Coll.

Navs toppsjef Hans Kristian Holte avviser at lovbruddene er gjort bevisst.

– Det er sterke ord i tilsynsrapporten fra Datatilsynet. Vi har kanskje undervurdert hva det kreves å ha et godt nok personvern for så store systemer som vi har i Nav, sier Holte.

NRK avdekket tidligere i november at Nav har omfattende svikt og avvik når det gjelder personvern i sin arbeidsformidlingstjeneste.

Les også Datatilsynet undersøker personvernbrudd i Nav

HuOn7rXoltc

Lederansvar

– Det å etterleve personvernregelverket er et ledelsesansvar, og det å ikke sørge for en gjennomgående etterlevelser i egen organisasjon er svært alvorlig, sier Coll.

Holte er enig i at det er et lederansvar, men han vil ikke si noe om lovbruddene får noen konsekvenser.

– Det er for tidlig å si, sier han.

I fjor fikk Nav et forelegg på 5 millioner av Datatilsynet i forbindelse med at CV-er med personlig informasjon var lagt i en database som arbeidsgivere hadde tilgang til.

Les også Tar saken mot Nav til Strasbourg

Janne Cecilie Thorenfeldt

– Det forelegget var til da det største vi hadde gitt en offentlig virksomhet, men nå varsler vi altså et forelegg som er fire ganger så stort, sier Coll.

Etter det NRK kjenner til har både internrevisjonen og eksterne konsulentselskaper de siste årene påvist at Nav har store utfordringer med personvern og tilgangsstyring.

Nav har tre ukers frist for å gi tilsvar på forelegget og alle påleggene. Hvis Nav ikke aksepterer dette, kan de klage til Personvernnemnda.

Hei

Har du tanker om denne saken? Send meg gjerne en mail. Jeg jobber mye med arbeidsliv, personvern og  IT-sikkerhet. For tiden arbeider jeg også mye med fiskeoppdrettsbransjen. Vil gjerne ha innspill eller tips til andre saker jeg burde se på.  Ta kontakt da. 

AKTUELT NÅ