Nav har lagret og behandlet personopplysninger om brukere uten å ha rettslig grunnlag, fremkommer det av Nav-dokumenter som NRK har innsyn i.
NAV har varslet Datatilsynet om avviket.
– Vi har mottatt informasjon om avviket. Saken fremstår alvorlig og er nå under behandling hos oss, sier kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet til NRK.
OMFATTENDE: Sonja Skinnarland har ansvaret for å rydde opp i alle de ulovlige listene
Foto: NAV– Flaut
I august ble det omfattende personvernbruddet i Nav avdekket. Medarbeidere som jobber med arbeidsformidling har laget kandidatlister med flere arbeidssøkende.
– Dette er flaut og paradoksalt at Nav som sitter på den største samlingen av personsensitiv informasjon av nordmenn ikke har bedre kontroll på personvern, sier Harald Langstad, etatstillitsvalgt i Nav.
I rekrutteringsverktøyet er personlig og sensitiv informasjon som arbeidssøkeres helsedata, opplysninger om sosiale og økonomiske forhold, psykisk helse og etnisitet registrert. Personopplysninger om brukers nærstående ligger også inne i lister, som i tillegg kan inneholde subjektive og negative kommentarer om kandidaten.
Likeså er det blitt registrert om brukerne mottar sosialtjenester. For noen kandidater kan det ligge mye sensitiv informasjon, hos andre mindre.
Listene med sensitiv personinformasjon om arbeidssøkere har ligget på lister som er tilgjengelige for de fleste Nav-ansatte. Dette er ikke lov i henhold til GDPR og personopplysningsloven.
Ikke oversikt over omfanget
Nav aner ikke hvor mange nordmenn som har vært utsatt for personvernbruddet. Men det kan være svært mange.
Medarbeidere har siden 2018 etablert slike lister. Etter et år forsvinner listene automatisk og da har nye blitt opprettet. Det er derfor ikke sikkert at Nav finner alle Nav-brukere som har vært offer for personvernbruddet. Til enhver tid er det flere titalls tusen arbeidsledige i Norge, nå i høst ligger tallet på rundt 54.000. Nav innrømmer at de fortsatt ikke vet hvor mange brukere som er rammet av personvernsbruddet.
– Vi jobber med å kartlegge og lukke avvikene, og å få oversikt over de brukerne vi må ta kontakt med om personvernbruddene, sier arbeids og tjenestedirektør Sonja Skinnarland i Nav til NRK.
– Det ble oppdaget tilfeldig at lister ble brukt til noe annet enn formålet som var formidling til jobber. Da oppdaget vi at det hadde blitt skrevet inn personsensitive opplysninger, og det skal ikke skje. Det skal ikke stå noe personsensitivt der, det er lovbrudd, sier Skinnarland.
MÅ RYDDE OPP: Nav-direktør Hans Christian Holte har bedt om full opprydning i brudd på GDPR og personvern i Nav.
Foto: NTB– Hvor mange kan hatt tilgang til disse listene?
– Det vil være de fleste som jobber i Nav, sier hun.
– Altså 20.000 ansatte?
– Ja, sier Skinnarland.
Dette fremkommer også av Navs avviksmelding som NRK har fått tilgang til. Her står det blant annet: « Alle Nav-ansatte med tilgang til systemet kan se listene, det betyr at over 20.000 medarbeidere i Nav som kan se listene og deres innhold.»
Nav har foreløpig ikke oversikt over hvor mange ansatte som har vært inne i listene.
– Vi ser at veilederne i Nav ikke har hatt gode nok verktøy til å utføre jobben sin effektivt, siden verktøyet vi nå har avdekket brudd i har blitt brukt til mer enn det er ment for, sier hun.
Ikke første gang
De tillitsvalgte er opprørte over at Nav ikke har lært av egne erfaringer.
– Gang etter gang går Nav på en smell uten at man lærer. Det er et ledelsesproblem at det ikke er tatt bedre tak i personvern, sier Langstad.
FLAUT: Etatstillitsvalgt Harald Langstad synes det er flaut at Nav ikke har bedre kontroll på personvern.
Foto: privatNav har tidligere fått forelegg på 5 millioner kroner av Datatilsynet for brudd på personvern da CV-ene til arbeidssøkere lå tilgjengelig slik at alle arbeidsgivere kunne lese dette i databasen til Nav.
Nav har tidligere erkjent at de har hatt dårlig tilgangsstyring og at dette har rammet etatens egne medarbeidere ved at kolleger har snoket i mappene deres.
– Det er skandaløst at Navs ledelse ikke har gitt de ansatte bedre opplæring og oppfølging i personvern. Det burde ligge i ryggmargen hos alle ansatte, og det er ledelsens ansvar å sørge for slik opplæring, sier etatstillitsvalgt Harald Langstad.
– Jeg er enig i at dette er ikke bra, og vi jobber nå med å bedre personvernet i hele organisasjonen med blant annet å få personvernkoordinater på alle fylkeskontorene for å styrke personvernet, sier arbeids og tjenestedirektør Sonja Skinnarland.
Hei
Har du tanker eller kunnskap om denne eller tilsvarende saker? Send meg gjerne en mail. Er interessert i alle tips, også om du vil være anonym. Jeg jobber mye med arbeidsliv, personvern og IT-sikkerhet og også med fiskeoppdrettsbransjen.
