Tar saken mot Nav til Strasbourg

– Det begynte med at jeg ble sykmeldt etter en bilulykke. Da oppdaget jeg at mange på jobben i Nav visste mye om meg og min helse, og jeg fikk mistanke om at de hadde snoket i min mappe, forteller Janne Cecilie Thorenfeldt, som jobber til daglig i Nav som konsulent.

Thorenfeldt ba om innsyn i logger på hvem som hadde vært i mappen hennes, og etter en tid fikk hun det. Da forsto hun at mistanken stemte. Både ledere og en rekke kolleger hadde gått inn i hennes personlige Nav-mappe en eller flere ganger.

Oppslagene har skjedd i årene fra 2017 til 2022.

– Masse Nav-ansatte har vært inne i min personlige mappe, og lest høyst private ting om meg. Det har vært en stor belastning. Nav sitter på ufattelige mengder personsensitiv informasjon på alle nordmenn, på over 5 millioner mennesker, samtidig som tilgangsstyringen og systemene er mangelfulle. Det er dette jeg ønsker å sette søkelyset på, sier Thorenfeldt.

Noen få kolleger hadde behov for å gå inn i hennes mappe for å behandle sykmeldingen hennes.

– Det er kanskje 3–5 kolleger som hadde tjenstlige behov, men ikke alle de andre som har vært i mappen min, sier Thorenfeldt.

Hun er tillitsvalgt i Nav, og er ikke redd for å stå på barrikadene. Datasystemene til Nav er utdaterte og beskytter ikke godt nok personvernet til de 20.000 ansatte og over 5 millioner brukerne, mener hun.

Navs ledelse har i lang tid fått tilbud om å stille til intervju i denne saken, men har ikke ønsket det. I stedet har NRK mottatt en e-post fra juridisk direktør Trond Eirik Schea i Nav hvor det står:

«Med årene har kravene til personvern blitt strengere, og Nav har derfor gjennomført flere store prosjekter for å modernisere IT-løsninger og møte de nye personvernkravene. I dag har vi både nye og noen eldre IT-systemer, og vi jobber kontinuerlig med å modernisere de eldre systemene.»

Systemsvikt i Nav

Thorenfeldt gikk til erstatningssak mot egen arbeidsgiver, men tapte saken både i tingretten og lagmannsretten nå på vårparten i 2023.

Dommene inneholdt likevel tydelig kritikk av Navs IT-sikkerhet og personvern.

Både Borgarting lagmannsrett og Oslo tingrett fastslo at det hadde skjedd brudd på reglene om behandling av personopplysninger hos Nav. Av rettsdokumentene fremkommer det at 130 Nav-ansatte hadde vært inne i Thorenfeldt personlige mappe,- og at det totalt hadde det vært 1400 oppslag på henne.

Kravet om erstatning ble avvist, fordi retten mente det ikke kunne bevises at alle innsynene fra kolleger hadde ført til noen konkret skade for Thorenfeldt eller hadde ført til økonomisk tap.

Dette står i dommen fra Borgartings lagmannsrett:

«Overtredelsene er en generell «systemsvikt» i Navs rutiner og systemer, ikke en overtredelse rettet spesifikt mot Thorenfeldt. (...) Om det i slike situasjoner skulle ytes oppreisning til enkeltpersoner, ville det etter lagmannsrettens syn kunne få et økonomisk omfang som det er vanskelig å overskue.»

Janne Cecilie Thorenfeldt varslet også Datatilsynet om manglene ved IT-systemet til Nav og det dårlige personvernet.

Datatilsynet fikk samtidig flere tips om Nav-ansattes personvern. Tilsynet ga Nav flere pålegg om å forbedre personvernet til ansatte, som å bedre tilgangsstyringen, og å etablere ordning med settekontor, bekrefter seksjonssjef Camilla Nervik i Datatilsynet.

Nav sier de har fulgt opp påleggene.

Tar saken til Strasbourg

Nå har Thorenfeldt fått hjelp fra jusprofessor Mads Andenæs ved Universitetet i Oslo. Sammen med tidligere president i EFTA-domstolen, professor Carl Baudenbacher bringer han saken inn for den europeiske menneskerettighetsdomstolen i Strasbourg (EMD).

Jusprofessor Mads Andenæs har tro på å vinne frem i Strasbourg.

– Dette er en viktig og prinsipiell sak, og dommen er uheldig fordi den ikke gir folk som har vært utsatt for brudd på personvern noe effektivt vern, dette kan føre til flere brudd, og disse systemfeilene ikke løses, sier Mads Andenæs.

Professoren utdyper:

– Det er viktig å få denne saken inn for Menneskerettighetsdomstolen i Strasbourg. For Menneskerettighetsdomstolen ser på dette på motsatt måte enn hva det norske rettssystemet gjør; Dette kan store økonomiske konsekvenser og derfor vil de ønske å se på saken, sier Andenæs.

– Vi mener det norske rettssystemet ikke har håndtert menneskerettighetene her, sier Andenæs.

Til dette svarer Navs juridiske direktør:

– Nav har tatt kritikken i dommen fra de norske rettsinstansene på alvor og har de siste årene gjennomført flere tiltak for å bedre de ansattes personvern. Dersom saken skulle bli behandlet i Menneskerettighetsdomstolen, må vi selvfølgelig ta stilling til det når den tid kommer, fremhever Schea i e-posten.

Varsler

Thorenfeldt er overveldet over støtten fra professorene.

– Jeg er veldig takknemlig for denne hjelpen. Det har vært en ensom kamp. Flere kolleger har støttet meg i skjul, men ikke mange tør stå frem, sier Thorenfeldt.

Hun trekker også frem hovedverneombudet Jens Eskedal i Oslo som en verdifull støttespiller.

– Det har vært veldig viktig for meg å ha denne støtten fra hovedverneombudet, sier Thorenfeldt.

Hovedverneombud Jens Eskedal mener Thorenfeldt har gjort en viktig jobb som varsler.

– Janne Cecilie har opptrådt ryddig og fremmet en lovlig varsling om svakheter ved Navs personvernsystem på et tidlig tidspunkt, da mange av oss ikke var klar over svakheten, men hun er ikke blitt hørt. Saken kunne vært løst på en helt annen måte, det har vært steintøft å stå i denne saken nærmest helt alene, og hun har tatt denne saken på egen regning. Det har i tillegg til alt det andre vært en stor økonomisk belastning, sier hovedverneombud Eskedal.

Eskedal og Thorenfeldt mener Nav har en dårlig kultur for behandling av varslere.

Nav avviser dette.

– På generelt grunnlagt kan vi si at vi ikke kjenner oss igjen i at vi har en kultur som ikke ivaretar varslere. Vi behandler varslinger i tråd med reglene i arbeidsmiljøloven, fremhever juridisk direktør Schea i e-posten.