Datatilsynet skal føre kontroll med at personvernregelverket etterleves. Det er en stor og viktig oppgave, og vi i Nav synes det er bra at det føres tilsyn med oss.
I høst gjennomførte de et tilsyn som i hovedsak handlet om hvordan Nav sentralt styrer medarbeideres tilgang til de forskjellige IT-systemene der personopplysningene ligger. De fant 12 avvik som gjelder våre rutiner og systemer for kontroll på tilgangene. Vi er i stor grad enig i avvikene, og vi er allerede godt i gang med å håndtere dem.
Høstens tilsyn var imidlertid klart avgrenset til Navs tilgangsstyring, logg og loggkontroll. Det vil si hvilke systemer og hvilke personopplysninger de ansatte har tilgang til, hvordan vi registrerer de ansattes bruk av systemene, og hvordan vi kontrollerer at tilgangene ikke blir misbrukt.
Tilsynet handlet altså ikke om hvordan Nav jobber helhetlig med området personvern- og informasjonssikkerhet. Vi mener derfor at Datatilsynet ikke har grunnlag for å hevde – slik det står i varselet om vedtaket vi har fått fra dem – at Nav har en manglende forståelse for betydningen av personvern og at vi ikke i tilstrekkelig grad har ivaretatt befolkningens personopplysninger på en sikker måte.
Alle som jobber i Nav har taushetsplikt og får obligatorisk opplæring i personvern. Oppslag som gjøres på enkeltpersoner logges, og alle som ønsker det, kan få se loggen sin. Medarbeidere i Nav har bare tilgang til systemer som er nødvendige for jobben de skal gjøre. Vi har også personvernkoordinatorer i alle fylker, og i år får vi et nytt system for tilgangsstyring.
Når Datatilsynet også skriver at personopplysninger «ligger mer eller mindre åpent tilgjengelig for alle ansatte i Nav», kan det skapes et inntrykk av at det er lett for Nav-ansatte å snoke i folks personopplysninger. Det er det ikke grunnlag for. Det er ikke tegn på at Nav-ansatte har gjort noe galt, noe Datatilsynet bekreftet da de la fram tilsynet.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/V6Z76INULZFWXHAQBS6MW7ILD4.jpg)
Nav behandler en stor mengde personopplysninger, og vi mener at vår behandling av dem skjer i tråd med lovgivningen. Når Nav-ansatte er inne i saker med personopplysninger, er det for å drive saksbehandling, svare på brukerhenvendelser og gi brukerne våre god service.
Vi har flere lover å følge, noe som gjør at må vi gjøre krevende avveininger. På den ene side skal personopplysninger bare være tilgjengelige for de som har tjenstlig behov for dem, på den annen side sier Nav-loven at vi skal «legge til rette for en effektiv arbeids- og velferdsforvaltning».
Vi skal blant annet sørge for likebehandling og saksbehandling innen rimelig tid. Hvis vi hadde organisert Nav med mål om at færrest mulig ansatte skal ha tilgang til informasjon om brukerne våre, ville det mest sannsynlig brutt med dette kravet.
Ett eksempel er de som kontakter Nav Kontaktsenter og har spørsmål om saken sin. Der jobber det omkring tusen veiledere som jobber flere steder i landet. Hvis det bare skulle være noen få veiledere som kan svare i din sak, ville vi fått uholdbart lange telefonkøer og svært lite effektiv bruk av ressurser.
Medarbeidere i Nav har bare tilgang til systemer som er nødvendige for jobben de skal gjøre.
Et annet eksempel er sykepengesøknader. For at folk skal få pengene sine så fort som mulig – uavhengig av hvor de bor – har alle saksbehandlere på sykepengeområdet tilgang til hver enkelt sykepengesøknad, ved behov. De kan bare se opplysninger som har betydning for sykepengesaken.
Alternativet er at bare saksbehandlere som jobber i samme geografiske område som søkeren, kan behandle søknaden. Det kan føre til lengre saksbehandlingstider og ulik ventetid avhengig av hvor du bor i landet.
Det «tjenstlige behovet» i Nav er med andre ord både stort og sammensatt.
Vi er allikevel enige med Datatilsynet i at vi trenger å forbedre loggkontrollen vår, og at vi må gjøre de ansattes tilganger til de ulike systemene mer presise.
Vi er ikke enige i påstanden om at Nav har gjort avvikene «med forsett», altså at vi bevisst har brutt personopplysningsloven.
Hovedtiltaket vårt er å erstatte de gamle fagsystemene. Nav har 60 sentrale fagsystemer. Selv om vi har utviklet mye nytt de siste årene, har vi fremdeles flere eldre systemer hvor det er vanskelig å bygge inn personvern etter dagens standard. Disse store og kompliserte systemene må byttes ut. Det tar tid, men vi er godt i gang.
Vi kjenner oss ikke igjen når Datatilsynet skriver at de oppfatter det som at Nav ikke har «noen intensjon om å begrense ansattes tilganger i fagsystemene eller å innføre systematisk loggkontroll».
Vi har de siste årene gjennomført en betydelig prioritering av personvernområdet, både når det gjelder teknisk utvikling, kompetanse og strukturer. Vi er ikke enige i påstanden om at Nav har gjort avvikene «med forsett», altså at vi bevisst har brutt personopplysningsloven.
Ingen er tjent med et inntrykk av at nær sagt alle i Nav kan se «mappa di».
Les også: Jobbet som vikar og svindlet Nav
I svaret vårt til Datatilsynet, som vi sendte 4. januar, gjør vi det klart at vi er uenige i påstandene som handler om at Nav tilsynelatende tar lett på personvern.
Nav tar tvert imot personvern på største alvor. Utfordringen vår er at vi må ha en balanse som sikrer at vi er tilgjengelige og kan utføre oppgavene våre effektivt, samtidig som personopplysningsloven er ivaretatt.