Nyheter

Nav får historisk straff. Det er Janne Cecilie glad for

Datatilsynet gir Nav en bot på 20 millioner kroner. Nav-ansatte Janne Cecilie Thorenfeldt har selv kjempet en årelang personvern-kamp mot etaten.

– Jeg er veldig fornøyd. Men jeg er også forbannet, så mange år som jeg har brukt på dette, sier Thorenfeldt til FriFagbevegelse.

Datatilsynet har etter et større tilsyn slått fast at Nav bryter personvernreglene på en rekke områder. De vil gi Nav en bot på 20 millioner kroner, det største gebyret en offentlig virksomhet noensinne er blitt varslet om.

– Saken er svært alvorlig. Vi har tidligere gitt Nav pålegg om endringer som de ikke har fulgt. Det var derfor nødvendig å ta fram vårt sterkeste virkemiddel som nå er et varsel om overtredelsesgebyr. Dette er et tydelig signal til ledelsen i Nav, sier direktør Line Coll i Datatilsynet til NTB

Opplysninger om alle innbyggere

Nav sitter på sensitive personopplysninger om så godt som alle landets innbyggere. Det kan handle om fysisk og mental helse, om økonomi og forhold i familien.

Tilsynet påpeker i rapporten sin at nær alle de 22.500 ansatte i Nav har tilgang til denne informasjonen, samtidig som tilgangsstyringen og loggkontrollen er mangelfull.

Janne Cecilie Thorenfeldt har frontet kampen mot det hun mener er et sviktende personvern, gjennom flere runder i retten. Hun hevder at hun selv ble utsatt for at kolleger og nærmeste leder i Nav «snoket» i hennes mest private opplysninger, ved å benytte etatens egne systemer.

Retten har bare gitt henne delvis medhold i at dette var en krenkelse, og hun prøver nå å få saken prøvet i Menneskerettighetsdomstolen i Strasbourg.

Thorenfeldt har hele tiden framhevet at dette er en kamp hun fører for alle Navs over fem millioner brukere, og ikke bare for egen del. Hun er derfor svært fornøyd med at Datatilsynet har funnet 12 lovbrudd knyttet til personvern hos Nav. Tilsynet mener sågar at Nav bevisst har brutt loven.

– Denne boten er et lite steg på veien. Nå må det ryddes opp, sier Thorenfeldt.

Da saken hennes gikk for Borgarting lagmannsrett for et år siden, hevdet den ansvarlige for datasikkerhet i Nav at de hadde ryddet opp i de feilene som tidligere var funnet i systemene deres. Thorenfeldt mener tilsynets konklusjoner slår ettertrykkelig beina under på den påstanden.

– De unnlot å fortelle sannheten i retten. Ledelsen må slutte å legge lokk på ting som ikke funker, krever hun.

Bakgrunn: Nav lovet å rydde opp, men fortsatt snoker kollegaer i Janne Cecilies private opplysninger

I januar i år ble Nav-ansatte Janne Cecilie Thorenfeldts sak behandlet i Borgarting lagmannsrett. Hun fikk da ikke medhold i at Nav hadde begått urett mot henne ved å ha datasystemer som tillot kolleger å sjekke hennes personlige opplysninger.

Intern rapport sier noe annet

Jens Eskedal, hovedverneombud for Nav Oslo, påpeker at sikkerhetsavdelingen kort tid etter rettssaken publiserte en intern rapport som sto i sterk kontrast til det som var blitt hevdet i retten.

– Der var konklusjonen at Nav ikke hadde god nok oversikt over hvordan systemene ivaretar personvernet, sier han til FriFagbevegelse.

Og problemene er ikke av nyere art, påpeker Datatilsynet. Helt tilbake til 2006, da Nav ble etablert som en sammenslåing av flere offentlige helse- og trygdeinstitusjoner, har de pekt på faren for spredning av sensitive opplysninger om enkeltpersoner.

– I vår vurdering av nødvendigheten av å ilegge et overtredelsesgebyr i denne saken, har vi sett hen til at tidligere pålegg gitt av Datatilsynet har vist seg ikke å være tilstrekkelig virkningsfulle, står det i begrunnelsen.

Norsk Tjenestemannslag (NTL) som organiserer mange av de ansatte i Nav, har i flere år påpekt det de kaller «systematisk ulovlig bruk av Arbeids- og velferdsetatens fagsystemer». Blant annet i brev til Nav-direktør Hans Christian Holte.

Harald Langstad som jobber fulltid som tillitsvalgt i NTL Nav, synes det er sterkt beklagelig at ikke Nav er i stand til å ta på seg det fulle ansvaret for feilene som har skjedd.

– Systemene er ikke gode nok, og opplæringen er for dårlig, sier han til FriFagbevegelse.

Derfor mener han ansvaret for at ansatte har vært inne i mapper de ikke skulle hatt tilgang til, fullt og helt ligger hos ledelsen.

Langstad blir også provosert over at Navs øverste leder skal ha lovet arbeidsminister Tonje Brenna å rydde opp.

– Det er jo ikke Nav i stand til. Det ga de tydelig uttrykk for da de vitnet i rettssaken til Thorenfeldt. Nei, dette er pinlig, og en svært lettvint omgang med sakens realiteter, slår Langstad fast.

Harald Langstad, tillitsvalgt i NTL NAV, har siden 2016 prøvd å få Nav til å skjerpe sikkerheten rundt sensitive personopplysninger.

Nav-sjefen skylder på gamle datasystemer

Nav-direktør Hans Christian Holte sier til NTB at de ikke er overrasket over at Datatilsynet har slått ned på akkurat de områdene som er nevnt i tilsynsrapporten.

Han erkjenner at Nav har en jobb å gjøre.

– Vi er godt klar over de sentrale områdene som Datatilsynet peker på i dette tilsynet. Vi tar dette virkelig på alvor og skal jobbe med det framover, sier Holte.

– Det er heldigvis ikke snakk om personopplysninger som er på avveie, men sårbarheter som Nav har i sine dataløsninger og hvordan vi bør styre og sikre det på en god måte, sier Holte videre.

Han forklarer at mye av problemene skyldes gamle datasystemer det er vanskelig å bygge ny sikkerhet rundt.

Han erkjenner imidlertid at etaten ikke har gode nok rutiner eller systematisk kontroll av logger for hvem som har hatt innsyn i brukernes saker.

Brenna krever opprydding

Arbeids- og inkluderingsminister Tonje Brenna (Ap) sier at Datatilsynets rapport viser at personvernet ikke har vært godt nok ivaretatt internt i Nav.

– Sånn skal det ikke være. Folk skal være sikre på at opplysningene deres behandles riktig, sier Brenna til NTB.

Hun mener saken er alvorlig, og at det er behov for en opprydning.

– Jeg har blitt informert om at Nav er i gang med å forbedre flere av områdene Datatilsynet peker på, men jeg vil ha mer informasjon og følge dette tett. Derfor har jeg allerede avtalt å møte Nav før jul, hvor de skal redegjøre for hvordan de følger opp, sier hun.

Blandet glede

Etter at Datatilsynet har kommet med så sterk kritikk av Navs personvern, er det flere som spør seg om dommene som falt, var fattet på et faglig riktig grunnlag.

Verneombud Jens Eskedal som har fulgt saken fra start til slutt, mener man i hvert fall kan slå fast at Janne Cecilie Thorenfeldt hadde grunn til å gå rettens vei:

– Søksmålet hennes var helt legitimt. Datatilsynet slår fast at det hun har hevdet på vegne av veldig mange andre, har vært riktig. Men det er hun selv som hele tiden har vært skadelidende gjennom denne prosessen.

Thorenfeldt synes selv det er godt å se at den lille mannen – eller kvinnen – i gaten kan oppnå noe.

– Men det er så klart bittert at man sitter igjen med en så stor regning.

Les mer: Janne Cecilie fikk sjokk da hun skjønte at sjefen hennes i Nav hadde snoket i helseopplysningene hennes

Nav brøt loven overfor egen ansatt: Frikjennes likevel i tingretten

Janne Cecilie tapte nok en gang mot Nav

Janne Cecilie gir seg ikke i kampen mot Nav. Nå havner saken i Strasbourg

Hold deg oppdatert. Få daglig nyhetsbrev fra Dagsavisen

Mer fra Dagsavisen