Innenriks

Nav brøt loven overfor egen ansatt: Frikjennes likevel i tingretten

Navs håndtering av personopplysningene til Janne Cecilie Thorenfeldt var i strid med loven, mener Oslo tingrett. Men kravet om erstatning er avvist.

Retten mener det ikke er godt nok bevist at kolleger snoket i helseopplysningene hennes.

Janne Cecilie Thorenfeldt opplever at hun sitter igjen med en seier på vegne av Norges befolkning, men ikke for egen del. Derfor er dommen både gledelig og skuffende på en gang. Hun vil tenke nøye gjennom om avgjørelsen skal ankes. Enn så lenge er den ikke rettskraftig.

– Jeg må diskutere veien videre med advokatene mine.

Mange inne i mappen hennes

Nav-ansatte Thorenfeldt tok arbeidergiveren for retten fordi hun mente at altfor mange kolleger hadde kunnet sjekke helseopplysningene hennes. I tillegg opplevde hun at nærmeste sjef visste detaljer om helsen hennes som bare kunne stamme fra innsyn i legejournaler. Verken sjefer eller andre kolleger skal ha slik tilgang. Hun strevde lenge med å få innsyn i hvem som hadde sjekket mappen hennes i Nav, slik hun har krav på etter lovverket.

Loggene hun etter hvert fikk, utlevert, viste at 136 ulike Nav-ansatte hadde vært inne og sjekket «et eller annet» som har med henne å gjøre. Det kan være alt fra kun å lese overskrifter på dokumenter eller søke opp personnummeret hennes og til å gå inn i personlige detaljer i helseopplysninger. Til sammen er det gjort over 1500 søk.

Thorenfeldt og advokaten hennes argumenterte i retten for at tilgangsstyringen ikke har vært god nok, altså at det ikke har vært satt nok begrensninger på hvem som kan gå inn og sjekke opplysninger om de 2,8 millioner personene som er registret hos Nav. Og ikke minst: Hvem som kan sjekke opplysninger om egne kolleger.

Det viktigste for Thorenfeldt var ikke å bevise at noen hadde snoket, men å få retten til å fastslå at systemet ikke fungerer.

Dommer: Regelverket er brutt

Nå har Oslo tingrett avsagt dom i saken.

Retten konkluderer med at Nav har brutt regelverket for personvernopplysninger (GDPR) fram til etaten gjorde endringer i systemene sine i 2020. Bruddet gjelder først og fremst at Thorenfeldt ikke har fått innsyn i hvilke kolleger som har vært inne i hennes private helseopplysninger før etter svært lang tid og utallige purringer. I ett tilfelle tok det 10 måneder å få ut oversikten, mens fristen i lovverket er satt til én måned, eller maksimalt tre.

Retten fastslår samtidig at det ikke er ført bevis for at noen av sjefene hennes har gjort søk i personopplysningene hennes, slik hun selv fikk inntrykk av i 2016. Janne Cecilie Thorenfeldt hadde vært i en alvorlig trafikkulykke året før og var sykemeldt. Da hun stilte i et dialogmøte med ledelsen, falt det bemerkninger som sjokkerte henne. Hun kunne ikke skjønne hvordan nærmeste leder kunne kjenne til detaljer som ble nevnt, uten at hen enten hadde vært inne og lest i legejournalen eller fått en ansatt til å hente ut opplysningene.

Snoking ikke bevist

1500 søk i opplysningene hennes, gjort av 136 ulike Nav-ansatte. Thorenfeldt og advokatene hennes mener dette er altfor mange. De skal tross alt ha et «tjenstlig behov» for slike søk. De skal med andre ord ha behov for å hente ut opplysninger i forbindelse med at de behandler saker der hun er bruker.

Dommen konkluderer med at Nav frifinnes. Likevel slipper Janne Cecilie Thorenfeldt å betale motpartens saksomkostninger, blant annet fordi saken har reist noen uavklarte spørsmål.

Tingretten tar ikke stilling til om dette er for mange eller et helt passe antall. Det påpekes at flere av vitnene har sagt at de mener antallet er høyt, vitner som jobber med slike saker og vet hvor mange som normalt bør ha adgang. Retten mener likevel at detaljkunnskapen deres om Thorenfeldts sak ikke er god nok til å kunne fastslå at det er for mange som har vært inne.

Retten har heller ikke funnet bevis for at Nav-ansatte uten tjenstlig behov har søkt i Thorenfeldts personopplysninger. Dommen legger til grunn at det er naturlig at det også gjøres feilsøk, og at dette kan være forklaringen i flere av tilfellene.

Nav sier de har tatt grep

Økonomi- og styringsdirektør i NAV, Marianne Fålun, sier til FriFagbevegelse at NAV har et stort ansvar i å beskytte personopplysninger om alle sine brukere.

– Det gjelder naturligvis også våre egne ansatte. Siden 2019 har vi jobbet konkret for å begrense mulighetene for snoking i medarbeideres opplysninger når de er brukere av NAV, og også sikre deres rettigheter til innsyn i hvem som har sett dere opplysninger. Vi har blant annet redusert antall tilganger betraktelig, fått sterkere tilgangsstyring og vi krever jevnlig rapportering om dette.

– I dag kan kolleger uten tilgang i systemet enkelt be kolleger med tilgang om å sjekke opplysninger for dem, sier flere Nav-ansatte vi har snakket med. Hva tenker dere om dette?

– I juni 2020 fikk vi på plass en løsning som gjør at alle ansatte automatisk skjermes i fagsystemene, og at de som ønsker også kan skjerme sin familie i fagsystemene. For at de som er ansatt i NAV også skal få bistand fra NAV når de trenger det, ble det opprettet egne funksjoner som behandler saker for egne ansatte. Dette gjør at det nå kun er de som har i oppgave å behandle slike saker, som har tilgang til informasjon om sine kollegaer.

Sparker ballen over til Datatilsynet

Retten sitter ut fra det man kan lese i dommen, med et inntrykk av at Nav nå har ryddet opp og at ansattes personopplysninger nå behandles i tråd med GDPR-regelverket. Samtidig understrekes det at når ansatte krever innsyn i logger over søk som er gjort av kolleger, kan og må håndteringen av dette bli bedre.

Datatilsynet har tidligere vært inne og gitt Nav pålegg, og har fortsatt en pågående tilsynssak. Retten mener det er der ansvaret høre hjemme:

«... det er Datatilsynet som bør håndtere slik systemsvikt som vi i denne saken har stått overfor(...). Datatilsynet har muligheten til å følge opp over tid, noe domstolen ikke har.»

Ekstra ille å bli sjekket av kolleger

Tillitsvalgt Harald Langstad i NTL NAV har støttet Janne Cecilie Thorenfeldt i at det er viktig for alle Navs flere millioner brukere at det er begrenset hvem som har tilgang på sensitiv informasjon. Samtidig mener han at det har en ekstra dimensjon når kollegaer kan sjekke andre Nav-ansatte:

– Det er ille nok om noen slår opp på en vanlig bruker, men hvis det er en leder som snoker på ansatte, påvirker det arbeidsforholdet. De ansatte kan føle seg tvunget til å opptre lojalt overfor noen som har krenket dem grovt.

Langstad sier at dommen er skuffende, ikke minst det at retten ikke slår hardere ned på at nesten 140 kolleger har vært inne i saken til Thorenfeldt.

– Det betyr at vernet av personlige opplysninger nærmest er illusorisk. GDPR er ment å gi individuelt vern. Nav klarer ikke å gi annen begrunnelse for oppslagene enn at det «sikkert er i beste mening». De lener seg tilbake og sier at de er for store til å ha oversikt. Da er man i realiteten rettsløs i møte med Nav.

Ifølge Nav har man i dag bedre kontroll på hvem i etaten som har tilgang på kollegers opplysninger. Tingretten har tatt dem på ordet og noterer at «Antallet NAV-ansatte som har hatt tilgang til andre NAV-ansattes saker har vært for høyt, men er nå redusert.»

Thorenfeldt hevdet i retten at det fortsatt er slik at kolleger kan gjøre oppslag på hverandre uten tjenstlig grunn. FriFagbevegelse har fått bekreftet fra flere ansatte i etaten at dette er tilfelle.

Ingen erstatning

Selv om retten er enig i at Nav har brutt flere regler i loven om behandling av personopplysninger (GDPR), konkluderer dommeren med at Janne Cecilie ikke har krav på erstatning.

Forklaringen er at det må være en årsakssammenheng mellom GDPR-bruddet og skaden hun mener hun er blitt påført. Det er hun som må demonstrere at det er en slik sammenheng.

Men retten mener det ikke er nok at hun har forklart at hele sakskomplekset har vært en stor, mental belastning. Det holder heller ikke at Nav har hatt for dårlige rutiner. «Retten mener at disse bruddene ikke er så stor krenkelse av hennes rettigheter at det i seg selv bør danne grunnlag for erstatning.»

Regjeringsadvokaten som førte saken for Nav, skal ifølge flere som var til stede, ha sagt i retten av hvis Thorenfeldt får erstatning, kan mange brukere og ansatte også kreve det. Thorenfeldt oppfatter dette som en slags innrømmelse av at systemet ikke fungerer som det skal.

Dommen konkluderer med at Nav frifinnes. Likevel slipper Thorenfeldt å betale motpartens saksomkostninger, blant annet fordi saken har reist noen uavklarte spørsmål.

Nav skriver til FriFagbevegelse at de tar dommen til etterretning, men at de samtidig forstår at saken har vært belastende for den ansatte.

Hold deg oppdatert. Få daglig nyhetsbrev fra Dagsavisen






Mer fra Dagsavisen