Innenriks

Nav dømt for systemsvikt, men slipper å betale erstatning

Nav-brukere som opplever «snoking» fra ansatte, vil slite med å nå fram med krav om erstatning.

Det mener Datatilsynet kan bli konsekvensen dersom lagmannsrettens dom i saken til Janne Cecilie Thorenfeldt blir stående.

Hun krevde erstatning for den påkjenningen det hadde vært å leve med en mistanke om at andre hadde kikket henne i kortene uten saklig grunn.

Thorenfeldt mente at Nav ikke hadde sikret hennes mest personlige opplysninger om helse og økonomi mot innsyn fra kolleger og sjefer.

Systemsvikt hos Nav

Borgarting lagmannsrett slo i likhet med Oslo tingrett fast at det hadde skjedd brudd på reglene om behandling av personopplysninger hos Nav. Kravet om erstatning ble imidlertid avvist, fordi retten mente det ikke kunne bevises at dette hadde ført til noen konkret skade for Thorenfeldt.

Retten slår videre fast at «Overtredelsene er en generell «systemsvikt» i Navs rutiner og systemer, ikke en overtredelse rettet spesifikt mot Thorenfeldt. (...) Om det i slike situasjoner skulle ytes oppreisning til enkeltpersoner, ville det etter lagmannsrettens syn kunne få et økonomisk omfang som det er vanskelig å overskue».

Thorenfeldts advokat, Hedda Emilie Bratt, synes det er overraskende at domstolen tilsynelatende ser det slik at systemsvikt som rammer en hel gruppe, ikke fører til skade for enkeltindividene i gruppen.

– Dette er vi uenig i, understreker hun.

Bakgrunn: Janne Cecilie tapte nok en gang mot Nav. Nå sitter hun igjen med millionregning

Håper dommen ikke mistolkes

Datatilsynet som skal passe på at loven om personopplysninger følges, setter pris på at det nå har kommet noen avgjørelser i retten som kan brukes som rettesnor.

Samtidig håper tilsynets jurister at ikke denne siste dommen blir tolket som at personer ikke kan få erstatning for systemsvikt.

– Dommen viser at det kan være vanskelig å nå fram med krav om erstatning når man rammes av en systemsvikt. Rent prinsipielt er det kanskje litt uheldig. Mange av reglene i GDPR-lovverket handler om å ha kontroll over systemer som enkeltpersoner kan rammes ulikt av. Du og jeg har rett til at opplysninger om oss skal beskyttes, sier juridisk rådgiver Ingrid Espolin Johnson.

Akkurat hva som skal gi erstatning, er ikke noe Datatilsynet vil ha meninger om, og Johnson hadde gjerne sett at dommerne drøftet dette litt grundigere i sin avgjørelse.

– Det er et vanskelig spørsmål, man kan jo tenke seg at en integritetsgrense blir brutt bare ved at opplysninger har ligget åpent for innsyn, uavhengig av om noen har gjort noe ulovlig. Her virker det som om retten legger til grunn at bruddet på reglene må ha hatt et konkret utslag, som at noen har «snoket».

Nytt tilsyn varslet

Datatilsynet har hatt flere tilsynssaker gående mot Nav siden 2018, blant annet på bakgrunn av opplysninger fra Thorenfeldt og en annen tillitsvalgt.

I sommer åpnes det nok et tilsyn. Datatilsynet ønsker å forsikre seg om at tilgangsstyringen, altså styringen med hvem som kan gå inn i hvilke dokumenter, er slik den bør være.

En som setter stor pris på at Datatilsynet tar et slikt grep, er Jens Eskedal, hovedverneombud for Nav Oslo.

Tidligere i år sendte han selv en bekymringsmelding til tilsynet. Etter å ha vært til stede i rettssaken til Thorenfeldt, ble han ikke mindre urolig:

– Vi opplevde der at Nav ikke klarte å forklare seg om sikkerhetsnivået på egne dataløsninger på en ryddig og forståelig måte. Selv om det er gjort flere tiltak de siste årene, er det fortsatt langt igjen før etaten har god nok oversikt over egne systemer, sier han.

Ba om ny runde i retten

Eskedal mener rettssaken tydelig demonstrerte hvor dårlig denne oversikten er: Regjeringsadvokaten som prosederte på vegne av Nav, ba i etterkant om at saken måtte gjenåpnes, på fagspråket kalt reassurmering.

Et av ekspertvitnene Nav selv hadde ført, hadde ifølge arbeidsgiveren «kommet i skade for» å ha gitt en misvisende forklaring på hvilke muligheter datasystemene gir for å gå inn i dokumenter.

– Nav er stort og komplisert. Det må ha vært utrolig krevende for dommerne å forstå konsekvensene i løpet av noen få dager i retten. Man burde hatt en rettslig utredning i forkant, slik at dommerne hadde fått et bedre grunnlag for å treffe riktig beslutning i en så prinsipiell sak, mener Eskedal.

Kravet om å gå tilbake til rettssalen for nye avhør av vitner, kom ti dager etter at saken var avsluttet. Dette ble tatt dårlig imot av Thorenfeldt og hennes advokater.

– De fortsatte å prosedere sin side av saken på et tidspunkt da dommen skulle avsis, sier Thorenfeldt.

Advokatene hennes kommenterer i sitt tilsvar til retten at det her er snakk om bevis som motparten, altså Nav, kunne lagt fram for flere år siden.

Dette mener de «til syvende og sist vitner om at Nav ikke har kontroll over hvordan de behandler Thorenfeldts opplysninger».

Har ført til endringer

Selv om han mener Nav fortsatt har mye å gripe tak i på personvernområdet, fastslår hovedverneombud Jens Eskedal at kampen Thorenfeldt har ført, har satt tydelige spor etter seg.

– Jeg mener arbeidet hennes har vært en av de største drivkreftene for å sikre bedre personvern for alle brukere av Nav. Den ene skandalen etter den andre, ikke minst i spørsmål som gjelder EØS, har gjort at mange stiller spørsmål ved om Nav aldri lærer. Det som i hvert fall er sikkert, er at åpenheten ikke har vært god nok, sier Eskedal.

Han frykter at dommen fra lagmannsretten heller ikke bidrar til å oppleve Nav som en åpen og imøtekommende motpart for brukerne.

– Brukerne må ha en mulighet for å sjekke ut at interessene deres er godt ivaretatt. Dessverre opplever jeg at dommen legger begrensninger på den muligheten. I tillegg kan den gjøre det vanskeligere for brukerne å komme med krav på erstatning dersom personopplysningene deres ikke er godt nok sikret eller blir misbrukt.

Mer fra Dagsavisen