Av Peter Tálos/NTB
Under Datatilsynets tilsyn hos Nav ble det avdekket i alt tolv lovbrudd i måten personopplysninger blir behandlet på i de interne datasystemene. I sin konklusjon skriver Datatilsynet at bruddene er meget alvorlige, og at dette har pågått over lang tid, og tilsynet varsler derfor et overtredelsesgebyr på 20 millioner kroner.
– Saken er svært alvorlig. Vi har tidligere gitt Nav pålegg om endringer som de ikke har fulgt. Det var derfor nødvendig å ta fram vårt sterkeste virkemiddel som nå er et varsel om overtredelsesgebyr. Dette er et tydelig signal til ledelsen i Nav, sier direktør Line Coll i Datatilsynet til NTB.
Det er spørsmålet om Nav i IT-systemene sine greier å ivareta konfidensialitet i behandlingen av personopplysninger som Datatilsynet har undersøkt. Konklusjonen er at det greier ikke Nav, som pålegges å rette opp avvikene.
– Ikke overrasket
Nav-direktør Hans Christian Holte sier til NTB at de ikke er overrasket over at Datatilsynet har slått ned på akkurat de områdene som er nevnt i tilsynsrapporten. Han erkjenner at Nav har en jobb å gjøre.
– Vi er godt klar over de sentrale områdene som Datatilsynet peker på i dette tilsynet. Vi tar dette virkelig på alvor og skal jobbe med det framover, sier Holte.
– Det er heldigvis ikke snakk om personopplysninger som er på avveie, men sårbarheter som Nav har i sine dataløsninger og hvordan vi bør styre og sikre det på en god måte, sier Holte videre.
Han forklarer at mye av problemene skyldes gamle datasystemer det er vanskelig å bygge ny sikkerhet rundt. Han erkjenner imidlertid at etaten ikke har gode nok rutiner eller systematisk kontroll av logger for hvem som har hatt innsyn i brukernes saker.
Mange penger
Nav vil ikke bestride det varslede gebyret på 20 millioner, som selv Datatilsynet skriver er høyt for en offentlig myndighet.
– Samtidig vil vi understreke at overtredelser av tilsvarende alvorlighetsgrad hos en privat aktør ville ført til et langt høyere gebyr enn det vi har kommet fram til i denne saken, står det i vedtaket.
– Datatilsynet begrunner det med at det skal være noe som har en effekt, og det vil det ha på vårt budsjett når det er av såpass stor størrelse, sier Holte til NTB.
[ – De som jobber med sosialtjenester har følt at de er blitt satt bakerst i køen siden Nav ble til ]
Tidligere pålegg ikke fulgt
– Oppgavene Nav er pålagt, medfører behandling av personopplysninger i et enormt omfang, herunder svært sensitive opplysninger. Ifølge tall fra Navs årsrapport for 2022 var det i fjor om lag 3,2 millioner personer som mottok ytelser fra Nav. Det ligger derfor en innebygd høy personvernrisiko i Navs virksomhet som medfører strenge krav til personopplysningssikkerheten, skriver Datatilsynet.
Problemene er ikke av ny art. Helt tilbake til 2006, da Nav ble etablert som en sammenslåing av flere offentlige helse- og trygdeinstitusjoner, er det blitt pekt på faren for spredning av sensitive opplysninger om enkeltpersoner.
– I vår vurdering av nødvendigheten av å ilegge et overtredelsesgebyr i denne saken har vi sett hen til at tidligere pålegg gitt av Datatilsynet har vist seg ikke å være tilstrekkelig virkningsfulle, står det i begrunnelsen.
Les også: Janne Cecilie gir seg ikke i kampen mot Nav. Nå havner saken i Strasbourg
Brenna forlanger opprydning
Arbeids- og inkluderingsminister Tonje Brenna (Ap) forlanger at det nå ryddes opp i Nav.
– Rapporten viser at personvern ikke er godt nok ivaretatt internt i Nav. Sånn skal det ikke være. Folk skal være sikre på at opplysningene deres behandles riktig, sier Brenna.
– Dette er en alvorlig sak, som må ryddes opp i. Jeg har blitt informert om at Nav er i gang med å forbedre flere av områdene Datatilsynet peker på, men jeg vil ha mer informasjon og følge dette tett. Derfor har jeg allerede avtalt å møte Nav før jul, hvor de skal redegjøre for hvordan de følger opp.
[ – Jeg kunne sittet hjemme og hevet uføretrygd resten av livet. Men det var aldri noe tema for meg ]
---
Fakta om Datatilsynets kontroll av Nav
- Datatilsynet har etter et tilsyn i september varslet Nav om et overtredelsesgebyr på 20 millioner kroner. Varselet kommer etter flere år med manglende oppfylling av pålegg etter gjentatte tilsyn.
- I tilsynet fra september er det påpekt tolv lovbrudd på personvernforordningen (GDPR).
– Ikke i tilstrekkelig grad etablert tekniske og organisatoriske systemer som sikrer behandling av personopplysninger.
– Manglende revisjon av styringsdokumenter for tilgangsstyring.
– Manglende rutiner for å gjennomføre risikovurderinger.
– Manglende opplæring av identitetsadministratorer. Rutiner for tildeling av tilganger er utdaterte og mangelfulle.
– Organiseringen av Navs virksomhet er gjort på en måte som gjør at svært mange har tjenstlig behov for vide tilganger til personopplysninger.
– Det er ikke etablert en systematisk loggkontroll.
- Det pekes på at Datatilsynet helt siden Nav ble opprettet etter en omfattende reform i 2006, har vært bekymret for at reformen ville medføre «vesentlig tilgjengeliggjøring av sensitiv informasjon om den enkelte».
---
[ Debatt: Tonje Brenna liker slagordet om at det skal lønne seg å jobbe. Hun er i dårlig selskap ]
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/IZTZIJ2PAJAVFD5YAI45X7G7K4.jpg)
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/CURPOIBRZBAKPHAKOK57DZK6QU.jpg)
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/KEVFNJVBMVHHDNUGZI22W6LLW4.jpg)