Helt siden opprettelsen av NAV var på tegnebrettet tidlig på 2000-tallet, har Datatilsynet hatt kritiske innvendinger til å samle så enorme mengder personvernopplysninger i én virksomhet.
NAV innebar en sammenslåing av det som den gang var arbeidsmarkedsetaten, trygdeetaten og de kommunale sosialtjenestene. I høringsuttalelsen om sammenslåingen skrev Datatilsynet i 2006:
«Totalt sett fremstår ikke forslaget, etter Datatilsynets oppfatning, som egnet til å skape tillit til den nye etaten i befolkningen. For Datatilsynet vil det være uakseptabelt dersom en ved sammenslåingen ikke legger til grunn et prinsipp - også for utviklingen av IKT-systemet, om at ingen skal ha tilgang til flere personopplysninger enn de som de trenger for å utøve sine arbeidsoppgaver forsvarlig, og at ethvert oppslag de ansatte gjør skal logges og loggene kontrolleres.»
– Strukturelle svakheter
Siden har tilsynet en rekke ganger kritisert NAVs rutiner for styring av de ansattes tilganger til brukernes filer, og mandag konkluderte Datatilsynet med at NAV nå skal ilegges et overtredelsesgebyr på 20 millioner kroner.
– Tilsynet har avdekket en rekke lovbrudd, som etter vår oppfatning viser strukturelle og organisatoriske svakheter, og en manglende styring av og forståelse for betydningen av personvern og hvilke krav som må stilles til NAV på dette området. Vi mener lovbruddene viser at arbeidet med personopplysningssikkerhet ikke er gitt tilstrekkelig prioritet og ressurser av ledelsen i NAV, skrev datadirektør Line Coll i pressemeldingen.
I vedtaket skriver tilsynet:
«Hovedfunnene i det foreliggende tilsynet er de samme som ble konstatert gjennom tilsyn i 2007, 2010 og 2011. Dette gjelder særlig manglene knyttet til tilgangsstyring og loggkontroll. Vi må legge til grunn at NAV har en systematikk som gjør at denne kunnskapen fanges opp og at ansvar fordeles. Vi mener derfor at graden av kunnskap og bevissthet hos NAV om at de, ved å unnlate å gjøre noe med situasjonen over flere år, brøt loven, tilsier at det er utvist forsett, i det minste i form av såkalt eventualitetsforsett (...)»
– Går for langt
– Vi mener Datatilsynet ikke har grunnlag for å trekke så bastante konklusjoner som de gjør på en rekke punkter, og at en del av påstandene ikke er riktige, sier NAV-direktør Hans Christian Holte.
Han varsler at NAV ser vedtaket som en prinsippsak, og at der derfor vil bli klaget til Personvernnemnda.
– Vi mener det kan ha prinsipiell interesse å få belyst dette, med tanke på hvordan andre deler av både offentlige og private virksomheter i Norge forholder seg til balansen mellom personvern og andre hensyn. Vi skal sørge for å drive virksomheten slik at brukerne får behandlet sakene sine på en effektiv måte, og vi mener vi jobber hardt og ganske godt med denne balansen.
Holte erkjenner at flere av de avvikene tilsynet fremhever er forbedringspunkter, men reagerer særlig på konklusjonen i vedtaket om at NAV bryter personvernreglene med forsett.
– Det synes vi er en urimelig antagelse. Vi har investert mye i personvern, og det viser at vi har intensjon om å følge regelverket. Det er alvorlig for oss at tilsynet trekker i tvil at vi ønsker å ta vare på personopplysningene til brukerne våre på en god måte. Vi mener formuleringene fra tilsynet går for langt i retning av å være en grunnleggende kritikk. Dette er et prinsipielt spørsmål vi ønsker å løfte. Størrelsen på gebyret er ikke det vesentlige i denne sammenheng, sier Holte.
Flere hensyn
Blant tingene Datatilsynet reagerer på, er at «NAV har organisert seg på en måte som gjør at en betydelig andel av brukerne får et tjenstlig behov for å ha vide tilganger», samtidig som det ikke er «etablert en systematisk loggkontroll».
– Det kan virke som om det er faren for at ansatte skal kunne snoke, som tilsynet reagerer på?
– Vi må organisere virksomheten på en effektiv måte. De som skal inn i en sak må ha tjenestlig behov for det, men det er mange som kan gjøre jobben. Og så peker tilsynet på svakheter med loggkontrollen, og det er vi med på. Der kan vi kanskje bli bedre. Men det prinsipielle dreier seg om at NAV, som andre virksomheter, befinner seg i et rettslig rom som består av mange krav. Ett av dem er godt personvern, et annet er at vi skal gjennomføre samfunnsoppdraget vårt på en effektiv måte.
– Opplever du en motstrid mellom personvern og effektivitet?
– Jeg vil ikke bruke begrepet motstrid, men her er det flere hensyn som må tas når virksomheten skal drives, sier Holte.
Hele vedtaket var Datatilsynet finner du her.