Helt siden NAV var på tegnebrettet tidlig på 2000-tallet, har Datatilsynet hatt kritiske innvendinger til å samle så enorme mengder personvernopplysninger i én virksomhet.
NAV innebar en sammenslåing av det som den gang var arbeidsmarkedsetaten, trygdeetaten og de kommunale sosialtjenestene. I høringsuttalelsen om sammenslåingen skrev Datatilsynet i 2006: «Totalt sett fremstår ikke forslaget, etter Datatilsynets oppfatning, som egnet til å skape tillit til den nye etaten i befolkningen».
Siden har tilsynet en rekke ganger kritisert NAVs rutiner for styring av de ansattes tilganger til brukernes filer, og i vår konkluderte Datatilsynet med at NAV skal ilegges et overtredelsesgebyr på 20 millioner kroner.
Reagerte på anklage om forsett
– Tilsynet har avdekket en rekke lovbrudd, som etter vår oppfatning viser strukturelle og organisatoriske svakheter, og en manglende styring av og forståelse for betydningen av personvern og hvilke krav som må stilles til NAV på dette området, skrev datadirektør Line Coll i pressemeldingen.
Et helt sentralt punkt i vedtaket var at tilsynet skrev: «Vi mener derfor at graden av kunnskap og bevissthet hos NAV om at de, ved å unnlate å gjøre noe med situasjonen over flere år, brøt loven, tilsier at det er utvist forsett, i det minste i form av såkalt eventualitetsforsett (...)».
NAV erkjente flere avvik, men reagerte særlig på konklusjonen om at NAV bryter personvernreglene med forsett. Vedtaket ble derfor klaget videre til Personvernnemnda. Nå har nemnda opphevet hele vedtaket, nettopp under henvisning til forsettvurderingen.
– Selvmotsigende
I vedtaket skriver Personvernnemnda blant annet:
«I vedtakets punkt 13.3 skriver Datatilsynet om sin vurdering av skyld:
"Datatilsynet har kommet til at den riktige skyldformen i denne saken er forsett. Med dette mener vi ikke at det foreligger forsett relatert til hvert av de 12 lovbruddene isolert sett, men til det faktum at NAV beviselig har hatt kunnskap om at konfidensialitetsvernet i virksomheten er utilstrekkelig på grunn av manglende rutiner, tilgangsstyring og loggkontroll (jf. punkt 10 [tidligere tilsyn] ovenfor)."
I vedtakets punkt 13.8.4 skriver imidlertid Datatilsynet:
"Overtredelsene gjelder i stor grad systematiske, organisatoriske svakheter som NAV selv ikke har ansett som avvik."
Disse to uttalelsene er motstridende.
At det dreier seg om mangler som NAV ikke selv anser som avvik, støttes også av redegjørelsen for de tidligere tilsynene hos NAV.
(...)
Uklarheten ved Datatilsynets lovanvendelse, tilsynets redegjørelse for faktum samt tilsynets mangelfulle vurdering av skyldkravet, representerer slike mangler ved vedtaket at nemnda har kommet til at vedtaket om overtredelsesgebyr må oppheves.»
– Nemnda har besluttet å oppheve vedtaket om gebyr fullstendig. Det er vi svært fornøyd med. Vi oppfatter at vår klage har blitt tatt til følge av nemnda i sin helhet. På vegne av hele NAV er jeg glad for at vi har blitt hørt, dette er viktige prinsipielle avklaringer for oss og mange andre i offentlig sektor, sier NAV-direktør Hans Christian Holte.
– Svært urimelig
I vedtaket fra Nemnda konkluderes det med at en rekke av påleggene rettet mot NAV er ugyldige, som følge av manglende konkretisering av hva som er lovbruddet.
– Vi mente at Datatilsynet ikke hadde rettslig grunnlag for sine konklusjoner om hvordan NAV ivaretar befolkningens personvern. Flere av påstandene de begrunnet vedtaket sitt med, var ikke riktige. Derfor syntes vi at det var nødvendig å klage, og Personvernnemndas beslutning i dag viser at det var riktig. Datatilsynet har i sin sak også anklaget Nav for å bryte loven med viten og vilje, altså med forsett. Det var en svært urimelig anklage. Vi er derfor svært fornøyde med at nemnda ikke finner grunnlag for en slik konklusjon. Vi har jobbet hardt med personvern i mange år, og folk skal vite at informasjonen deres er trygg hos oss, sier Holte.
– Vi har mottatt Personvernnemndas avgjørelse og skal sette oss nøye inn i innholdet av den. Nemnda har delvis opphevet vårt vedtak om pålegg og overtredelsesgebyr på grunn av mangler ved vedtaket. Vi vil vurdere virkningene av at vedtaket delvis er opphevet, og vi vil selvsagt imøtekomme Personvernnemndas begrunnelse i den videre oppfølgingen av saken, sa datadirektør Line Coll til NTB onsdag ettermiddag.
