Rett24 skrev 8. april at EMD avviste saken som «åpenbart grunnløs» og at staten dermed ble frikjent. Dette var en gjengivelse av domstolens konklusjon. Samtidig mener vi at fremstillingen likevel kunne gi et inntrykk av at saken var absurd eller uten reelt grunnlag, selv om norske domstoler tidligere hadde slått fast at NAV hadde hatt alvorlige svakheter i personvernrutinene.

Resultatet er en fremstilling hvor staten fremstår som ubetinget vinner, mens de prinsipielle spørsmålene om systemsvikt, bevisproblemer og tillit til personvernet i NAV i stor grad forsvinner.

Systemfeil

Formuleringer som «frikjent» og «manifestly ill-founded» kan gi inntrykk av at saken var absurd eller grunnløs. Det var den ikke. Norske domstoler slo fast at NAV hadde hatt alvorlige svakheter i personvernrutinene, og at GDPR-reglene kunne være brutt. EMD sa ikke at NAVs tidligere praksis var god, men at Staten hadde gjort nok for å rette opp systemfeilene til å holde seg over minimumsterskelen i EMK. Staten vant juridisk, men det betyr ikke at kritikken mot systemet var grunnløs.

Rett24 viser allerede i ingressen til at norske domstoler slo fast at NAV hadde brutt GDPR. Likevel mener vi at omtalen i hovedsak blir stående ved spørsmålet om det kunne bevises at konkrete personer hadde «snoket» i kvinnens opplysninger. Det prinsipielle spørsmålet var bredere: Om staten hadde etablert et system som gjorde uberettiget innsyn mulig uten tilstrekkelig kontroll, logging, varsling og vern. Dermed var ikke problemet bare om én bestemt ansatt hadde gjort noe galt, men om systemet i seg selv gjorde misbruk mulig.

Samtidig kan det spørres om beviskravet i slike saker nærmest er strukturelt urimelig. Individet vet ikke nødvendigvis hvem som har vært inne, hvorfor de var inne, eller hva informasjonen er brukt til. Dersom staten først etablerer et system med vide innsynsmuligheter, og deretter krever at den enkelte må bevise nøyaktig hvem som snoket og hvilken konkret skade det medførte, oppstår et selvforsterkende rettstap. Nettopp derfor er det viktig å understreke at EMD ikke ga uttrykk for at NAVs tidligere praksis var uproblematisk. Tvert imot la domstolen vekt på at Staten hadde forbedret rutinene etter kritikk og pålegg fra Datatilsynet. Staten vant ikke fordi systemet hadde vært godt hele tiden, men fordi den hadde ryddet opp i ettertid.

Maktperspektivet

Artikkelen hopper også over maktperspektivet i saken. Når selv en NAV-ansatt kan oppleve frykt for uberettiget innsyn i egne helseopplysninger, sier det noe om hvor vanskelig det er for vanlige brukere å føle tillit til systemet. Dette er ikke bare et juridisk spørsmål om beviskrav, men om trygghet, makt og opplevelsen av kontroll over ens egne mest sensitive opplysninger.

Det er også farlig dersom avgjørelsen blir lest som et signal om at NAVs tidligere praksis var akseptabel. Norske myndigheter har selv senere erkjent at svakhetene i tilgangskontroll, logging og internkontroll var så alvorlige at Datatilsynet varslet et overtredelsesgebyr på 20 millioner kroner - det største som til da var varslet mot en offentlig virksomhet. Selv om gebyret senere ble opphevet av Personvernnemnda på grunn av spørsmål om skyldgrad, ble ikke kritikken av systemsvikten borte.

Det er grunn til å minne om at  NAV-direktør Hans Christian Holte måtte gå etter kritikk fra Riksrevisjonen og departementet om at NAV hadde gitt et misvisende bilde av hvor godt NAVs systemerfaktisk beskyttet personvernet. Norske myndigheter har altså selv erkjent at det fantes alvorlige svakheter i systemene, og at disse svakhetene hadde blitt underkommunisert.

Ikke renvasket

Nettopp derfor er det problematisk dersom det etterlates et inntrykk av EMD konkluderte at «snoking ikke er så farlig» eller at tidligere praksis i NAV var akseptabel. Det EMD slo fast, var at Staten hadde gjort nok til å unngå ansvar etter EMK. Det er noe helt annet enn å si at praksisen var god.

Konklusjonen er derfor ikke at NAV ble renvasket, eller at tidligere praksis var akseptabel. Konklusjonen er at terskelen for å vinne frem med et menneskerettskrav er svært høy, selv i saker hvor domstolene samtidig erkjenner at statens praksis hadde alvorlige svakheter. Staten vant saken juridisk, men det betyr ikke  at staten vant tillit.

Det prinsipielle problemet består dessverre fortsatt. Et system som gjør uberettiget innsyn mulig, men samtidig gjør det svært vanskelig å bevise hvem som har sett hva, gir svakt vern i praksis. Når staten kontrollerer loggene, definerer hva som er «tjenstlig behov» og samtidig krever at den registrerte dokumenterer konkret skade, blir det svært krevende for enkeltpersoner å nå frem.

Saken bør derfor ikke omtales som at staten hadde alt på det rene. Den bør heller være en påminnelse om at individer har lite å stille opp med i møte med systemsvikt, og at fellesskapets urett overfor den enkelte må rettes opp. Neste gang kan det ramme deg og meg.