Nyheter
Nav må ut med 20 millioner for brudd på personvernet
Datatilsynet har konkludert etter personverntilsyn hos Nav: Varsler gebyr på 20 millioner kroner, som Nav aksepterer.
Under Datatilsynets tilsyn hos Nav ble det avdekket i alt tolv lovbrudd i måten personopplysninger blir behandlet på i de interne datasystemene. I sin konklusjon skriver Datatilsynet at bruddene er meget alvorlige, og at dette har pågått over lang tid, og tilsynet varsler derfor et overtredelsesgebyr på 20 millioner kroner.
– Saken er svært alvorlig. Vi har tidligere gitt Nav pålegg om endringer som de ikke har fulgt. Det var derfor nødvendig å ta fram vårt sterkeste virkemiddel som nå er et varsel om overtredelsesgebyr. Dette er et tydelig signal til ledelsen i Nav, sier direktør Line Coll i Datatilsynet til NTB.
Det er spørsmålet om Nav i IT-systemene sine greier å ivareta konfidensialitet i behandlingen av personopplysninger som Datatilsynet har undersøkt. Konklusjonen er at det greier ikke Nav, som pålegges å rette opp avvikene.
– Ikke overrasket
Nav-direktør Hans Christian Holte sier til NTB at de ikke er overrasket over at Datatilsynet har slått ned på akkurat de områdene som er nevnt i tilsynsrapporten. Han erkjenner at Nav har en jobb å gjøre.
– Vi er godt klar over de sentrale områdene som Datatilsynet peker på i dette tilsynet. Vi tar dette virkelig på alvor og skal jobbe med det framover, sier Holte.
– Det er heldigvis ikke snakk om personopplysninger som er på avveie, men sårbarheter som Nav har i sine dataløsninger og hvordan vi bør styre og sikre det på en god måte, sier Holte videre.
Han forklarer at mye av problemene skyldes gamle datasystemer det er vanskelig å bygge ny sikkerhet rundt. Han erkjenner imidlertid at etaten ikke har gode nok rutiner eller systematisk kontroll av logger for hvem som har hatt innsyn i brukernes saker.
Brenna krever opprydding
Arbeids- og inkluderingsminister Tonje Brenna (Ap) sier at Datatilsynets rapport viser at personvernet ikke har vært godt nok ivaretatt internt i Nav.
– Sånn skal det ikke være. Folk skal være sikre på at opplysningene deres behandles riktig, sier Brenna.
Hun mener saken er alvorlig, og at det er behov for en opprydning.
– Jeg har blitt informert om at Nav er i gang med å forbedre flere av områdene Datatilsynet peker på, men jeg vil ha mer informasjon og følge dette tett. Derfor har jeg allerede avtalt å møte Nav før jul, hvor de skal redegjøre for hvordan de følger opp, sier hun.
Bestrider ikke gebyret
Nav vil ikke bestride det varslede gebyret på 20 millioner, som selv Datatilsynet skriver er høyt for en offentlig myndighet.
– Samtidig vil vi understreke at overtredelser av tilsvarende alvorlighetsgrad hos en privat aktør ville ført til et langt høyere gebyr enn det vi har kommet fram til i denne saken, står det i vedtaket.
– Datatilsynet begrunner det med at det skal være noe som har en effekt, og det vil det ha på vårt budsjett når det er av såpass stor størrelse, sier Holte til NTB.
Tidligere pålegg ikke fulgt
– Oppgavene Nav er pålagt, medfører behandling av personopplysninger i et enormt omfang, herunder svært sensitive opplysninger. Ifølge tall fra Navs årsrapport for 2022 var det i fjor om lag 3,2 millioner personer som mottok ytelser fra Nav. Det ligger derfor en innebygd høy personvernrisiko i Navs virksomhet som medfører strenge krav til personopplysningssikkerheten, skriver Datatilsynet.
Problemene er ikke av ny art. Helt tilbake til 2006, da Nav ble etablert som en sammenslåing av flere offentlige helse- og trygdeinstitusjoner, er det blitt pekt på faren for spredning av sensitive opplysninger om enkeltpersoner.
– I vår vurdering av nødvendigheten av å ilegge et overtredelsesgebyr i denne saken har vi sett hen til at tidligere pålegg gitt av Datatilsynet har vist seg ikke å være tilstrekkelig virkningsfulle, står det i begrunnelsen.
Glad det ryddes opp
– Personvernopplysningene har ikke vært håndtert godt nok i Nav, sier digitaliseringsministeren, som er glad for at det nå skal ryddes opp.
Tirsdag morgen ble det kjent at Datatilsynet gir Nav 20 millioner kroner i gebyr for brudd på personvernet. De har i en rapport avdekket i alt tolv lovbrudd i måten Nav har behandlet personvernopplysninger i sine interne datasystemer.
– Personopplysninger skal ikke være tilgjengelig for flere enn helt nødvendig. Denne rapporten viser at dette ikke er håndtert godt nok i Nav. Skal vi lykkes med økt digitalisering, spesielt i offentlig sektor, er vi avhengige av tillit. Saker som dette bidrar dessverre ikke til å bygge tilliten. Derfor er jeg glad det nå ryddes opp, digitaliserings- og forvaltningsminister Karianne Tung (Ap).
– Jo mer data som samles om oss og jo mer sensitiv denne informasjonen er, jo viktigere er det at personvernet ivaretas på en god måte. Denne saken viser derfor, med all tydelighet, viktigheten av den jobben Datatilsynet gjør, sier hun.