Under Datatilsynets tilsyn hos Nav ble det avdekket i alt tolv lovbrudd i måten personopplysninger blir behandlet på i de interne datasystemene. I sin konklusjon skriver Datatilsynet at bruddene er meget alvorlige, og at dette har pågått over lang tid, og tilsynet varsler derfor et overtredelsesgebyr på 20 millioner kroner.
– Saken er svært alvorlig. Vi har tidligere gitt Nav pålegg om endringer som de ikke har fulgt. Det var derfor nødvendig å ta fram vårt sterkeste virkemiddel som nå er et varsel om overtredelsesgebyr. Dette er et tydelig signal til ledelsen i Nav, sier direktør Line Coll i Datatilsynet til NTB.
Det er spørsmålet om Nav i IT-systemene sine greier å ivareta konfidensialitet i behandlingen av personopplysninger som Datatilsynet har undersøkt. Konklusjonen er at det greier ikke Nav, som pålegges å rette opp avvikene.
– Ikke overrasket
Nav-direktør Hans Christian Holte sier til NTB at de ikke er overrasket over at Datatilsynet har slått ned på akkurat de områdene som er nevnt i tilsynsrapporten. Han erkjenner at Nav har en jobb å gjøre.
– Vi er godt klar over de sentrale områdene som Datatilsynet peker på i dette tilsynet. Vi tar dette virkelig på alvor og skal jobbe med det framover, sier Holte.
– Det er heldigvis ikke snakk om personopplysninger som er på avveie, men sårbarheter som Nav har i sine dataløsninger og hvordan vi bør styre og sikre det på en god måte, sier Holte videre.
Han forklarer at mye av problemene skyldes gamle datasystemer det er vanskelig å bygge ny sikkerhet rundt. Han erkjenner imidlertid at etaten ikke har gode nok rutiner eller systematisk kontroll av logger for hvem som har hatt innsyn i brukernes saker.
Mange penger
Nav vil ikke bestride det varslede gebyret på 20 millioner, som selv Datatilsynet skriver er høyt for en offentlig myndighet.
– Samtidig vil vi understreke at overtredelser av tilsvarende alvorlighetsgrad hos en privat aktør ville ført til et langt høyere gebyr enn det vi har kommet fram til i denne saken, står det i vedtaket.
– Datatilsynet begrunner det med at det skal være noe som har en effekt, og det vil det ha på vårt budsjett når det er av såpass stor størrelse, sier Holte til NTB.
Tidligere pålegg ikke fulgt
– Oppgavene Nav er pålagt, medfører behandling av personopplysninger i et enormt omfang, herunder svært sensitive opplysninger. Ifølge tall fra Navs årsrapport for 2022 var det i fjor om lag 3,2 millioner personer som mottok ytelser fra Nav. Det ligger derfor en innebygd høy personvernrisiko i Navs virksomhet som medfører strenge krav til personopplysningssikkerheten, skriver Datatilsynet.
Problemene er ikke av ny art. Helt tilbake til 2006, da Nav ble etablert som en sammenslåing av flere offentlige helse- og trygdeinstitusjoner, er det blitt pekt på faren for spredning av sensitive opplysninger om enkeltpersoner.
– I vår vurdering av nødvendigheten av å ilegge et overtredelsesgebyr i denne saken har vi sett hen til at tidligere pålegg gitt av Datatilsynet har vist seg ikke å være tilstrekkelig virkningsfulle, står det i begrunnelsen.