Datatilsynet gir Nav 20 millionar i gebyr for brot på personvernet

Under Datatilsynets tilsyn hos Nav vart det avdekt i alt tolv lovbrot i måten personopplysningar blir behandla på i dei interne datasystema. I konklusjonen sin skriv Datatilsynet at brota er svært alvorlege, og at dette har gått føre seg over lang tid, og tilsynet varslar derfor eit straffegebyr på 20 millionar kroner.

– Saka er svært alvorleg. Vi har tidlegare gitt Nav pålegg om endringar som dei ikkje har følgt. Det var derfor nødvendig å ta fram vårt sterkaste verkemiddel som no er eit varsel om straffegebyr. Dette er eit tydeleg signal til leiinga i Nav, seier direktør Line Coll i Datatilsynet til NTB.

Det er spørsmålet om Nav i IT-systema sine greier å vareta konfidensialitet i behandlinga av personopplysningar som Datatilsynet har undersøkt. Konklusjonen er at det greier ikkje Nav, som blir pålagd å rette opp avvika.

– Ikkje overraska

Nav-direktør Hans Christian Holte seier til NTB at dei ikkje er overraska over at Datatilsynet har slått ned på akkurat dei områda som er nemnde i tilsynsrapporten. Han erkjenner at Nav har ein jobb å gjere.

– Vi er godt klar over dei sentrale områda som Datatilsynet peikar på i dette tilsynet. Vi tek dette verkeleg på alvor og skal jobbe med det framover, seier Holte.

– Det er heldigvis ikkje snakk om personopplysningar som er på avvegar, men sårbarheiter som Nav har i dataløysingane sine og korleis vi bør styre og sikre det på ein god måte, seier Holte vidare.

Han forklarer at mykje av problema kjem av gamle datasystem det er vanskeleg å byggje ny tryggleik rundt. Han erkjenner likevel at etaten ikkje har gode nok rutinar eller systematisk kontroll av loggar for kven som har hatt innsyn i sakene til brukarane.

Mange pengar

Nav vil ikkje avvise det varsla gebyret på 20 millionar, som sjølv Datatilsynet skriv er høgt for ei offentleg styresmakt.

– Samtidig vil vi understreke at brot på tilsvarande alvorsgrad hos ein privat aktør ville ført til eit langt høgare gebyr enn det vi har komme fram til i denne saka, står det i vedtaket.

– Datatilsynet grunngir det med at det skal vere noko som har ein effekt, og det vil det ha på budsjettet vårt når det er av såpass stor storleik, seier Holte til NTB.

Tidlegare pålegg ikkje følgde

– Oppgåvene Nav er pålagde, medfører behandling av personopplysningar i eit enormt omfang, under dette svært sensitive opplysningar. Ifølgje tal frå Navs årsrapport for 2022 var det i fjor om lag 3,2 millionar personar som fekk ytingar frå Nav. Det ligg derfor ein innebygd høg personvernrisiko i Navs verksemd som medfører strenge krav til personopplysningstryggleiken, skriv Datatilsynet.

Problema er ikkje av ny art. Heilt tilbake til 2006, då Nav vart etablert som ei samanslåing av fleire offentlege helse- og trygdeinstitusjonar, har det vorte peika på faren for spreiing av sensitive opplysningar om enkeltpersonar.

– I vår vurdering av nødvendigheita av å gi eit straffegebyr i denne saka har vi sett at tidlegare pålegg gitt av Datatilsynet har vist seg ikkje å vere tilstrekkeleg verknadsfulle, står det i grunngivinga.