Nav og Datatilsynet uenige om personvern-brudd

Datatilsynet har sendt Nav et varsel om et overtredelsesgebyr på 20 millioner kroner etter et tilsyn tidligere i høst der Datatilsynet fant flere alvorlige avvik når det gjelder informasjonssikkerheten i Navs IT-systemer deres.

12 lovbrudd

Under Datatilsynets tilsyn hos Nav i september i fjor ble det avdekket i alt tolv lovbrudd i måten personopplysninger blir behandlet på i de interne datasystemene. I sin konklusjon skriver Datatilsynet at bruddene er meget alvorlige, og at dette har pågått over lang tid, og tilsynet varsler derfor et overtredelsesgebyr på 20 millioner kroner.

«Våre hovedkonklusjoner er at NAV sine styringssystemer ikke er tilfredsstillende for å sikre etterlevelse av personvernregelverket, og at sikringen av konfidensialiteten i IT-systemene heller ikke er tilfredsstillende», skriv Datatilsynet i sitt varslingsbrev til Nav.

– Datatilsynet ser svært alvorlig på denne saken. NAV står i en særstilling sett fra et personvernperspektiv, og oppgavene som NAV er pålagt medfører behandling av personopplysninger i et stort omfang. Det inkluderer svært sensitive opplysninger. Vi varsler et høyt overtredelsesgebyr fordi undersøkelsene våre viser grov svikt i håndteringen av slike opplysninger over lengre tid, sier Datatilsynets direktør Line Coll.

Nav snur og slår tilbake

Da Nav i høst fikk beskjed om at de lå an til et høyt overtredelsesgebyr, uttalte Nav-direktør Hans Christian Holte at reaksjonen fra tilsynet var forventet.

– Vi er godt klar over de sentrale områdene som Datatilsynet peker på i dette tilsynet. Vi tar dette virkelig på alvor og skal jobbe med det framover, sa Holte, som i en uttalelse i november i fjor altså ikke bestred gebyret.

– Det er heldigvis ikke snakk om personopplysninger som er på avveie, men sårbarheter som Nav har i sine dataløsninger og hvordan vi bør styre og sikre det på en god måte, understreket Holte videre.

Etter å ha gjennomgått varselet, har Holte og Nav imidlertid blitt mindre velvillig innstilt overfor Datatilsynets framstilling av saken, og slår i dag tilbake mot tilsynets konklusjoner:

– Vi synes det er urimelig og overraskende at Datatilsynet trekker konklusjonen at Nav bryter personvernlovgivningen med forsett, sier Nav-direktør Hans Christian Holte til NTB.

Holte forklarer at Nav er enige i de fleste avvikene Datatilsynet peker på. Men han mener tilsynet bommer i sine konklusjoner.

– Det er overraskende og uheldig at de trekker generelle konklusjoner om personvernhåndteringen i Nav uten å ha det brede grunnlaget som trengs for en slik konklusjon, sier han.

Selve nivået på gebyret – de 20 millionene – er ikke det viktigste for Hans Christian Holte. Det er konklusjonen om forsettlig brudd på personvernlovgivningen, han reagerer på.

– Uavhengig av den uenigheten som kommer fram, så er jeg trygg på at vi får et konstruktivt og godt samarbeid med Datatilsynet om å lukke avvikene, sier Holte til NTB.

Vil se på Navs tilbakemelding

Ettersom brevet fra Datatilsynet er et varsel, vil NAV ha mulighet til å komme med eventuelle merknader også til varselet. Og Datatilsynet har tilsynelatende fått med seg Nav-sjefens frustrasjon.

«Vi har mottatt tilbakemelding fra NAV, og vil nå gå nøye gjennom denne. Når vi har gjort vår gjennomgang og vurdering, vil vi fatte vedtak der vi også setter den endelige summen for overtredelsesgebyr. NAV har så mulighet til å påklage vedtaket vårt til personvernnemda», skriver tilsynet på sine hjemmesider fredag formiddag.