– Vi ser svært alvorlig på denne saken, sier Datatilsynets direktør Line Coll. – NAV står i en særstilling sett fra et personvernperspektiv, og oppgavene som NAV er pålagt medfører behandling av personopplysninger i et stort omfang. Det inkluderer svært sensitive opplysninger, og vi har derfor vedtatt et høyt overtredelsesgebyr.

Bakgrunn
Datatilsynet gjennomførte et tilsyn hos NAV i september 2023, og varslet vedtak i saken i november. NAV sendte sine merknader til varselet i januar. Etter en grundig vurdering, har Datatilsynet nå fattet vedtak i tråd med varselet.

Hovedkonklusjonene er at NAVs styringssystem ikke er tilfredsstillende for å sikre etterlevelse av personvernregelverket, og at sikringen av konfidensialitet heller ikke i praksis er tilfredsstillende.

– Tilsynet har avdekket en rekke lovbrudd som etter vår oppfatning viser strukturelle og organisatoriske svakheter, og en manglende styring av og forståelse for betydningen av personvern og hvilke krav som må stilles til NAV på dette området, sier Coll. – Vi mener lovbruddene viser at arbeidet med personopplysningssikkerhet ikke er gitt tilstrekkelig prioritet og ressurser av ledelsen i NAV.

Manglende styring og vanskelig å etterprøve
Slik NAVs styringssystem for tilgangsstyring og loggkontroll er innrettet i dag, er det svært krevende å etterprøve om bruken av fagsystemene skjer innenfor lovens rammer. Lokale kontorer er gitt stor frihet til å organisere seg på egne måter. Det fører til at NAVs styringsprinsipp om «tjenstlig behov» i praksis defineres langt nede i organisasjonen.

På den måten har ledelsen tilsynelatende i stor grad fraskrevet seg både ansvaret for og muligheten til å kontrollere etterlevelsen av personvernforordningen i praksis. Manglende styring medfører en høy risiko for at etterlevelse beror på tilfeldigheter. Det er ikke akseptabelt for en myndighet som NAV, mener Datatilsynet.

– NAV utgjør ryggraden i velferdsmodellen som samfunnet vårt er bygget på. Flesteparten av norske borgere mottar ytelser fra NAV en eller annen gang i løpet av livet. Det ligger derfor en iboende høy personvernrisiko i NAVs virksomhet, noe som betyr at det må stilles strenge krav til personopplysningssikkerheten, sier Coll.

Stort omfang
I vurderingen av overtredelsesgebyrets størrelse, har Datatilsynet lagt vekt på at NAV har tilgjengeliggjort særlige kategorier personopplysninger i lang tid og om et høyt antall personer, uten at nødvendige sikkerhetsmekanismer er etablert. Vi legger også vekt på at NAV ikke har reagert adekvat på gjentatte oppfordringer, gjennom tilsyn og eksterne evalueringer, om å gi arbeidet med personopplysningssikkerhet den nødvendige prioritet.

– Overtredelsesgebyr skal være virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende, og vi har i denne saken falt ned på et høyt overtredelsesgebyr, sier Coll.

NAVs klagefrist er tre uker fra vedtaket er mottatt. Dersom Datatilsynet opprettholder vedtaket etter en eventuell klage, sendes saken til avgjørelse hos Personvernnemnda.