Vedtak om gebyr og pålegg til NAV

Datatilsynet har vedtatt et overtredelsesgebyr på 20 millioner kroner og flere pålegg til Arbeids- og velferdsetaten (NAV). Vedtaket kommer etter et tilsyn hvor vi kontrollerte NAVs sikring av konfidensialitet gjennom tilgangsstyring og loggkontroll. Vi fant flere alvorlige avvik.

Oppdatering 14. juni 2024

Datatilsynet mottok NAVs klage på vedtak med pålegg og overtredelsesgebyr den 8. april 2024. Etter Datatilsynets gjennomgang, ble klagen den 11. juni 2024 oversendt til Personvernnemnda for endelig avgjørelse.

– Vi ser svært alvorlig på denne saken, sier Datatilsynets direktør Line Coll. – NAV står i en særstilling sett fra et personvernperspektiv, og oppgavene som NAV er pålagt medfører behandling av personopplysninger i et stort omfang. Det inkluderer svært sensitive opplysninger, og vi har derfor vedtatt et høyt overtredelsesgebyr.

Bakgrunn

Datatilsynet gjennomførte et tilsyn hos NAV i september 2023, og varslet vedtak i saken i november. NAV sendte sine merknader til varselet i januar. NAV er i all hovedsak enige i de avvikene Datatilsynet påpekte, men har hatt en rekke merknader til varselet om overtredelsesgebyr. Etter en grundig vurdering, har Datatilsynet nå fattet vedtak i tråd med varselet.

Hovedkonklusjonene er at NAVs styringssystem ikke er tilfredsstillende for å sikre etterlevelse av personvernregelverket, og at sikringen av konfidensialitet gjennom tilgangsstyring og loggkontroll heller ikke i praksis er tilfredsstillende.

– Tilsynet har avdekket en rekke lovbrudd som etter vår oppfatning viser strukturelle og organisatoriske svakheter, og en manglende styring av og forståelse for betydningen av personvern og hvilke krav som må stilles til NAV på dette området, sier Coll. – Vi mener lovbruddene viser at arbeidet med personopplysningssikkerhet ikke er gitt tilstrekkelig prioritet og ressurser av ledelsen i NAV.

Manglende styring og vanskelig å etterprøve

Slik NAVs styringssystem for tilgangsstyring og loggkontroll er innrettet i dag, er det svært krevende å etterprøve om bruken av fagsystemene skjer innenfor lovens rammer. Lokale kontorer er gitt stor frihet til å organisere seg på egne måter. Det fører til at NAVs styringsprinsipp om «tjenstlig behov» i praksis defineres langt nede i organisasjonen.

På den måten har ledelsen tilsynelatende i stor grad fraskrevet seg både ansvaret for og muligheten til å kontrollere etterlevelsen av personvernforordningen i praksis på de områdene vi kontrollerte. Manglende styring medfører en høy risiko for at etterlevelse beror på tilfeldigheter. Det er ikke akseptabelt for en myndighet som NAV.

– NAV utgjør ryggraden i velferdsmodellen som samfunnet vårt er bygget på. Flesteparten av norske borgere mottar ytelser fra NAV en eller annen gang i løpet av livet. Det ligger derfor en iboende høy personvernrisiko i NAVs virksomhet, noe som betyr at det må stilles strenge krav til personopplysningssikkerheten, sier Coll.

Stort omfang

I vurderingen av overtredelsesgebyrets størrelse, har Datatilsynet lagt vekt på at NAV har tilgjengeliggjort særlige kategorier personopplysninger i lang tid og om et høyt antall personer, uten at nødvendige sikkerhetsmekanismer er etablert. Vi legger også vekt på at NAV ikke har reagert adekvat på gjentatte oppfordringer, gjennom tilsyn og eksterne evalueringer, om å gi arbeidet med personopplysningssikkerhet den nødvendige prioritet.

– Overtredelsesgebyr skal være virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende, og vi har i denne saken falt ned på et høyt overtredelsesgebyr, sier Coll.

NAVs klagefrist er tre uker fra vedtaket er mottatt. Dersom Datatilsynet opprettholder vedtaket etter en eventuell klage, sendes saken til avgjørelse hos Personvernnemnda. NAV har allerede varslet muntlig at de vil klage på vedtaket. 

Last ned