Lørdag 19. oktober 2019 Innenriks

Det er nærmest umulig for Nav-ansatte å få oversikt over hvem som snoker i personopplysninger:

Fritt fram for Nav-snoking

KREVER ENDRING: Datatilsynet kommer med hard kritikk av Nav-ansattes personvern i et varsel om vedtak overfor Nav. Navs frist for å endre rutiner gikk ut for en måned siden.

TATT: To år etter snokeskandelen i ­Agder er Nav-ansattes personvern fortsatt ikke bra nok. Datatilsynet slakter praksisen, og Nav lover å skjerpe seg.

NAV

Se for deg at du har vært gjennom en vond skilsmisse eller barnefordelingssak. Kanskje har du gjennomført rusbehandling som du vil legge bak deg. Hva om sjefen din med noen tastetrykk kunne fått tilgang til all denne informasjonen? Slik er det for mange som jobber i Nav.

For to år siden stormet det rundt Nav i Aust-Agder etter at flere ledere ble tatt i å snoke på ansatte. Det var en unik avsløring fordi det er nesten umulig for ansatte å få vite om noen snoker.

Personvern i Nav:

• Nav har personopplysninger om hele den norske befolkning.

• Det kan være informasjon om fysisk og psykisk helse, sosiale forhold og familieforhold.

• Nav-ansatte får lov å se opplysningene bare dersom de har såkalt tjenstlig behov, det vil si at jobben krever det.

• Fire Nav-ledere ble i 2017 tatt for å snoke i ansattes journaler.

• De ble tatt fordi de ansatte fikk se hvem som hadde vært inne og klokkeslett for søket.

• Vanligvis får de ansatte bare se en udetaljert liste med Nav-enheter og dato for søket.

Hard kritikk

Nå kommer Datatilsynet med hard kritikk av Nav-ansattes personvern, ifølge et dokument Klassekampen har fått tilgang til:

«Datatilsynet er kommet til at NAV ikke i tilstrekkelig grad sikrer sine medarbeideres rett til vern om sine personopplysninger», står det i dokumentet.

– Det begynte med en ansatt som kom til oss fordi hun ikke fikk lov å se navnene på dem som hadde vært inne og sett på opplysninger om henne, sier Camilla Nervik, seksjonssjef for offentlige tjenester i Datatilsynet.

Den ansatte hadde spurt Nav om hvorfor noen hadde vært inne og lest om henne, og fikk til svar at det ikke var gjort noe galt.

Bukken og havresekken

Problemet var at det var umulig å vite om den som kontrollerte, var objektiv. Ledere kunne nemlig vurdere innsynskrav fra egne medarbeidere, også når det var lederen selv eller kolleger som hadde snoket. Den ansatte fikk altså ikke vite sikkert hvem som hadde søkt, når på døgnet det ble gjort eller hva som var grunnen.

Det er ikke lov, mener Datatilsynet.

– Vi påstår at grunnregelen i personvernregelverket er at alle har rett til innsyn i hvem som har gjort oppslag, men her har Nav kategorisk valgt å gjøre unntak fra det, sier Nervik.

Nav begrunner unntaket med ansattes sikkerhet, og dette er i mange tilfeller riktig, ifølge seksjonssjefen. Misfornøyde klienter kan bli farlige hvis de får vite hvem på Nav-kontoret som gjør hva.

– Nav har hatt mange stygge episoder, så ille at folk har blitt drept på jobb, så sikkerhetshensyn kan gjøre at man kan unnta opplysninger fra innsyn, sier Nervik.

Men argumentet kan ikke automatisk overføres til saker om egne ansatte, mener hun.

– Ofte er det den ansatte selv som best kan se om det skjedd noe ulovlig. Hvorfor skjule ulovligheter fra den det blir gjort mot? Nav må gjøre en ordentlig vurdering av hva som skal veie tyngst her, sier hun.

Liknende sak gikk til EMD

Nervik viser til en sak fra Finland, som gikk helt til menneskerettighetsdomstolen.

– Det var ei dame med hiv som jobbet på et sjukehus. Plutselig merket hun at veldig mange visste om sykdommen. De hadde gått inn i hennes journal og funnet det ut, sier hun.

Sjukehuset ble dømt for at de ikke hadde sikret taushetsplikta gjennom sine systemer.

– Det er jo det samme som skjer i Nav?

Ja, det er det samme. En hiv-diagnose ville ligget i Nav hvis man for eksempel fikk støtte til medisiner eller har behov for uføretrygd. Vi må huske på hva Nav sitter med av opplysninger om oss, sier Nervik.

Bare når de har såkalt tjenstlig behov, når jobben krever det, har ansatte i Nav lov å se på personopplysninger om folk. Det er enhetslederne i Nav som bestemmer hvor stor tilgang ulike ansatte skal ha til opplysninger om kolleger.

Mange ansatte må i dag selv be sjefen om å sperre denne tilgangen for kollegene.

Nå lover Nav å etterkomme kravene fra Datatilsynet innen utgangen av året (se sidesak).

ainah@klassekampen.no

Tar det på alvor

Nav tar på største alvor at de idag ikke har en fullgod teknisk løsning som sikrer god nok ivaretakelse av de ansattes personvern, ifølge Marianne Fålun, økonomi- og styringsdirektør i Nav.

«Grunnen til at de ansatte ikke får vite hvem som søker på dem, er at Nav mener deres ansatte har samme personvern som brukere forøvrig», skriver hun til Klassekampen.

Denne praksisen har Nav hatt siden 2016, da det ble mulig å be om innsyn.

«I spesielle tilfeller, der Nav har avdekket oppslag uten tjenstlig behov, er det gitt mer detaljerte opplysninger.»

Det betyr Nav selv avgjør om en ansatt bør få se hvem som har sett på personopplysningene.

«Vi er kjent med at enkelte har opplevd at denne prosessen har tatt for lang tid. Det beklager vi», skriver direktøren videre.

Nav tar på alvor at Datatilsynet har bedt dem endre praksis, ifølge Fålun, og er i ferd med å endre tekniske systemer og praksis slik at de kan imøtekomme det.

«Dette jobber vi med å få klart innen utgangen av året», skriver hun.

Ifølge Fålun har Nav tidligere i år endret praksisen med at egen leder vurderer oppslagssakene.

«Dersom oppslaget er gjort av en kollega eller en leder i enheten, vil vurderingen bli gjort av en annen enhet. Denne måten å behandle saker på ble innført i mars 2019».

Datatilsynets brev til Nav baserte seg på situasjonen før jul i fjor.