Nytt ombud skal styrke personvernet i Nav
Nav-ansatte har misbrukt sin tilgang til personopplysninger til å søke etter informasjon om seg selv, familie, venner, kolleger og kjendiser. Det ble avdekket i en rapport fra revisjonsselskapet BDO og advokatfirmaet Wiersholm i fjor.
Hvert femte Nav-medarbeider kjente til søk etter personopplysninger uten tjenstlig behov, dvs. uten at det hadde med jobben å gjøre, ifølge rapporten. Nysgjerrighet og egeninteresse ble oppgitt som de viktigste grunnene til slik ureglementert snoking.
Skjerpede rutiner og nytt ombud
De kritikkverdige forholdene som ble avdekket i rapporten, har ført til at Nav har gjennomgått sine rutiner for tilgang til og behandling av personopplysninger. Personvern er satt høyt på dagsordenen i Navs ledelse, rutiner er strammet inn og bruk av sanksjoner hvis misbruk oppdages, er blitt skjerpet.
Nav har også fulgt opp rapportens anbefaling om å opprette en egen stilling som personvernombud.
Ordningen med personvernombud er administrert av Datatilsynet, som skal godkjenne nye ombud. Datatilsynet har også klare retningslinjer for hva et ombud skal gjøre.
Et personvernombud skal blant annet bidra til å holde oversikt over hvilke personopplysninger som samles inn og hvordan de behandles, hvem som har tilgang til slike opplysninger og sørge for at opplysningene beskyttes slik at de ikke kommer på avveier.
– Nav har et stort ansvar
Nå er Navs første personvernombud på plass. Etter seks år som personvernombud i Telenor, gikk Anders Holt i begynnelsen av september inn i en tilsvarende stilling i Nav.
Det nye ombudet har respekt for oppgaven. Alle er innom Nav en eller flere ganger i løpet av livet, og Nav har derfor svært mye informasjon om det norske folk i sine systemer, konstaterer han.
– Nav har store mengder sensitive opplysninger og har et stort ansvar for å håndtere personopplysninger på en sikker måte. Det viktig å ha kontroll med hvem som har tilgang til disse opplysningene. Et godt internkontrollsystem er derfor en nødvendighet.
– Bevisstgjøring er viktig
Loggføring av hvilke opplysninger de ansatte har hentet ut og kontroll av loggene er blant tiltakene som skal bidra til å hindre at Nav-ansatte henter ut opplysninger de ikke har tjenstlig behov for.
Arbeidet med å sikre personvernet handler imidlertid om mer enn gode kontrollrutiner. Kontroll alene kan ikke helt forhindre at personopplysninger kommer på avveier, understreker Holt.
– Systemet bygger på tillit til medarbeiderne. Noen vil alltid ha tilgang til opplysninger de kan misbruke. Derfor er opplæring, informasjon og bevisstgjøring viktig. De ansatte i Nav må bevisstgjøres på ansvaret de har, slik at de forstår det utilbørlige i eventuelt misbruk av den tilliten de er gitt.
Holt konstaterer at ikke alle regler for tilgangskontroll uten videre er innlysende. Ikke alle vil synes det er opplagt at de ikke har lov til å søke opp informasjon om seg selv. Men det er i strid med reglene, fordi det er informasjon man ikke har behov for i jobben.
Juss og moral
Da Nav søkte etter personvernombud, sto det i stillingsutlysningen at man helst ville ha en person med juridisk utdanning. I stedet falt valget på en søker som kan skilte med en magistergrad i filosofi.
Anders Holt mener det kan være en fordel at han ikke er jurist.
– Personvern handler om mer enn juss og sikkerhet. Man må ha et videre perspektiv. Det handler også om verdier og moral. Det kan være ting som det er juridisk tillatt å gjøre, men som man likevel ikke bør gjøre av hensyn til Navs verdier og den tilliten Nav er avhengig av for å kunne hjelpe brukerne på best mulig måte, avslutter Holt.
