– Dette er en ny Nav-skandale
Onsdag i forrige uke gikk Nav-direktør Hans Christian Holte ut og fortalte at etaten hadde gjort seg skyldig i et omfattende brudd på reglene for personvern.
Personvernbruddet er knyttet til CV- og stillingsdatabasen arbeidsplassen.no.
Alle som er under oppfølging fra Nav, pålegges å legge inn CV-en sin i denne databasen. Det har Nav lov til. Det Nav ikke har lov til, er å dele disse opplysningene med andre.
Uten at folk er spurt, har Nav gjort alle CV-ene tilgjengelig for arbeidsgivere som har registrert seg på arbeidsplassen.no.
Bruddet på personvernet har foregått i to år, fra arbeidsplassen.no ble etablert i februar 2019. Det betyr at CV-ene til 400.000 personer under oppfølging hos Nav, har vært tilgjengelige for arbeidsgivere. Tallet inkluderer de 200.000 som er registrert i databasen i dag.
I gjennomsnitt har om lag to tusen arbeidsgivere logget seg på arbeidsplassen.no hver måned,
Jeg tror Nav kan ha blitt blendet av at de har så vide hjemler til å innhente personopplysninger.
Opplysninger kan ha blitt misbrukt
Arbeidsgivernes tilgang til CV-ene er nå stengt, og Nav har varslet Datatilsynet om saken. Samtidig sender Nav ut et brev til alle som er berørt. Der framgår det at arbeidsgiverne gjennom CV-ene blant annet har hatt tilgang til navn, adresse, fødselsdato, telefonnummer og språk.
I brevet til de berørte beklager Nav at CV-en er gjort tilgjengelig for arbeidsgivere. Samtidig lister Nav opp en rekke mulige konsekvenser for den enkelte av personvernbruddet.
Det kan, skriver Nav, dreie seg om:
- misbruk av personopplysningene til andre formål enn rekruttering, for eksempel salg og markedsføring.
- at du har blitt kontaktet av arbeidsgivere.
- at du har blitt identifisert som registrert arbeidssøker hos Nav.
- at personer med tilstrekkelig kompetanse kan ha hatt tilgang til en kode som viser ditt statsborgerskap.
- at det har påvirket dine økonomiske ytelser eller andre rettigheter fra Nav.
- at løsningen kan ha blitt brukt av arbeidsgivere til å søke opp personer for andre formål enn rekruttering til arbeid (snoking).
Nav anbefaler mottakerne av brevet om å være på vakt: «Det er viktig å være oppmerksom på uvanlige brev, rar kommunikasjon på nett, og eventuelt andre hendelser som du tror kan ha noe med personvernet ditt å gjøre», skriver Nav i brevet.
Les også: Nav stenger arbeidsgiveres tilgang til CV-er etter brudd på personvern
(Artikkelen fortsetter under bildet.)
Ikke overraskende
Navs brudd på personvernet er ikke overraskende, sier advokat Olav Lægreid. Han har tidligere erfaring som dommer i Trygderetten og har i en årrekke jobbet med trygdesaker som advokat.
– Jeg tror Nav kan ha blitt blendet av at de har så vide hjemler til å innhente personopplysninger. Det er knapt noen grenser for hva Nav kan kreve innsyn i. Lovgivningen gir enorme muligheter, og da er det ekstra alvorlig at Nav ikke evner å ivareta personvernet på en god måte, sier Lægreid til Velferd.no.
– Generelt er det en del som tyder på at Nav ikke er bevisst nok på sitt ansvar for å ivareta brukernes personvern, mener han.
Lægreid forteller at han som advokat har opplevd å få dokumenter fra Nav med personopplysninger han ikke skulle ha.
– Vi har opplevd at det skjer glipp i Nav, konstaterer han.
Advokaten stiller spørsmål ved om detaljerte personopplysninger i CV-er i det hele tatt bør gjøres tilgjengelig for arbeidsgivere.
– Grensesnittet Nav legger opp, bør være slik at CV-ene presenteres for arbeidsgivere uten opplysninger som ikke er nødvendige for dem i første omgang. Teknisk bør det være fullt mulig å fjerne noen opplysninger. Man bør fjerne personnummer og kanskje adresse. Det kan også stilles spørsmål ved om en arbeidsgiver trenger å vite navn i første omgang. Kanskje det holder med f.eks. «kvinne, 38 år»? sier han.
Uheldig om det har påvirket ytelser
Det bekymrer Lægreid at Nav i brevet til de berørte skriver at personvernbruddet kan ha påvirket økonomiske ytelser eller andre rettigheter fra Nav.
– Det er uheldig hvis Nav i behandling av saker legger til grunn opplysninger en person gir i en jobbsøkerprosess. I en sånn prosess kan det være viktig å framheve opplysninger som gjør deg attraktiv for en arbeidsgiver. I en stønadssammenheng kan det være andre opplysninger som er relevante.
Lægreid advarer Nav mot å bruke folks egenrapportering som grunnlag for vedtak. Han påpeker i den sammenheng at Nav tidligere har fått påpakning for å bruke informasjon som er gitt på sosiale medier som grunnlag for å nekte ytelser.
Velferd.no har tidligere skrevet om en sak der Nav brukte blogginnlegg fra en ung kvinne som argument for å nekte henne ytelse som ung ufør. Navs bruk av blogginnleggene i den saken ble for øvrig senere avvist i lagmannsretten.
(Artikkelen fortsetter under bildet.)
– En ny Nav-skandale
Aksjonsleder Elisabeth Thoresen i AAP-aksjonen nøler ikke med å karakterisere det som en skandale at Navs har brutt personvernet til flere hundre tusen mennesker som er under oppfølging hos Nav.
AAP-aksjonen er en forening som jobber for gode velferdsordninger til syke og uføre, og Thoresen mener det som nå har blitt kjent, føyer seg inn i et mønster.
– Dette er en ny Nav-skandale. Den føyer seg inn i rekken av saker som viser hvordan Nav jobber, sier hun.
– Jeg gjenkjenner EØS-skandalen i denne saken. Nav har gjemt seg bak Nav-loven og arbeidsmarkedsloven og har glemt at det er et annet lovverk som har forrang. Hvorfor så de ikke det med en gang? spør hun og viser til at EUs personvernforordning (GDPR) trådte i kraft i Norge i 2018.
– At en så stor etat er så bevisstløs, er skremmende, sier hun.
Tvinges til å legge ut CV
Å legge ut CV-en på arbeidsplassen.no er ikke frivillig, påpeker Thoresen.
– Det å oppdatere sin CV på nav.no eller arbeidsplassen.no har ikke vært en frivillig aktivitet. Det er noe Nav tvinger deg til å gjøre. Hvis du ikke gjør det, risikerer du at du får trekk i ytelsen eller at du mister den helt. Det har heller ikke vært et valg for den enkelte å ha sin CV synlig for arbeidsgivere eller ei. Nav har tatt dette valget for deg, påpeker hun.
Thoresen nevner et tenkt eksempel på hvordan bruddet på personvernet kan få konsekvenser for en person som er registrert hos Nav.
– Tenk deg at du er syk og bor på et lite sted med få bedrifter, der en arbeidsgiver leter etter medarbeidere. Da kan arbeidsgiveren, som kanskje er naboen din, få opp navnet ditt og personopplysningene dine og få vite at du er registrert hos Nav. Det er ikke greit.
Manglende brukermedvirkning
Thoresen mener denne saken er et eksempel på at Nav neglisjerer brukermedvirkning.
– Som AAP-mottaker har du en nedsatt arbeidsevne med minst 50 prosent til ethvert yrke. Det er først når arbeidsevnen din er avklart og konklusjonen er at du har arbeidsevne og det er avtalt med Nav at du skal søke jobb, at din CV bør bli synlig for arbeidsgivere. Du skal være med i denne prosessen og ha en stemme inn. Her har brukermedvirkningen igjen blitt helt borte.
Vi har fått bekreftelse på at syke AAP-mottakere er ringt opp og har fått tilbud om jobb.
Selv sykmeldte som har et arbeidsforhold, er bedt om å registrere CV-en sin på arbeidsplassen.no, ifølgeThoresen.
– Vi har fått bekreftelse på at syke AAP-mottakere er ringt opp og har fått tilbud om jobb. Vi har til og med et eksempel på at en som er ufør, har blitt ringt opp av en arbeidsgiver, fordi CV-en ikke var fjernet fra arbeidsplassen.no etter at vedkommende ble ufør, forteller hun.
Thoresen mener at hver enkelt selv må få avgjøre når arbeidsgivere skal få tilgang til deres CV.
– Noen sier: «Det gjør vel ikke noe om CV-en din er synlig. Du vil vel ha en jobb?» Til det svarer jeg: Ja, men jeg vil ha en jobb når jeg er frisk nok til det. Jeg vil selv bestemme når arbeidsgivere skal få se CV-en min.
Oppdatering 23.2.2021 kl. 17.20: Etter at artikkelen ble publisert, har Nav bedt om å få et tilsvar til noe av det som sies ovenfor. Arbeids- og velferdsdirektør Hans Christian Holte skriver blant annet følgende i en e-post til Velferd.no:
«Sykmeldte blir registrert i Arena under formidlingsgruppe som 'Ikke arbeidssøker', og CV-ene til disse er ikke tilgjengelig for arbeidsgivere.»
Et utfyllende tilsvar fra Holte angående mottakere av arbeidsavklaringspenger (AAP) ligger nederst i artikkelen.
– Kan ha avslørt hemmelig adresse
Noe av det alvorligste i denne saken er at Nav kan ha lagt ut CV-en til personer som bor på hemmelig adresse, mener Thoresen. Det kan eksempelvis dreie seg om kvinner med barn på rømmen fra voldelige menn, og som derfor har hemmelig adresse eller «strengt fortrolig adresse.»
– AAP-aksjonen har allerede fått inn en slik historie hvor telefonnummer og adresse skal holdes skjult av ulike grunner, og hvor CV har vært tilgjengelig for arbeidsgivere. Vi har derfor all grunn til å tro at dette gjelder flere, sier Thoresen.
Oppdatering 23.2.2021 kl. 17.20: Ifølge Nav har CV-er til personer på hemmelig adresse ikke vært tilgjengelige for arbeidsgivere. Arbeids- og velferdsdirektør Hans Christian Holte følgende i en e-post til Velferd.no:
«Personer som har hemmelig adresse med sikkerhetstiltak i kode 6 og 7 er ikke synlige for arbeidsgivere. Det er sperre i systemet for registrering av CV, det er automatisk system for sletting av CV, og det er automatiske kontroller i systemet før søk blir synlige.»
Jeg har liten tro på at Nav vil finne ut av om opplysninger er misbrukt.
Elisabeth Thoresen har liten tro på at Nav vil klare å avdekke misbruk av personopplysningene arbeidsgivere har hatt tilgang til.
– Jeg har liten tro på at Nav vil finne ut av om opplysninger er misbrukt. Men Nav bør komme med en stor unnskyldning til alle som er rammet av denne skandalen, og noen må ta ansvar, sier hun.
(Artikkelen fortsetter under bildet.)
Datatilsynet er koblet inn
Datatilsynet ble varslet om personvernbruddet i Nav onsdag i forrige uke, samme dag som Nav gikk ut offentlig med saken.
Datatilsynet vil nå jobbe med å skaffe seg oversikt over det som har skjedd. Det er for tidlig å si noe om hva som vil bli utfallet av tilsynets behandling av saken, sier direktør Bjørn Erik Thon i Datatilsynet.
På generelt grunnlag sier han at mulige reaksjoner i saker der det har vært brudd på personvernet kan være en irettesettelse eller et overtredelsesgebyr.
Thon har merket seg at mange er berørt i denne saken, men forteller at brudd på personvernet ikke uvanlig.
– Vi får om lag 2.000 avviksmeldinger hvert år, fra private og offentlige virksomhet. En god del er fra det offentlige, blant annet fra kommuner, sier Thon til Velferd.no.
Mange brudd på personvernet skjer i forbindelse med digitaliseringsprosesser. Det kan blant annet skje når man slår sammen databaser, eller når man utvikler en ny app, forteller han.
– Det er nok mangel på kompetanse og bevissthet om personvern i en god del virksomheter, konstaterer direktøren i Datatilsynet.
(Artikkelen fortsetter under bildet.)
Nav vedgår feil
Arbeids- og velferdsdirektør Hans Christian Holte erkjenner at Nav begikk feil i sin vurdering av personvernet i forbindelse med lanseringen av CV- og stillingsdatabasen arbeidsplassen.no i februar 2019.
– Vi gjorde en vurdering av databasen generelt, og vi så også på behandlingen av CV-er i Navs egen regi. Men vi gjorde ikke en ordentlig vurdering av arbeidsgivernes tilgang til CV-ene. Vurderingen vi gjorde i 2019, var mangelfull, sier Holte til Velferd.no.
Selv om det i disse dager er to år siden arbeidsplassen.no ble lansert, er det bare noen måneder siden spørsmålet om mulig brudd på personvernet ble tatt opp i Nav.
– Noen stilte spørsmål ved dette i fjor høst. Siden da har det vært jobbet med å undersøke saken, og i forrige uke trakk vi konklusjonen om at praksis ikke var i tråd med personvernet, sier Holte.
Nav-sjefen påpeker at Nav har meldt inn saken til Datatilsynet og at de har stengt ned arbeidsgivernes tilgang til automatisk søk på CV-ene til jobbsøkere med oppfølging fra Nav på arbeidsplassen.no. Samtidig jobbes det med å informere arbeidssøkere og arbeidsgivere om det som har skjedd.
CV-er til personer som ikke er under oppfølging fra Nav og på eget initiativ har lagt inn CV, er fortsatt tilgjengelig i kandidatsøket, understreker Holte.
Vi sendte ut 10.000 brev før helgen og fortsetter å sende ut brev puljevis.
Brev til alle berørte
Arbeidet er i gang med å sende ut brev til alle de 400.000 som har vært registrert i basen siden den ble etablert.
– Vi sendte ut 10.000 brev før helgen og fortsetter å sende ut brev puljevis. Vi sender ut brevene i puljer for å ha kapasitet til å håndtere eventuelle spørsmål, forteller Holte.
I brevet til brukerne lister Nav opp en rekke mulige konsekvenser av personvernbruddet, som at arbeidsgivere kan ha misbrukt informasjon i CV-er til andre formål enn rekruttering. Nav har imidlertid ikke mulighet til å avdekke eventuelt misbruk, konstaterer Holte.
– Vi kjenner ikke til noe konkret eksempel på misbruk, men vi har ikke mulighet til å se hvilke arbeidsgivere som har sett på den enkelte CV-en. Vi er avhengige av tilbakemeldinger fra de som eventuelt er berørt, for å få kjennskap til dette.
En av de mulige konsekvensene som trekkes fram i brevet til brukerne, er at personvernbruddet kan ha påvirket økonomiske ytelser eller andre rettigheter fra Nav. Holte kan ikke si noe konkret om dette eventuelt kan ha skjedd.
– Dette er noe av det vi skal se på når vi gjennomgår saken, sier han.
Nav-sjefen understreker at Nav fortsatt kan bruke databasen til sin vanlige oppfølging og arbeidsformidling.
– Den kan brukes fullt lovlig, men ikke like effektivt som med det automatiske søket. For å kompensere for det har vi økt aktiviteten med å formidle kandidater direkte til arbeidsgivere, sier Holte.
Oppdatering 23.3.2021 kl. 17.20: I tilsvaret Velferd.no har mottatt fra Nav etter at artikkelen ble publisert, skriver arbeids- og velferdsdirektør Hans Christian Holte følgende om mottakere av arbeidsavklaringspenger (AAP):
«Personer som mottar AAP vil alltid kunne se egen CV på arbeidsplassen.no, men det innebærer ikke at de automatisk har vært tilgjengelig for søk fra arbeidsgivere. For disse personene lå det en melding i systemet om at potensielle arbeidsgivere ikke kunne se CV, og de ble da bedt om å ta kontakt med veilederen sin dersom de ville bli tilgjengelige. Det at en person har mottatt AAP eller eventuelt andre ytelser fra Nav vil ikke framgå av CV.
Det kan være flere årsaker til at personer som er under arbeidsavklaring etter en stund blir tilgjengelig for arbeidsformidling. Eksempelvis kan dette være når en person nærmer seg sluttfasen av AAP-perioden og skal begynne å søke jobber.
I fagsystemet vårt er det en rekke kategorier eller statuser som avgjør om en person ble synlige eller ikke for arbeidsgivere. Dette for å ivareta de personene som ikke skulle være tilgjengelige og som ikke var aktuelle for arbeidsformidling på det gitte tidspunkt.
Nav har ikke hjemmel til å stanse AAP på grunnlag av manglende CV med automatisk visning, heller ikke i perioden brukeren mottar AAP under jobbsøking.»