Ved innføring av NAV-reformen, var ett av vilkårene at personvernet skulle ivaretas ved sammenslåingen av de ulike etatene. Datatilsynet har siden opprettelsen av NAV hatt god dialog med etaten om dette. Tilsynet opplever at NAV tar personvernutfordringene på alvor og jobber godt med personvernrelaterte problemstillinger. Samtidig er det nødvendig for tilsynet å kontrollere etaten for å vurdere behandling av personopplysninger i praksis.
Kontroller gjennomført i 2007 avdekket at NAV ikke hadde tilfredsstillende systemer for å ivareta kravene til konfidensialitet i personopplysningsloven. Datatilsynet konkluderte med at NAV måtte få på plass logging og oppfølging i sine fagsystemer. I tillegg ble NAV pålagt å etablere tilgangsstyring for å begrense tilgangen til saksmapper til saksbehandlere og andre med et reelt behov for tilgang.
Datatilsynets kontroll i 2010 var en oppfølging av kontrollene i 2007. I tillegg ønsket Datatilsynet å se på NAVs internkontroll. Kontrollen viste at NAV siden 2007 har gjort en rekke nødvendige endringer i enkelte av sine fagsystemer. Samtidig er det tydelig at NAV fortsatt har store utfordringer med å tilrettelegge alle sine systemer slik at de får tilstrekkelig logging og tilgangsstyring. En konsekvens av dette er at NAV i manglende grad kan avdekke uautorisert lesing eller "snoking" i saksmapper. Det er svært mange i NAVsystemet som har tilgang til personopplysninger om et stort antall personer, og det er uheldig at det er vanskelig eller umulig å avdekke "snoking" i saksmapper.
Datatilsynet pålegger NAV å:
Etaten har fått frist til 1. september for å oversende redegjørelse for fremdrift og oversikt over videre planlagte tiltak for å lukke avvikene.
Les vedtak om pålegg, oversendelsesbrev til NAV (pdf i nytt vindu).
Les endelig kontrollrapport her (pdf i nytt vindu).
Les kontrollrapport fra 2007 her (pdf i nytt vindu).