NAV har ikke kontroll over personopplysninger i arbeidsmarkedstiltak

Datatilsynet mener NAV er behandlingsansvarlig for personopplysninger i forbindelse med flere typer arbeidsrettede tiltak, etter en kontroll hos Arbeids- og velferdsdirektoratet og tiltaksarrangører i fjor.

Vi gjennomførte kontroller hos direktoratet og tiltaksarrangørene Deltagruppen AS, Unikum AS og Fønix AS etter å ha mottatt henvendelser fra registrerte deltagere og arbeidsmarkedsbedrifter med spørsmål om blant annet hvem som har behandlingsansvaret.

Denne problemstillingen har vært et tema over lang tid mellom Datatilsynet og NAV, og allerede i 2009 hadde vi omfattende kontakt for å få avklart plassering av behandlingsansvaret. Som følge av at ansvarsforholdene fortsatt var uklare, mente vi at det var nødvendig å gjennomføre kontroller for å kunne fastslå hvor behandlingsansvaret er plassert.

Uenighet om behandlingsansvar

Arbeids- og velferdsdirektoratet mente at tiltaksarrangørene som NAV hyrer inn alltid er behandlingsansvarlige, men dette er ikke et syn vi støtter. Kontrollene som ble gjennomført var ikke omfattende nok til å ta endelig stilling til hvor ansvaret er plassert i alle de konkrete tiltakene. Vi mener allikevel at kontrollene ga oss nok informasjon til å anta at NAV har behandlingsansvaret i mange av de tiltakene som kjøpes direkte fra forhåndsgodkjente aktører. Dette gjelder for eksempel tiltak hvor målet er å utrede arbeidsevnen til deltagerne.

NAV kan også være behandlingsansvarlig for tiltak som kjøpes gjennom regelverket for offentlige anskaffelser, som for eksempel arbeidsmarkedsopplæringskurs (AMO), oppfølging, avklaring, arbeidsrettet rehabilitering og utredning og behandling av lettere psykiske og sammensatte lidelser.

Vi er derimot mer usikre på tiltak som finansieres direkte til arbeidsgiver eller utdanningsinstitusjoner. I disse tilfellene er vi enige med Arbeids- og velferdsdirektoratet i at aktiviteten ligger utenfor NAVs ansvarsområde. Derfor kan man trolig regne tiltaksarrangørene som behandlingsansvarlige i disse tilfellene.

Avklaring avgjørende for personvernet

Det er viktig å få avklart hvem den behandlingsansvarlige er, fordi rundt 100 000 mennesker i Norge får tilbud om tiltak gjennom tiltaksarrangører. Det betyr at det samles inn en stor mengde med personopplysninger. Vi i Datatilsynet mener det er avgjørende at man vet hvem som har ansvaret for disse opplysningene, for det er først da man sikre at personvernregelverket blir fulgt.

Når NAV regner tiltaksarrangørene som behandlingsansvarlige, betyr det også at de ikke har inngått databehandleravtaler med disse. NAV har dermed liten kontroll over hvordan arrangørene behandler personopplysningene som sendes fra NAV og som behandles på vegne av NAV.

Behov for å forbedre informasjonssikkerheten

Vi så ikke på detaljene for informasjonssikkerheten hos hver arrangør, men vi avdekket at ingen av de kontrollerte virksomhetene logget bruk av datasystemene sine. To av arrangørene manglet også tilgangsstyring på datasystemet sitt, noe som kan bety at sensitiv informasjon kan være tilgjengelig for flere enn de som har god grunn til å ha tilgang på opplysningene. Dette var utenfor tema for kontrollen, og vi fattet ikke fattet vedtak om å endre dette. Vi legger til grunn at de kontrollerte virksomhetene selv følger opp dette.

NAV må i de tilfellene de er behandlingsansvarlige inngå databehandleravtaler med alle tiltaksarrangørene. De må også sikre at personopplysningene til de registrerte deltagerne blir behandlet slik personopplysningsloven krever.

Les vedtak og endelig kontrollrapport her:

Brev om vedtak (pdf)

Endelig kontrollrapport (pdf)