Varsel om overtredelsesgebyr til NAV

Datatilsynet varsler et gebyr på 5 millioner kroner til NAV for tilgjengeliggjøring av CV-er på tjenesten arbeidsplassen.no uten hjemmel i lov.

CV-ene til arbeidssøkere under oppfølging har vært tilgjengelig for alle arbeidsgivere med tilgang til arbeidsplassen.no. NAV varslet selv Datatilsynet om bruddet da det ble avdekket i februar 2021, og informerte om at en slik publisering uten hjemmel hadde foregått på tilsvarende løsninger siden 2001. Over 1,8 millioner mennesker er berørt.  NAV tok umiddelbart grep, og stengte arbeidsgiveres tilgang til å se CV-ene til arbeidssøkere og varslet berørte. 

- Datatilsynet ser alvorlig på at NAV har tilgjengeliggjort taushetsbelagte opplysninger over lang tid om et så stort antall personer uten lovhjemmel, sier konstituert direktør i Datatilsynet, Janne Stang Dahl.

For å kunne motta tjenester og ytelser, har arbeidssøkere måttet gi fra seg en rekke opplysninger, blant annet i form av en CV. NAV har i tillegg stilt som vilkår at CV-en skal gjøres tilgjengelig for arbeidsgivere på arbeidsplassen.no, et vilkår NAV selv oppdaget at de ikke har hjemmel til å stille. 

- Når det over flere år er stilt feil betingelser for å få dagpenger, er det alvorlig. NAV har imidlertid gjort mye for å rydde opp og varsle berørte da bruddet ble oppdaget, noe som har vært formildende i saken, men vi kommer ikke utenom å varsle et stort gebyr, sier Stang Dahl.

NAV sendte blant annet ut et brev til alle berørte som har vært registrert på arbeidsplassen.no, med informasjon om hva som har skjedd, hvordan de følger opp saken og råd til hva den enkelte bør følge med på for å unngå at opplysninger om de blir misbrukt. Arbeidsplassen.no ble også umiddelbart gjort utilgjengelig.

En rekke type personopplysninger

CV-ene inneholder en rekke typer opplysninger om de registrerte, slik som navn, bosted, fødselsdato, telefonnummer, e-postadresse, utdanning, arbeidserfaring og annen erfaring, kurs, førerkort, tilgang på kjøretøy, godkjenninger (sertifiseringer og lignende), språk, oppgitte kompetanser og jobbønsker.

Datatilsynet har særlig lagt vekt på den maktposisjonen NAV står i overfor brukerne, arten og omfanget av personopplysningene som er tilgjengeliggjort, hvor mange som har hatt enkel tilgang til opplysningene, antallet berørte og varigheten av behandlingen, og det faktum at NAV har brutt grunnleggende og prinsipielle bestemmelser i personvernforordningen.

I tillegg til at NAV meldte inn brudd på personvernregelverket, mottok Datatilsynet  18 klager fra brukere om saken.

NAV kan gi sine tilbakemeldinger og kommentere varselet innen tre uker etter at de har mottatt brevet. Datatilsynet vil så gå gjennom tilbakemeldingen, og fatte et endelig vedtak i saken.

Last ned

Relatert innhold