Varsel om gebyr og pålegg til NAV

Datatilsynet varsler et overtredelsesgebyr på 20 millioner kroner og flere pålegg til Arbeids- og velferdsetaten (NAV). Varselet kommer etter et tilsyn tidligere i høst der vi fant flere alvorlige avvik når det gjelder informasjonssikkerheten i IT-systemene deres.

Oppdatering 5. januar 2024

Vi har mottatt tilbakemelding fra NAV, og vil nå gå nøye gjennom denne. Når vi har gjort vår gjennomgang og vurdering, vil vi fatte vedtak der vi også setter den endelige summen for overtredelsesgebyr. NAV har så mulighet til å påklage vedtaket vårt til personvernnemda.

– Datatilsynet ser svært alvorlig på denne saken. NAV står i en særstilling sett fra et personvernperspektiv, og oppgavene som NAV er pålagt medfører behandling av personopplysninger i et stort omfang. Det inkluderer svært sensitive opplysninger. Vi varsler et høyt overtredelsesgebyr fordi undersøkelsene våre viser grov svikt i håndteringen av slike opplysninger over lengre tid. Det sier Datatilsynets direktør Line Coll.

Bakgrunn

Datatilsynet gjennomførte et tilsyn hos NAV 6. september i år. Den foreløpige tilsynsrapporten ble oversendt til NAV 1. november. NAV kom med merknadene sine til rapporten 22. november. Datatilsynet har nå utarbeidet en endelig tilsynsrapport og varsler vedtak i saken.

Våre hovedkonklusjoner er at NAV sine styringssystemer ikke er tilfredsstillende for å sikre etterlevelse av personvernregelverket, og at sikringen av konfidensialiteten i IT-systemene heller ikke er tilfredsstillende. Ettersom dette er et varsel, vil NAV ha mulighet til å komme med eventuelle merknader også til varselet. 

Varselet om vedtak kan lastes ned nederst i artikkelen. 

Kontroll av tekniske og organisatoriske tiltak

I det gjennomførte tilsynet så vi på tekniske og organisatoriske tiltak knyttet til tilgangsstyring, logg og loggkontroll i IT-løsningene hos den statlige delen av NAV.

Blant hovedfunnene er at NAV har organisert seg slik at et stort antall ansatte jobber med saker fra hele landet, innen flere tjenesteområder, og dermed har tilsvarende vide tilganger. Samtidig er det ikke etablert noen systematisk kontroll av de ansattes bruk av IT-systemene. Resultatet av dette er, etter Datatilsynets syn, at bruken av IT-systemene i stor grad er tillitsbasert. Manglende rutiner og styring gjør at de ansatte ikke har verktøyene de trenger for å forvalte tilliten og ansvaret de blir gitt.

– NAV utgjør ryggraden i velferdsmodellen som samfunnet vårt er bygget på. Flesteparten av norske borgere mottar ytelser fra NAV i løpet av livet. Det ligger derfor en innbygd høy personvernrisiko i NAVs virksomhet, noe som betyr at det stilles strenge krav til personopplysningssikkerheten, sier Coll.

Har identifisert 12 brudd

I vurderingen av overtredelsesgebyrets størrelse, har Datatilsynet lagt vekt på at NAV har tilgjengeliggjort særlige kategorier personopplysninger i lang tid og om et høyt antall personer. Dette har skjedd uten at nødvendige sikkerhetsmekanismer er etablert. Det er også lagt vekt på at NAV har utvist forsett ved overtredelsene, blant annet ved ikke å innrette seg etter tidligere pålegg som er gitt av Datatilsynet knyttet til samme forhold.

– Overtredelsesgebyr skal være virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende, og vi har i denne saken falt ned på et høyt overtredelsesgebyr, sier Coll.

Datatilsynet har til sammen identifisert 12 brudd på personvernforordningen. NAV har derfor også fått varsel om pålegg om å rette opp i disse. Påleggene omfatter blant annet å etablere en helhetlig og egnet systematikk for organisatoriske tiltak og iverksette tiltak knyttet til tilgangsstyring. Alle påleggene er listet opp nedenfor og i tilsynsrapporten som kan lastes ned nederst i artikkelen. I utmåling av gebyret har vi sett hen til at oppfølgingen av bruddene også vil medføre en økonomisk belastning for NAV.

NAV vil nå ha tre uker på seg til å gi et tilsvar til varselet. Datatilsynet vil så ta stilling til hvordan saken skal avgjøres i vårt endelige vedtak.

Dette er bruddene:

Datatilsynet har identifisert 12 brudd på personvernforordningen i tilsynet hos NAV. 

  1. NAV har ikke i tilstrekkelig grad etablert et styringssystem som gir egnede tekniske og organisatoriske tiltak for å sikre og påvise at deres behandling av personopplysninger utføres i samsvar med personvernforordningen, jf. artikkel 5 nr. 2 og artikkel 24 nr. 1 og 2. 
  2. NAVs styrende dokumentasjon for tilgangsstyring mangler egnede tekniske og organisatoriske tiltak for å sikre og påvise at deres behandling av personopplysninger utføres i samsvar med personvernforordningen, jf. artikkel 32 nr. 1 og 2, jf. også artikkel 5 nr. 2 og artikkel 24 nr. 1 og 2.
  3. NAVs styrende dokumentasjon for tilgangsstyring er ikke gjenstand for regelmessig revisjon i henhold til kravene i personvernforordningen artikkel 32 nr. 1 bokstav d. 
  4. NAV har ikke etablert tilfredsstillende organisatoriske tiltak for å sikre at det gjennomføres risikovurderinger i henhold til personvernforordningen artikkel 32 nr. 2 ved etablering og utvikling av fagsystemer. 
  5. Tilgjengeliggjøringen av metadata om dokumenter i Joark er for generell og vid og er ikke forenlig med konfidensialitetsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav f og kravene til personopplysningssikkerhet i artikkel 32 nr. 1. 
  6. NAV har ikke etablert tilfredsstillende organisatoriske tiltak for opplæring av identadministratorer. Konklusjonen vår er at dette er et avvik fra kravene i personvernforordningen artikkel 32 nr. 1. og nr. 4. 
  7. Rutinene for tildeling av tilganger er utdaterte og gir ingen veiledning knyttet til skjønnsmessige vurderinger. Dette er å regne som et avvik fra kravene til organisatoriske tiltak etter personvernforordningen artikkel 32 nr. 1 og nr. 4. 
  8. Tilgjengeliggjøringen av personopplysninger som kun behandles for arkivformål (historiske saker) er for generell og vid og er ikke forenlig med konfidensialitetsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav f og kravene til personopplysningssikkerhet i artikkel 32 nr. 1.
  9. NAV har organisert seg på en måte som gjør at en betydelig andel av brukerne får et tjenstlig behov for å ha vide tilganger. I kombinasjon med et mangelfullt system for loggkontroll (se rapporten punkt 7) er dette ikke forenlig med konfidensialitetsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav f og kravene til personopplysningssikkerhet i artikkel 32 nr. 1. 
  10. NAVs manglende tekniske og organisatoriske tiltak for skjerming begrunnet i individuelle behov er et avvik fra kravet om at sikkerhetstiltak tilpasses risikoen ved behandlingen, jf. personvernforordningen artikkel 32 nr. 1 og 2. 
  11. NAV har ikke etablert tilfredsstillende rutiner for kontroll av enhetslederes årlige revisjon av tilganger. Dette er et avvik fra kravet i personvernforordningen artikkel 32 nr. 1 bokstav d. 
  12. NAV har ikke etablert en systematisk loggkontroll. I kombinasjon med at en betydelig andel av NAVs ansatte har vide tilganger (se rapporten punkt 5.4/avvik 9 ovenfor), blir dette å regne som et avvik fra kravet om å innføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen av personopplysninger utføres i samsvar med personvernforordningen, jf. artikkel 32 nr. 1 og 2, jf. også artikkel 5 nr. 2 og artikkel 24 nr. 1 og 2, og fra kravene til regelmessig kontroll etter artikkel 32 nr. 1 bokstav d.

Last ned