- Nav sikrer info for dårlig

Datatilsynet var på tilsyn hos Nav i Arbeids- og velferdsforvaltningen (NAV) i mars i år for å undersøke om kontrollenheten Nav Kontroll opererer i tråd med personopplysningsloven, melder Datatilsynet.

Nav Kontroll er en enhet under Nav som undersøker om verlferdsmottakere får det de skal ha, og ikke prøver å lure til seg mer enn de har rett på. Misbruk politianmeldes.

Svært inngripende

I sin rapport av tilsynet hos Nav Kontroll, konkluderer Datatilsynet at Navs kontroller kan være svært inngripende for den enkelte.

Årsaken er at Nav Kontroll henter informasjon om de det gjelder fra offentlige etater, virksomheter eller venner og kjente. Nå må Nav ta grep for å sikre opplysningene som samles inn, og metodene som brukes. For eksempel må Nav informere de som blir kontrollert om at etaten henter inn opplysninger om dem.

Det mest alvorlige er nok at Datatilsynet mener Nav ikke har god nok informasjonssikkerhet. Datatilsynet mener det er for lett å hente ut sensitive personopplysninger for ansatte som ikke skal ha tilgang til slik informasjon.

I tillegg har ikke Nav gode nok rutiner når det gjelder internkontroll med tanke på sletting av opplysninger, mener tilsynet.

Skal informere

Nav har som hovedregel at de som kontrolleres ikke blir informert om at etaten samler inn opplysninger om dem, fremgår det av rapporten.

- Nav har vært kreative innenfor de interne hjemlene og retningslinjene de har, sier Bjørn Erik Thon, direktør i Datatilsynet.

Han utdyper med å si at dette innebærer at Nav kan ringe rundt i den kontrollertes omgangskrets for å hente inn personopplysninger.

- Det er ikke bra å ha en situasjon der for eksempel barnehage og venner vet at du er i Navs søkelys, men at du ikke vet det selv, mener Thon.

Som følge pålegger Datatilsynet Nav å endre rutinene sine slik at de som kontrolleres får beskjed. Nav har også fått beskjed om å etablere rutiner for å slette opplysninger de ikke har lov å oppbevare.

Tilgang for uvedkommende

Rapporten fra Datatilsynet er også kritisk til informasjonssikkerheten i Nav, og viser at etaten mangler et eget saksbehandlingssystem for kontrollsaker.

Slik det er i dag lagres informasjonen i filmapper, og er lett tilgjengelig for langt flere enn det som er meningen.

- Behandling av personopplysninger må gjøres på en slik måte at ingen uvedkommende får tilgang til opplysninger i sakene. Nav må ha oversikt over hvem opplysningene utleveres til og hvem som har tilgang, avslutter Thon.

Kontrollrapporten fra Datatilsynet er tilgjengelig her (PDF), og du kan lese vedtak om pålegg her (PDF).