Merete Jansen

merete.jansen@lomedia.no

Både ansatte og tillitsvalgte i Nav er kritiske til hvor mange som har tilgang til høyst personlige opplysninger, ikke bare om kolleger, men om de fleste av landets innbyggere.

Janne Cecilie Thorenfeldt møtte for et år siden arbeidsgiver Nav i Oslo tingrett.

Hun ville ha dem dømt for det hun mente var alvorlige brudd på personvernlovene. Retten ga henne delvis medhold, men ikke nok til at hun kunne slå seg til ro.

Denne uken går ankesaken i Borgarting lagmannsrett.

Bakgrunn: Janne Cecilie fikk sjokk da hun skjønte at sjefen hadde snoket i helseopplysningene hennes

Leder visste ting hun aldri hadde fortalt

Et av vitnene som ble ført, var Line Tidemann som også jobber som veileder i Nav, men på et annet kontor.

Hun kom i kontakt med Thorenfeldt da de begge var tillitsvalgte og skjønte at de hadde en helt spesiell sak til felles: De prøvde begge å finne ut av hvordan personvernet i Nav fungerte, og om noen søkte opp informasjon uten at det var behov for det i saksbehandlingen.

– Det startet med at jeg ble kontaktet av et medlem som hadde erfart det samme som Janne Cecilie; En leder visste ting hun aldri hadde fortalt henne, men som var mulig å hente ut fra Navs egne systemer, sier Tidemann.

– Flere ansatte rundt i landet hadde likende erfaringer. Jeg hadde akkurat begynt å gjøre egne undersøkelser da jeg ble satt i kontakt med Janne Cecilie.

Janne Cecilie Thorenfeldt (t.v.) gjør et nytt forsøk på å få Nav til å endre rutinene sine for behandling av personopplysninger. Line Tidemann (t.h.) jobber ved et annet Nav-kontor og har gjort seg de samme erfaringene som Thorenfeldt. Hun vitnet i Borgarting lagmannsrett.

Merete Jansen

Over 1500 søk på henne

Janne Cecilie Thorenfeldt strevde selv lenge med å få innsyn i hvem som hadde vært inne i opplysningene henne i Nav, slik hun har krav på etter lovverket.

Loggene hun etter hvert fikk utlevert, viste at i løpet av noen få år hadde 136 ulike Nav-ansatte hadde vært inne og sjekket «et eller annet» som har med henne å gjøre.

Det kan være alt fra kun å lese overskrifter på dokumenter eller søke opp personnummeret hennes og til å gå inn i personlige detaljer i helseopplysninger.

Til sammen var det gjort over 1500 søk.

Thorenfeldt og advokatene hennes argumenterte i retten for at tilgangsstyringen ikke har vært god nok, altså at det ikke har vært satt nok begrensninger på hvem som kan gå inn og sjekke opplysninger om de flere millioner personene som er registret hos Nav.

Og ikke minst: Hvem som kan sjekke opplysninger om egne kolleger.

Det viktigste for Thorenfeldt har ikke vært å bevise at noen hadde snoket, men å få retten til å fastslå at systemet ikke fungerer.

Les mer: Nav brøt loven overfor egen ansatt. Frikjennes likevel i tingretten

Skjønte ikke hva de hadde i saken å gjøre

Et av vitnene som ble ført i ankesaken, var altså Line Tidemann.

Hun fikk en rekke spørsmål om sine erfaringer med de ulike systemene for loggføring og oppbevaring av opplysninger om Navs brukere. I tillegg ble hun spurt hvordan hun reagerte da hun fikk se loggen til Thorenfeldt.

– Jeg syntes blant annet det var merkelig at så mange kontor utenfor Oslo hadde søkt henne opp, det har jo normalt ligget geografiske sperrer på hva man har tilgang til. Flere av enhetene skjønte jeg ikke at kunne ha noe i saken hennes å gjøre.

En av enhetene som har vært inne, er økonomiavdelingen i Nav. Regjeringsadvokaten, som representerer staten og Nav, forklarte i retten at dette er gjort for å kvalitetssikre utbetaling av sykepenger til Thorenfeldt. Men Tidemann mener det er noe man fint kan få til uten å gå inn i opplysningene på den ansatte.

– Det hadde holdt at de mottok et sykemeldingsskjema direkte fra arbeidstakeren, uten å lete dette opp i Navs egne systemer.

Her mener Tidemann og andre vitner at Nav opererer med to hatter: Både som arbeidsgiver og som statlig forvalter.

– Hvilken annen arbeidsgiver kan skaffe seg direkte tilgang til de ansattes personlige sykeopplysninger, spør både Tidemann og Jens Eskedal, som er hovedverneombud i Nav Oslo.

Det viktigste for Thorenfeldt har ikke vært å bevise at noen hadde snoket, men å få retten til å fastslå at systemet ikke fungerer.

Ole Palmstrøm

– Ikke kontroll på egne systemer

Etter at Janne Cecilie Thorenfeldt kontaktet Datatilsynet og de gjennomførte tilsyn med Nav, har det blitt gjort en god del endringer. Men det er fortsatt ikke bra nok, mener hun.

– De har virkelig ikke kontroll på egne systemer for oppbevaring av sensitiv informasjon. Lederen for sikkerhetsavdelingen sa i dag at det vil koste flere hundretalls millioner å få på plass de systemene som trengs. Så da har vi jo ikke et godt nok personvern i Nav!

Selv om retten bare skal ta stilling til om Thorenfeldt personlig har blitt utsatt for brudd på personvernet, er det stor enighet om at saken er viktig for alle Navs brukere.

Tillitsvalgte fra både YS, LO og Akademikerne har uttalt seg i lagmannsretten. Line Tidemann er både tillitsvalgt for Akademikerne og veileder på et Nav-kontor.

Hun tror brukerne hun selv er i kontakt med, har tillit til at hun ikke deler informasjon om dem med andre.

– Men så lenge informasjonen oppbevares på steder der mange har tilgang, kan de ikke føle seg trygge på at ingen i dette svære systemet misbruker mulighetene sine, sier hun.

På den bakgrunn føler hun ikke at hun som ansatt kan forsikre noen om at opplysningene de har levert fra seg, er i trygge hender.

Hovedverneombud Jens Eskedal i Nav Oslo sier han har meldt fra om den dårlige sikkerheten i flere år.

– Takket være Janne Cecilie Thorenfeldt sin sak, har det kommet en del endringer. Dessverre har hun betalt en høy pris.

Janne Cecilie tar kampen for alle Nav-brukere: – Hun tar en modig kamp mot et enormt system