Merete Jansen

merete.jansen@lomedia.no

– Vi har meldt fra om den dårlige sikkerheten i mange år. Takket være Janne Cecilie Thorenfeldt sin rettssak, har det kommet en del endringer. Dessverre har hun betalt en høy pris, sier hovedverneombud Jens Eskedal i Nav.

Thorenfeldt møtte staten i Oslo tingrett i desember i fjor, blant annet fordi hun mente at for mange Nav-kolleger hadde hatt innsyn i hennes mest personlige helseopplysninger.

Dommeren konkluderte med at det var begått brudd på flere paragrafer i forskriften om hvordan personopplysninger skal behandles (GDPR), men ga henne ikke medhold i at hun burde få erstatning for den personlige belastningen.

Nå har hun bestemt seg for å ta saken videre, og anke er sendt til lagmannsretten.

– Målet mitt er å få en reell endring i Nav, slik at personvernet til alle nordmenn blir ivaretatt, sier hun.

Bakgrunn: Janne Cecilie fikk sjokk da hun skjønte at sjefen hadde snoket i helseopplysningene hennes

Leder visste private detaljer

Hendelsen som etter hvert førte Nav-ansatte Janne Cecilie Thorenfeldt til retten, skjedde i 2016. Hun var sykemeldt etter en alvorlig bilulykke da hun opplevde at nærmeste leder kjente til detaljer om helsen hennes som hun ikke hadde delt med noen på jobben.

Dette fikk henne til å be om en oversikt over hvilke ansatte som hadde sjekket «mappen» hennes i Nav, samme type mappe som etaten har for det store flertallet av nordmenn.

Loggene viste at i løpet av noen år hadde nesten 140 ansatte gjort 1500 søk på navnet hennes. Det kan ha dreid seg om alt fra kun å lese overskrifter på dokumenter eller søke opp personnummeret hennes, til å gå inn i personlige detaljer i helseopplysninger.

Hovedverneombud Jens Eskedal er i likhet med Thorenfeldt opptatt av at dette ikke bare handler om rundt 19.000 ansatte i Nav, men om store deler av befolkningen.

– Nav har flere millioner brukere. Vi sitter på landets største samling av høysensitiv informasjon, som personopplysninger fra sykehus, politi og fengsel. Alle rammes dersom Nav ikke sørger for at systemet er godt nok sikret til at personvernet ivaretas.

Ny feil fra Nav oppdaget: Over 500 personer har fått utbetalt for lite uføretrygd

KRITISK TIL PERSONVERNET: Måten Nav håndterer personvernet på, er fortsatt ikke bra nok, mener (f.v.) tillitsvalgt Jan Runi Yanni Vikan, tillitsvalgt Harald Langstad og hovedverneombud Jens Eskedal. De mener det er for lett for ansatte å sjekke de personlige opplysningene til Navs flere millioner brukere og 19 000 medarbeidere.

Ole Palmstrøm

Eskedal mener det er avgjørende for tilliten ute i befolkningen at også de interne rutinene fungerer optimalt.

– Det er viktig at brukerne ser at de ansatte blir kikket nøye i kortene. Vi har ingen interesse av hemmelighold rundt dette, åpenhet er den eneste måten å få tillit på, påpeker Eskedal.

Han spør seg om ikke Nav har tatt lærdom av EØS-skandalen, der en lang rekke personer ble uriktig dømt for trygdesvindel eller fikk krav om tilbakebetaling av penger.

– Lærte vi ingen ting? Det helt sentrale i den saken var jo nettopp at vi ikke må lukke oss inne og tro at vi sitter på fasiten.

Mye delt: Nav trodde ikke på Geir. Da unnskyldningen kom, ble han paff

For mange kan sjekke

Janne Cecilie Thorenfeldts advokater argumenterte i tingretten for at altfor mange ansatte har kunnet søke fritt i personsensitive opplysninger. Datatilsynet har tidligere påpekt det samme. De utførte tilsyn etter at Thorenfeldt hadde kontaktet dem i 2018.

Nav hevdet på sin side, både i retten og senere overfor FriFagbevegelse, at det er gjort endringer i systemene og at alt nå fungerer som det skal. Det mener Thorenfeldt er misvisende:

– Endringene som er gjort, er bare på papiret og i teorien. Det blir ikke godt nok sjekket hva Nav faktisk driver med. Fortsatt er folk inne i loggen min, selv om jeg ikke har noen «sak» gående med Nav nå.

Harald Langstad, som jobber som tillitsvalgt på heltid for NTL i Nav, støtter opp under påstanden om at langt fra alt er på stell hos arbeidsgiveren. Han kan vise til flere ferske eksempler på at ansatte har tilganger de ikke burde hatt, og at ledere har måter å omgå reglene på dersom de trenger informasjon om egne ansatte.

– Tilgangen skal kontrolleres en gang i året, men det skjer ikke. De har overhodet ingen kontroll, selv om de gir uttrykk for at de har det.

Nav gjentar overfor FriFagbevegelse at de har god kontroll med hvem som kan søke opp hvilke opplysninger i systemene deres. Marianne Fålun, økonomi- og styringsdirektør i Nav, sier at de legger stor vekt på å begrense mulighetene for uberettigede oppslag i kollegers opplysninger når disse er brukere av Nav.

Resten av svaret hennes kan leses nederst i artikkelen.

Denne skaper debatt: Ekspertutvalg vil kutte lønna til uføre som Andrea: – Dummeste jeg har hørt

NTL i ryggen

Thorenfeldt er selv YS-medlem, men hadde NTL i ryggen i tingretten. Harald Langstad sto på saksøkers vitneliste, men det var ikke satt av nok tid i retten til at han rakk å forklare seg. Han stiller gjerne på nytt i en ankesak.

Gjennom mange år som tillitsvalgt i NTL Nav, har Langstad satt seg grundig inn i problemstillingene rundt personvern. Noe av det som opprører ham mest, er hvor lang tid det tar for Nav å erkjenne at de bør opptre på samme måte som de selv krever at andre arbeidsgivere gjør. Det innebærer blant annet å ha separate systemer for refusjon av sykepenger til egne ansatte, i stedet for at man går rett inn i sykemeldingene og sjekker dem selv.

– De som jobber på lønn- og personalavdelingen ble nylig fratatt muligheten til å lete fram opplysninger, blant annet i forbindelse med sykemeldinger. Men det holder å ringe medarbeidere som har dette som oppgave på et kontaktsenter, og be dem om å hente ut de samme opplysningene.

Langstad beskriver den nye ordningen som en kvasiløsning som ikke holder mål.

– Nav er den eneste arbeidsgiveren i landet som har direkte tilgang til ansattes helseopplysninger. Nesten et år etter at Datatilsynet har påpekt at dette ikke er akseptabelt, har de ikke fått til noe bedre. De skylder på at det er så komplisert fordi Nav er så stor. Men hva med for eksempel Forsvaret og Oslo kommune? De er enda større og klarer det fint, påpeker Langstad.

Provosert av regjeringsadvokaten

Det var regjeringsadvokaten som prosederte saken på vegne av Nav og staten i Oslo tingrett. Han sa ting der som provoserte de fremmøtte tillitsvalgte i Nav kraftig.

– Han nærmest truet med at hvis Thorenfeldt får gjennomslag for kravet om erstatning, kan det bli veldig dyrt for staten fordi mange andre kan kreve det samme. Derfor kan man ikke følge loven, sier Eskedal og Langstad.

Jan Rune Yanni Vikan, sentral tillitsvalgt i NTL NAV, føyer til:

– Han sa også på en måte at om bare systemet er stort nok, som Nav, er det systemet som setter kriteriene for innsyn. Selv mener jeg at feil tolkning av GDPR-reglene kan sette oss i en tilsvarende situasjon som EØS-saken hvis dette får fortsette lenge nok, sier Vikan.

Kostbar ankesak

Janne Cecilie Thorenfeldt påpeker at for henne er dette et spørsmål om menneskerettigheter.

– Menneskerettskonvensjonen sier at alle har krav på et privatliv, og det bryter Nav. 

Hun klarer ikke å slippe saken etter at hun tross alt vant fram på mange punkter i tingretten, for dette gjelder alle som er medlem av folketrygden. Men det koster å føre saker i retten når man henter pengene fra egen konto. Nå håper hun at mange som er enig med henne, vil støtte saken hennes med små eller større summer via innsamlingstjenesten Spleis.

Jan Rune Yanni Vikan har tro på at kampen Thorenfeldt fronter, kan føre til bedring, for mange av personvernendringene i Nav er kommet som en konsekvens av pålegg fra Datatilsynet.

Samtidig er både han og de andre tillitsvalgte skeptiske til at det er slik etaten skal finne grunnlag for forbedringer:

– Hvis du får en kultur der du må ha pålegg, eller i verste fall et privat søksmål fra en ansatt, da er det bekymringsfullt.

God kontroll, mener Nav

Nav ønsker ikke å kommentere den konkrete saken til Janne Cecilie Thorenfeldt, men økonomi- og styringsdirektør Marianne Fålun, sier dette om tilgangskontrollen for ansatte i Nav:

– I 2019 startet vi et prosjekt som hadde som formål å bedre personvernet til ansatte. Vi har fått på plass en løsning som gjør at alle ansatte automatisk skjermes i fagsystemene. I tillegg kan de som ønsker det, skjerme sin familie i fagsystemene. For at de som er ansatt i Nav også skal få hjelp fra Nav når de trenger det, ble det opprettet organisatoriske enheter som behandler saker for egne ansatte. Dette gjør at det nå kun er de som har i oppgave å behandle slike saker som har tilgang til informasjon om sine kollegaer. Medarbeidere har også rett til innsyn, slik at de selv kan se hvem som har sett deres opplysninger.

Fålun føyer til at de har innarbeidet jevnlig rapportering over hvor mange som har tilgang til informasjon om ansatte i de enkelte enhetene. Dette mener hun bidrar til å sikre god tilgangsstyring.