Merete Jansen

merete.jansen@lomedia.no

Daniel ba om dokumenter knyttet til hvordan Nav praktiserer personvern.

I posten kom en minnepinne med sensitiv informasjon om en lang rekke personer.

Han mottok lange lister over privatpersoner som har blitt «snoket på» av ansatte i Nav, helt uten grunn.

Med fullt navn og adresse og hele personnummeret. Noen ganger også med hvilke ytelser de mottar fra Nav, blant annet om de er uføre.

Daniel, som ikke ønsker at vi bruker etternavnet hans, skjønte raskt at dette ikke var ment for ham.

I første omgang leste han ikke videre, men varslet i stedet Nav om at de hadde gjort en alvorlig feil.

– Det er hårreisende! Personvernet i Nav er altfor dårlig, sier han.

Navs sikkerhetssjef beklager overfor FriFagbevegelse det som har skjedd. Les mer av svaret lenger nede.

Nav sitter i utgangspunktet med svært personlig informasjon om så godt som alle landets innbyggere. Noen ganger må ansatte i Nav ha tilgang til slike fakta for å fatte riktige vedtak.

Den muligheten skal imidlertid begrenses så mye som mulig. Ansatte skal heller ikke fritt kunne sjekke opplysninger om egne kolleger.

Så hvordan kunne da store mengder høyst personlige opplysninger havne hos en privatperson?

Daniel hadde i noen år hatt kontakt med Nav om ulike EØS-saker. Flere ganger hadde han bedt om, og fått tilsendt, dokumenter om egen og lignende saker i Nav og i Arbeids- og velferdsdirektoratet.

– Jeg satt etter hvert på nok papirer til å fylle en flyttekasse, sier Daniel til FriFagbevegelse.

I 2018 valgte saksbehandleren i Nav/Direktoratet en annen tilnærming: Dokumentene ble sendt på en minnepinne.

En enkel løsning som hadde en stor brist: Minnepinnen inneholdt altså mer enn det Daniel var interessert i å lese.

Og mer enn det direktoratet ønsket å gi fra seg, for her lå det også opplysninger om interne rutiner knyttet til trusselutsatte personer.

Rådgiveren ved juridisk avdeling i direktoratet kontaktet Daniel og ba ham slette det som ikke var ment for ham.

«Dokument 14 (...) skulle ikke ha blitt gitt innsyn i. Vi ber deg slette dette dokumentet. Vi beklager dette», skrev hun i en e-post FriFagbevegelse har sett.

Det skulle senere vise seg at minnepinnen inneholdt dokumenter som var mye mer problematiske enn dette ene.

Daniel slettet i første omgang alt på brikken og la den i en skuff. Der lå den helt til han i mars lette etter et dokument og fant ut at han skulle gjenopprette filene som var blitt slettet.

Fant strengt fortrolige dokumenter

Under prosessen med gjenoppretting, dukket det opp atskillig mer enn det Daniel hadde sett noen år tidligere.

Det var snakk om flere hundre filer og innhold som fylte flere tusen sider. Han gjorde et raskt søk med KI (kunstig intelligens) for å sjekke om dokumentene inneholdt sensitiv informasjon.

Programmet svarte med en rekke treff på uttrykk som «strengt fortrolig», «hemmelig» og «disse opplysningene skal ikke gis til uvedkommende», forteller Daniel.

– Det handlet blant annet om personer som har hatt konflikter med ekser og Nav-ansatte som ble undersøkt for snoking og økonomisk mislighold. I tillegg til kjendiser og naboer som var blitt slått opp på av ansatte i Nav. Med fullt navn og personnummer, noen ganger også helsedetaljer og annet, sier han.

Minnepinne fra advokatfirma

Minnepinnen var merket med logoen til advokatkontoret Wiersholm som ofte mottar oppdrag fra statlige etater.

Ole Palmstrøm

I 2015 hadde dette firmaet en bestilling fra Nav. Daværende arbeids- og velferdsdirektør Sigrun Vågeng ønsket en ekstern gjennomgang for å finne ut hvor vanlig det er for Nav-ansatte å gjøre «private søk» på personer som ligger inne i systemene deres. 

FriFagbevegelse har spurt kommunikasjonsdirektøren i Wiersholm hva hun tenker om at Nav eller andre gjenbruker minnepinner som stammer fra dem.

Christine Liæker Lindberg svarer at de tidligere har delt ut minnepinner som reklame for firmaet, og at videre bruk av disse ligger utenfor deres ansvarsområde.

Nav beklager

Fra Nav sin side beklager de nå at det ser ut for å ha blitt gjort en feil hos dem i 2018.

– Vi tar denne saken på stort alvor og kommer til å melde fra til Datatilsynet, skriver Haakon Hertzberg, direktør for styringsseksjonen i juridisk avdeling.

At de tar grep først nå, forklarer han med at de ikke har visst noe konkret om innholdet på minnepinnen før helt nylig, da de fikk utfyllende informasjon fra FriFagbevegelse.

– Vi har ikke hatt det fulle bildet fordi han som sitter på den, ikke har ønsket å levere den tilbake. Hvis minnepinnen nå blir returnert til Nav, kommer vi til å følge opp saken videre, skriver Hertzberg.

Daniel mener selv at han i lang tid har ønsket å levere tilbake minnepinnen, og at han varslet Nav umiddelbart da han skjønte hva som var lagret på den.

Bruk av minnepinner

FriFagbevegelse har tidligere spurt Nav om hvilke rutiner de har for å sende minnepinner i posten.

Pressesjef Kaia Storvik svarte at det utelukkende skal benyttes tomme, altså ubrukte, minnepinner. Innholdet kan videre krypteres, så sant mottaker klarer å behandle kryptert informasjon.

Direktør Haakon Hertzberg føyer til:

– Denne saken ligger langt tilbake i tid, og vi har allerede etablert gode rutiner for bruk av minnepinner ved innsynssaker, slik at noe lignende ikke skal skje igjen. 

Til behandling hos Datatilsynet

Daniel har nylig overlevert minnepinnen til Datatilsynet slik at de kan forfølge det avviket han mener å ha oppdaget.

– Jeg kan bekrefte at vi mottok minnepinnen i går, og at vi på bakgrunn av den sendte et krav om redegjørelse til Nav, sier seksjonssjef Camilla Nervik i seksjon for offentlige tjenester.

I kjølvannet av at FriFagbevegelse begynte å jobbe med denne saken, har også Nav sendt en egen avviksmelding til Datatilsynet, knyttet til hendelsen.

– Saken er derfor til behandling hos Datatilsynet. Vi uttaler oss ikke om detaljer i pågående saker, presiserer Nervik. 

Tidligere har hun sagt på generelt grunnlag:

– Man må alltid sørge for at særlig sensitiv informasjon havner hos riktig mottaker. Når man velger måter å sende fra seg dokumenter på, må risikoen stå i forhold til innholdet i det man sender.

Hun understreket at en etat som forvalter sensitiv informasjon om store deler av befolkningen, må ha svært gode rutiner for hvordan den informasjonen deles.

Skal man for eksempel gjenbruke minnepinner, må man sjekke nøye at det ikke ligger noe der fra før, påpeker Nervik.

– Og sender man opplysninger til feil person, kan dette være et brudd på regelverket for personvern.

Egne opplysninger på avveie

Dette var ikke første gang Daniel opplevde at sensitive opplysninger kom på avveie.

Rundt 2020 ba han om å få tilsendt sin egen mappe fra Nav. Den kom aldri fram. Det var heller ikke mulig å spore den opp, for den store bunken papir var sendt som vanlig brevpost og ikke som rekommandert sending.

– Jeg vet fortsatt ikke hvem som har mottatt informasjon om helsen min og mye annet, sier Daniel.

Fra Navs side har han fått bekreftet at dokumentene ER sendt.

Pressesjef Kaia Storvik sier at man kun sender dokumenter i posten til personer som har reservert seg mot digital kommunikasjon.

– Det sendes da som vanlig post. Nesten alle brev fra Nav vil inneholde personopplysninger. Det er straffbart å åpne andres post, påpeker hun. 

Daniel opplyser at han ikke har reservert seg mot digital kommunikasjon og jevnlig får dokumenter fra Nav på Digipost.

Annen personlig informasjon utlevert

Det er ikke bare på minnepinnen at Daniel har funnet høyst personlig informasjon om andre av Navs brukere. Altså personer han ikke kjenner.

I forbindelse med at han har bedt om innsyn i dokumenter som handler om samme tematikk som hans egne saker, har han fått tilsendt mye som burde vært sladdet fra Navs side.

– Jeg har for eksempel kunnet lese brev fra en person som forklarer at hen er autist og derfor har spesifikke utfordringer. Det har også vært en person med fullt navn som opplyser at hen er uføretrygdet, gift med en person fra et annet land og derfor ofte reiser til ektefellens hjemland.

Dette er bare noen få eksempler, forteller Daniel.

Nesten tusen oppslag på 16 måneder

Noe annet som opprører ham, er det store antallet ansatte i Nav som har vært inne i mappen hans i Nav hvor «alt» av opplysninger om helse og andre private forhold ligger lagret.

Dette er samme type forhold som Janne Cecilie Thorenfeldt venter på at menneskerettsdomstolen i Strasbourg skal behandle.

En fersk oppsummering for Daniels del, viser at i løpet av 16 måneder hadde 66 Nav-ansatte i 24 ulike enheter gjort til sammen 987 oppslag.

– Uansett hvor komplisert en sak er, kan det ikke være nødvendig at 66 personer er inne i den. Systemet er også svakt på den måten at man ikke kan se om de har vært raskt innom i noen sekunder eller om de har lest absolutt alt som ligger der.