Nav
Janne Cecilie tar kampen for alle Nav-brukere
– Hun tar en modig kamp mot et enormt system, sier Jens Eskedal, hovedverneombud for Nav Oslo.
Nav-ansatte Janne Cecilie Thorenfeldt oppdaget for noen år siden at minst 140 ulike ansatte i Nav hadde vært inne i «mappen» hennes med alt fra legeerklæringer til sykepenger og foreldrepermisjoner. Det var registrert over 1500 søk. Flere av dem som hadde kikket, var kolleger. Mye tydet også på at hennes nærmeste sjef hadde vært inne.
Ole Palmstrøm
merete.jansen@lomedia.no
Nav-ansatte Janne Cecilie Thorenfeldt oppdaget for noen år siden at langt over hundre kolleger i Nav hadde sjekket «mappen» hennes med veldig personlige opplysninger.
Thorenfeldt gikk til sak mot egen arbeidsgiver. Tingrettens dom falt i januar. Hun anket dommen, og nå skal saken snart opp i lagmannsretten.
Hun bruker mange hundre tusen kroner av egen lomme på å få Nav til å sikre folks private informasjon mot innsyn.
– Drivkraften min for å anke, er at dette angår alle, sier hun.
Janne Cecilie Thorenfeldt påpeker at Navs ansatte skulle vært beskyttet mot innsyn fra kolleger, men at det samme gjelder alle som ikke jobber i Nav. Dette er blitt en prinsipiell sak om hvordan personopplysninger bør beskyttes, fastholder hun.
Så godt som alle i Norge er registrert i systemene til Nav, påpeker Janne Cecilie Thorenfeldt. Opplysningene som legges inn, er ofte svært personlige og skal derfor kun være tilgjengelige for et begrenset antall personer, mener hun.
– Alle Navs brukere har krav på beskyttelse!
FriFagbevegelse har stilt flere spørsmål om personvern til Navs ledelse. Økonomi- og styringsdirektør Marianne Fålun svarer blant annet at de har tatt med seg lærings- og forbedringspunkter fra dommen i tingretten.
Les mer om hva Nav svarer nederst i saken.
Det er bare noen uker til Borgarting lagmannsrett starter sin behandling av saken. Hva om det blir tap der? – Jeg kan ikke stoppe nå. Til det er denne saken for viktig, sier Janne Cecilie Thorenfeldt.
Ole Palmstrøm
1500 søk i mappen hennes
Selv oppdaget Thorenfeldt for noen år siden at minst 140 ulike ansatte i Nav hadde vært inne i «mappen» hennes med alt fra legeerklæringer til sykepenger og foreldrepermisjoner. Det var registrert over 1500 søk. Flere av dem som hadde kikket, var kolleger. Mye tydet også på at hennes nærmeste sjef hadde vært inne.
Sist vinter gikk Thorenfeldt derfor til sak mot Nav.
Oslo tingrett ga henne medhold i at det hadde skjedd brudd på personvernet, og at flere instanser hadde vært i mappen hennes uten lovlig tilgang.
Men de mente ikke det var tilstrekkelig sannsynliggjort at belastningen ville utløse erstatning.
En dyr fornøyelse
Thorenfeldt fikk altså ingen erstatning, men måtte heller ikke betale motpartens saksomkostninger. Siden hun selv dekker utgiftene til advokat, ble det likevel en dyr fornøyelse.
– Det har allerede gått med noen hundre tusen til advokathjelp, sier hun.
Og flere kan det bli når saken nå skal opp for retten på nytt.
Thorenfeldts egen fagforening, Delta, har ikke ønsket å sette en advokat på saken. Begrunnelsen er at de mener det ikke er noe å hente.
Via en Spleis som Thorenfeldt opprettet i forrige rettsrunde, kom det inn noe, og dette er hun veldig takknemlig for. Hun synes det er godt å se at til og med ukjente heier på henne. En ny Spleis er opprettet i forkant av ankesaken. Hun håper på videre støtte, men tror det er vanskelig for mange å sette seg inn i hvor viktig dette er.
Økonomisk sett er det lite å tjene på fullt medhold i retten, for et eventuelt erstatningsbeløp vil ikke være av noen særlig størrelse. Kanskje bare noen få tusenlapper.
Håper på ny standard i Nav
Etter at saken hennes ble kjent gjennom media, har mange tatt kontakt for å fortelle om lignende opplevelser. Både Nav-ansatte og andre.
– Min sak er altså ikke enestående, sier Thorenfeldt.
Dette synes Jens Eskedal, hovedverneombud for Nav Oslo, er bekymringsfullt. Hvis ikke Navs systemer gir god nok kontroll med hvem som er inne i hvilke saker, er dette et problem for alle brukere, understreker han.
– Personvernet i Nav må være av ypperste kvalitet.
Eskedal håper rettssaken bidrar til å sette en ny standard for datatekniske løsninger i Nav, innsynsrutiner og tilgangskontroller, og at saken rett og slett blir en vekker for etaten. Han synes det er beundringsverdig av Janne Cecilie Thorenfeldt å gjøre dette på vegne av så mange andre.
– Hun tar en modig kamp mot et enormt system, sier hovedverneombudet.
– Hvis ikke Navs systemer gir god nok kontroll med hvem som er inne i hvilke saker, er dette et problem for alle brukere, sier Jens Eskedal, hovedverneombud for Nav Oslo.
Ole Palmstrøm
Datatilsynet vil ha ny rettspraksis
Datatilsynet ønsker ankerettssaken velkommen. Dette er tilsynet som er satt til å overvåke at bedrifter og offentlige etater blant annet følger reglene i den europeiske personvernforordningen (GDPR)
– Vi heier på all ny rettspraksis på dette området, sier Camilla Nervik, sjef i seksjon for offentlige tjenester.
Hun sier at reglene på enkelte områder i GDPR gir for stort rom for skjønn. Derfor er de glad for alt som kan bidra til å trekke opp grensene for hva som er innenfor eller ikke.
– Hva skal for eksempel til for å fastslå om noen har «lidd skade»? Hvordan definerer man hva som er skade i en slik sammenheng?
Datatilsynet har de siste årene hatt flere tilsyn gående i Nav for å sjekke hvordan etaten behandler personopplysninger. Ved utgangen av 2022 var det to tilsyn som ennå ikke var lukket, eller avsluttet.
Nervik forteller til FriFagbevegelse at Nav har besvart alle deres krav om å redegjøre for hvilke endringer som er gjort. Men tilsynet ønsker mer tid for å avgjøre om det Nav har gjort, er bra nok.
– Kanskje er det det, kanskje ikke, sier hun.
Seksjonssjefen sier tiltakene Nav har beskrevet, framstår som gode, men at de har fungert i for kort tid til å kunne si det sikkert.
Snokingen har fortsatt
Under rettssaken i tingretten for et år siden, hevdet Nav at de hadde gjort store endringer i hvilke ansatte som kunne gå inn i datasystemene der de mest personlige opplysningene ligger lagret. Det skulle blant annet ikke lenger være mulig for sjefer eller Navs lønningskontor å sjekke egne ansatte.
Den generelle regelen i hele Nav, er at de som gjør søk i systemet, skal ha såkalt «tjenstlig behov», altså at de jobber direkte med en sak der de trenger opplysningene.
Thorenfeldt har det siste året ikke hatt noen sak som krever behandling i Nav. Hun mener at det derfor ikke har vært noe behov for å gå inn i hennes mapper. Like fullt viser logger hun nylig har fått utlevert, at en avdelingsleder på et kontaktsenter har vært inne i opplysningene om henne 80–90 ganger siden oktober 2021.
– Dette skjer til tross for at Nav påsto at alle ledere hadde mistet tilgangen sin i 2019, sier Thorenfeldt oppgitt.
Når hun i tillegg er ansatt i Nav, skal eventuelle innsyn skje via bestemte rutiner, og hun skal selv gi fullmakt til at andre kan gå inn i mappen hennes.
Tillitsvalgt mener det ikke er ryddet opp
Harald Langstad, tillitsvalgt for Norsk Tjenestemannslag (NTL) i Nav, skal vitne i lagmannsretten. Han mener Thorenfeldt står sterkere denne gangen:
– Det har i mellomtiden dukket opp et nytt tilfelle som belyser påstandene fra Thorenfeldt og hennes advokater. En sak som viser at Nav ikke følger sine egne retningslinjer, verken når det gjelder styring av tilgang til saksmapper eller kontroll av hvem som har vært inne, sier Langstad.
Hans helt klare oppfatning er at det Nav hevder skal være ordnet opp i, fortsatt ikke er på stell.
Nå håper han saken får et annet utfall i andre rettsrunde.
Er hun påført noen skade?
Tingretten var enig i at Nav hadde brutt flere regler i loven om behandling av personopplysninger. Likevel konkluderte den med at Janne Cecilie Thorenfeldt ikke hadde krav på erstatning.
Forklaringen var at det måtte være en årsakssammenheng mellom lovbruddet og skaden hun var blitt påført. Og retten syntes ikke det var nok at hun sa at opplevelsen gjennom flere år hadde vært en stor mental påkjenning. Selv beskriver hun de siste årene slik:
– Det har vært intenst. Tøft. Et konstant press. Man kan jo selv tenke seg hvordan det er å gå til sak mot et så stort og mektig system som Nav er, når det også er min arbeidsgiver.
Seksjonsleder Camilla Nervik i Datatilsynet sier på generelt grunnlag:
– Bare det å få eksponert opplysninger som ikke skulle vært ute, kan være en skade i seg selv. Retten til beskyttelse er brutt.
Det er bare noen uker til Borgarting lagmannsrett starter sin behandling av saken. Hva om det blir tap der?
– Jeg kan ikke stoppe nå, sier Thorenfeldt.
– Til det er denne saken for viktig.
Nav har mange og gamle datasystemer
Økonomi- og styringsdirektør Marianne Fålun i Nav skriver blant annet dette i en epost til FriFagbevegelse:
«Vi har de siste årene hatt flere større prosjekter som har forbedret de ansattes personvern i Nav», fastholder hun.
– Mener dere at alt er på stell nå?
«Nav har svært mange og til dels gamle datasystemer, så vi arbeider kontinuerlig med å øke personvernet i løsningene, både for brukerne av Nav og når våre egne ansatte er brukere», opplyser Fålun.
Nav har de senere årene har satt i gang flere konkrete tiltak som skal sikre at ansatte og ledere har god kunnskap om behandling av personopplysninger om «egne ansatte» når de blir brukere av Navs tjenester, skriver hun videre.
Nav-direktøren opplyser også at «alle enheter må jevnlig rapportere på hvor mange som har tilgang til «egne ansatte». Tilganger som ikke er strengt nødvendige, slettes fortløpende».
Mye lest: Maren leter etter folk som blir grovt utnyttet i arbeidslivet
Dette er en sak fra
Vi skriver om de ansatte i staten og virksomheter med statlig tilknytning.