Varsel om gebyr og pålegg til NAV Datatilsynet

pVisskjul menyppVåre nettsider benytter noen få informasjonskapsler cookies til sikkerhet og analyse I tillegg bruker vi cookies til en valgfri skjemafunksjon der vi ber om samtykke først Les om hvilke vi bruker og hvordan vi administrerer dem i cookieerklæringen vårppDisse støtter opp under kjernefunksjonalitet knyttet til sikkerhet Vi har vurdert disse som nødvendige og de lagres derfor uten samtykkeppDette er nødvendig å samtykke til dersom du ønsker å ta i bruk skjema på nettsidene Den øvrige funksjonaliteten på nettsidene påvirkes ikke dersom du lar være å samtykke Valget du tar her gjelder i inntil 90 dager ppVi bruker sessioncookie til statistikk Det er en ikkeidentifiserbar tilfeldig verdi som forsvinner idet du lukker nettleseren eller etter 30 minuttppDu kan trekke tilbake samtykket når som helst ved å velge administrer cookies nederst på våre siderppDatatilsynet varsler et overtredelsesgebyr på 20 millioner kroner og flere pålegg til Arbeids og velferdsetaten NAV Varselet kommer etter et tilsyn tidligere i høst der vi fant flere alvorlige avvik når det gjelder informasjonssikkerheten i ITsystemene derespp Datatilsynet ser svært alvorlig på denne saken NAV står i en særstilling sett fra et personvernperspektiv og oppgavene som NAV er pålagt medfører behandling av personopplysninger i et stort omfang Det inkluderer svært sensitive opplysninger Vi varsler et høyt overtredelsesgebyr fordi undersøkelsene våre viser grov svikt i håndteringen av slike opplysninger over lengre tid Det sier Datatilsynets direktør Line CollppDatatilsynet gjennomførte et tilsyn hos NAV 6 september i år Den foreløpige tilsynsrapporten ble oversendt til NAV 1 november NAV kom med merknadene sine til rapporten 22 november Datatilsynet har nå utarbeidet en endelig tilsynsrapport og varsler vedtak i sakenppVåre hovedkonklusjoner er at NAV sine styringssystemer ikke er tilfredsstillende for å sikre etterlevelse av personvernregelverket og at sikringen av konfidensialiteten i ITsystemene heller ikke er tilfredsstillende Ettersom dette er et varsel vil NAV ha mulighet til å komme med eventuelle merknader også til varselet ppVarselet om vedtak kan lastes ned nederst i artikkelen ppI det gjennomførte tilsynet så vi på tekniske og organisatoriske tiltak knyttet til tilgangsstyring logg og loggkontroll i ITløsningene hos den statlige delen av NAVppBlant hovedfunnene er at NAV har organisert seg slik at et stort antall ansatte jobber med saker fra hele landet innen flere tjenesteområder og dermed har tilsvarende vide tilganger Samtidig er det ikke etablert noen systematisk kontroll av de ansattes bruk av ITsystemene Resultatet av dette er etter Datatilsynets syn at bruken av ITsystemene i stor grad er tillitsbasert Manglende rutiner og styring gjør at de ansatte ikke har verktøyene de trenger for å forvalte tilliten og ansvaret de blir gittpp NAV utgjør ryggraden i velferdsmodellen som samfunnet vårt er bygget på Flesteparten av norske borgere mottar ytelser fra NAV i løpet av livet Det ligger derfor en innbygd høy personvernrisiko i NAVs virksomhet noe som betyr at det stilles strenge krav til personopplysningssikkerheten sier CollppI vurderingen av overtredelsesgebyrets størrelse har Datatilsynet lagt vekt på at NAV har tilgjengeliggjort særlige kategorier personopplysninger i lang tid og om et høyt antall personer Dette har skjedd uten at nødvendige sikkerhetsmekanismer er etablert Det er også lagt vekt på at NAV har utvist forsett ved overtredelsene blant annet ved ikke å innrette seg etter tidligere pålegg som er gitt av Datatilsynet knyttet til samme forholdpp Overtredelsesgebyr skal være virkningsfullt stå i et rimelig forhold til overtredelsen og virke avskrekkende og vi har i denne saken falt ned på et høyt overtredelsesgebyr sier CollppDatatilsynet har til sammen identifisert 12 brudd på personvernforordningen NAV har derfor også fått varsel om pålegg om å rette opp i disse Påleggene omfatter blant annet å etablere en helhetlig og egnet systematikk for organisatoriske tiltak og iverksette tiltak knyttet til tilgangsstyring Alle påleggene er listet opp nedenfor og i tilsynsrapporten som kan lastes ned nederst i artikkelen I utmåling av gebyret har vi sett hen til at oppfølgingen av bruddene også vil medføre en økonomisk belastning for NAVppNAV vil nå ha tre uker på seg til å gi et tilsvar til varselet Datatilsynet vil så ta stilling til hvordan saken skal avgjøres i vårt endelige vedtakppDatatilsynet har identifisert 12 brudd på personvernforordningen i tilsynet hos NAV ppVarsel om vedtak om pålegg og overtredelsesgebyr pdfppTilsynsrapport pdfpp
kommunikasjonsdirektør
pp
seksjonssjef seksjon for offentlige tjenester
pp
juridisk seniorrådgiver
pp
Datatilsynet
Postboks 458 Sentrum
0105
Oslo
pp
Orgnr
974 761 467
ppKontakt ossppTilgjengelighetserklæringppAndre nettstederp