Kontroll med NAV-kontor høsten 2007 - Endelig kontrollrapport

NAV Arbeids- og velferdsdirektoratet Postboks 5 St. Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/16261-3 07/01456-5 /HVE 19. november 2008 Kontroll med NAV-kontor høsten 2007 - Endelig kontrollrapport Datatilsynet gjennomførte høsten 2007 tre stedlige kontroller med etablerte NAV-kontor. Kontrollene ble gjennomført som felles kontroller med Arbeids- og velferdsdirektoratet og kommunene Lier, Hamar og Asker. Kontrollene skjedde med hjemmel i lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) 42 tredje ledd nr. 3. Datatilsynet varslet i brev av 5. desember 2007 om at det ville fattes vedtak om pålegg ovenfor Arbeids- og velferdsdirektoratet. Vedlagt varsel om vedtak fulgte en foreløpig rapport fra kontrollene. Arbeids- og velferdsdirektoratet gav sine kommentarer til varslede pålegg og foreløpig rapport i brev av 9. januar 2008. Lang saksbehandlingstid fra Datatilsynets side beklages. Endelig kontrollrapport De avvik som ble avdekket i kontrollene er nærmere beskrevet i vedlagte kontrollrapport. Rapporten dekker alle tre kontroller, og utdyper forhold både for kommunene som behandlingsansvarlig og direktoratet som behandlingsansvarlig. Det er gjort enkelte endringer ved overgang fra foreløpig til endelig rapport. Der hvor endringen er vesentlige, eller virksomhetens innsigelser ikke er tatt til følge, er kommentarer gitt i form av fotnoter i rapporten. Mindre korrigeringer av rapproten er ikke omtalt. Kommentar Datatilsynet finner behov for å kommentere ett punkt i direktoratets svarbrev av 9. januar 2008. I brevets punkt 1 angis det blant annet For å sikre velfungerende NAV-kontor og en effektiv etat for øvrig, hvor brukere kan få dekket sine behov, er det behov for en relativt bred lesetilgang. Begrepet relativt bred lesetilgang må karakteriseres som upresist. Datatilsynet ser behov for å presisere forventninger om en vesentlig bergrensing av tilgangene innenfor NAV-systemet. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO

Gjennom kontrollene har Datatilsynet avdekket at den enkelte medarbeider er gitt vesentlig større tilgang til personopplysninger enn før innføringer av reformen. Tidligere varslede pålegg krav om status for lukking Datatilsynet varslet i brev av 5. desember 2007 at det ville bli fattet vedtak om følgende pålegg med hjemmel i personopplysningsloven 46: 1. Arbeids- og velferdsdirektoratet må etablere tilfredstillende informasjonssikkerhet hva gjelder tilgangsstyring og logging i samsvar med personopplysningslovens 13, jf. personopplysningsforskriftens 2-11. Det vises til kontrollrapportens punkt 8.1.5.1. 2. Arbeids- og velferdsdirektoratet må begrense gitte tilganger ved NAV Lier i samsvar med personopplysningslovens 13, jf. personopplysningsforskriftens 2-11. Det vises til kontrollrapportens punkt 8.1.5.2. 3. Arbeids- og velferdsdirektoratet må avslutte bruken av Arena som et felles oppfølgingsverktøy med mindre det etableres sikkerhetstiltak i samsvar med personopplysningslovens 13, jf. personopplysningsforskriftens 2-7, 2-8, 2-11 og 2-14. Det vises til kontrollrapportens punkt 8.2.3. 4. Arbeids- og velferdsdirektoratet må etablere tilfredstillende informasjonssikkerhet ved mottak av e-post i samsvar med personopplysningslovens 13, jf. personopplysningsforskriftens 2-11. Det vises til kontrollrapportens punkt 8.6.3. 5. Arbeids- og velferdsdirektoratet må slette unødvendige personopplysninger i sitt e- postsystem i samsvar med personopplysningslovens 28. Det vises til kontrollrapportens punkt 8.6.3. I Arbeids- og velferdsdirektoratets tilbakemelding ble det angitt at varslet pålegg 2 var lukket. Videre ble det angitt en fremdriftsplan hvor det gikk frem at de fleste pålegg nå vil være lukket. Datatilsynet ber derfor om en status for lukking av avvik med bakgrunn i tidligere oversendte plan. Datatilsynet imøteser en orientering om status innen tre uker fra mottak av dette brev. 2 av 3

For avvik som ikke allerede er lukket, vil Datatilsynet fatte pålegg i samsvar med varsel av 5. desember 2007. Med hilsen Leif T. Aanensen avdelingsdirektør Helge Veum senioringeniør Kopi: m/vedlegg Kopi: u/vedlegg Vedlegg: NAV Lier, Pb. 98, 3401 LIER NAV Hamar, Pb. 4120, 2307 HAMAR NAV Asker, Pb. 310, 1372 ASKER Kommunene Lier, Hamar og Asker Endelig kontrollrapport 3 av 3

Saksnummer: 07/01456 07/01457 07/01458 07/01459 Dato for kontroll: NOV 2007 Rapportdato: 10.10.2008 Endelig kontrollrapport Kontrollobjekt: Arbeids- og velferdsdirektoratet Lier kommune Hamar kommune Asker kommune Utarbeidet av: Helge Veum, senioringeniør Stian D. Kringlebotn, rådgiver 1 Innledning Datatilsynet gjennomførte i november 2007 kontroll ved tre lokale NAV-kontorer. Kontorene var Lier, Hamar, og Asker. Alle tre kontorene var såkalte pilot-kontorer og hadde vært i drift i om lag ett år på tidspunktet for kontrollen. Kontrollene ble gjennomført i medhold av personopplysningslovens 44, jf. 42, 3. ledd. De stedlige kontrollene rettet seg mot både kommunen som behandlingsansvarlig og Arbeids- og velferdsdirektoratet (benevnt videre som stat) som behandlingsansvarlig. Den foreliggende rapport omhandler kontrollene: - NAV Lier, gjennomført 1. november 2007 - NAV Hamar, gjennomført 5. november 2007 - NAV Asker, gjennomført 12. november 2007 Temaet for kontrollene var NAV-kontorenes behandling av personopplysninger, innenfor både det kommunale og det statlige behandlingsansvar. Datatilsynet anser gjennomføringen av NAV-reformen for å ha stor innvirkning på personvernet. Datatilsynet ser behov for å følge den faktiske gjennomføringen. I denne runden har tilsynet kontrollert gjennomføringen på de lokale kontorene med primært fokus på behandling av personopplysninger innenfor rammen av de tre tidligere etatene (minimumsløsningen). I det følgende vil Datatilsynet beskrive de faktiske forhold som her er relevante. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Sammendrag I den foreliggende rapporten presenteres følgende hovedfunn: 1. Gjennom NAV-reformen har den enkelte medarbeider fått en betydelig større tilgang til personopplysninger. Dagens tildeling av tilganger er ikke egnet for å skape tillit, også sett i lys av manglende loggfunksjonalitet. 2. NAV synes å ha valgt et verktøy for å følge opp den enkelte tjenestemottaker uten at det etablert grunnleggende informasjonssikkerhetstiltak. 3. De kontrollerte kommunene har ved etableringen av NAV-kontorene ikke sørget for å følge opp sin selvstendige plikt til å sikre personopplysninger. 1 av 27

4. De kontrollerte kommunene hadde ikke tilfredstillende internkontroll. 5. Utformingen av publikumsmottakene ved NAV-kontorene gir store utfordringer med hensyn til å sikre en fortrolig dialog. 3 Innhold i rapporten 1 Innledning... 1 2 Sammendrag... 1 3 Innhold i rapporten... 2 4 Tilstede under kontrollene... 3 4.1 Tilstede under kontrollen med NAV Lier... 3 4.2 Tilstede under kontrollen med NAV Hamar... 3 4.3 Tilstede under kontrollen med NAV Asker... 3 4.4 Fra Arbeids- og velferdsdirektoratet (sentralt):... 3 4.5 Fra Datatilsynet:... 4 5 Gjennomføringen av kontrollene... 4 6 Kort NAV og fagsystemene... 4 7 Generelt om NAV-kontorene... 5 7.1 Generelt om NAV Lier... 5 7.2 Generelt om NAV Hamar... 5 7.3 Generelt om NAV Asker... 6 8 Funn og avvik fra lovbestemte krav til behandling av personopplysninger... 6 8.1 Tildeling av tilganger mellom de behandlingsansvarlige... 6 8.2 Bruk av Arena som oppfølgingsverktøy i NAV... 10 8.3 Informasjonssikkerhet i uttrekksløsningen for personkortet og tilgjengeliggjøring av kommunal desktop - kommunalt ansvar... 12 8.4 Informasjonssikkerhet bruk av logger - kommunalt ansvar... 14 8.5 Internkontroll - kommunalt ansvar... 15 8.6 E-postmottak... 17 8.7 Ivaretakelse av konfidensialitet i publikumsmottak... 19 2 av 27

4 Tilstede under kontrollene 4.1 Tilstede under kontrollen med NAV Lier 4.1.1 Fra kommunen: - Bjørn Harry Støle, kommunalsjef - Elisabeth Sommerfelt, sosialsjef (kommunal leder ved NAV kontoret) - Irene Kildebo, kommuneadvokat - Kjell Arne Reistad, rådgiver rådmannens kontor - Håkon Foss, IKT-konsulent 4.1.2 Fra stat - Bente Jansen, leder NAV Lier - Torunn Sæther, nestleder NAV Lier - Maxlou Lotshall, IKT-ansvarlig NAV Lier - Ola Heen Strømmen, direktør NAV Buskerud - Helge Berger, sikkerhetskoordinator NAV Buskerud 4.2 Tilstede under kontrollen med NAV Hamar 4.2.1 Fra kommunen: - Jon Bernt Hansen, leder NAV Hamar (enhetlig leder, statlig ansatt) - Svein M. Skaaraas, rådmann - Kjell E. Vada, kontroller - Reidun Brandsnes, arkivleder - Jøran Jensen, sikkerhetsansvarlig Hedemarken IKT 4.2.2 Fra stat: - Vidar Høgberget, sikkerhetskoordinator NAV Hedemark - Henning Klauseie, rådgiver 4.3 Tilstede under kontrollen med NAV Asker 4.3.1 Fra kommunen: - Tore Svendsgaard, leder Nav Asker (enhetlig leder, ansatt i Hamar kommune) - Kari Madssen, sosialsjef - Erling Holt, fagansvarlig sosial - Aage E. Johansen, informasjonssikkerhet/ beredskap - Rigmor Hartvedt, avdelingsleder oppfølging 2 4.3.2 Fra stat: - Stig Jørund Reitan, IT-ansvarlig NAV Asker - Per Harsvold, sikkerhetskoordinator - Liv Eli Lindely, NAV Akershus, avd.dir og representant for Ellen Christiansen - Wenche Steen, avdelingsleder publikumsmottak - Ingrid Forstvedt, avdelingsleder oppfølging 1 4.4 Fra Arbeids- og velferdsdirektoratet (sentralt): - Trond Laupstad, sikkerhetsleder (NAV Lier og NAV Hamar) - Tone Gangnæs, seniorrådgiver NDU/PIB (alle kontroller) - Øyvind Karlstad, NDU/PIB (NAV Asker) 3 av 27

4.5 Fra Datatilsynet: - Helge Veum, senioringeniør (alle kontroller) - Stian D. Kringlebotn, rådgiver (alle kontroller) 5 Gjennomføringen av kontrollene Kontrollene ble gjennomført etter følgende agenda: 1. Åpningsmøte, felles 2. Orientering ved NAV-kontoret om kontorets form og arbeidsmetoder, felles 3. Gjennomgang av fysisk utforming ved kontorets publikumsmottak, felles 4. Samtale med den kommunale ledelse om ivaretakelse av personopplysningslovens plikter, kommunen 5. Samtale med informasjonssikkerhetsansvarlig, kommunen 6. Samtale med lokal ansvarlig (og evt. sentral representant), Arbeids- og velferdsdirektoratet 7. Verifikasjoner gjennom samtaler med ansatte og innsyn i rutiner og informasjonssystem, felles 8. Sluttmøte Møtetid under kontrollene var fra kl. 09.00 til 15.30. Kontrollene ble gjennomført ved det enkelte NAV kontor. 6 Kort NAV og fagsystemene NAV-reformen innebærer at tjenestene fra tidligere Aetat, Trygdeetaten og sosialtjenesten i kommunene samles i en felles førstelinje med felles lokale kontorer. Aetat og Trygdeetaten er slått sammen til en ny Arbeids- og velferdsetat. Det etableres NAV-kontor i alle landets kommuner, og på tidspunktet for kontrollene var det etablert omtrent 100 slike kontorer. Arbeids- og velferdsforvaltningsloven trådde i kraft den 1. juli 2006, og regulerer samarbeidet mellom kommune og stat. I praksis berøres hele befolkningen av reformen gjennom det vide tjenesteområdet. Det vil foregå felles tjenesteyting og deling av informasjon ved de lokale NAV-kontorene. Det er tre sentrale fagsystemer i bruk ved de enkelte NVA-kontorene. Arena fra tidligere Aetat, Infotrygd fra tidligere Trygdeetaten og kommunes sosialapplikasjon. I tillegg kommer Personkortet 1, som er opprettet for deling av grunninformasjon fra de øvrige fagsystemene. Kun brukere ved lokale NAV-kontor har tilgang til opplysninger i Personkortet som er hentet fra sosialfagsystemet. 1 Presisert ved overgang fra foreløpig til endelig rapport etter tilbakemelding fra NAV-direktorat. 4 av 27

7 Generelt om NAV-kontorene 7.1 Generelt om NAV Lier NAV Lier ble tildelt pilotstatus i mars 2006, og åpnet NAV-kontoret i oktober samme år. NAV-kontoret forestår statlige og kommunale tjenesteyting for innbyggerne i Lier kommune innefor alle de tidligere tre etatenes virkeområde. Kommunen og staten har valgt å gå noe ut over den såkalte minimumsløsningen i samarbeidet. I tillegg til økonomisk sosialhjelp, har kommunen tatt med gjeldsrådgivning, og tjenester på feltene flyktninger, rus og bolig. NAV-kontoret er organisert med en administrativ, statlig leder. Den statlige lederen hadde ikke instruksjonsmyndighet over den kommunale siden, representert ved NAVkontorets nestleder som også er sosialsjef og stedfortredende leder for den statlige leder. I tillegg har kontoret en statlig nestleder. Kontoret har dermed ikke en enhetlig ledelse, men en delt ledelse. Staten og Lier kommune hadde ikke gitt hverandre fullmakt til å fatte vedtak innefor hverandres fagområder. Lier kommune hadde ved inngangen til 2006 nærmere 22.000 innbygger. Det er omtrentlig 23 statlige og 20 kommunale årsverk ved NAV kontoret. Gjennom en normal dag ble antallet besøk av brukere anslått til å være mellom 100 og 135. NAV-kontoret var organisert i tre team sortert etter arbeidsmarkedsområdene kommunalt og offentlig (1), handel og service (2) og industri og primær (3). Funksjonen i mottaket, med unntak av betjening av hurtigskranke, gikk på rundgang for de tre teamene. 7.2 Generelt om NAV Hamar Nav kontoret ved Hamar ble opprettet den 1. oktober 2006, og betjente da også Løten og Stange innen arbeidsmarkedsområdet. Løten har siden fått eget NAV-kontor, og Stange vil få det i 2008. Hamar kommune har en befolkning på ca 28.000. Kontoret har over 100 ansatte, og er i endring. NAV Hamar har valgt en ledelsesmodell med enhetlig ledelse. Lederen er statlig tilsatt. NAV Hamar har en midlertidig organisering med fagteam. Det inngår mer i NAV-kontoret enn hva som kalles minimumsmodellen. Disse tjenestene knyttet til sosialtjenesteloven inngår i NAV-kontoret: - Kapittel 3 Sosialtjenestens generelle oppgaver - Kapittel 4: 4-1 Opplysning, råd og veiledning, 4-3a Rett til individuell plan, og 4-5 Midlertidig husvære - Kapittel 5 Økonomisk stønad - Kapittel 6 Særlige tiltak for rusmiddelbrukere, herunder samarbeid med frivillige organisasjoner innen Hamar-modellen og drifts- og samarbeidsavtaler knyttet til denne. I tillegg inngår Arbeidstreningsgruppen, som har et selvhjelpsperspektiv og arbeidsrettet fokus. 5 av 27

7.3 Generelt om NAV Asker NAV Asker ble valgt som pilot i mars 2006, og kontoret åpnet i oktober samme år. Asker kommune hadde 1. januar 2007 drøye 52 000 innbyggere. Antallet innbyggere er i vekst. NAV Asker har valgt en ledelsesmodell med enhetlig ledelse. Lederen er ansatt i Asker kommune. NAV kontoret har 93 ansatte, fordelt på 18 kommunalt ansatte og 75 statlige ansatte. NAV Asker har valgt minimumsløsningen med hensyn til hvilke deler av kommunal virksomhet som inngår i NAV-kontoret. NAV-kontoret ligger riktignok samlokalisert med annen kommunal virksomhet. NAV Asker er organisert med en teamstruktur. Hvert team har ansatte med ulik kompetanse fra de tre tidligere etatene. Ett team håndterer publikumsmottaket. Dette temaet har også oppfølging av nye brukere i inntil 12 uker. Etter dette overtar oppfølgingsteamene 1 og 2. I tillegg finnes ett team hvis hovedarbeid er knyttet til stønader på familieområdet og til enslige forsørgere, samt stønader på pensjonsområdet. 8 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 8.1 Tildeling av tilganger mellom de behandlingsansvarlige Tidligere Trygdeetaten, Aetat og kommunenes sosialtjeneste behandler til sammen omfattende mengder sensitive personopplysninger om nær sagt alle borgere. Datatilsynet uttrykte i høringen til NAV-loven en bekymring for at reformen ville medføre en vesentlig tilgjengeliggjøring av sensitiv informasjon om den enkelte. Datatilsynet sa følgende: For Datatilsynet vil det være uakseptabelt dersom en ved sammenslåingen ikke legger til grunn et prinsipp - også for utviklingen av IKT-systemet, om at ingen skal ha tilgang til flere personopplysninger enn de som de trenger for å utøve sine arbeidsoppgaver forsvarlig, og at ethvert oppslag de ansatte gjør skal logges og loggene kontrolleres. 2 Tilsynets, og øvrige høringsinstansers, syn ble kommentert i odelstingsproposisjonens kapittel 9.7. Her står blant annet følgende: Hensynet til taushetsplikt og personvern må ivaretas ved summen av de lovreglene, sikkerhetstiltak, prosess og mekanismer for styring av tilgang til informasjon i IKTsystemene og regimet for kontroll og oppfølging av dette som tilrettelegges. For å ivareta informasjonssikkerhet, herunder sikre prinsippet om at ingen skal ha tilgang til flere personopplysninger enn det de trenger for å utøve sine arbeidsoppgaver, er det viktig med et kontrollregime som følger opp informasjonssikkerheten. 2 Ot.prp. nr. 47 2005-2006 Om lov om arbeids- og velferdsforvaltningen ( ), s. 66 6 av 27

Både etaten og de felles lokale kontorene vil forvalte store mengder sensitive personopplysninger. Dersom det ikke etableres et tydelig regime for informasjonssikkerhet, er dette en risiko. 3 Datatilsynet forstår at også lovgiver så det som nødvendig at ytterligere sikkerhetstiltak ble etablert utover det de enkelte fagsystemene hadde ved inngangen til reformen. 8.1.1 Generelle observasjoner Det er to sentrale avtaler mellom kommunene og NAV-direktoratet. Det er oppkoplingsavtalen, som kun regulerer forhold rundt personkortet, og det den lokale samarbeidsavtalen. Oppkoplingsavtalen regulerer i detalj forhold rundt personkortet. Dette inkluderer avklaringer av behandlingsansvar for de ulike opplysningene. Det går klart frem at kommunen er behandlingsansvarlig for opplysninger trukket ut fra det kommunale fagsystemet. Under kontrollene kom det frem at tilsvarende avklaringer ikke var gjort med hensyn til tilgangen til fagsystemer mellom statlig og kommunal ansvarlig. Det ble her pekt på den lokale samarbeidsavtalens generelle termer om samarbeid, og at det ga tilstrekkelig grunnlag for å gi tilgang til hverandres fagsystemer. Hvordan behandlingsansvaret fremstod ved bruk av hverandres fagsystemer var ikke drøftet i avtalene mellom kommune og stat. Ved direkte spørsmål til de kommunalt ansvarlige om hvordan ansvaret og rettslige rammer ved føring av opplysninger innen for det kommunale tjeneseteområdet i et statlig system stilte seg, kunne de ikke gjøres tilstrekkelig rede for dette. Det er senere i rapporten diskutert konkret bruken av Arena som oppfølgingsverktøy. Personkortet har blitt fremhevet som et samhandlingsverktøy i NAV. Personvernkonsekvensene ved dette har blitt grundig diskutert, og avtaler har blitt etablert for å regulere bruken. At saksbehandlerene i stat og kommune, samt i tidligere Aetat og Trygdeetat, gis tilgang i hverandres systemer, fremstår imidlertid som lite utredet generelt. På lokalt nivå fremstod praksisen som lite regulert 4. Konsekvensene for personvernet ved at det gis tilgang i hverandres systemer fremstår imidlertid som vesentlig større enn ved innføringen av personkortet. Etter Datatilsynet forståelse, har det ikke blitt etablert avhjelpende sikkerhetstiltak, som utvidet logging eller tilpasset tilgangsstyring, parallelt med at antallet brukere har blitt omtrent doblet. 3 Ot.prp. nr. 47 2005-2006 Om lov om arbeids- og velferdsforvaltningen ( ), s. 71 4 NAV-direktorat ga kommentarer til dette punkt i foreløpig rapport knyttet til at praksisen var omtalt som uregulert. Dette er nyansert noe i endelig rapport. Det pekes imidlertid på at tildelingen av tilganger ble gjort ut i fra udokumenterte prinsipper, samt at gitte tilganger hadde vært vide. 7 av 27

8.1.2 Tildelte tilganger ved NAV Lier Av ansatte i kommunen har 18 av 20 fått tilgang til de statlige systemene Infotrygd og Arena. Alle disse har tilgang til Arena i kategorien sensitiv. De resterende to har enten Infotrygd- eller Arenatilgang. Tilsynet har ikke vurdert tilganger innad i staten, men det tas utgangspunkt i at denne ikke er mindre enn hva som er gitt tilgang til for kommunalt ansatte. Alle statlige saksbehandlere har fått tilgang til Oscar, som er den kommunale fagapplikasjonen. Kort oppsummert, har de aller fleste ansatte ved NAV Lier nå tilgang til alle de tre fagapplikasjonene, samt Personkortet. Samtlige medarbeidere hadde tilgang til personkortet. Det ble imidlertid opplyst at dette ikke ga tilstrekkelig informasjon, blant annet med hensyn til informasjon om hvem som var aktiv saksbehandler for personen. Det ble opplyst at problemstillingen ikke var meldt videre inn i NAV. Under kontrollen kom det frem at både gitte tilganger til fagsystem under hverandres ansvar (Infotrygd og i sosialapplikasjon) ble lite benyttet. I et tilfelle ble det gitt uttrykk for overraskelse over at tilgangen i Infotrygd hadde vært benyttet for de fleste medarbeiderne. Det kom imidlertid frem at dette kunne være i forbindelse med gjennomført opplæring. 8.1.3 Tildelte tilganger ved NAV Hamar Av 36 kommunalt ansatte har 17 fått tilgang til Infotrygd, og 19 har tilgang til Arena. Så godt som alle Arenatilganger er med tilgang til graderingen sensitiv, eller mer. De kommunalt ansatte som har tilgang til statlige fagapplikasjoner, har tilgang til både Infotrygd og Arena. Dette gjelder omtrent halvparten av de kommunalt ansatte. Alle de kommunalt ansatte har fått tilgang til Personkortet, i en eller annen variant. Det førende prinsippet er, slik Datatilsynet forstår, at de som jobber i mottaket eller med oppfølging har tilgang til alle tre fagapplikasjonene i tillegg til Personkortet. 8.1.4 Tildelte tilganger ved NAV Asker Under kontrollen mottok tilsynet en oversikt over ansatte med deres tilganger i de forskjellige fagsystemene og Personkortet. Om en trekker fra de som er oppgitt å være i permisjon, samt en person som ikke har noen tilganger (antatt nyansatt), gjenstår 88 personer: - Alle 88 har tilgang til personkortet. - 70 av 88 har tilgang til Infortrygd (forskjellige tilganger) - 66 av 88 har tilgang til Arena (forskjellige tilganger) - 32 har tilgang til Sosio (forskjellige tilganger) Dersom tilgangen til fagsystemer hadde vært likelig fordelt på alle, ville alle ansatte hatt tilgang til 2 fagsystemer, samt personkortet. Om en ansatt kun har tilgang til ett fagsystem, er dette i hovedsak Infotrygd (gjelder snaue 20 personer). 8 av 27

Det gjøres oppmerksom på at NAV Asker trolig var det kontoret som, sett i lys av antallet ansatte, hadde delt ut færrest tilganger, og som i større grad enn andre hadde valgt mer begrensede tilganger i Arena (sensitiv var ikke tildelt som en standard). 8.1.5 Konklusjon 8.1.5.1 Konklusjon generelt Etter kontrollen med NAV-kontorene kan følgende oppsummeres: - Antallet brukere i de enkelte fagsystemene har blitt omtrentlig doblet. - Informasjonsmengden den enkelte har tilgang til har blitt betydelig utvidet. - Det er ikke innført kompenserende tiltak i form av tilpasset logging, kontroll av logger og tilgangsstyring. - Tilgangen til fagsystemene på tvers av ansvarsgrensene fremstår som lite regulert. Datatilsynet er av den oppfatning at det ikke er innført nødvendige tiltak for å sikre både en nødvendig deling av informasjon og ivaretakelse av grunnleggende personvernhensyn. Innføring av sikkerhetstiltak, slik det fremgikk av odelstingsproposisjonen nevnt ovenfor, anses ikke som etablert. Datatilsynet ser behov for to kritiske tiltak i denne sammenhengen: - etablering av logging og oppfølging av loggene, og - etablering av en tilgangsstyring som begrenser tilgangen til kun å gjelde den som faktisk deltar i tjenesteytingen ovenfor den konkrete tjenestemottakeren. Dagens tildeling av tilganger er ikke egnet for å skape tillit, også sett i lys av fraværet av egnet loggfunksjonalitet i de statlige systemer. Utbedringer på dette området ses som en forutsetning for en vellykket gjennomføring av reformen. At NAV-reformen har betydelige implikasjoner for personvernet har lenge vært klart. I denne forbindelse har Personkortet vært forholdsvis grundig utredet og regulert. Dette har vært viktig, men kan likevel vise seg å ha blitt undergravd av det faktum at flesteparten av de ansatte gis tilgang til to eller alle tre fagapplikasjonene som Personkortet henter nøkkelinformasjon fra 5. 5 NAV-direktorat ga følgende kommentarer til dette punktet i foreløpig rapport: Det hevdes at Personkortet undergraves ved at det gis tilganger til underliggende fagapplikasjoner. Etter vår oppfatning er dette en for enkel tilnærming. Skal saksbehandler kunne tilby bruker en tjenesteyting som tilfredsstiller målene, er Personkortet ikke tilstrekkelig. Dette da Personkortet kun gir en visning av underliggende informasjon, og ikke er et system det lar seg registrere opplysninger i. Som et eksempel: skal endring av kontonummer foretas må dette skje i Infotrygd / Arena / Socio - Personkortet er ikke til nytte. Hensynet til effektivitet og helhetlig bistand overfor bruker tilsier at disse operasjonene foretas i en prosess av samme saksbehandler. Datatilsynet har ikke funnet grunnlag for å endre beskrivelsen. Det vesentlige budskapet i avsnittet, er at det er personkortet som har vært grundig utredet, mens den bruken som har størst innvirking på personvernet, tilgang i hverandres systemer, fremstår som mindre utredet. 9 av 27

Datatilsynet betrakter praksisen i NAV for å være i konflikt med personopplysningslovens 13, jf. personopplysningsforskriftens 2-11 om konfidensialitetssikring. Datatilsynet ser det som skjerpende at intensjonene om bedret informasjonssikkerhet slik det fremgikk i odelstingsproposisjonen ikke synes fulgt opp. 8.1.5.2 Konklusjon spesielt for NAV Lier I tillegg til det ovenfor beskrevne, fremstår enkelte av de tildelte tilganger ved NAV Lier som direkte unødvendige, slik det fremgår av rapportens 8.1.2. Dette anses å være i konflikt med personopplysningslovens 13, jf. personopplysningsforskriftens 2-11. Avviket gjelder både under behandlingsansvaret til Lier kommune og NAVdirektorat. Forholdet ses også som et avvik fra egne rutiner 6 hvor det konkret sies Leder er ansvarlig for at ingen medarbeidere gis tilgang til IKT-systemer eller informasjon ut over det som er helt nødvendig for å utføre pålagte arbeidsoppgaver (tjenstlig behov). 8.2 Bruk av Arena som oppfølgingsverktøy i NAV 8.2.1 Krav i regelverket Personopplysningslovens 13 stiller krav om tilfredstillende informasjonssikkerhet. Utfyllende bestemmelser er gitt i personopplysningsforskriftens 2. kapittel, og her konkret: - 2-7 med krav til organisering, hvor det blant annet kreves at bruk av informasjonssystemet, med betydning for informasjonssikkerheten, skal utføres i henhold til fastlagte rutiner, - 2-8 og 2-14 om registrering av autorisert bruk og forsøk på uautorisert bruk, og - 2-11 om konfidensialitetssikring. 8.2.2 Generelle observasjoner Det ble under de tre kontrollene opplyst at fagapplikasjonen Arena var planlagt, og til en viss grad besluttet, benyttet som et oppfølgingsverktøy for NAV. Intensjonen var at kontakt med brukerne kunne loggføres i Arena for å sikre en helhetlig oppfølging av den enkelte. Det fremkom under kontrollene at det ikke var endelig avklart hva som skulle føres i Arena for oppfølgingsformål, og at det som en naturlig følge ikke var fastsatt rutiner for dette. Datatilsynet ble ikke gitt inntrykk av at det var vurdert om Arena var egnet til å beskytte sensitive personopplysninger ved en utvidet bruk. Etter hva tilsynet forstod, var det kun gjort en beslutning om å satse på Arena som oppfølgingsverktøy. Ved enkelte NAV kontorer ble det opplyst at en viss utvidet bruk av Arena var påbegynt. Praksisen fremstod imidlertid som noe tilfeldig. 6 Felles sikkerhetsnormer for Arbeids- og velferdsforvaltningen v 1.3, Appendiks B, punkt 1.3. 10 av 27

Ved NAV Asker fikk tilsynet overlevert dokumentet strategi for oppfølging av brukere i NAV av NAV-direktorat og Sosial- og helsedirektoratet datert 15. mars 2007. Tilsynet bemerker at dokumentet ikke regulerer hvordan oppfølging skal gjennomføres med hensyn til registrering i fagsystemer. Etter Datatilsynets kjennskap, og det opplyste, har ikke Arena en tilgangsstyring som har geografiske begrensinger, eller begrensinger som følger de som er involvert i samhandlingen om en enkelt bruker. Etter hva Datatilsynet forsto var det i Arena etablert tilgangsstyring i kategoriene sensitive opplysninger med en underkategori medisinske opplysninger. Populasjonen av personer man hadde tilgang på var imidlertid på nasjonalt nivå. Etter det opplyste var det ikke etablert generell logging av oppslag i Arena, og som en naturlig følge heller ikke etablert oppfølging av logger. Under kontrollene ble det også stilt spørsmål om hvem som var å anse som behandlingsansvarlig for slik oppfølgingsinformasjon innenfor det kommunale tjenesteområdet som ble ført i Arena. 8.2.3 Konklusjon Datatilsynet betrakter en bruk av et fagsystem som ikke har grunnleggende mekanismer for tilgangsstyring på nasjonalt populasjonsnivå som svært uheldig. Arena er, etter Datatilsynets forståelse, utviklet for bruk innenfor tjenesteområdet til tidligere Aetat. En utvidet bruk av Arena til også å gjelde oppfølgingsnotater utover dette, er etter Datatilsynets syn ikke akseptabelt med mindre det gjøres vesentlige utbedringer i systemet. Selv om tjenesteytingen på arbeidsmarkedsområdet til en viss grad foregår på nasjonal basis, er det ikke akseptabelt at notater om oppfølging i NAV generelt gjøres tilgjengelige på nasjonal basis gjennom Arena. Arena mangler vesentlige funksjoner for å ivareta konfidensialitet etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-11. Fraværet av tilgangsstyring suppleres av manglende funksjonalitet for logging i samsvar med personopplysningsforskriftens 2-8 og 2-14. Det var på tidspunkt for kontrollen ikke klart i hvilken utstrekning Arena skulle benyttes i oppfølgingen. Kravet om rutiner for bruk etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-7, kan derfor ikke sies å være tilfredsstilt. Avviket knyttes til NAV-direktorat som behandlingsansvarlig. Det pekes videre på behovet for å avklare behandlingsansvaret, og eventuelt hjemmelsgrunnlag for å utlevere opplysninger ved behandlinger under den kommunale tjenesteyting som blir ført i de statlige applikasjonene. Det bemerkes at Datatilsynet her har vurdert den utvidede bruken av Arena, og at konklusjonene er begrenset til dette. Tilsynet vil imidlertid vurdere å senere kontrollere den øvrige bruken av Arena. 11 av 27

8.3 Informasjonssikkerhet i uttrekksløsningen for personkortet og tilgjengeliggjøring av kommunal desktop - kommunalt ansvar Teknisk løsning og funn under tilsynet fremstod som like for de tre kontrollerte kommunene, og diskuteres derfor samlet. To sentrale kontrollpunkter for risikovurdering var implementering av uttrekkløsningen for personkortet, og tilgjengeliggjøring av kommunal desktop i NAVs informasjonssystem. For uttrekksløsningen er det i kommunenes informasjonssystem plassert inn en løsning for uttrekk av data fra de kommunale sosialfagapplikasjonen til personkortet. Endringen medfører både behov for å dokumentere sikkerheten for kommunene generelt (gjenværende data), og for de data som kan trekkes ut. For tilgang til kommunal desktop, kan de ansatte ved NAV-kontoret gis tilgang til det kommunale informasjonssystemet ved at deler av dette gjøres tilgjengelig over NAVstats infrastruktur. Dette reiser spesielt spørsmål om i hvilken grad kommunene har kontroll med aksessen som gjøres mot det kommunale fagsystemet. Diskusjonen her omhandler forhold som kommunene er behandlingsansvarlig for. 8.3.1 Krav i regelverket Personopplysningslovens 13 stiller krav om at virksomheten etablerer tilfredstillende informasjonssikkerhet gjennom planlagte og systematiske tiltak. Personopplysningsforskriftens 2-4 stiller krav om av virksomheten dokumenterer tilfredstillende informasjonssikkerhet gjennom bruk av risikovurderinger. 8.3.2 Funn Uttrekksløsning for personkortet Kommunene kunne ikke fremlegge risikovurderinger med hensyn til den risiko implementeringen av uttrekksløsningen for personkortet medførte for kommunenes informasjonssystem. Det ble generelt gitt uttrykk for en tillit til at løsningen burde være tilstrekkelig kvalitetssikret gjennom NAV og leverandør. Tilgang til kommunal desktop Kommunene kunne ikke fremlegge risikovurderinger med hensyn til den risiko tilgjengeliggjøring av kommunal desktop medførte for kommunenes informasjonssystem. Kommunene hadde gjort den sosialfaglige kommunale desktoppen tilgjengelig gjennom NAV-stats informasjonssystem ved bruk av en terminalserverløsning. Kommunene kunne ikke i særlig grad gjøre rede for i hvilken utstrekning desktoppen var tilgjengelig i NAVs informasjonssystem, utover ved det lokale kontoret. Under kontrollen fikk Datatilsynet følgende forståelsen av tilgjengeliggjøringen: Den kommunale desktop gjøres tilgjengelig i NAVs informasjonssystem basert på 12 av 27

tilgangsstyring. Det blir ikke skilt i systemet etter hvilken arbeidsstasjon medarbeideren faktisk befinner seg ved, verken på lokalt kontor eller totalt i NAVs informasjonssystem. I tillegg til NAV-påloggingen kommer det en påfølgende pålogging til kommunenes informasjonssystem. All pålogging skjedde ved bruk av svak autentisering (brukernavn og passord). NAV-informasjonssystemet vil inkludere alle NAV lokasjoner i Norge, samt NAV Servicekontor Spania 7. 8.3.3 Konklusjon 8 Manglende risikovurderinger av endringer i informasjonssystemet som har vesentlig betydning for kommunenes informasjonssikkerhet ses som et avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens 2-4. Det bemerkes at det ikke nødvendigvis må være kommunene som gjennomfører vurderingen, men kommunene må være kjent med resultatet og ta selvstendig stilling til om løsningen gir akseptabel risiko. Kommunene, som selvstendige behandlingsansvarlige, kan ikke fraskrive seg ansvaret selv om endringen skjer som en del av NAV-reformen. Kommunene har anledning til å innføre ytterligere sikkerhetstiltak for å sikre sine personopplysninger. Her nevnes for eksempel tiltak på databasenivå for å hindre uttrekk ut over det ønskede gjennom uttrekksløsningen, og sterk autentisering for ha en reell kontroll med tilgangen til kommunal desktop. Hva gjelder tilgang til kommunal desktop, finner Datatilsynet det skjerpende at tilgangene er etablert uten at fagsystemenes logger ble benyttet aktivt for å kontrollere om bruken av de kommunale fagapplikasjonene skjedde på et akseptabelt vis. I designplandokumentet for NAV pilotkontor skrives det følgende: På denne måten kan hver ansatt gis tilgang til kommunale applikasjoner og få disse uavhengig av hvilket NAV-klient brukeren sitter på, også om brukeren er pålogget ved et annet fysisk kontor. 9 Grunnlaget for et slikt valg går ikke frem, og Datatilsynet stiller seg spørrende til om dette er en forsvarlig løsning uten at nye sikkerhetstiltak innføres. 7 Punktet er presisert på bakgrunn av tilbakemeling fra NAV-direktoratet. 8 NAV-direktorat ga følgende kommentarer til dette punktet i foreløpig rapport: Vi gjentar det vi uttalte under kontrollen i Hamar i forhold til krav til pålogging da dette ikke er kommet med i rapporten: NAV desktop krever NAV-ident samt passord Kommunaldesktop krever ident tildelt fra kommunen samt passord Socio krever ident tildelt fra kommunen samt passord Samlet sett er det altså 3 nivåer før man når sensitive data i kommunalt system. At alle 3 brukernavn og passord skal kompromitteres samtidig synes ikke overhengende sannsynlig. Datatilsynet tar presiseringen til ettretning. Rapporten er likevel ikke endret. Det pekes på at tilsynet vanskelig kan se grunnlag for at kommunalt fagsystem skal være tilgjengelig utenfor det lokale NAVkontoret. Tilsynet er ikke i tvil om at en slik tilgjengeliggjøring medfører en sikkerhetsrisiko. I det konkrete tilfellet hadde heller ikke den behandlingsansvarlige kunnskap om tilgjengeliggjøringen. 9 Designplan for kommunal integrasjon, etablering av kommunikasjon og koordinering av leveranser til NAV pilotkontor (dok ref. T1-2 versjon 0.0.1), side 5, del Teknisk løsning for kommunal integrasjon 13 av 27

Datatilsynet stiller seg spørrende til om kommunene har etablert tilfredstillende informasjonssikkerhet i samsvar med personopplysningslovens 13 ved tilgjengeliggjøringen av kommunal desktop. Det er imidlertid kommunenes plikt til å selv vurdere dette. Datatilsynet kan eventuelt overprøve kommunens vurderinger. 8.4 Informasjonssikkerhet bruk av logger - kommunalt ansvar Det ble under kontrollert om det var etablert logging i kommunenes sosialfagapplikasjon, og hvorvidt denne ble benyttet. 8.4.1 Krav i regelverket Personopplysningslovens 13, jf. personopplysningsforskriftens 2-8 og 2-14 stiller krav om logging med hensyn til autorisert bruk og forsøk på uautorisert bruk. 2-14 stiller videre krav om at sikkerhetstiltakene, her loggene, skal gjøre det mulig å avdekke eventuelt uautorisert bruk av informasjonssystemet. Logger er et sikkerhetstiltak for å oppnå tilfredstillende informasjonssikkerhet i samsvar med personopplysningslovens 13, jf. personopplysningsforskriftens 2-11 om konfidensialitetssikring og 2-13 om integritetssikring. 8.4.2 Lier kommune 8.4.2.1 Funn Det ble under kontrollen opplyst at kommunen hadde etablert logging av oppslag i sitt sosialfagsystem. Det gikk imidlertid frem at loggene ikke ble kontrollert systematisk. 8.4.2.2 Konklusjon Manglende systematisk kontroll av logger for å avdekke uautorisert bruk, ses som et avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens 2-11 om konfidensialitetssikring og 2-14 om sikkerhetstiltak. 8.4.3 Hamar kommune 8.4.3.1 Funn Det ble under kontrollen opplyst at kommunen hadde etablert logging av oppslag i sitt sosialfagsystem. Det gikk imidlertid frem at loggene ikke ble kontrollert systematisk. Det ble opplyst at kommunen hadde påbegynt et arbeid med å vurdere hvordan loggene kunne nyttegjøres. 8.4.3.2 Konklusjon Manglende systematisk kontroll av logger for å avdekke uautorisert bruk, ses som et avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens 2-11 om konfidensialitetssikring og 2-14 om sikkerhetstiltak. 8.4.4 Asker kommune 8.4.4.1 Funn Det ble under kontrollen opplyst at kommunen hadde funksjonalitet for logging i sitt sosialfagsystem, men at denne ikke kontinuerlig ble benyttet. Det ble opplyst at dette delvis var gjort etter råd fra leverandøren. 14 av 27

8.4.4.2 Konklusjon Manglende logging og systematisk kontroll av loggene for å avdekke uautorisert bruk, ses som et avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens 2-11 om konfidensialitetssikring og 2-8 og 2-14 om logger og sikkerhetstiltak. Det anbefales videre at kommunen orienterer sin leverandør om at dennes veiledning ikke er i samsvar med personopplysningslovens bestemmelser. 8.5 Internkontroll - kommunalt ansvar Gjennom kontrollen hadde Datatilsynet til hensikt å kontrollere hvordan den enkelte kommunen ivaretok sitt ansvar knyttet til internkontroll og informasjonssikkerhet ved gjennomføring av NAV-reformen. 8.5.1 Krav i regelverket Personopplysningslovens 14 stiller krav om planlagte og systematiske tiltak (internkontroll). Utfyllede bestemmelser er gitt i personopplysningsforskriftens 3-1. 8.5.2 Lier kommune 8.5.2.1 Funn Det kom frem under kontrollen at kommunen hadde enkelte mangler knyttet til internkontroll. Datatilsynet ba før den stedlige kontrollen om at virksomheten oversendte de styrende dokumenter for internkontroll. I forbindelse med kontrollen ble det oversendt dokumenter for informasjonssikkerhet, men disse anses ikke for å ivareta internkontrollkravet i sin helhet. Dokumenter for planlagte og systematiske tiltak for å ivareta lovens øvrige krav, kunne ikke fremlegges i forbindlese med kontrollen. På spørsmål om hvordan behandlingsansvaret var plassert ved føring av opplysninger under det kommunale ansvarsområdet i den statlige fagapplikasjon Arena, ga kommunes representanter uttrykk for at dette var en uløst problemstilling. Som en forlengelse av den stedlige kontrollen, gjorde Datatilsynet oppslag i kommunens meldinger om behandling av personopplysninger til Datatilsynet. Kommunen hadde en gyldig melding, som omhandlet statistikk for boligsosial handlingsplan. Etter Datatilsynets kjennskap til de behandlinger en kommune forventes å forestå, fremstår meldeplikten som generelt misligholdt. 8.5.2.2 Konklusjon 10 Manglende etablert internkontroll ses som et avvik fra personopplysningslovens 14. Manglende meldinger om behandlinger av personopplynninger se som et avvik fra personopplysningslovens 31. 10 Lier Kommune anførte i sitt tilsvar til foreløpig rapport at de ikke sluttet seg til konklusjonen. Datatilsynet finner ikke grunnlag for å endre rapporten. Det pekes på at manglene knyttet til internkontroll gjaldt internkontroll generelt etter personopplysningslovens 14, og følgelig forhold utover informasjonssikkerhet etter lovens 13. Ytterligere kommentarer er gitt i brev til kommunen. 15 av 27

8.5.3 Hamar kommune 8.5.3.1 Funn Det ble under kontrollen opplyst at kommunen ikke hadde etablert styrende dokumenter for internkontroll i samsvar med personopplysningslovens 14. Etter kontrollen ble enkelte dokumenter oversendt tilsynet. Blant disse var det en oversikt over behandlingene ved kommunen, som er en del av den nødvendige styrende dokumentasjonen. Denne var riktignok fra 2002, og det er grunn til å tro at det er behov for en oppdatering. Det ble videre oversendt en plan for etablering av dokumenter for informasjonssikkerhet etter personopplysningsloven. Som en forlengelse av den stedlige kontrollen, gjorde Datatilsynet oppslag i kommunens meldinger om behandling av personopplysninger til Datatilsynet. Kommunen hadde to gyldige meldinger, som omhandlet henholdsvis en helsestudie og inndriving av kommunale krav. Sett i sammenheng med kommunens oversikt over behandlinger, og Datatilsynets kjennskap til behandlinger en kommune forventes å forestå, fremstår meldeplikten som generelt misligholdt. 8.5.3.2 Konklusjon Manglende etablert internkontroll, også med hensyn til informasjonssikkerhet, ses som et avvik fra personopplysningslovens 13 og 14. Manglende meldinger om behandlinger av personopplynninger se som et avvik fra personopplysningslovens 31. 8.5.4 Asker kommune 8.5.4.1 Funn Asker kommune ga inntrykk av å være velkjent med internkontroll generelt. Kommunen var i en prosess for å sertifisere seg blant annet etter ISO 9001:2000 (generelt kvalitetssikring) og ISO 27001:2005 (informasjonssikkerhet). Ved gjennomgang av mottatt dokumentasjon før den stedlige kontrollen kunne ikke Datatilsynet identifisere de styrende dokumenter som forventes etter kravet om internkontroll etter personopplysningslovens 14. Under den stedlige kontrollen ble det avtalt at kommunen skulle oversende disse dokumentene dersom de var utarbeidet. Slike er ikke mottatt 11. Som en forlengelse av den stedlige kontrollen, gjorde Datatilsynet oppslag i kommunens meldinger om behandling av personopplysninger til Datatilsynet. Kommunen hadde to gyldige meldinger, som omhandlet henholdsvis en ungdomsskole og oversikt over medlemmer ved forliksrådet etc. Etter Datatilsynets 11 Ved kommunes tilsvar til foreløpig rapport ble ytterligere dokumentasjon ble oversendt. 16 av 27

kjennskap til de behandlinger en kommune forventes å forestå, fremstår meldeplikten som generelt misligholdt 12. 8.5.4.2 Konklusjon Datatilsynet legger til grunn at kommunen ikke har utarbeidet internkontroll i samsvar med personopplysningslovens 14. Manglende etablert internkontroll ses som et avvik fra personopplysningslovens 14. Manglende meldinger om behandlinger av personopplynninger se som et avvik fra personopplysningslovens 31. 8.5.5 Generell kommentar Datatilsynet bemerker at internkontroll er et vesentlig element for å sikre en forsvarlig behandling av personopplysninger. Landets kommuner håndterer store mengder personopplysninger, hvorav mange av opplysningene også er sensitive. At enkelte kommuner nærmere syv år etter personopplysningslovens ikrafttreden ikke har etablert en forsvarlig internkontroll, ses av Datatilsynet som særdeles uheldig. For videre veiledning rundt internkontroll og informasjonssikkerhet, viser Datatilsynet til veiledningsmateriale på tilsynets hjemmesider www.datatilsynet.no/internkontroll. 8.6 E-postmottak Samtlige kontrollerte kontor hadde etablert et e-postmottak hvor e-postadressen var tilgjengelig fra nettstedet www.nav.no. 8.6.1 Krav i regelverket Personopplysningslovens 13 jf. personopplysningsforskriftens 2-11 stiller krav om konfidensialitetssikring. Konkret stilles det krav om kryptering hvor personopplysninger kommuniseres over medium utenfor den behandlingsansvarliges kontroll, og hvor det samtidig er behov for konfidensialitetssikring. Ubeskyttet e-post regnes i en slik sammenheng for å være utenfor den behandlingsansvarliges kontroll. Personopplysningslovens 28 stiller videre krav om sletting av unødvendige personopplysninger. I NAVs interne rutiner 13 heter det at sensitiv informasjon skal ikke sendes elektronisk uten godkjent krypteringsløsning. Prosedyre vil bli utviklet. 12 Ved kommunens tilsvar til foreløpig rapport ble det oversendt en liste over tidligere meldinger og konsesjonssøknader. Samtlige av disse meldingene var imidlertid ikke gyldige, jf. kravet om å fornye meldinger hvert 3. år i personopplysningslovens 31. 13 Felles sikkerhetsnormer for Arbeids- og velferdsforvaltningen v 1.3, kapittel 3.3 17 av 27

8.6.2 Funn 8.6.2.1 NAV Lier I NAV-kontorets e-postboks var det e-poster tilbake september 2006. Hvem som helst ved kontoret kunne kople seg til e-postmottaket og lese e-postene. Etter det opplyste ble e-poster med sensitivt innhold tatt ut på papir. 8.6.2.2 NAV Hamar Det var etablert et felles e-postmottak ved kundesenteret i Hedemark. Under kontrollen kom det frem en problemstilling om at e-poster omhandlende det kommunale tjenesteområdet ble håndtert på et fylkesnivå, og at denne praksisen var utenfor rammene for samarbeidet ved lokalt NAV-kontor. Det ble videre opplyst at det kom inn en del e-poster med sensitivt innhold. 8.6.2.3 NAV Asker 14 I NAV-kontorets e-postboks var det en omfattende mengde gamle e-poster, også med sensitivt innhold. Det ble orientert om at det var alminnelig praksis at e-postene ble videresendt, uavhengig om disse var sensitive eller ikke, til den som skulle behandle saken. 8.6.2.4 NAV.no De lokale e-postadressen er tilgjengelige fra nettstedet www.nav.no. Det blir i forbindelse med publiseringen av e-postadressen ikke opplyst om hvilke henvendelser hvor bruk av e-post er forsvarlig. Slik informasjon finnes imidlertid på nettstedet, men må aktivt letes opp. 8.6.3 Konklusjon Datatilsynet ser flere problemstillinger ved bruk av e-post i NAV. Et av disse er knyttet til behandlingsansvaret. E-postløsningen er under NAV-direktorats kontroll, og Datatilsynet betrakter direktoratet som behandlingsansvarlig her. Det er imidlertid klart at det også kommuniseres opplysninger som faller under det kommunale ansvarsområdet i e-postløsningen. Tilsynet ser det som nødvendig at dette forholdes avklares. Det går frem av funnene ovenfor at det kommuniseres personopplysninger med et vesentlig beskyttelsesbehov med hensyn til konfidensialitet over ubeskyttet e-post. Dette ses som et avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens 2-11. Det går videre frem at det ikke er etablert tilfredstillende sletting av unødvendige e- poster. Dette ses som et avvik fra personopplysningslovens 28. 14 NAV-direktorat bemerket til foreløpig rapport at kontoret, på tidspunktet for kontrollen, hadde implementert rutiner hvor dette ikke var en akseptabel praksis. Datatilsynet tar presiseringen til etterretning, men endrer ikke beskrivelsen av punktet. 18 av 27

Ved publiseringen av e-postadressene på nettstedet www.nav.no uten en passende advarsel til publikum, legger NAV til rette for at det kommuniseres personopplysninger med et beskyttelsesbehov over usikkert medium. Det pekes også på at dette var ivaretatt på nettstedet til den tidligere Trygdeetaten. Videre legges det til grunn at NAV på selvstendig grunnlag vurder om felles mottak av e-poster på fylkesnivå er akseptabelt innefor rammene av samarbeidet. 8.7 Ivaretakelse av konfidensialitet i publikumsmottak 8.7.1 Krav i regelverket I personopplysningslovens 3 første ledd avgrenser lovens virkeområde til a) behandlinger av personopplysninger som helt eller delvis skjer med elektroniske virkemidler, og b) annen behandling av personopplysninger når disse inngår i et personregister. Slik tilsynet ser det, vil loven komme til anvendelse for den meste av kontakten mellom bruker og NAV i publikumsmottaket. De fremmøtte brukerne vil i de fleste tilfeller oppgi personopplysninger. Saksbehandlerne vil i de fleste tilfeller aksessere informasjon om brukerne, besvare spørsmål ut fra registrert informasjon, stille oppfølgende spørsmål til brukeren, avklare vedkommendes status og hjelpe brukeren med hans eller hennes anliggende med utgangspunkt i både de opplysninger bruker gir og de opplysninger som er registrert om vedkommende i saksbehandlerprogrammene. I mange tilfeller vil det trolig også registreres opplysninger i saksbehandlerprogrammer i form av notater eller andre registreringer. Kontakt mellom bruker og NAV i mottaket inngår som ett ledd i den behandling av personopplysninger og den tjenesteyting som skjer i NAV, og kan ikke ses løsrevet fra dette. Ansvarsforhold må med hensyn til behandlingsansvar være avklart også for selve mottaksfunksjonen. Den (eller de) behandlingsansvarlige må sørge for at det totale samspillet mellom rutiner, det fysiske rommet og bemanning legger til rette for at de ansatte i praksis er godt rustet til å overholde bestemmelsene i personopplysningsloven og den taushetsplikt de er pålagt i annet regelverk. Personopplysningslovens formål er å beskytte den enkelte mot at personvernet blir krenket, jf. 1. Ivaretakelse av konfidensialitet i NAVs publikumsmottak representerer i så måte en stor personverninteresse. Mange av NAV tjenesteområder fordrer innhenting av opplysninger av meget personlig og sensitiv karakter. I denne sammenheng er det viktig å ha i mente at brukerne ikke har en valgfrihet. De opplysninger som oppgis kan heller ikke ses som avgitt frivillig, men må betraktes som gitt for å få den hjelp vedkommende trenger, eller den rettighet vedkommende har krav på. Dette igjen, presiserer behandlingsansvarliges ansvar for å legge forholdene til rette for konfidensialitet i kontakt mellom NAV og brukeren i et publikumsmottak. 19 av 27