Last updated on 4. februar 2023
Arbeidsdepartementet har måttet svare på en rekke kritiske spørsmål fra EFTAs overvåkingsorgan om NAVs personvernbrudd. AAP-aksjonen kan i dag avsløre at NAV over en periode på cirka halvannet år samlet inn IP-adresser fra til sammen 495.229 personer. Det viser korrespondanse som organisasjonen har fått tilgang til.
Innsamlingen av IP-adresser har skjedd i forbindelse med levering av meldekort hver 14. dag – noe som er en plikt for både arbeidsledige og syke på arbeidsavklaringspenger.
— NAV er dårlig på personvern og GDPR, og driver klappjakt på syke mennesker. Det viser både sakene om snoking i NAV-registere og etatens ukritiske og omfattende bruk av IP-adresser, sier leder i AAP-aksjonen Elisabeth Thoresen.
På kollisjonskurs med personvernforordningen
Det problematiske tidsrommet er ikke bare knyttet til oppløpssiden for innføringen av det kompliserte GDPR-regelverket, også kjent som «Personvernforordningen.» Dette er tiden fra 11 mars 2018 og til august 2019, da NAV selv i mai stilte spørsmål ved adgangen til en slik innsamling etter en intern gjennomgang og en etterfølgende rapport. GDPR ble formelt innført i Norge i juli 2018.
EFTA problematiserer adgangen til en slik innsamling også før GDPR trådte i kraft – helt tilbake til 2012 – og etterspør departementets vurderinger omkring dette. Departementet er ikke enig, men erkjenner i sitt brev at innsamlingen i 2018/2019 “var uten lovlig grunnlag.” EFTA har opprettet undersøkelsessaken på såkalt “eget tiltak.”
Svarbrevet til EFTA Surveilance Authority kan leses i sin helhet her. Forespørselen fra EFTA Surveilance Authority kan du lese her.
Brukt til potensielle straffesaker
I seks tilfeller ble saker der IP-adresser var samlet inn i perioden mars 2018 til august 2019, oversendt til politiet med tanke på mulig straffeforfølgning.
Departementet skriver i sitt brev til EFTA den 4. november ifjor at de mener NAV ikke overtrådte juridiske grenser for flesteparten av de 495.229 personene, da IP-adressene ikke ble videresendt til utenforstående.
I perioden 2018-2019, ble det ifølge departementet oversendt 1700 ankesaker til Trygderetten der IP-adresser «kan» ha fulgt med på lasset i enkelte saker.
Dette har departementet imidlertid et svært avslappet forhold til. Se senere avsnitt.
(Saken fortsetter under bildet)
Gjort av kontrollhensyn
NAVs innsamling og lagring av IP-adresser i nyere tid, hadde ifølge departementets brev bakgrunn i rene kontrollhensyn. Dette selv om innsamlingen opprinnelig startet med den hensikt å beskytte seg mot ikke-autorisert bruk av NAVs datasystemer.
I denne ovennevnte GDPR-perioden, rørte det seg ifølge regjeringens egen tidslinje i den såkalte «trygdeskandalen» også mye kommunikasjon omkring restriksjoner eller ikke restriksjoner knyttet til adgangen til å beholde trygdeytelser ved opphold i utlandet.
Likevel fortsatte altså innsamlingen og lagring av IP-adresser helt frem til sommeren 2019, med tanke på å drive kontrollvirksomhet mot nettopp denne «eksporten» av trygdeytelser. Dette også i tråd med ønsket politikk.
Vil ikke gjennomgå 1700 saker
Departementet sier imidlertid i sitt brev til EFTAs overvåkingsorgan at det ikke er planer om å sette av ressurser til en gjennomgang av alle disse 1700 sakene som ble videresendt trygderetten, for å avklare om IP-adresser var en del av saken i hvert enkelt tilfelle – eller eventuelt i hvor mange. Dette må gjøres manuelt, og departementet sier rett ut til EFTA Surveilance Authority at det vil være for arbeidskrevende.
Dette er for øvrig samme argumentasjon som ble brukt av NAV under oppryddingen i NAV-skandalen som ble offentliggjort høsten 2019 – at det ville være for arbeidskrevende å spore opp alle som har vært rammet tilbake i tid.
I oktober 2022 var det et møte mellom Arbeids- og inkluderingsdepartementet, Utenriksdepartementet, Arbeids- og velferdsdirektoratet og representanter for EFTA Surveilance Authority i anledning saken. Hensikten var å få drøftet spørsmålene så tidlig som mulig. Her ba Norge også om en utsettelse av endelig svarfrist, noe som ble innvilget. Saken er per idag ikke svart fullstendig ut, selv om departementet har besvart en rekke spørsmål. Nå pågår korrespondansen mellom departementet og direktoratet.
Lagret IP-adresser i 14 år
Departementet skriver i sitt brev at NAV opprinnelig skal ha hatt anledning til, og intensjoner om, å lagre aktuelle IP-adresser i ti år. I virkeligheten ble disse innsamlede IP-adressene ikke slettet i perioden 2005 til september 2019.
Ifølge departementets brev til EFTA, var hensikten med å lagre adressene over et så langt tidsrom “arkivmessige hensyn”. NAV mente at IP-adressene var arkivmateriale som skulle bevares av hensyn til “offentlig interesse.”
Det fremheves også at NAV har ment å ha hatt adgang til å samle inn brukerdata tilbake til 2001, og at man da ikke hadde kontrollhensyn som formål og at brukerne heller ikke ble informert om innsamlingen. Da brukerdata senere ble hentet frem igjen og benyttet i forbindelse med kontroll, en praksis som stoppet i mai 2019, ble heller ikke brukerne opplyst om en slik fornyet bruk. Her mener departementet at NAV har opptrådt i tråd med gjeldende regelverk, og altså hadde juridisk adgang til å gjøre det slik frem til mars 2018. EFTA peker imidlertid også på et direktiv som var “forgjengeren” til det nåværende GDPR-regelverket, i sin kommunikasjon med departementet. Departementet henviser på sin side både til vurdering fra Personvernnemnda og saker i EU-domstolen for å underbygge at man har hatt retten på det tørre.
EFTA vil vite om Datatilsynet ble informert om praksis, og tidspunktet for dette. Departementet svarer at de ble orientert i mars 2022, men grunnet at signeringen i rapporteringssystemet Altinn etter egen oppfatning ikke “gikk gjennom” første gang, ble det sendt på nytt i oktober 2022. Departementet er dermed usikker på tidspunktet for når Datatilsynet reelt sett ble orientert. De skriver videre at Datatilsynet ble orientert om om utleveringen av IP-adresser i de seks sakene som havnet hos politiet, men mente det ikke var behov for å vurdere innsamlingen av flere hundre tusen IP-adresser som rapporteringsverdig til Datatilsynet.
– Ingen praktisk betydning
Departementet skriver:
“Disclosure of the IP addresses is a breach of confidentiality. This discrepancy was not notified to the DPA earlier because the Norwegian Labour and Welfare administration at first primarily considered that the discrepancy was a matter of a lack of legal basis, with little practical significance for the data subjects.”
At NAV satt med store mengder IP-informasjon, mente NAV at altså ikke innebar noen praktisk betydning for brukerne – fordi det kun handlet om et manglende juridisk grunnlag.
EFTA vil også vite om brukerne ble individuelt orientert om den omfattende IP-innsamlingen i 2018 og 2019. Departementet svarer avkreftende på dette.
Departementet svarer på spørsmål at de ikke vet omfanget av klagesaker eller spørsmål som har kommet inn knyttet til IP-adresser. De opplyser at NAV Kontroll, som har håndtert IP-adresser som ledd i sitt arbeid, har mottatt et par forespørsler etter en mediesak våren 2021.
Departementet forsikrer om at i alle saker der IP-adresser har blitt benyttet til å avslå en ytelse eller iverksette et tilbakebetalingskrav, har personen blitt informert i brevs form om adgangen til å klage på avgjørelsen.
Når det gjelder politisakene antar departementet at sakene er korrekt håndtert derfra. Departementet opplyser at i kun én av de seks sakene endte det med domfellelse og ubetinget fengsel. I denne saken mener NAV at IP-adresse ikke har hatt direkte innvirkning på sakens utfall. De øvrige sakene består av en frifinnelse og henleggelser.
Sprikende oppfatninger
Nettavisen Rett24 tok opp problematikken knyttet til innsamling og lagring av IP-adresser i en sak allerede i april 2021. Saken ble også sitert i flere andre medier.
Her fremgår det at NAV lagret IP-adresser ulovlig i 7 år. Rett24 skriver blant annet:
«En intern NAV-rapport, datert sommeren 2019, konkluderer med at IP-adressebruken ikke bare var i strid med GDPR, men også den norske personvernloven. Rapporten slår fast at NAV aldri på noe tidspunkt hadde foretatt noen lovlighetsvurdering av databruken. I følge NAV-kommisjonen pågikk praksisen fra 2012 til 2019.»
I brevet til EFTAs overvåkingsorgan datert 4. november 2022 hevder imidlertid Arbeids- og inkluderingsdepartementet at NAV frem til mars 2018, hadde juridisk adgang til å både samle inn og lagre IP-adresser til kontrollformål:
«Up to 11 March 2018 NAV had legal basis, both for collecting IP addresses and using the information for control purposes. The legal bases for the collection and sharing were the Personal Information Act of 2000 section 8 (f) and the National Insurance Act section 21-4, respectively.»
Departementet ser dermed også ut til å utfordre innholdet i NAVs egen interne rapport fra august 2019.
Foto: Illustrasjonsfoto
