Rekvisisjon er et formelt dokument der sensitive opplysninger blir delt med personalet i den butikken personen som har fått rekvisisjonen av NAV, blir forhåndsbestemt til å handle i. Dette etter formell avtale mellom NAV og butikken. Personen får da hente ut varer fra butikken, i tråd med summen som er fastsatt i rekvisisjonen – i tillegg til en del annen informasjon NAV kan ha skrevet: AAP-aksjonen har sett rekvisisjoner der det spesifiseres at det ikke er anledning til å eksempelvis kjøpe røyk eller alkohol.
Forholder ikke NAV seg til annet lovverk?
Når personen kommer til butikken, avsløres det som en direkte konsekvens av rekvisisjonen, sensitive opplysninger om vedkommendes økonomiske situasjon. Dette kan være ekstra vanskelig på steder der den aktuelle butikken er brukers «nærbutikk».
Ut fra svarene fra direktoratet, kan det se ut til at NAV fremdeles tror at det eneste lovverket de er forpliktet til å forholde seg til i spørsmålet, er lov om sosiale tjenester og Forvaltningsloven.
En slik begrenset tankegang var også hovedproblemet under den store trygde-skandalen som ble avslørt i 2019, og som da hadde pågått siden 1994.
Henvendelse til politikerne
– NAV svarer ikke opp spørsmålet vi stiller. NAV unngår hele problemstillingen, og de nevner ikke engang lovverket om personvern i sitt svar. De knytter saken kun opp til Forvaltningsloven og lov om sosiale tjenester. De nevner også en NOU fra cirka 1990, sier AAP-aksjonens leder Elisabeth Thoresen.
Norge ble med i det forpliktende EØS-samarbeidet i 1994. Dette er grunnlaget for at Norge nå er underlagt den såkalte GDPR-forordningen om personvern som kom i 2018.
– Det går en rød tråd gjennom NAV, om vi ser på hva de gjorde som skapte trygde-skandalen. Der gjorde de akkurat det samme, de overså hele EØS-lovverket og forordningene, sier hun.
Nå gjør det igjen, men overser lovverket om personvern – nedfelt gjennom de internasjonale bestemmelsene som utgjør GDPR-forordningen.
Saken fortsetter etter bildet.
Direktoratets svar, som ikke er noe svar, er også sendt med kopi til Rødt-politiker Mimir Kristiansson og Per Olaf Lundteigen (Senterpartiet).
Kan ikke misforstås
AAP-aksjonen har lest svaret fra NAV på rekvisisjonsspørsmålet flere ganger. Det er ikke mulig å tolke svaret annerledes enn Thoresen har konkludert med:
– GDPR og personvern blir ikke engang vurdert. Enten forstår ikke NAV hva vi ber om, eller så gjør de altså som i trygde-skandalen – de unngår hele lovverket om personvern, sier hun.
Nå har AAP-aksjonen sendt en ny henvendelse – med kopi til flere politikere.
I henvendelsen lister AAP-aksjonen opp hva som er problematisk med bruken av rekvisisjoner ved mottak av sosiale tjenester.
Arbeids- og velferdsdirektoratet skriver imidlertid i sitt svar til AAP-aksjonen at kontanthjelp fortsatt er ment å være hovedregelen:
«Representantene vil understreke at det må foreligge særlige forhold som gir grunnlag for å anta at mottakeren ikke vil bruke stønaden i samsvar med vilkår som er fastsatt, for at stønaden skal kunne gis i form av varer og tjenester. Som etter gjeldende rett må hjelp i form av varer og tjenester bare gis når dette anses å være til beste for klienten etter en individuell vurdering. Kontanthjelp skal fortsatt være lovens hovedregel.»
Teksten er hentet fra en NOU fra 1990, lenge før den såkalte Personvernforordningen (GDPR) kom i 2018. Men også før 2018 var forvaltningen forpliktet til å etterleve ganske tilsvarende regelverk knyttet til personvern.
Avslører personsensitive opplysninger om kunden
Det er også tydelig at når en person kommer med en rekvisisjon, vet vedkommende som tar imot den i butikken at personen mottar sosiale stønader og tjenester. Dette er å avsløre personsensitive opplysninger om kunden – i noen tilfeller også helseopplysninger, da personalet kobler informasjonen med det de kanskje vet fra før. Brudd på personvernet oppstår dermed ikke alltid basert på en slik rekvisisjon alene – men også koblet med annen informasjon, noe som gjør bruken ytterligere risikofylt.
– Å dele slike sensitive opplysninger som fødselsnummer og navn med butikker gjennom rekvisisjoner, uten et klart rettslig grunnlag, kan bryte med GDPR-lovgivningen, Personopplysningsloven, Forvaltningsloven (om taushetsplikt) og Personopplysningsforskriften. I tillegg kan bruk av rekvisisjoner føre til utilsiktet stigmatisering, noe som strider mot intensjonen i Likestillings- og diskrimineringsloven, skriver AAP-aksjonen i henvendelsen til politikerne.
I brevet blir de forklart at GDPR-forordningens Artikkel 5 sier at behandling av personopplysninger skal være lovlig, rettferdig og transparent – og at bare de nødvendige opplysninger skal samles inn. Dersom fødselsnummer og navn deles unødig, kan det være brudd på GDPR.
– Artikkel 6 krever at det foreligger et rettslig grunnlag for å behandle personopplysninger, og dersom opplysningene ikke er nødvendige for den aktuelle tjenesten, kan dette være problematisk, henviser AAP-aksjonen.
GDPR Artikkel 9 handler om særlig sensitive personopplysninger, og omtales også i brevet. Dette kan inkludere opplysninger om helsetilstand, sosial status, eller informasjon som er særlig sensitiv i kontekst.
AAP-aksjonen mener at rekvisisjoner implisitt kan si noe om sosiale behov eller økonomisk situasjon, og dette kan være stigmatiserende. De peker på at forvaltningens organer klart har taushetsplikt om en persons personlige forhold.
– Likestillingsbrudd
Dersom rekvisisjonen på noen måte kan signalisere til butikken at personen er i en bestemt sosial situasjon (eksempelvis økonomisk vanskeligstilt), kan det i noen tilfeller anses som en form for indirekte diskriminering.
– Loven forbyr forskjellsbehandling på grunnlag av sosiale forhold, og det er viktig at forvaltningen ikke ubevisst medvirker til stigmatisering gjennom systemene de bruker, påpeker AAP-aksjonen.
Aksjonsgruppa konkluderer så med at denne praksisen må opphøre:
– Vi ber om at bruken av rekvisisjon blir stoppet hos NAV. Det er uverdig at syke, uføre og andre sårbare grupper skal utsettes for en slik behandling i NAV når det er ytelsene som er for lave, sier de.
Arbeids- og velferdsdirektoratet argumenterer i sitt svar for at taushetsplikten i gitte tilfeller ikke er til hinder for å få et vedtak effektuert. I dette tilfellet et vedtak om sosiale stønadsmidler.
Direktoratet peker på gamle lovforarbeider
“Taushetsplikten er imidlertid ikke til hinder for at opplysningene brukes for å oppnå det formål de er gitt for eller innhentet for. Bl.a. kan opplysningene brukes i forbindelse med saksforberedelse, avgjørelse, gjennomføring av avgjørelsen, oppfølging og kontroll, jf. forvaltningsloven § 13 b nr. 2. Som ledd i en forsvarlig saksbehandling, åpner forvaltningsloven § 13 b første ledd nr. 2 for nødvendig kommunikasjon mellom ansatte i samme forvaltningsorgan, overordnet eller underordnet organ og tilsvarende organ i andre distrikt, og med andre samarbeidspartnere, som tiltaksarrangør og deltakere i ansvarsgrupper.»
Problemet er at en forretning er en privat næringslivsaktør, som verken kan ha status som tiltaksarrangør eller som ansvarsgruppe for en person med behov for sosiale tjenester.
«Som det fremgår ovenfor, sier forarbeidene til sosialtjenesteloven ingenting mer konkret om hvordan utbetaling i form av varer og tjenester forholder seg til taushetspliktsreglene,» skriver direktoratet.
AAP-aksjonen mener at man istedet for å se seg blind på lovforarbeider i slike tilfeller, må se på GDPR-lovgivningen. Dette ønsker direktoratet åpenbart ikke å gjøre.
