PVN-2024-17 Klage fra NAV på Datatilsynets vedtak om pålegg for brudd på personvernforordningen og ileggelse av overtredelsesgebyr

Saken gjelder klage fra Arbeids- og velferdsetaten (NAV) på Datatilsynets vedtak 18. mars 2024 der NAV ble pålagt å etablere og gjennomføre tiltak for å sikre og påvise etterlevelse av personvernforordningen særlig knyttet til konfidensialitetssikring av personopplysninger internt i NAV (tilgangsstyring). NAV ble også ilagt et overtredelsesgebyr på 20 000 000 kroner for brudd på personvernforordningen artikkel 5, 24 og 32. Både ileggelsen av gebyret, og subsidiært utmålingen av dette, er påklaget.

2 Sakens bakgrunn

Datatilsynet varslet 1. mars 2023 NAV om tilsyn 6. september 2023. Formålet og fokusområdene for tilsynet er angitt slik:

«Formålet med tilsynet er å kontrollere om de tekniske og organisatoriske tiltakene NAV har for å beskytte personopplysninger gjennom tilgangsstyring oppfyller kravene til personopplysningssikkerhet som følger av personvernforordningen artikkel 32.

Tilsynet er avgrenset til behandling av personopplysninger som den statlige delen av NAV har ansvar for.

Vi vil kontrollere at NAV har etablert et tilfredsstillende styringssystem for personopplysningssikkerhet, knyttet til forvaltningen av autorisasjoner i fagsystemene og evne til å tilpasse sikkerhetsnivået for personer som har et særskilt beskyttelsesbehov (f.eks. egne ansatte og offentlig kjente personer). Videre vil vi kontrollere at det er etablert logger og hvordan disse benyttes.

Kontrollen omfatter alle fagsystemer som inngår i den statlige delen av NAVs tjenesteyting.»

Etter forhåndsvarsel 1. mars 2023 og formøte 23. august 2023, gjennomførte Datatilsynet et stedlig tilsyn hos NAV 6. september 2023.

I agenda for det stedlige tilsynet er omfanget beskrevet slik:

«Tilsynet er avgrenset til behandling av personopplysninger som den statlige delen av NAV har ansvar for. Kontrollen omfatter alle fagsystemer som inngår i den statlige delen av NAVs tjenesteyting. Datatilsynet skal kontrollere om de tekniske og organisatoriske tiltakene NAV har for å beskytte personopplysninger gjennom tilgangsstyring oppfyller kravene til personopplysningssikkerhet som følger av personvernforordningen artikkel 32. Herunder vil Datatilsynet kontrollere om NAV har etablert et tilfredsstillende styringssystem for dette formålet.»

Agendaen er inndelt i ulike bolker for henholdsvis internkontroll, tilgangsstyring, logg og loggkontroll.

Foreløpig tilsynsrapport ble oversendt NAV 1. november 2023. I beskrivelsen av hva tilsynet hadde bestått i skriver Datatilsynet:

«Vi undersøkte NAVs tekniske og organisatoriske tiltak knyttet til tilgangsstyring, logg og loggkontroll, jf. personvernforordningen artikkel 32. Vi undersøkte særskilt NAVs evne til å tilpasse sikkerhetsnivået for personer som har et ekstra konfidensialitetsbehov (f.eks. personer som lever på fortrolig og strengt fortrolig adresse, egne ansatte og offentlig kjente personer).

Vi undersøkte videre om NAV har etablert et egnet styringssystem for disse formålene, jf. personvernforordningen artikkel 24.»

NAV ga sine merknader til rapporten 22. november 2023 og påpekte de forholdene NAV mente var misforståelser eller uriktig gjengivelse av faktum. Endelig tilsynsrapport og varsel om vedtak ble sendt NAV 27. november 2023. NAV ga sine merknader til varselet 4. januar 2024. NAV var i stor grad enig i de beskrevne avvikene, men bestred Datatilsynets beskrivelse av at NAV ikke i tilstrekkelig grad hadde ivaretatt befolkningens personopplysninger på en sikker måte. NAV bestred at avvikene representerte brudd på personvernforordningen og anførte at de valgte tekniske og organisatoriske løsningene lå innenfor den marginen loven ga anvisning på. NAV mente også at Datatilsynet ikke hadde grunnlag for å vurdere og konkludere om NAVs styringssystem på andre områder enn det som gjaldt tilgangsstyring, logg og loggkontroll.

Datatilsynet traff 18. mars 2024 vedtak om pålegg og ileggelse av overtredelsesgebyr. Vedtaket om pålegg lyder slik:

«Med hjemmel i personvernforordningen artikkel 58 nr. 2 bokstav d, fatter vi følgende vedtak:

1. NAV pålegges å etablere og gjennomføre en helhetlig og egnet systematikk for organisatoriske tiltak for å sikre og påvise etterlevelse av personvernregelverket, jf. personvernforordningen artikkel 5 nr. 2, artikkel 24 nr. 1 og 2 og artikkel 32 nr. 1, 2 og 4, da det stedlige tilsynet har avdekket at de eksisterende tiltakene ikke oppfyller lovens krav. Se punkt 4 og 5 (avvik 1 og 2) i tilsynsrapporten og punkt 11.2 nedenfor.

Herunder må NAV:

a. Ferdigstille rutiner for regelmessig revisjon av den styrende dokumentasjonen for tilgangsstyring innen 31. mars 2024, da det stedlige tilsynet avdekket at den eksisterende dokumentasjonen ikke er gjenstand for regelmessig revisjon i henhold til kravene i personvernforordningen artikkel 32 nr. 1 bokstav d. Se punkt 5.2.2 (avvik 3) i tilsynsrapporten og punkt 11.2.1 nedenfor.

b. Etablere rutiner som sikrer at tilgangsstyringen tilpasses risikoen ved behandlingen av personopplysninger i de enkelte fagsystemene, da det stedlige tilsynet avdekket at de eksisterende rutinene ikke sikrer at det ved vurderingen av egnet sikkerhetsnivå (tilgangsnivå) tas hensyn til risikoene forbundet med behandlingen, jf. personvernforordningen artikkel 32 nr. 2. Se punkt 5.2.2 (avvik 4) i tilsynsrapporten og punkt 11.2.2 nedenfor.

c. Ferdigstille rutiner for opplæring av identadministratorer innen 31. desember 2024, da det stedlige tilsynet avdekket at det ikke er etablert tilfredsstillende organisatoriske tiltak for opplæring av denne gruppen, jf. personvernforordningen artikkel 32 nr. 1. og nr. 4. Se punkt 5.3.2 og 5.4.2 (avvik 6) i tilsynsrapporten og punkt 11.2.3 nedenfor.

d. Etablere og ferdigstille oppdaterte og egnede rutiner for tildeling av tilganger i de ulike fagsystemene innen 31. desember 2024, da det stedlige tilsynet avdekket at de eksisterende rutinene er utdaterte og mangelfulle, og således ikke oppfyller kravene i personvernforordningen artikkel 32 nr. 1 og nr. 4. Se punkt 5.4.2 (avvik 7) i tilsynsrapporten og punkt 11.2.4 nedenfor.

2. NAV pålegges å etablere tekniske og organisatoriske tiltak knyttet til tilgangsstyring som gir tilfredsstillende konfidensialitetssikring av personopplysninger, jf. personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32 nr. 1, da det stedlige tilsynet avdekket at de eksisterende tiltakene ikke oppfyller lovens krav. Se punkt 5 (avvik 9) i tilsynsrapporten og punkt 11.3 nedenfor.

Herunder må NAV:

a. Innen 31. mai 2024 etablere tekniske og organisatoriske tiltak for arkivsystemet Joark som begrenser tilgang til metadata om dokumenter på tvers av fagområder til tilfeller hvor det er nødvendig, da det stedlige tilsynet avdekket at tilgjengeliggjøringen av slike data er for generell og vid, og således ikke oppfyller kravene i personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32 nr. 1. Se punkt 5.3.2 (avvik 5) i tilsynsrapporten og punkt 11.3.1 nedenfor.

b. Innen 31. desember 2025 etablere tekniske og organisatoriske tiltak for å begrense tilgangen til personopplysninger som kun behandles for arkivformål (historiske saker) til tilfeller hvor det er nødvendig, da det stedlige tilsynet avdekket at tilgangen til historiske saker er for generell og vid, og således ikke oppfyller kravene i personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32 nr. 1. Se punkt 5.4.2 (avvik 8) i tilsynsrapporten og punkt 11.3.2 nedenfor.

c. Etablere tekniske og organisatoriske tiltak som gir mulighet for å tilpasse personopplysningssikkerheten ut fra risiko begrunnet i konkrete brukerbehov, da det stedlige tilsynet avdekket at de eksisterende tiltakene ikke gir en slik mulighet, og følgelig ikke oppfyller kravene til at sikkerhetstiltakene tilpasses risikoen ved behandlingen jf. personvernforordningen artikkel 32 nr. 1. Se punkt 5.7.2 (avvik 10) i tilsynsrapporten og punkt 11.3.3 nedenfor.

3. NAV pålegges å etablere tekniske og organisatoriske tiltak knyttet til loggkontroll som gir tilfredsstillende konfidensialitetssikring av personopplysninger, jf. personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32 nr. 1 bokstav d og nr. 4, da det stedlige tilsynet avdekket at de eksisterende tiltakene ikke oppfyller lovens krav. Se punkt 7 (avvik 12) i tilsynsrapporten og punkt 11.4 nedenfor.»

NAV ble pålagt å rapportere kvartalsvis på fremdrift og oppfyllelse av samtlige pålegg, med første rapportering primo juni 2024.

Vedtaket om ileggelse av overtredelsesgebyr lyder slik:

«Med hjemmel i personvernforordningen artikkel 58 nr. 2 bokstav i, jf. personopplysningsloven § 26, fatter vi følgende vedtak:

NAV ilegges et overtredelsesgebyr på 20 000 000 – tjue millioner – kroner for overtredelse av

a) personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32 nr. 1, 2 og 4, som følge av behandling av personopplysninger på en måte som ikke sikrer tilstrekkelig sikkerhet for personopplysningene, og

b) personvernforordningen artikkel 5 nr. 2 og artikkel 24 nr. 1 og 2, som følge av ikke å ha gjennomført egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen av personopplysninger utføres i samsvar med personvernforordningen.»

NAV klaget 8. april 2024 rettidig på Datatilsynets vedtak. Datatilsynet behandlet klagen og opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 10. juni 2024. NAV ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. NAV har gitt sine kommentarer til Datatilsynets oversendelsesbrev 26. juni 2024.

Saken ble behandlet i nemndas møter 16. oktober, 12. november og 17. desember 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin og Malin Tønseth. Utredningsleder Anette Klem Funderud var også til stede.

3 Kort om Datatilsynets tidligere utførte tilsyn hos NAV

3.1 Tilsyn i 2007

Datatilsynet kontrollerte personopplysningssikkerheten i NAV ved fire tilsyn i 2007. Tilsynene resulterte 9. januar 2009 i slikt vedtak om pålegg:

«Med hjemmel i personopplysningsloven § 46 gir Datatilsynet følgende pålegg:

1. Arbeids- og velferdsdirektoratet må etablere tilfredsstillende informasjonssikkerhet hva gjelder tilgangsstyring og logging i samsvar med personopplysningslovens § 13, jf. personopplysningsforskriftens § 2-11. Det vises til kontrollrapportens punkt 8.1.5.1.

2. Arbeids- og velferdsdirektoratet må begrense gitte tilganger ved NAV Lier i samsvar med personopplysningslovens § 13, jf. personopplysningsforskriftens § 2-11. Det vises til kontrollrapportens punkt 8.1.5.2.

3. Arbeids- og velferdsdirektoratet må avslutte bruken av Arena som et felles oppfølgingsverktøy med mindre det etableres sikkerhetstiltak i samsvar med personopplysningslovens § 13, jf. personopplysningsforskriftens §§ 2-7, 2-8, 2-11 og 2-14. Det vises til kontrollrapportens punkt 8.2.3.

4. Arbeids- og velferdsdirektoratet må etablere tilfredsstillende informasjonssikkerhet ved mottak av e-post i samsvar med personopplysningslovens § 13, jf. personopplysningsforskriftens § 2-11. Det vises til kontrollrapportens punkt 8.6.3.

5. Arbeids- og velferdsdirektoratet må slette unødvendige personopplysninger i sitt e- postsystem i samsvar med personopplysningslovens § 28. Det vises til kontrollrapportens punkt 8.6.3.»

NAV ble gitt frist til 1. september 2009 med å oppfylle påleggene og skulle innen samme frist skriftlig bekrefte til Datatilsynet at påleggene er gjennomført. Det fremgår av vedtaket at det kan påklages.

3.2 Tilsyn i 2010

Datatilsynet kontrollerte personopplysningssikkerheten i NAV på nytt i 2010. Tilsynet resulterte i slikt vedtak om pålegg 6. mai 2011:

«Med hjemmel i personopplysningsloven § 46 gir Datatilsynet følgende pålegg:

1. Arbeids- og velferdsdirektoratet må etablere logging av oppslag på enkeltpersoner i sine fagsystemer i samsvar med personopplysningslovens § 13, jf. personopplysningsforskriftens §§ 2-8 og 2-14. Det vises til kontrollrapportens punkt 6.4.3.

2. Arbeids- og velferdsdirektoratet må etablere tilfredsstillende konfidensialitetssikring hva gjelder tilgangsstyring og bruk av logger i samsvar med personopplysningslovens § 13, jf. personopplysningsforskriftens §§ 2-11 og 2-14. Det vises til kontrollrapportens punkt 6.5.3.

3. Arbeids- og velferdsdirektoratet må gjennomføre risikovurdering av «En Kø» i samsvar personopplysningslovens § 13, jf. personopplysningsforskriftens § 2-14. Det vises til kontrollrapportens punkt 6.5.3.»

Datatilsynet satte ingen endelig frist for oppfyllelse av påleggene, men ba om at første statusrapport ble oversendt innen 1. september 2011. Det framgår av vedtaket at det kan påklages.

3.3 Tilsyn i 2011

I 2011 gjennomførte Datatilsynet tilsyn ved tre lokale NAV-kontor i Rogaland, med fokus på ansvarsfordelingen mellom den statlige og den kommunale delen av NAV. Datatilsynet konkluderte med at konfidensialitetssikringen i NAV ikke var tilfredsstillende. I sammendraget i tilsynsrapporten 22. mars 2012 skriver Datatilsynet:

«Konfidensialitetssikringen i NAV er ikke tilfredsstillende. Dette fordi det gis svært vide tilganger, og logging og bruk av logger er mangelfull. Dette er tidligere dokumentert i kontrollen med direktoratet i 2010. Det er i tillegg ikke etablert tilstrekkelige rutiner for tildeling av tilganger. Manglende konfidensialitetssikring gjelder både kommunale og statlige fagsystem.»

Tilsynet resulterte i slikt vedtak om pålegg 22. mars 2012:

«Med hjemmel i personopplysningsloven § 46 gir Datatilsynet følgende pålegg:

1. Arbeids- og velferdsdirektoratet må utbedre lokale rutiner for tildeling av tilganger i sine fagapplikasjoner i samsvar med personopplysningsloven § 13, jf. personopplysningsforskriften §§ 2-7 og 2-8. Det vises til kontrollrapportens 7.4.6.1.

2. Arbeids- og velferdsdirektoratet må ved NAV Sandnes etablere tilfredsstillende konfidensialitetssikring ved å begrense tildelte tilganger i fagapplikasjonene Arena og Gosys i samsvar med personopplysningslovens § 13, jf. personopplysningsforskriftens § 2-11. Det vises til kontrollrapportens punkt 7.4.6.2.

3. Arbeids- og velferdsdirektoratet må avklare behandlingsansvaret for personopplysninger som registreres i statlige fagapplikasjoner i følge med vurderinger etter NAV-lovens §§ 14 og 14a, samt generelt mottak av post til kontorene. Dette i samsvar med personopplysningslovens § 14. Det vises til kontrollrapportens punkt 7.5.3.1.

4. Arbeids og velferdsdirektoratet må etablere rutiner for bruk av funksjonen ”kontorsperret” i fagapplikasjonen Arena i samsvar med personopplysningslovens § 13, jf. personopplysningslovens § 2-8. Det vises til kontrollrapportens punkt 7.5.3.3.»

NAV bekreftet i brev til tilsynet 21. januar 2013 at avvikene var lukket.

4 Datatilsynets vedtak i korte trekk

Datatilsynets hovedkonklusjoner er at NAVs styringssystem ikke er egnet for å sikre et tilfredsstillende sikkerhetsnivå for personopplysninger, og at konfidensialitetssikringen i NAVs fagsystemer i praksis ikke er tilfredsstillende.

Datatilsynet har avdekket en rekke lovbrudd som etter tilsynets oppfatning viser strukturelle, organisatoriske svakheter, og en manglende styring av og forståelse for betydningen av personvern og hvilke krav som må stilles til NAV på dette området. Tilsynet mener at lovbruddene viser at arbeidet med personopplysningssikkerhet ikke er gitt tilstrekkelig prioritet og ressurser av ledelsen i NAV.

Slik NAVs styringssystem knyttet til tilgangsstyring og loggkontroll er innrettet i dag, mener tilsynet at det er svært krevende å etterprøve om bruken av fagsystemene skjer innenfor lovens rammer. Lokale kontorer er gitt stor frihet til å organisere seg på egne måter. Det medfører at NAVs styringsprinsipp om «tjenstlig behov» i praksis defineres langt nede i organisasjonen. Det fører til at ledelsen tilsynelatende i stor grad har fraskrevet seg både ansvaret for og muligheten til å kontrollere etterlevelsen av personvernforordningen i praksis. Datatilsynet vurderer at manglende styring medfører en høy risiko for at etterlevelse beror på tilfeldigheter.

I tilsynsrapporten konstaterte tilsynet 12 lovbrudd (i rapporten og i vedtaket også omtalt som «avvik»). I NAVs brev 4. januar 2024 er det fremlagt nye opplysninger som gjør at ett av disse bortfaller. NAV pålegges å rette opp de resterende lovbruddene. Datatilsynet har delt lovbruddene i tre overordnede kategorier: styringssystem, tilgangsstyring og loggkontroll. Tilsynet har lagt NAVs tiltaksplan til grunn for oppfyllelsesfristene som er satt.

Datatilsynet har videre kommet til at NAV også skal ilegges et overtredelsesgebyr som følge av lovbruddene. Tilsynet viser til vurderingene i vedtaket og beskrivelsene av de faktiske og rettslige forholdene i saken, slik de er omtalt i den endelige tilsynsrapporten.

Datatilsynet er ikke enig i at det i sitt vedtak har vurdert forhold som ikke var en del av temaene som varselet om tilsyn omfattet. Tilsynet viser til at kontrollen var begrenset til temaene tilgangsstyring, logg og loggkontroll. I tillegg ble NAV varslet om at tilsynet ville kontrollere «at NAV har etablert et tilfredsstillende styringssystem for personopplysningssikkerhet, knyttet til forvaltningen av autorisasjoner i fagsystemene og evne til å tilpasse sikkerhetsnivået for personer som har et særskilt beskyttelsesbehov». Disse avgrensningene har etter Datatilsynets syn stått uendret gjennom hele tilsynsprosessen.

Datatilsynet anser saken tilstrekkelig opplyst og vurderer at tilsynet har tilstrekkelig grunnlag for å treffe vedtak om pålegg og vedtak om overtredelsesgebyr. Tilsynet viser til at NAV fikk tilsendt den foreløpige tilsynsrapporten 1. november 2023 og fikk anledning til å gi sine kommentarer. Tilleggsinformasjonen NAV ga er i sin helhet tatt inn i den endelige tilsynsrapporten og tatt høyde for i de varslede vedtakene.

Tilsynet viser videre til at NAV har fremlagt en rekke nye opplysninger i sitt tilsvar til varsel om vedtak. Disse opplysningene har ikke medført endringer i den endelige tilsynsrapporten, men opplysningene er hensyntatt ved tilsynets vurdering av det endelige vedtaket.

5 NAVs klage i korte trekk

Det er ikke rettslig grunnlag for Datatilsynets konklusjoner. Faktiske funn understøtter ikke Datatilsynets konklusjon om brudd på forordningens bestemmelser, valgt reaksjonsform og Datatilsynets utmåling av overtredelsesgebyr.

Datatilsynet tar feil når det påstås at det er avdekket en rekke lovbrudd, og at disse viser strukturelle, organisatoriske svakheter i NAVs personvern. NAV har gjennom en årrekke prioritert personvern høyt, både ved å sikre midler til, og ved å gjennomføre modernisering av en rekke gamle IT-systemer. NAV har bygget opp solid personvernkompetanse både sentralt og lokalt. Datatilsynets vedtak impliserer at NAV raskere skulle faset ut og erstattet utdaterte IT-systemer og brukt enda større finansielle og personelle ressurser til personvern- og informasjonssikkerhetsarbeid. Datatilsynet går langt i å antyde at NAVs ressurser er prioritert feil eller at det er gjort en slett jobb. Det er NAV uenig i.

Det er grunn til å presisere at Datatilsynet i forbindelse med tilsynet, ikke har avdekket at autoriserte saksbehandlere hos NAV med tjenstlig behov for vide tilganger, misbruker sine tilganger på en måte som har ført til at brukernes personopplysninger er kommet på avveier eller blitt brukt på en måte det ikke var rettslig grunnlag for. Datatilsynets kritikk knytter seg kun til påståtte mangler ved NAVs interne dokumentasjon av styringssystem og tilhørende rutiner, samt til latent risiko for at saksbehandlere kan gjøre oppslag uten tjenstlig behov.

Denne saken gjelder etterlevelse av svært skjønnspregede bestemmelser der forordningen stiller krav til adekvate tiltak og interesseavveininger mellom kryssende hensyn. NAV og Datatilsynet gir utrykk for ulike vurderinger av hva som er adekvate tiltak i den konteksten NAV opererer i.

Det Datatilsynet trekker frem som sitt hovedfunn, er at «NAV har organisert seg slik at et stort antall ansatte jobber med saker fra hele landet, innen flere tjenesteområder, og følgelig har tilsvarende vide tilganger». Det bærende premisset for Datatilsynets vedtak er altså et standpunkt om at NAV burde ha organisert sin virksomhet annerledes. Datatilsynets pålegg, herunder retting av avvik 9, innebærer de facto et krav om reorganisering av NAV. Dagens organisering, og tilgangene de ansatte er gitt, er imidlertid basert på bevisste valg og politiske føringer, for å legge til rette for at etaten er i stand til drive en effektiv arbeids- og velferdsforvaltning innenfor personvernforordningens rammer.

Datatilsynets materielle vurderinger av avvik og pålegg bygger på feil rettsanvendelse. Datatilsynet har ikke faktisk og rettslig belegg for sine påstander om at «avvikene» utgjør brudd på personvernforordningen. I denne forbindelse anfører NAV også at Datatilsynet klassifiserer samme/overlappende faktiske omstendigheter som ulike avvik og på denne måten urettmessig etablerer «en rekke lovbrudd», og at Datatilsynet for ett og samme avvik påberoper flere bestemmelser (artikkel 5, 24 og/eller 32) i strid med konkurrenslæren.

Enkelte av Datatilsynets pålegg, især pålegg 1, oppfyller ikke forvaltningslovens krav til begrunnelse. Forvaltningsloven §§ 24 og 25 krever at enkeltvedtak skal begrunnes. Det stilles høyere krav til begrunnelsens innhold jo større inngrepet fra forvaltningen er. Et gebyr i den størrelsesordenen tilsynet har vedtatt, kombinert med omfattende pålegg, utgjør et betydelig inngrep. NAV anfører at begrunnelsene i Datatilsynets vedtak ikke oppfyller kravet i forvaltningsloven § 25. Dette gjelder særlig for avvik 1 og avvik 2, som fremstår som de primære avvikene i Datatilsynets vedtak, og som begrunner pålegg 1. Kravet til begrunnelse skjerpes dessuten for forvaltningsvedtak som anses som straff i EMKs forstand.

Det er ingen konkret forklaring på hvorfor Datatilsynet ikke finner styringssystemet helhetlig, ingen konkretisering av hvilke områder styringssystemet ikke dekker, ingen angivelse av hvorfor det er mangler ved styringssystemets tilgjengelighet, og ingen forklaring på hvorfor systematikken først beskrives som egnet, og deretter beskrives som mangelfullt. Datatilsynet peker ikke på faktiske forhold som begrunner standpunktene, og Datatilsynet gjør ikke rede for det skjønnet som eventuelt er utøvd.

Enkelte av påleggene er svært generelle og skjønnsmessige og tilfredsstiller ikke kravene til konkretisering av enkeltvedtak. Det gjelder særlig pålegg 1, som i realiteten gir generell anvisning om å etterleve personvernforordningen, og pålegg 2, som i realiteten gir generell anvisning om å ha egnet personopplysningssikkerhet.

NAV finner det dessuten krevende å forstå systematikken i påleggsvedtakene. Påleggsvedtakene er delt i tre, hvorav de to første har underpålegg (pålegg nr. 1 har fire underpålegg; pålegg nr. 2 har tre). Ordlyden tilsier at både hovedpåleggene og underpåleggene må forstås som selvstendige krav, hvor underpåleggene synes å være ikke-uttømmende eksempler på hva som skal til for å oppfylle hovedpålegget, men det er langt fra klart.

NAV har i sitt tilsvar til varsel om vedtak presisert at man «i stor grad er enig i avvikene» og at de «må håndteres». NAV anerkjenner altså forbedringspotensialet. Det er ikke det samme som å erkjenne lovbrudd. NAV anfører at avvikene ikke utgjør brudd på personvernforordningen.

EU-domstolen har, blant annet i sak C-340/21, presisert at personvernforordningen artikkel 32 gir NAV betydelig skjønnsmargin ved valget av hvilke tekniske og organisatoriske tiltak som skal iverksettes og på hvilke måter. Det er NAVs vurdering at tiltakene som er iverksatt for å ivareta personopplysningssikkerheten i form av tilgangskontroll, logging og loggkontroll befinner seg innenfor NAVs skjønnsmargin og innenfor det som rimelig kan forventes av en offentlig virksomhet. Det finnes åpenbart en nedre terskel for hva som kan regnes som egnede tiltak. NAV fremholder at iverksatte tiltak ligger trygt over denne nedre grensen. Innenfor skjønnsmarginen jobber NAV kontinuerlig for å øke sin modenhet når det gjelder å ivareta personopplysningssikkerheten, herunder ved å gjennomføre tiltak for å lukke avvikene som er identifisert.

I dommen C-340/21 trekker EU-domstolen frem at tiltakenes egenhet skal vurderes i lys av alle relevante momenter som nevnes i forordningens artikkel 32. Den behandlingsansvarlige forventes ikke å kunne forebygge alle brudd på personopplysningssikkerheten gjennom de tekniske og organisatoriske tiltak som er gjennomført (se særlig dommens premiss 31). Det kan utledes fra en fra-det-mer-til-det-mindre betraktning: Når enkelte brudd på personopplysningssikkerheten ikke er ensbetydende med brudd på den behandlingsansvarliges plikter etter artikkel 32, vil heller ikke manglende iverksettelse av enkelte forbedringstiltak for å øke modenhet i etterlevelse av den behandlingsansvarliges plikter etter artikkel 32 i seg selv bety at NAV har forsømt sine forpliktelser etter samme bestemmelse.

Datatilsynets avveining av momentene i personvernforordningens artikkel 83 (ileggelse og utmåling av overtredelsesgebyr) lider også av faktiske og rettslige feil. Det er ikke grunnlag for å statuere forsett. Videre ville en korrekt tilnærming til klassifisering av avvik og en korrekt bruk av konkurrenslæren resultert i at de påståtte lovbruddene var færre og fremsto mindre graverende. Dessuten er overtredelsesgebyr i denne saken en uforholdsmessig reaksjonsform som går ut over det som er nødvendig for å virke avskrekkende og preventivt etter personvernforordningen artikkel 83.

Ved utmåling av overtredelsesgebyr drøfter Datatilsynet heller ikke de formildende omstendighetene i saken. Tilsynet har flere steder i vedtaket moderert seg sammenlignet med varselet om vedtak, uten at dette er speilet i reaksjonsformen eller størrelsen på gebyret.

6 Datatilsynets vurdering av klagen

Datatilsynet opprettholder sin vurdering slik den framkommer i vedtaket, men utdyper noen begrunnelser basert på den mottatte klagen.

Datatilsynet redegjør for at det tilsynet omtaler som «avvik» i tilsynsrapporten og vedtaket, knytter seg til tiltak hvor tilsynet anser NAV for ikke å ha oppfylt lovpålagte plikter. Det er derfor etter tilsynets syn riktig å anvende begrepene «avvik» og «lovbrudd» synonymt.

Datatilsynet er ikke enig med NAV i tolkningen av EU-domstolens dom i sak C-342/21. Avsnitt 31, som NAV viser til, gir bare uttrykk for at den behandlingsansvarlige ikke skal ha et objektivt ansvar for uautorisert utlevering av personopplysninger. Dommen gir uttrykk for at de normene som artikkel 24 og artikkel 32 stipulerer, har en øvre grense. Dette er en rimelig konklusjon, all den tid det i dag vanskelig kan forventes at enhver behandlingsansvarlig skal kunne avverge et hvert dataangrep utenfra, uavhengig av angriper, kompleksitet og slagkraft.

Datatilsynet har i sin vurdering lagt stor vekt på ansvarlighetsprinsippet i personvernforordningen artikkel 5 nr. 2. NAV må selv gjennomføre vurderinger, hvor det tas hensyn til risikoen ved deres behandling av personopplysninger. Ut fra disse vurderingene, sammenholdt med de øvrige vurderingsmomentene i artikkel 24 og 32, plikter NAV som behandlingsansvarlig selv å finne og etablere egnede sikkerhetstiltak.

Det framgår av tilsynsrapporten og vedtaket at NAV, etter tilsynets vurdering, har valgt et nivå av konfidensialitetsbeskyttelse hvor hensynet til effektiv saksbehandling er vektlagt i for stor grad og på bekostning av hensynet til den enkeltes personvern. NAV har heller ikke dokumentert at dagens valgte løsning er nødvendig for å oppnå effektiv saksbehandling, og at løsninger med snevrere tilganger til personopplysninger vil medføre at NAV ikke får utført samfunnsoppdraget sitt.

Når det gjelder skyldkravet for ileggelse av overtredelsesgebyr, opprettholder Datatilsynet sin vurdering om at NAV har utvist forsett. Tilsynet viser til at vurderingen har tatt utgangspunkt i at NAV har hatt kunnskap om at konfidensialitetsvernet i virksomheten er utilstrekkelig på grunn av manglende rutiner, tilgangsstyring og loggkontroll. Videre er det lagt til grunn at reglene i artikkel 24 og artikkel 32 er overtrådt, og at begge overtredelsene har skjedd forsettlig.

Bakgrunnen for uttalelsen om at NAV har hatt slik kunnskap, er at hovedfunnene i det tilsynet som saken gjelder, er overlappende med funnene som ble avdekket ved Datatilsynets stedlige tilsyn i 2007, 2010 og 2011, med etterfølgende vedtak og oppfølging. Dette gjelder særlig identifiserte mangler knyttet til tilgangsstyring og loggkontroll, som var tilsvarende eller strengere regulert i personopplysningsloven 2000 med tilhørende forskrift. Tidligere fattede vedtak har ikke blitt påklaget, og NAV har gitt uttrykk for at tidligere avvik er lukket.

Det vil si at NAV, etter tilsynets syn, må ha hatt kunnskap om de omtalte forholdene. Når NAV må ha hatt slik kunnskap, uten å rette opp i de aktuelle forholdene, er det klart at lovovertredelsene er begått med forsett. Datatilsynet fastholder vurderingene som fremgår av vedtaket punkt 13.3.

Dersom Personvernnemnda likevel skulle komme til at NAVs overtredelser ikke er begått med forsett, vil det uansett utvilsomt foreligge uaktsomhet. Dersom overtredelsene er begått uaktsomt, vil dette ikke ha noen videre formildende virkning, og det vil etter tilsynets syn ikke ha betydning for spørsmålet om hvorvidt overtredelsesgebyr skal ilegges eller ikke.

Tilsynsrapporten og vedtaket oppfyller, etter tilsynets syn, kravene til begrunnelse i forvaltningsloven § 25. I tilsynsrapporten har Datatilsynet redegjort for rettslig grunnlag, faktiske forhold og vurderinger. Vedtaket bygger på og viser til de faktiske og rettslige forholdene som er presentert i tilsynsrapporten.

Når det gjelder påleggenes klarhet, vil Datatilsynet først bemerke at vedtak om pålegg om å etterleve regelverket ikke anses som straff i EMKs forstand. Videre mener Datatilsynet at NAV som offentlig organ ikke kan påberope seg EMK.

Det er riktig forstått av NAV at hovedpåleggene og underpåleggene er selvstendige krav. Underpåleggene er uttømmende.

Når det gjelder NAVs anførsler om påleggenes klarhet, viser Datatilsynet også til ansvarlighetsprinsippet i personvernforordningen artikkel 5 nr. 2. Personvernregelverket oppstiller få konkrete krav til tiltak. Personvernforordningen angir imidlertid hvilke vurderingstemaer NAV må legge vekt på ved valg av tiltak. Datatilsynet fastholder at det i tråd med ansvarlighetsprinsippet er opp til NAV å komme fram til hvilke konkrete tiltak de må etablere for å oppnå egnet sikkerhetsnivå. Det er følgelig NAV som har ansvaret for å finne løsninger som passer sin virksomhet.

7 Personvernnemndas vurdering

7.1 Generelt om utforming av vedtak

Det gjelder generelt for forvaltningsvedtak at de skal utformes slik at meningsinnholdet er klart. Det må være mulig for den som vedtaket retter seg mot å forstå hvilke rettigheter og plikter som etableres med vedtaket, og hvordan man eventuelt skal innrette seg for å oppfylle vedtaket. Selve vedtaket (slutningen) må derfor formuleres presist. I tillegg følger det av forvaltningsloven § 25 at et forvaltningsorgan har en plikt til å begrunne enkeltvedtak. Dette kravet er i rettspraksis anvendt som en rettslig standard. Plikten til å begrunne er relativ, og den må tilpasses sakens art og de konkrete omstendighetene, se bl.a. HR-2017-2376-A og Rt. 2015 s. 1388. Med dette som utgangspunkt, har Sivilombudet i flere saker understreket at kravet til begrunnelse skjerpes i tilfeller hvor saken er inngripende overfor parten. Ved vurderingen av om begrunnelsen er tilstrekkelig, må det tas utgangspunkt i at formålet er å forklare sakens utfall for parten, se bl.a. SOM-2024-1308 og SOM-2023-5286.

Det følger av personopplysningsloven § 29 at det kan vedtas tvangsmulkt for å sikre etterlevelse av Datatilsynets pålegg. Forordningen artikkel 83 nr. 6 gir også hjemmel for å ilegge en økonomisk sanksjon dersom pålegg ikke etterleves. Hensynet til forutberegnelighet og rettssikkerhet tilsier i slike situasjoner at pliktene som følger av vedtaket må være formulert presist nok til at den behandlingsansvarlige vet hva som må gjøres for å oppfylle pålegget og dermed unngå tvangsmulkt eller overtredelsesgebyr. Å henvise til ansvarlighetsprinsippet i personvernforordningen artikkel 5 nr. 2, slik Datatilsynet gjør i sitt vedtak, kan verken erstatte eller endre forvaltningslovens krav til konkretisering og begrunnelse.

Etter nemndas syn er det ikke grunn til å tillegge hensynet til forutberegnelighet og rettssikkerhet mindre vekt i saker hvor det er en offentlig myndighet som ved et forvaltningsvedtak er pålagt plikter. Begge er helt grunnleggende hensyn i enhver rettsstat. At offentlige myndigheter ikke kan påberope seg å være vernet av EMK, er derfor uten betydning for disse hensynenes gjennomslagskraft i vurderingen av om et forvaltningsvedtak er tilstrekkelig klart.

Vedtaket må også utformes slik at klageorganet, i dette tilfellet Personvernnemnda, har tilstrekkelige opplysninger i vedtaket til å prøve både bevisvurderingen og lovanvendelsen til tilsynet. Det er derfor uheldig at Datatilsynets vedtak ikke fullt ut står på egne ben. For å få oversikt over de faktiske og rettslige vurderinger som ligger til grunn for vedtaket, må det leses sammen med tilsynsrapporten, tidligere utsendt varsel om vedtak og den behandlingsansvarliges svar på varsel om vedtak.

Nemnda peker også på at ileggelse av overtredelsesgebyr etter artikkel 83 forutsetter at den behandlingsansvarlige, eller noen som handler på hans vegne, har utvist skyld (uaktsomhet eller forsett), jf. EU-domstolens avgjørelser fra 5. desember 2023 i sakene C-807/21 (Deutsche Wohnen) og C-683/21. Forvaltningsloven § 46 oppstiller også et krav om uaktsomhet som skyldkrav for å ilegge offentlige myndigheter en administrativ foretakssanksjon. I Rt-2012-1556 er det fastslått at beviskravet for at skyldkravet er oppfylt i slike saker, er klar sannsynlighetsovervekt. Det kan etter omstendighetene være vanskelig å vurdere spørsmålet om uaktsomhet i situasjoner der lovbestemmelsen er skjønnsmessig utformet, noe som er tilfelle for personvernforordningen artikkel 32. Denne bestemmelsen pålegger den behandlingsansvarlige og databehandleren en plikt til å gjennomføre «egnede tekniske og organisatoriske tiltak». Både vurderingen av skyld, og vurderingen og vektingen av de ulike momentene i artikkel 83 nr. 2 bokstav a – k forutsetter derfor at den eller de aktuelle overtredelsene det ilegges overtredelsesgebyr for, er beskrevet tilstrekkelig klart i vedtaket som ilegger overtredelsesgebyret.

7.2. Om det gjennomførte tilsynet

Datatilsynet har beskrevet at formålet med tilsynet var å kontrollere om de tekniske og organisatoriske tiltakene NAV har for å beskytte personopplysninger gjennom tilgangsstyring, oppfyller de kravene til personopplysningssikkerhet som følger av personvernforordningen artikkel 32. Datatilsynet skulle som en del av tilsynet også kontrollere om NAV hadde etablert et tilfredsstillende styringssystem for dette formålet.

Det er bare den interne informasjonssikkerheten hos NAV som er vurdert. Risikoen for eksterne sikkerhetstrusler er ikke vurdert. Tilsynet har heller ikke vurdert hvorvidt eventuelle mangler på egnede tekniske og organisatoriske tiltak for konfidensialitetssikring, eller eventuelle mangler ved styringssystemet har resultert i faktiske brudd på personopplysningssikkerheten, for eksempel uautoriserte oppslag i personopplysninger.

Datatilsynet påpeker i tilsynsrapporten 12 avvik som tilsynet vurderer som selvstendige brudd på personvernforordningen. Ett av disse avvikene (avvik 11) er senere frafalt. De øvrige 11 avvikene har resultert i vedtak om pålegg og ileggelse av overtredelsesgebyr.

Tilsynsrapporten er delt inn i fire kapitler hvor ulike forhold er vurdert:

Kapittel 4 Internkontroll og ansvarsforhold

Kapittel 5 Tilgangsstyring

Kapittel 6 Logg

Kapittel 7 Loggkontroll

Det framkommer av tilsynsrapporten at NAV har etablert logg som teknisk tiltak for å kunne forebygge og oppdage uautorisert bruk og dokumentere etterlevelse av reglene. Datatilsynet har vurdert at loggene framstår som egnet til å oppfylle de sentrale funksjonene de skal ha som sikkerhetstiltak (tilsynsrapporten kapittel 6).

På de øvrige områdene; Internkontroll, tilgangsstyring og loggkontroll, har Datatilsynet funnet avvik som har resultert i vedtak om pålegg og ileggelse av overtredelsesgebyr.

7.3 Systematikken i vedtak om pålegg

Datatilsynet har i sitt vedtak delt påleggene inn i tre grupper: styringssystem (vedtakets pkt. 1), tilgangsstyring (vedtakets pkt. 2) og loggkontroll (vedtakets pkt. 3).

Avvik 1, 2, 3, 4, 6 og 7 har medført flere pålegg knyttet til styringssystemet (hovedpålegg 1 og underpåleggene 1 a, 1 b, 1 c og 1 d). Avvik 5, 8, 9 og 10 har medført flere pålegg knyttet til tilgangsstyring (hovedpålegg 2 og underpåleggene 2 a, 2 b og 2 c). Avvik 12 er knyttet til loggkontroll og har medført ett pålegg (pålegg nr. 3).

Hovedpålegget i vedtakets pkt. 1 går ut på at NAV pålegges «å etablere og gjennomføre en helhetlig og egnet systematikk for organisatoriske tiltak for å sikre og påvise etterlevelse av personvernregelverket». Det vises til avvik 1 og 2 omtalt i kapittel 4 og 5 i tilsynsrapporten. Deretter følger underpåleggene i pkt. 1 a - d. Hvert av disse påleggene viser til egne avvik i tilsynsrapporten.

Listen over underpålegg innledes med «Herunder må NAV:». Ordlyden tilsier at underpåleggene i pkt. 1 a - d utgjør en ikke-uttømmende opplisting av hva som må gjøres for å oppfylle hovedpålegget i vedtakets pkt. 1. Uklarheten ved denne systematikken er påpekt av NAV i klagen. Om dette skriver Datatilsynet i oversendelsen til nemnda:

«Det er riktig forstått av NAV at hovedpåleggene og underpåleggene er selvstendige krav. Underpåleggene er uttømmende.»

Nemnda er usikker på hva Datatilsynet mener med at underpåleggene er uttømmende. Men siden tilsynet omtaler hovedpålegget som et selvstendig krav, mener nemnda at vedtakets pkt. 1 må tolkes slik at NAV, ved å oppfylle underpåleggene, ikke uten videre kan anses for også å ha oppfylt hovedpålegget. Hovedpålegget i pkt. 1 viser for øvrig til egne avvik i tilsynsrapporten. Videre støttes denne forståelsen ellers av teksten i pkt. 11.2 i begrunnelsen for Datatilsynets vedtak hvor hovedpålegget i pkt. 1 omtales.

Lest i sammenheng må vedtakets pkt. 1 forstås slik at underpåleggene i pkt. 1 a - d gjelder utvalgte forhold ved styringssystemet, og at hovedpålegget i pkt. 1 har et selvstendig innhold i tillegg til det som følger av underpåleggene.

Tilsvarende systematikk er valgt for påleggene i vedtakets pkt. 2. Hovedpålegget i pkt. 2 går ut på at NAV pålegges «å etablere tekniske og organisatoriske tiltak knyttet til tilgangsstyring som gir tilfredsstillende konfidensialitetssikring av personopplysninger». Det vises til avvik 9 omtalt i kapittel 5 i tilsynsrapporten. Deretter følger underpåleggene i pkt. 2 a – c. Hvert av underpåleggene viser til egne avvik i tilsynsrapporten.

Også i vedtakets pkt. 2 innledes listen med underpålegg med formuleringen «Herunder må NAV:». Nemnda nøyer seg her med å vise til merknadene ovenfor om tolkningen av den tilsvarende formuleringen i vedtakets pkt. 1. Nemnda forstår vedtakets pkt. 2 slik at underpåleggene i pkt. 2 a – c gjelder utvalgte forhold ved tilgangsstyringen, og at hovedpålegget i pkt. 2 har et selvstendig innhold i tillegg til det som følger av underpåleggene.

Vedtakets pkt. 3 er formulert som ett pålegg, uten underpålegg.

Utformingen av vedtakets pkt. 1 og 2 gjør vedtaket svært vanskelig tilgjengelig. I tillegg er de fleste påleggene formulert vidt. Samlet sett skapes det usikkerhet om hva som hører under hvilket punkt, og om og eventuelt i hvilken grad det er overlapp mellom påleggene. Nemnda vil i det følgende redegjøre for sin tolkning av påleggene.

7.4 Mangler ved styringssystemet

7.4.1 Hovedpålegget i vedtakets pkt. 1

Styringssystemet er de aktiviteter, systemer og prosesser som tas i bruk for å planlegge, gjennomføre, evaluere og korrigere virksomheten slik at den samsvarer med krav som følger av ulike regelsett, herunder personopplysningsloven og personvernforordningen. Styringssystemet er med andre ord et verktøy som skal skape struktur i virksomhetens målsetninger, prosesser og metoder for etterlevelse av ulike regelsett.

Et velfungerende styringssystem har flere nivåer og består av både styrende, gjennomførende og kontrollerende prosedyrer.

Hovedpålegget i vedtakets pkt. 1 lyder:

«NAV pålegges å etablere og gjennomføre en helhetlig og egnet systematikk for organisatoriske tiltak for å sikre og påvise etterlevelse av personvernregelverket, jf. personvernforordningen artikkel 5 nr. 2, artikkel 24 nr. 1 og 2 og artikkel 32 nr. 1, 2 og 4, da det stedlige tilsynet har avdekket at de eksisterende tiltakene ikke oppfyller lovens krav. Se punkt 4 og 5 (avvik 1 og 2) i tilsynsrapporten og punkt 11.2 nedenfor.»

For en nærmere redegjørelse av bakgrunnen for og innholdet i hovedpålegget i pkt. 1, vises det til avvik 1 og 2 omtalt i kapittel 4 og 5 i tilsynsrapporten samt pkt. 11.2 i begrunnelsen for vedtaket om pålegg. Avvik 1 er i tilsynsrapporten på s. 9 beskrevet slik:

«NAV har ikke i tilstrekkelig grad etablert et styringssystem som gir egnede tekniske og organisatoriske tiltak for å sikre og påvise at deres behandling av personopplysninger utføres i samsvar med personvernforordningen, jf. artikkel 5 nr. 2 og artikkel 24 nr. 1 og 2.»

Hovedpålegget i vedtakets pkt. 1 viser også til avvik 2, som i tilsynsrapporten på s. 24 er beskrevet slik:

«NAVs styrende dokumentasjon for tilgangsstyring mangler egnede tekniske og organisatoriske tiltak for å sikre og påvise at deres behandling av personopplysninger utføres i samsvar med personvernforordningen, jf. artikkel 32 nr. 1 og 2, jf. også artikkel 5 nr. 2 og artikkel 24 nr. 1 og 2. Se rapporten punkt 5.2.»

Nemnda forstår tilsynets hovedpålegg i vedtakets pkt. 1 slik at NAV pålegges å utbedre sitt styringssystem på området for personvern/personopplysningssikkerhet generelt, jf. Datatilsynets redegjørelse under pkt. 11.2 hvor begrunnelsen for dette pålegget er gitt. Her heter det blant annet:

«Sett i sammenheng med de faktiske forholdene som er beskrevet i tilsynsrapporten punkt 4.2.1, mener Datatilsynet at tilsynet har avdekket at dette lovbruddet gjelder systemet generelt og ikke bare de konkrete områdene tilgangsstyring, logg og loggkontroll.»

Det er ikke redegjort for hvilke konkrete mangler Datatilsynet mener NAVs styringssystem har, ut over at det «har svakheter og mangler i den overordnede systematikken».

Avvik 2 omtaler mangler ved «den styrende dokumentasjonen for tilgangsstyring». Nemnda legger til grunn at tilsynet med dette sikter til mangler ved styringssystemet når det gjelder tilgangsstyring, i motsetning til avvik 1 som gjelder mangler ved styringssystemet for personvern og personopplysningssikkerhet på et overordnet nivå.

Datatilsynet forankrer hovedpålegget i vedtakets pkt. 1 i artikkel 5 nr. 2, artikkel 24 nr. 1 og 2 og artikkel 32 nr. 1, 2 og 4. I tilsynsrapporten er avvik 1 angitt som en overtredelse av artikkel 24 nr. 1 og 2 og artikkel 5 nr. 2. Avvik 2 er i tillegg er angitt som en overtredelse av artikkel 32 nr. 1 og 2. Det er ingen redegjørelse for bakgrunnen for dette.

NAV bestrider at det er faktisk grunnlag for å pålegge NAV «å etablere en helhetlig og egnet systematikk for organisatoriske tiltak for å sikre og påvise etterlevelse av regelverket». NAV anfører at de oppfyller lovens krav, at Datatilsynets pålegg ikke oppfyller forvaltningslovens krav til konkretisering, og at heller ikke forvaltningslovens krav til begrunnelse er oppfylt.

Hovedpålegget er svært generelt formulert. Plikten til å gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise etterlevelse av personvernregelverket følger allerede av forordningen artikkel 24. Hovedpålegget i vedtakets pkt. 1 pålegger derfor ingen plikt ut over det som allerede følger av loven. Pålegget er ikke konkretisert i tilstrekkelig grad til at det er mulig for NAV å vite hva som må gjøres for å oppfylle pålegget. Det fremkommer heller ikke noe i vedtakets begrunnelse pkt. 11.2 eller i kapittel 4 i tilsynsrapporten som er egnet til å kaste lys over påleggets nærmere innhold.

Nemnda er også enig med NAV i at det oppgitte området for tilsynet ikke gjaldt NAVs styringssystem for personvern og informasjonssikkerhet generelt. Varselet om tilsyn var begrenset slik:

Tilsynet er avgrenset til behandling av personopplysninger som den statlige delen av NAV har ansvar for.

Kontrollen omfatter alle fagsystemer som inngår i den statlige delen av NAVs tjenesteyting.»

Det framkommer av tilsynsrapporten på side 6:

«I den ettersendte dokumentasjonen fremgår det at NAV anser at de har etablert to styringssystemer for henholdsvis personvern og informasjonssikkerhet. Dette ble ikke adressert under det stedlige tilsynet, og Datatilsynet vil derfor ikke gå nærmere inn på temaet i kontrollrapporten.» (Nemndas kursivering.)

Uttalelsen kan tyde på at Datatilsynet ikke nødvendigvis fikk det hele bildet av styringssystemet i NAV under tilsynet.

Nemnda anser det som problematisk dersom Datatilsynet har truffet vedtak på områder som NAV oppfattet at ikke var omfattet av tilsynet. Datatilsynet har varslet om kontroll av en bestemt del av styringssystemet (styringssystemet for tilgangsstyring, logg og loggkontroll), men har truffet vedtak (både gitt pålegg og ilagt overtredelsesgebyr) som omfatter hele styringssystemet. Det er ikke gitt en slik beskrivelse av det totale styringssystemet i Datatilsynets vedtak at det er mulig å ta stilling til om Datatilsynet har hatt tilstrekkelig oversikt over de faktiske forholdene.

Personvernnemnda anser det videre som problematisk at et pålegg som kan gi grunnlag for tvangsmulkt etter personopplysningsloven § 29 og overtredelsesgebyr etter forordningen artikkel 83 nr. 6 dersom pålegget ikke oppfylles, formuleres så generelt at det ikke er mulig å forstå hva som må gjøres for å oppfylle pålegget. Etter nemndas syn viser erfaringen fra tidligere tilsyn hos NAV at det har vært uklart hva som har ligget i Datatilsynets pålegg om å etterleve loven. Tilgangsstyring har vært et gjentagende tema i tilsynene hos NAV. For eksempel resulterte tilsynet i 2010 i et pålegg i mai 2011 om å «etablere tilfredsstillende konfidensialitetssikring hva gjelder tilgangsstyring og bruk av logger». Og etter tilsynet i 2011 ga Datatilsynet pålegg til NAV om blant annet å «etablere tilfredsstillende konfidensialitetssikring ved å begrense tildelte tilganger i fagapplikasjonene Arena og Gosys i samsvar med personopplysningslovens § 13». NAV bekreftet i brev til tilsynet 21. januar 2013 at avvikene var lukket og pålegget oppfylt. Nemnda legger til grunn at NAV oppfattet at de hadde oppfylt Datatilsynets pålegg om å etablere tilfredsstillende konfidensialitetssikring og ikke bevisst rapporterte feil til tilsynet.

Forordningen inneholder en rekke rettslige standarder. Hvilke plikter den behandlingsansvarlige har, følger da ikke direkte av ordlyden i den aktuelle bestemmelsen, men er resultatet av en avveining av ulike interesser. I vurderingen av personvernkonsekvensene (DPIA) som den behandlingsansvarlige plikter å foreta etter artikkel 35, må disse avveiningene synliggjøres, og den behandlingsansvarlige innrømmes en viss skjønnsmargin ved fastsettelsen av hvilke aktiviteter og tiltak som skal gjennomføres. Det er likevel slik at det er Datatilsynet som tilsynsorgan som sitter med kompetansen til å avgjøre hva som nærmere ligger i lovens krav, herunder avgjøre hvilken sikkerhet som er god nok for den aktuelle behandlingen av personopplysninger. Dersom tilsynet mener at de aktiviteter og tiltak som den behandlingsansvarlige har valgt å gjennomføre, ikke oppfyller lovens krav, må tilsynet for det første gjøre nærmere og mer detaljert rede for hvilke avvik de har avdekket, og hvorfor disse utgjør brudd på loven. Videre må de pålegg som eventuelt gis være formulert så presist at den som vedtaket retter seg mot, vet hva som må gjøres for å oppfylle påleggene.

Samlet sett er det nemndas vurdering at hovedpålegget i pkt. 1 er formulert på en slik måte at det verken er tilstrekkelig klart hva lovbruddet går ut på, eller hvilke tiltak NAV må sette i verk for å oppfylle pålegget. Lovens krav til konkretisering er ikke oppfylt, og hovedpålegget må derfor oppheves som ugyldig.

7.4.2 Underpålegget i vedtakets pkt. 1 a

NAV pålegges med dette å ferdigstille rutiner for regelmessig revisjon av den styrende dokumentasjonen for tilgangsstyring. Pålegget viser til avvik 3 som omtales i pkt. 5.2.2 i tilsynsrapporten og vedtakets begrunnelse i pkt. 11.2.1.

Underpålegget i vedtakets pkt. 1 a lyder slik:

«Ferdigstille rutiner for regelmessig revisjon av den styrende dokumentasjonen for tilgangsstyring innen 31. mars 2024, da det stedlige tilsynet avdekket at den eksisterende dokumentasjonen ikke er gjenstand for regelmessig revisjon i henhold til kravene i personvernforordningen artikkel 32 nr. 1 bokstav d. Se punkt 5.2.2 (avvik 3) i tilsynsrapporten og punkt 11.2.1 nedenfor.»

Avvik 3 er i tilsynsrapporten s. 24 beskrevet på denne måten:

«NAVs styrende dokumentasjon for tilgangsstyring er ikke gjenstand for regelmessig revisjon i henhold til kravene i personvernforordningen artikkel 32 nr. 1 bokstav d. Se rapporten punkt 5.2.»

NAV har i tilsvar til varsel om vedtak redegjort for at de har krav til revisjon og har vist til dokumentet hvor dette fremgår. Det følger av dette dokumentet at alle styrende dokumenter i den nye dokumentstrukturen revideres minimum årlig eller ved større endringer. Om dokumentasjon knyttet til tilgangsstyring skriver NAV:

«Dokumentasjon knyttet til tilgangsstyring, som det ikke har vært behov for å endre, har ikke blitt oppdatert med ny dato for gjennomgang. Det ser vi burde blitt gjort.»

NAV redegjør for at det er startet et arbeid med ny løsning for tilgangsstyring, og at dagens løsning Identrutina, skal utfases. Det foretas derfor ingen oppdatering av denne før ny løsning er på plass.

NAV har foreslått slikt tiltak knyttet til underpålegget i pkt. 1 a:

«Oppdatere den styrende dokumentasjonen for tilgangsstyring, herunder tydeliggjøre rutiner for regelmessig revisjon».

NAV har foreslått 31. mars 2024 som frist for oppfyllelse. Pålegget fra Datatilsynet i vedtak om pålegg pkt. 1 a er utformet i tråd med dette. Nemnda tolker dette slik at Datatilsynet aksepterer NAVs redegjørelse om at virksomheten har rutiner for revisjon, men at dokumentasjonen for dette ikke er oppdatert med korrekt dato.

Med den utformingen som underpålegget i pkt. 1 a fikk på bakgrunn av dialogen mellom Datatilsynet og NAV i etterkant av varsel om vedtak, der NAV i realiteten bare pålegges å oppdatere dokumentasjonen med korrekt dato, legger nemnda til grunn at pålegget er oppfylt.

7.4.3 Underpålegget i vedtakets pkt. 1 b

Underpålegget i pkt. 1 b lyder slik:

«Etablere rutiner som sikrer at tilgangsstyringen tilpasses risikoen ved behandlingen av personopplysninger i de enkelte fagsystemene, da det stedlige tilsynet avdekket at de eksisterende rutinene ikke sikrer at det ved vurderingen av egnet sikkerhetsnivå (tilgangsnivå) tas hensyn til risikoene forbundet med behandlingen, jf. personvernforordningen artikkel 32 nr. 2. Se punkt 5.2.2 (avvik 4) i tilsynsrapporten og punkt 11.2.2 nedenfor.»

I varselet om vedtak var underpålegget i pkt. 1 b formulert noe annerledes:

«Etablere rutine for gjennomføring av risikovurderinger ved etablering og utvikling av fagsystemer.»

NAV bestred i sitt tilsvar til varselet at det var faktisk grunnlag for å gi dette pålegget. NAV viste til at Datatilsynet ikke hadde bedt om oversendelse av rutiner for risikovurderinger ved etablering og utvikling av fagsystemer, og at det ikke var gjennomgang av risikovurderinger under det stedlige tilsynet. NAV viste til del 1, kapittel 1.3 (Organisatoriske og styringsmessige tiltak knyttet til håndteringen av personvern i NAV), hvor eksisterende rutiner for risikovurderinger i NAV beskrives. NAV redegjør også for at de ved innføring av ny løsning for tilgangsstyring vil gjennomgå og oppdatere risikovurderingene knyttet til tilgangsstyring i de sentrale fagsystemene.

Datatilsynet beklaget i vedtaket at dette pålegget var upresist formulert i varselet om vedtak. I det endelige vedtaket ble pålegget endret slik det er gjengitt ovenfor.

Det er avvik 4 som er bakgrunnen for dette pålegget, og avviket er beskrevet på denne måten:

«NAV har ikke etablert tilfredsstillende organisatoriske tiltak for å sikre at det gjennomføres risikovurderinger i henhold til personvernforordningen artikkel 32 nr. 2 ved etablering og utvikling av fagsystemer. Se rapporten punkt 5.2.»

For nemnda er det, på bakgrunn av hva Datatilsynet skriver, og formuleringen av avvik 4, vanskelig å forstå den innholdsmessige forskjellen mellom underpålegget, slik det var formulert i varselet om vedtak, og slik det endelig ble formulert i vedtaket. I og med at dette underpålegget viser til avvik 4, legger nemnda til grunn at tilsynet mener å ha påvist mangler ved styringssystemet for å sikre at det rutinemessig gjennomføres risikovurderinger ved etablering og utvikling av fagsystemer. NAV på sin side mener at rutine for risikovurderinger ved etablering og utvikling av fagsystemer ikke var tema under tilsynet, men at de har etablert rutiner for risikovurderinger. Når det gjelder konkrete risikovurderinger knyttet til tilgangsstyring, viser NAV til tiltakene som er planlagt for å etterkomme underpålegget i pkt. 1 d og påleggene i pkt. 2.

Etter nemndas vurdering har avvik 4, slik det er formulert, en viss overlapp med avvik 7. Avvik 7 har resultert i underpålegget i vedtakets pkt. 1 d om å etablere og ferdigstille oppdaterte og egnede rutiner for tildeling av tilganger i de ulike fagsystemene. Det følger av loven at en slik rutine for tildeling av tilganger blant annet må baseres på en risikovurdering.

Ut fra Datatilsynets vedtak er det uklart hvilket faktum tilsynet har lagt til grunn når det gjelder hvilke rutiner NAV har for risikovurdering. Med det resultatet nemnda er kommet til, er det ikke grunn til å gjøre ytterligere undersøkelser knyttet til om det kan påvises mangler ved styringssystemet hos NAV når det gjelder rutiner for å sikre at det gjennomføres risikovurderinger ved etablering og utvikling av fagsystemer, eller om styringssystemet er tilstrekkelig.

Samlet sett er det nemndas vurdering at underpålegget i pkt. 1 b er formulert slik at det verken er tilstrekkelig klart hvilket faktum Datatilsynet har lagt til grunn, eller hvilke tiltak NAV må sette i verk for å oppfylle pålegget. Lovens krav til konkretisering er ikke oppfylt, og underpålegget oppheves som ugyldig.

7.4.4 Underpålegget i vedtakets pkt. 1 c

Underpålegget i pkt. 1 c lyder slik:

«Ferdigstille rutiner for opplæring av identadministratorer innen 31. desember 2024, da det stedlige tilsynet avdekket at det ikke er etablert tilfredsstillende organisatoriske tiltak for opplæring av denne gruppen, jf. personvernforordningen artikkel 32 nr. 1. og nr. 4. Se punkt 5.3.2 og 5.4.2 (avvik 6) i tilsynsrapporten og punkt 11.2.3 nedenfor.»

Det er avvik 6 i tilsynsrapporten som er bakgrunnen for dette underpålegget, og avviket er beskrevet på denne måten:

«NAV har ikke etablert tilfredsstillende organisatoriske tiltak for opplæring av identadministratorer. Konklusjonen vår er at dette er et avvik fra kravene i personvernforordningen artikkel 32 nr. 1. og nr. 4. Se rapporten punkt 5.3 og 5.4»

NAV har i tilsvar til varsel om vedtak sagt seg enig i at det er behov for å gjennomgå og forbedre opplæringen av identadministratorer, men mener at tilsynsrapporten ikke gir et riktig bilde av situasjonen. NAV redegjør for eksisterende tiltak og skriver at i forbindelse med innføringen av ny løsning for tilgangsstyring vil det i større grad enn tidligere gjennomføres sentralisert rollebasert tildeling av tilganger. Dette vil redusere behovet for skjønnsmessige vurderinger av tilgangstildeling for identadministratorer.

NAV har som tiltak foreslått å «Utarbeide opplæringsmateriell (brukerveiledninger og veiledninger) for ny tilgangsstyringsløsning, herunder etablere rutiner som sikrer at alle ledere og identadministratorer får opplæring før de kan håndtere tilgangsstyring». NAV har foreslått 31. desember 2024 som frist for oppfyllelse. Datatilsynets underpålegg i pkt. 1 c er utformet i tråd med dette.

Det er nemndas vurdering at underpålegget i pkt. 1 c, tolket i lys av dialogen mellom Datatilsynet og NAV i etterkant av varsel om vedtak, er formulert slik at det er tilstrekkelig klart hva bruddet på personvernforordningen går ut på, og hvilke tiltak NAV må sette i verk for å oppfylle pålegget.

7.4.5 Underpålegget i vedtakets pkt. 1 d

Underpålegget i pkt. 1 d lyder slik:

«Etablere og ferdigstille oppdaterte og egnede rutiner for tildeling av tilganger i de ulike fagsystemene innen 31. desember 2024, da det stedlige tilsynet avdekket at de eksisterende rutinene er utdaterte og mangelfulle, og således ikke oppfyller kravene i personvernforordningen artikkel 32 nr. 1 og nr. 4. Se punkt 5.4.2 (avvik 7) i tilsynsrapporten og punkt 11.2.4 nedenfor.»

Det er avvik 7 i tilsynsrapporten som er bakgrunnen for dette underpålegget, og avviket er beskrevet på denne måten:

«Rutinene for tildeling av tilganger er utdaterte og gir ingen veiledning knyttet til skjønnsmessige vurderinger. Dette er å regne som et avvik fra kravene til organisatoriske tiltak etter personvernforordningen artikkel 32 nr. 1 og nr. 4. Se rapporten punkt 5.4.»

NAV har i tilsvar til varsel om vedtak sagt seg enig i at det behov for oppdaterte og mer egnede rutiner for tildeling av tilganger i de ulike fagsystemene. NAV opplyser at dette er noe de allerede er i gang med å forbedre i forbindelse med innføring av en ny tilgangsstyringsløsning. Planen er at sentrale fagsystemer og rutiner for tilgang til disse skal inn i den nye løsningen for tilgangsstyring i løpet av 2024 og 2025. NAV har som tiltak foreslått å gjennomgå og oppdatere gjeldende rutiner for tildeling av tilganger i sentrale fagsystemer i forbindelse med innføringen av ny tilgangsstyringsløsning, og har foreslått 31. desember 2024 som frist for oppfyllelse. Endelig pålegg ble utformet i tråd med dette.

Det er nemndas vurdering at underpålegget i pkt. 1 d, tolket i lys av dialogen mellom Datatilsynet og NAV i etterkant av varsel om vedtak, er formulert slik at det er tilstrekkelig klart hva bruddet på personvernforordningen går ut på, og hvilke tiltak NAV må sette i verk for å oppfylle pålegget.

7.5 Mangler ved den etablerte tilgangskontrollen

7.5.1 Hovedpålegget i vedtakets pkt. 2

Hovedpålegget i vedtakets punkt 2 lyder slik:

«NAV pålegges å etablere tekniske og organisatoriske tiltak knyttet til tilgangsstyring som gir tilfredsstillende konfidensialitetssikring av personopplysninger, jf. personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32 nr. 1, da det stedlige tilsynet avdekket at de eksisterende tiltakene ikke oppfyller lovens krav. Se punkt 5 (avvik 9) i tilsynsrapporten og punkt 11.3 nedenfor.»

Det er avvik 9 i tilsynsrapporten som er oppgitt som bakgrunnen for dette pålegget, og avviket er beskrevet på denne måten:

«NAV har organisert seg på en måte som gjør at en betydelig andel av brukerne får et tjenstlig behov for å ha vide tilganger. I kombinasjon med et mangelfullt system for loggkontroll (se rapporten punkt 7) er dette ikke forenlig med konfidensialitetsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav f og kravene til personopplysningssikkerhet i artikkel 32 nr. 1. Se rapporten punkt 5.4.»

Det er uklart for nemnda hva avvik 9 innebærer. Det er formulert som et selvstendig brudd på forordningen, men etter nemndas vurdering synes det å være et betydelig sammenfall mellom dette avviket og avvik 12, som gjelder manglende systematisk loggkontroll. På tross av dette sammenfallet i beskrivelsene av avvik 9 og 12, har avvik 9 resultert i ett pålegg (hovedpålegget i pkt. 2) mens avvik 12 har resultert i et annet pålegg (pålegget i pkt. 3). Da er det nærliggende å anta at de to påleggene heller ikke har sammenfallende innhold.

I og med at manglende system for loggkontroll er beskrevet i avvik 12, tilsier systematikken at det er den første setningen i beskrivelsen av avvik 9 som tilsynet anser som lovbrudd her, altså at «NAV har organisert seg på en måte som gjør at en betydelig andel av brukerne får et tjenstlig behov for å ha vide tilganger».

NAV bestrider grunnlaget for hovedpålegget i pkt. 2, og mener det i dag er etablert tekniske og organisatoriske tiltak innen tilgangsstyringsområdet som balanserer behovet for likebehandling, kvalitet og effektivitet opp mot konfidensialitet for den registrerte. NAV redegjør for at de vil forbedre krav, prosesser og oppfølging knyttet til tilgangsstyring i forbindelse med innføringen av ny løsning for tilgangsstyring. NAV anfører at dersom de hadde organisert NAVs virksomhet med mål om at de ansatte skulle ha tilgang til så lite informasjon som mulig om brukerne, ville det mest sannsynlig ha brutt både med kravet til god veiledning av brukernes helhetlige behov, likebehandling og saksbehandling innen rimelig tid.

NAV viser også til at de har en portefølje bestående av både gammel og ny teknologi, der det gjennom årene er gjort ulike vurderinger knyttet til tilgangsstyring. Det er mer krevende å gjennomføre tiltak og endre løsningen for tilgangsstyring i gamle systemer, enn ved utviklingen av nye. NAV redegjør for moderniseringsprogrammene P1-P4, som har pågått siden 2012, og hvor behovet for å bedre personvernet er et av argumentene for nye løsninger. Det ble i 2021 igangsatt et omfattende arbeid med å bytte ut dagens løsning for tilgangsstyring med en ny. Løsningen vil bidra til å styrke styringen og kontrollen av tilganger i NAV. Ny teknisk løsning er installert høsten 2023, og fagsystemene vil suksessivt bli koblet på ny løsning i 2024 og 2025.

NAV har foreslått følgende tiltak:

- Sluttføring av fagsystemet Arena. Ytelser løftes gradvis over på ny løsning. Frist 31. desember 2027.

- Gjennomgå og eventuelt oppdatere rutiner for risikovurderinger og personvernkonsekvensvurdering for å presisere krav til vurdering ved utforming av tilgangsstyring. Frist 31. mars 2024.

- Oppdatering av risikovurderinger og tilgangsstyring i sentrale fagsystemer i forbindelse med innføring av ny tilgangsstyringsløsning. Frist 31. desember 2024.

- Innføre ny tilgangsstyringsløsning for NAVs fagsystemer. Frist 31. desember 2025.

Hovedpålegget i vedtakets pkt. 2 er, på samme måte som hovedpålegget i vedtakets pkt. 1, svært generelt formulert. Plikten til å gjennomføre egnede tekniske og organisatoriske tiltak knyttet til tilgangsstyring som gir tilfredsstillende konfidensialitetssikring av personopplysninger følger allerede av artikkel 32. Hovedpålegget i pkt. 2 pålegger derfor NAV ingen plikt ut over den plikten som allerede følger av loven. Pålegget er ikke konkretisert i tilstrekkelig grad til at det er mulig å vite hva som må gjøres for å oppfylle pålegget. Tilsynets merknader i kapittel 5 i tilsynsrapporten eller i vedtakets begrunnelse pkt. 11.3 er heller ikke egnet til å avklare det nærmere innholdet i hovedpålegget.

Underpåleggene i pkt. 2 a – c samt pålegget i pkt. 3, som nemnda vil foreta selvstendige vurderinger av nedenfor, er etter nemndas vurdering heller ikke egnet til å kaste lys over det nærmere innholdet i hovedpålegget i pkt. 2. Alle fire pålegger NAV å begrense tilgangen til personopplysninger, og dette er selvstendige pålegg. Som nemnda har redegjort for i pkt. 7.3 ovenfor, har tilsynet gitt eksplisitt uttrykk for at hovedpålegget i pkt. 2 utgjør et selvstendig krav. Tilsynet har derimot ikke utdypet nærmere hvilke tiltak NAV må sette i verk for at hovedpålegget skal anses oppfylt. Det er med andre ord ikke grunnlag for å mene at dersom NAV oppfyller de fire øvrige påleggene som gjelder tilgang til personopplysninger, så vil også hovedpålegget i pkt. 2 om tilstrekkelig konfidensialitet være oppfylt.

Som påpekt ovenfor anser Personvernnemnda det som problematisk at et pålegg som i seg selv kan gi grunnlag for tvangsmulkt etter personopplysningsloven § 29 dersom det ikke etterleves, samt at manglende oppfyllelse av pålegget i seg selv gir grunnlag for overtredelsesgebyr etter artikkel 83 nr. 6, formuleres så vidt at det ikke er mulig å forstå hvilke krav som stilles for at det skal anses oppfylt. Nemnda viser til sin vurdering under pkt. 7.4.1 ovenfor.

Samlet sett er det nemndas vurdering at hovedpålegget i pkt. 2 er formulert slik at det verken er tilstrekkelig klart hva lovbruddet går ut på, eller hvilke tiltak NAV må sette i verk for å oppfylle pålegget. Lovens krav til konkretisering er ikke oppfylt, og hovedpålegget må derfor oppheves som ugyldig.

7.5.2 Underpålegget i vedtakets pkt. 2 a

Underpålegget i pkt. 2 a lyder slik:

«Innen 31. mai 2024 etablere tekniske og organisatoriske tiltak for arkivsystemet Joark som begrenser tilgang til metadata om dokumenter på tvers av fagområder til tilfeller hvor det er nødvendig, da det stedlige tilsynet avdekket at tilgjengeliggjøringen av slike data er for generell og vid, og således ikke oppfyller kravene i personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32 nr. 1. Se punkt 5.3.2 (avvik 5) i tilsynsrapporten og punkt 11.3.1 nedenfor.»

Pålegget har sin bakgrunn i avvik 5 i tilsynsrapporten, og det er beskrevet på denne måten:

«Tilgjengeliggjøringen av metadata om dokumenter i Joark er for generell og vid og er ikke forenlig med konfidensialitetsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav f og kravene til personopplysningssikkerhet i artikkel 32 nr. 1. Se rapporten punkt 5.3.»

Joark er NAVs primære fagarkiv, og alle dokumenter (brev, vedtak etc.) lagres der i PDF-format. Joark består av flere systemer som har en delt database over dokumenter med tilhørende metadata. Totalt inneholder Joark rundt 600 millioner journalposter, hvor hver journalpost består av én eller flere dokumenter. Dokumentene inneholder ofte personopplysninger som søknads- eller vedtaksdata, mens journalpostene hovedsakelig har metadata for kategorisering og gjenfinning. Eksempler på journalpostmetadata er tittel, bruker, avsender/mottaker, saksnummer og tema.

Hovedregelen er at medarbeidere i NAV får se journalposter, altså metadata om dokumenter, på alle tema, forutsatt at de har tilgang til brukeren. Noen av temaene i Joark har blitt definert som spesielt sensitive. Dette gjelder temaene KTA (kontroll anmeldelse) og FAR (foreldreskap). Det er bare et begrenset antall saksbehandlere som har tilgang til disse temaene, og det er kun disse som kan se at det finnes saker, journalposter og dokumenter. Metadata og dokumenter på tema KTA og FAR er skjult for alle andre saksbehandlere.

Det fremgår av Datatilsynets pålegg at tilsynet vurderer at tilgangen til metadata i dag er for vid, og NAV pålegges å begrense tilgangen til det som er nødvendig. Denne nødvendighetsvurderingen innebærer en avveining av ulike interesser, men tilsynet tilkjennegir i sin begrunnelse for pålegget ikke noe som er egnet til å kaste lys over hva tilsynet mener er nødvendige tilganger vurdert på bakgrunn av det samfunnsoppdrag det er politisk bestemt at NAV er satt til å løse.

I NAVs tilsvar til varsel om vedtak viser NAV til prinsippet om at bruker bare skal oppgi informasjon én gang. Dette står helt sentralt i offentlig sektors digitalisering, og brukerne har en klar forventning om at NAV skal bruke de opplysningene de allerede har. Videre vises det til at NAV etter forvaltningsloven har en utredningsplikt når de behandler saker, og at NAV, for å kunne vurdere om de har informasjon som er relevant, må vite at informasjonen finnes. NAV skriver:

«Vi vil gjennomføre nye risikovurderinger av både brukers konfidensialitet og hvilken betydning det kan ha for saksbehandlingstid og brukers rettsikkerhet. Dette medfører at vi vil følge opp pålegget fra Datatilsynet ved å gjøre ny gjennomgang og risikovurdering av om journalposter/ metadata kan skjules på flere fagområder enn det gjøres i dag.»

I vedtak om pålegg skriver Datatilsynet at tiltaket etter deres vurdering vil oppfylle pålegget i pkt. 3. Nemnda er uenig i det. Nemnda viser til at det tiltaket NAV foreslår, ikke sier noe om at tilgangen til journalposter og metadata skal gjøres mindre vid. Tiltaket går bare ut på å foreta en ny risikovurdering av om journalposter og metadata kan skjules på flere fagområder enn det gjøres i dag. Det er uklart hva som blir resultatet av den nye risikovurderingen – om det vil lede til en beslutning om å begrense tilgangen til metadata/journalpost, eller ikke. Etter nemndas syn må Datatilsynet, dersom tilsynet skal konstatere lovbrudd på dette punktet, først gjennomføre en selvstendig avveining av de ulike hensynene i tråd med artikkel 32. Det fremgår ikke av Datatilsynets vedtak at dette er gjort. Det representerer en mangel ved pålegget.

Samlet sett er det nemndas vurdering at underpålegget i pkt. 2 a er formulert slik at det verken er tilstrekkelig klart hva lovbruddet går ut på, eller om det er nødvendig å iverksette tiltak for å oppfylle loven. Underpålegget må derfor oppheves som ugyldig.

7.5.3 Underpålegget i vedtakets pkt. 2 b

Underpålegget i pkt. 2 b lyder slik:

«Innen 31. desember 2025 etablere tekniske og organisatoriske tiltak for å begrense tilgangen til personopplysninger som kun behandles for arkivformål (historiske saker) til tilfeller hvor det er nødvendig, da det stedlige tilsynet avdekket at tilgangen til historiske saker er for generell og vid, og således ikke oppfyller kravene i personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32 nr. 1. Se punkt 5.4.2 (avvik 8) i tilsynsrapporten og punkt 11.3.2 nedenfor.»

Pålegget har sin bakgrunn i avvik 8 i tilsynsrapporten, og avviket er beskrevet på denne måten:

«Tilgjengeliggjøringen av personopplysninger som kun behandles for arkivformål (historiske saker) er for generell og vid og er ikke forenlig med konfidensialitetsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav f og kravene til personopplysningssikkerhet i artikkel 32 nr. 1. Se rapporten punkt 5.4.»

NAV er enig med Datatilsynet i at det er behov for å begrense tilgangen til personopplysninger som kun behandles for arkivformål. NAV opplyser at dette også er en problemstilling som har kommet opp i arbeidet med bevarings- og kassasjonsregler for NAV. NAV utarbeidet kassasjonsregler i 2019 som nå ligger til grunn. Disse viser ifølge NAV at NAV, for veldig mange områder, har behov for å ta vare på dokumentasjon i svært lang tid.

Nemnda legger til grunn NAVs opplysning om at NAV i lengre tid har jobbet med å avklare lagringstid og avslutning av saker. Arbeidet har vist seg omfattende og krevende. Det har vært et utfordrende og tidkrevende arbeid å få på plass en enighet om fra hvilket tidspunkt NAV ikke lenger har behov for dokumentasjonen i en sak. Diskusjonene har også vist at det vil være krevende å få på plass et tidspunkt for når dokumentasjonen skal være skjult for de fleste saksbehandlere.

NAV har foreslått følgende tiltak:

- Pr. fagområde: avklare kriterier for når en aktiv sak kan anses som historisk og dermed skjules for ansatte uten særskilt tilgang. Frist 31.12.2024.

- Innføre funksjonalitet for å skjule avsluttede saker i noen fagsystemer. Frist 31.12.2024.

- Innføre funksjonalitet for å skjule avsluttede saker i alle fagsystemer som har historiske saker som kan skjules. Frist 31.12.2025.

I vedtaket uttrykker Datatilsynet forståelse for at det vil være tidkrevende å gjennomføre disse prosessene og fastsetter fristene for når tiltakene skal være gjennomført, i samsvar med NAVs forslag.

Det er nemndas vurdering at underpålegget i pkt. 2 b, tolket i lys av dialogen mellom Datatilsynet og NAV i etterkant av varsel om vedtak, er formulert slik at det er tilstrekkelig klart hva bruddet på personvernforordningen går ut på, og hvilke tiltak NAV må sette i verk for å oppfylle pålegget.

7.5.4 Underpålegget i vedtakets pkt. 2 c

Underpålegget i pkt. 2 c lyder slik:

«Etablere tekniske og organisatoriske tiltak som gir mulighet for å tilpasse personopplysningssikkerheten ut fra risiko begrunnet i konkrete brukerbehov, da det stedlige tilsynet avdekket at de eksisterende tiltakene ikke gir en slik mulighet, og følgelig ikke oppfyller kravene til at sikkerhetstiltakene tilpasses risikoen ved behandlingen jf. personvernforordningen artikkel 32 nr. 1. Se punkt 5.7.2 (avvik 10) i tilsynsrapporten og punkt 11.3.3 nedenfor.»

Pålegget har sin bakgrunn i avvik 10 i tilsynsrapporten, og dette avviket er beskrevet på denne måten:

«NAVs manglende tekniske og organisatoriske tiltak for skjerming av saker begrunnet i individuelle behov hos den registrerte er et avvik fra kravet om at sikkerhetstiltak tilpasses risikoen ved behandlingen, jf. personvernforordningen artikkel 32 nr. 1 og 2. Se rapporten punkt 5.7.»

Også avvik 10 gjelder manglende tiltak for å begrense tilgangen til opplysninger, i dette tilfellet mangelfull mulighet for å begrense tilgangen til personopplysninger begrunnet i individuelle behov. Dette er ett av de fokusområdene som ble særskilt nevnt i varsel om tilsyn:

«Vi vil kontrollere at NAV har etablert et tilfredsstillende styringssystem for personopplysningssikkerhet, knyttet til forvaltningen av autorisasjoner i fagsystemene og evne til å tilpasse sikkerhetsnivået for personer som har et særskilt beskyttelsesbehov (f.eks. egne ansatte og offentlig kjente personer). Videre vil vi kontrollere at det er etablert logger og hvordan disse benyttes.» (Nemndas kursivering.)

NAV anerkjenner at det kan være individuelle behov som krever tekniske og organisatoriske tiltak for å tilpasse personopplysningssikkerheten. NAV opplyser at de har innført slike tiltak for personer med adressebeskyttelse og for egne ansatte.

NAV skriver om dette:

«NAV ser det som utfordrende å ha stor grad av differensiert personopplysningssikkerhet basert på brukeres situasjon. Det kan imidlertid være teknisk gjennomførbart å innføre skjermingstiltak basert på dagens modell for skjerming av egne ansatte, jf. omtale nedenfor. Dette må imidlertid veies opp mot ulempene, som at flere ansatte trolig må gis tilgang til å behandle skjermede personer.

Skjermingsløsningen for NAV-ansatte og deres nærmeste familiemedlemmer ble innført i starten av 2020 etter pålegg fra Datatilsynet. Det er i dag om lag 24 700 ansatte og familiemedlemmer som er skjermet. Skjermede brukere får sine saker behandlet ved egne virtuelle enheter, og blir normalt ikke fulgt opp ved sitt lokale NAV-kontor. De har heller ikke mulighet til å få veiledning fra NAV Kontaktsenter i sin egen sak, og må bruke funksjonen “Skriv til oss” på nav.no ved behov for dette. Personer som er skjermet får dermed et noe dårligere tilbud enn øvrige brukere.

Dersom NAV åpner for å skjerme personer som ikke er ansatt eller tilknyttet en ansatt, risikerer vi at antallet skjermede blir høyt. Da vil det være behov for flere saksbehandlere til å behandle skjermede brukere, og flere NAV-ansatte må få tilgang til deres saker. Dette kan igjen bidra til å undergrave dagens skjermingskonsept. NAV trenger derfor tid til å utrede konsekvensene av en slik løsning før vi kan forplikte oss til konkrete tiltak.»

NAVs forslag til tiltak på dette punktet er at NAV innen 31. desember 2024 skal utrede konsekvenser av skjerming av brukere som ønsker det.

Datatilsynet skriver i sitt vedtak at det oppfatter at NAV aksepterer pålegget fullt ut. Nemnda er ikke enig i den tolkningen. Det NAV aksepterer er å utrede konsekvensene av å innføre en ordning med skjerming av brukere som ønsker det på grunn av individuelle behov. Først når den konsekvensutredningen foreligger er det mulig å foreta den vurderingen personvernforordningen legger opp til i artikkel 32. Det framstår foreløpig åpent hva konklusjonen vil bli.

I Datatilsynets vedtak inngår avvik 10 som ett av de 11 lovbruddene som begrunner overtredelsesgebyr. Etter nemndas vurdering er det ikke mulig på nåværende tidspunkt å ta stilling til om NAV bryter loven ved ikke å ha innført en mulighet for skjerming av personer med særskilt beskyttelsesbehov, i tillegg til egne ansatte og personer som bor på beskyttet adresse. Hvis Datatilsynet mener at den konsekvensutredningen som NAV har foretatt er mangelfull og at det er det som representerer et lovbrudd, måtte dette vært redegjort for og begrunnet. Slik saken er fremstilt, er det ikke mulig for nemnda å foreta en selvstendig vurdering av om personvernforordningen er brutt og om det er grunnlag for pålegg.

Underpålegget i pkt. 2 c er ugyldig og oppheves.

7.6 Mangler ved den etablerte loggkontrollen

7.6.1 Pålegget i vedtakets pkt. 3

Pålegget i pkt. 3 lyder slik:

«NAV pålegges å etablere tekniske og organisatoriske tiltak knyttet til loggkontroll som gir tilfredsstillende konfidensialitetssikring av personopplysninger, jf. personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32 nr. 1 bokstav d og nr. 4, da det stedlige tilsynet avdekket at de eksisterende tiltakene ikke oppfyller lovens krav. Se punkt 7 (avvik 12) i tilsynsrapporten og punkt 11.4 nedenfor.»

Pålegget har sin bakgrunn i avvik 12 i tilsynsrapporten, som er beskrevet på denne måten:

«NAV har ikke etablert en systematisk loggkontroll. I kombinasjon med at en betydelig andel av NAVs ansatte har vide tilganger (se rapporten punkt 5.4/avvik 9 ovenfor), blir dette å regne som et avvik fra kravet om å innføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen av personopplysninger utføres i samsvar med personvernforordningen, jf. artikkel 32 nr. 1 og 2, jf. også artikkel 5 nr. 2 og artikkel 24 nr. 1 og 2, og fra kravene til regelmessig kontroll etter artikkel 32 nr. 1 bokstav d. Se rapporten punkt 7.»

Dette avviket gjelder NAVs organisering med vide tilganger i kombinasjon med manglende systematisk loggkontroll. Det fremkommer av tilsynsrapporten at alle oppslag i systemet logges, men at det ikke er etablert noen systematisk loggkontroll. Loggen kontrolleres ved mistanke om uautoriserte oppslag, for eksempel hvis noen henvender seg og klager. NAV har etablert et system for rett til innsyn i loggene, som etter NAVs vurdering også har en preventiv effekt mot oppslag uten tjenstlig behov.

Pålegget i pkt. 3 er formulert svært vidt, og innebærer etter nemndas vurdering i realiteten bare et pålegg om å følge loven. Tolkes pålegget i lys av beskrivelsen av avvik 12, kan det likevel forstås som et pålegg om å etablere en systematisk loggkontroll.

NAV er enig med Datatilsynet i at loggkontrollen bør forbedres. I sitt tilsvar til varsel om vedtak redegjør NAV for hvilke ulike loggmetoder som er forsøkt og hvilke verktøy som er brukt. NAV foreslår selv som tiltak å iverksette manuell proaktiv loggkontroll innenfor et hensiktsmessig og begrenset område innen 31. mars 2024, samt innen 31. mai 2024 utarbeide en gjennomføringsplan for forbedring av loggkontroll.

Det er nemndas vurdering at pålegget i pkt. 3, tolket i lys av beskrivelsen av avvik 12 og dialogen mellom Datatilsynet og NAV i etterkant av varsel om vedtak, er tilstrekkelig klart når det gjelder hva bruddet på personvernforordningen går ut på, og hvilke tiltak NAV må sette i verk for å oppfylle pålegget.

7.7 Datatilsynets vedtak om overtredelsesgebyr

7.7.1 Hvilke bestemmelser er overtrådt – lovanvendelsen

Artikkel 58 nr. 2 bokstav i gir tilsynsmyndigheten kompetanse til å ilegge overtredelsesgebyr i henhold til artikkel 83. Artikkel 83 nr. 4 og 5 angir hvilke overtredelser av forordningen som kan medføre overtredelsesgebyr. I tillegg til de bestemmelsene som er angitt der, følger det av personopplysningsloven § 26 at Datatilsynet kan ilegge overtredelsesgebyr for brudd på artikkel 10 og artikkel 24, samt at Datatilsynet kan ilegge offentlige myndigheter og organer overtredelsesgebyr, jf. artikkel 83 nr. 7.

For oversiktens skyld gjentas vedtak om ileggelse av overtredelsesgebyr her:

«Med hjemmel i personvernforordningen artikkel 58 nr. 2 bokstav i, jf. personopplysningsloven § 26, fatter vi følgende vedtak:

NAV ilegges et overtredelsesgebyr på 20 000 000 – tjue millioner – kroner for overtredelse av

Datatilsynets vedtak om overtredelsesgebyr er todelt. Etter bokstav a ilegges NAV overtredelsesgebyr «som følge av behandling av personopplysninger på en måte som ikke sikrer tilstrekkelig sikkerhet for personopplysningene». Det er vist til brudd på artikkel 5 nr. 1 bokstav f og artikkel 32 nr. 1, 2 og 4 som grunnlag for overtredelsesgebyret.

Artikkel 5 oppstiller prinsipper for behandling av personopplysninger. Artikkel 5 nr. 1 bokstav f lyder:

«1. Personopplysninger skal

…

f. behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og konfidensialitet»).»

Artikkel 32 stiller krav til sikkerheten ved behandlingen. Artikkel 32 nr. 1, 2 og 4 lyder:

«1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet, alt etter hva som er egnet,

a. pseudonymisering og kryptering av personopplysninger,

b. evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene,

c. evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse,

d. en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.

2. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

…

4. Den behandlingsansvarlige og databehandleren skal treffe tiltak for å sikre at enhver fysisk person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, behandler nevnte opplysninger bare etter instruks fra den behandlingsansvarlige, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at vedkommende gjør dette.»

Ordlyden i vedtak om overtredelsesgebyr bokstav a - «behandling av personopplysninger på en måte som ikke sikrer tilstrekkelig sikkerhet for personopplysningene» - reiser uklarhet om Datatilsynet her har gått ut over det de selv skriver at tilsynet gjelder:

«Datatilsynet understreker følgelig at tilsynet var innrettet på å kontrollere hvorvidt NAV har iverksatt egnede tekniske og organisatoriske tiltak for konfidensialitetssikring. Tilsynet handlet ikke om hvorvidt eventuelle mangler på slike tiltak har materialisert seg i form av «brudd på personopplysningssikkerheten».

Dersom manglende tekniske eller organisatoriske tiltak får den konsekvensen at det skjer et brudd på personopplysningssikkerheten, for eksempel i form av uautorisert innsyn, er det noe annet og mer alvorlig enn om man ikke konstaterer noen brudd, men kommer til at de tekniske eller organisatoriske tiltakene er mangelfulle.

I dette tilfellet har Datatilsynet uttrykkelig sagt at det ikke har vurdert om manglende organisatoriske tiltak har materialisert seg i noen brudd på personopplysningssikkerheten og medført ulovlig behandling av personopplysninger. Ved vurderingen av om overtredelsesgebyr skal ilegges og ved utmåling av gebyret, må det da legges til grunn at det ikke har skjedd.

Formuleringen av bokstav a i vedtak om overtredelsesgebyr (behandling av personopplysninger) kan forstås slik at Datatilsynet har ilagt overtredelsesgebyr for ulovlig behandling av personopplysninger, ikke for manglende tekniske og organisatoriske tiltak, som er det tilsynet sier de har vurdert. Overtredelsesgebyr for ikke å ha gjennomført egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen av personopplysninger utføres i samsvar med forordningen, følger av vedtaket om overtredelsesgebyr bokstav b, hvilket medfører ytterligere usikkerhet om hva det er ilagt overtredelsesgebyr for etter bokstav a.

Overtredelse av artikkel 5 kan etter artikkel 83 nr. 5 medføre et overtredelsesgebyr på opptil 20 000 000 euro, mens overtredelse av artikkel 32 i henhold til artikkel 83 nr. 4 kan medføre et overtredelsesgebyr på opptil 10 000 000 euro, dvs. halvparten. Forskjellen i overtredelsesgebyrets størrelse tilsier at de to bestemmelsene er ment å ramme ulike overtredelser. Det fremkommer ikke av Datatilsynets vedtak hvordan tilsynet vurderer dette. Formuleringen i vedtakets bokstav a «som følge av behandling av personopplysninger på en måte som ikke sikrer tilstrekkelig sikkerhet for personopplysningene» (nemndas utheving), tilsier at Datatilsynet mener overtredelsen gjelder en behandling av personopplysninger i strid med prinsippene i artikkel 5, mens teksten for øvrig tilsier at overtredelsen består av mangelfulle «egnede tekniske og organisatoriske tiltak», som reguleres av artikkel 32.

Det følger av artikkel 32 at den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Artikkel 32 nr. 1 henviser til mangelfulle tiltak for å sikre konfidensialitet, innad hos NAV (hindre og avdekke eventuell uautorisert tilgang). Artikkel 32 nr. 2 oppstiller ikke egne krav, men sier noe om hvordan man skal vurdere egnet sikkerhetsnivå etter nr. 1.

Datatilsynet har også vist til artikkel 32 nr. 4 som grunnlag for overtredelsesgebyr. Det er ikke gitt noen faktisk eller rettslig begrunnelse for bruken av denne bestemmelsen som grunnlag for overtredelsesgebyr.

Etter bokstav b i vedtak om overtredelsesgebyr ilegges NAV gebyr for ikke å ha gjennomført egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen av personopplysninger utføres i samsvar med forordningen. For denne delen av vedtaket er det vist til brudd på artikkel 5 nr. 2 og artikkel 24 nr. 1 og 2 som grunnlag for overtredelsesgebyr.

Artikkel 5 nr. 2 lyder:

«2. Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»).»

Denne bestemmelsen pålegger den behandlingsansvarlige et ansvar for å påvise etterlevelse. Mangelfull dokumentasjon for etterlevelse kan etter omstendighetene medføre overtredelsesgebyr.

Artikkel 24 gjelder den behandlingsansvarliges ansvar. Artikkel 24 nr. 1 og 2 lyder:

«1. Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov.

2. Dersom det står i et rimelig forhold til behandlingsaktivitetene, skal tiltakene nevnt i nr. 1 omfatte den behandlingsansvarliges iverksetting av egnede retningslinjer for vern av personopplysninger.»

Datatilsynet har ingen beskrivelse av hvordan tilsynet forstår normen, herunder forskjellen på artikkel 5, 24 og 32. Særlig på grunn av forskjellen i størrelsen på overtredelsesgebyret som kan ilegges ved brudd på bestemmelsene, er det nødvendig å fastslå hvilken norm de ulike bestemmelsene oppstiller og hvordan de kommer til anvendelse på faktum i denne saken.

Slik vedtaket er skrevet er det også utfordrende å finne noen samlet beskrivelse av det faktumet normen vurderes opp mot. Som påpekt ovenfor må vedtaket leses sammen med tilsynsrapporten, tidligere utsendt varsel om vedtak og den behandlingsansvarliges svar på varsel om vedtak, for å gi en mulig oversikt over Datatilsynets både faktiske og rettslige vurderinger.

7.7.2 Skyldkravet

Ileggelse av overtredelsesgebyr forutsetter at den behandlingsansvarlige har handlet med tilstrekkelig grad av skyld. Det må foreligge klar sannsynlighetsovervekt for at den behandlingsansvarlige har handlet uaktsomt for å ilegge overtredelsesgebyr. Dersom det foreligger klar sannsynlighetsovervekt for en forsettlig handling, vil det være et forhold som tillegges vekt i skjerpende retning, både i vurderingen av om overtredelsesgebyr skal ilegges og ved utmåling av gebyrets størrelse, jf. artikkel 83 nr. 2 bokstav b. Det er derfor ikke uten betydning om en overtredelse skjer uaktsomt eller forsettlig, jf. artikkel 83 nr. 2 bokstav b, som nevner uttrykkelig at dette skal vektlegges.

Vurdering av skyld for overtredelser av bestemmelser som fastsetter en svært skjønnsmessig norm kan være utfordrende. I vedtakets punkt 13.3 skriver Datatilsynet om sin vurdering av skyld:

«Datatilsynet har kommet til at den riktige skyldformen i denne saken er forsett. Med dette mener vi ikke at det foreligger forsett relatert til hvert av de 12 lovbruddene isolert sett, men til det faktum at NAV beviselig har hatt kunnskap om at konfidensialitetsvernet i virksomheten er utilstrekkelig på grunn av manglende rutiner, tilgangsstyring og loggkontroll (jf. punkt 10 [tidligere tilsyn] ovenfor).»

I vedtakets punkt 13.8.4 skriver imidlertid Datatilsynet:

«Overtredelsene gjelder i stor grad systematiske, organisatoriske svakheter som NAV selv ikke har ansett som avvik.»

Disse to uttalelsene er motstridende.

At det dreier seg om mangler som NAV ikke selv anser som avvik, støttes også av redegjørelsen for de tidligere tilsynene hos NAV. Det framkommer at NAVs organisering med vide tilganger, logg og loggkontroll også var tema under tilsynet i 2011. I brev til Datatilsynet 21. januar 2013 bekreftet NAV at avvikene var lukket. Datatilsynet skriver om tidligere tilsyns betydning for denne saken under vedtakets pkt. 10.7:

«På områdene tilgangsstyring og loggkontroll vurderer vi dagens tilstand som tilsvarende eller forverret siden tidligere tilsyn.»

Etter nemndas vurdering kan ikke Datatilsynets beskrivelse av at overtredelsene gjelder «systematiske, organisatoriske svakheter som NAV selv ikke har ansett som avvik», kombineres med Datatilsynets vurdering om at NAV har handlet forsettlig.

Når det dessuten ilegges overtredelsesgebyr for det tilsynet beskriver som 11 selvstendige overtredelser av loven, må skyldkravet vurderes for alle lovbruddene.

At NAV har vurdert tidligere pålegg som oppfylt, mens tilsynet vurderer situasjonen uforandret eller forverret sammenlignet med tidligere tilsyn, antas dels å ha sin forklaring i at loven oppstiller svært skjønnsmessige krav, hvor mange hensyn skal avveies når sikkerhetstiltakene skal fastsettes. Det kan også skyldes vage pålegg, for eksempel hvis påleggene i realiteten ikke består av mer detaljering enn et pålegg om å oppfylle lovens krav, jf. nemndas omtale av dette ovenfor.

Å konstatere klar sannsynlighetsovervekt for at skyldkravet er oppfylt vil i en slik situasjon forutsette en redegjørelse for normen samt en vurdering av om NAVs eventuelt uriktige vurdering av normen er uaktsom (rettsvillfarelse).

Datatilsynets drøftelse av skyldkravet er mangelfull og det er uklart hva tilsynet har ment, både faktisk og rettslig. Tilsynet har foretatt en ny vurdering av skyldkravet i oversendelsesbrevet til nemnda, men manglene ved drøftelsen av skyld er ikke reparert.

Uklarheten ved Datatilsynets lovanvendelse, tilsynets redegjørelse for faktum samt tilsynets mangelfulle vurdering av skyldkravet, representerer slike mangler ved vedtaket at nemnda har kommet til at vedtaket om overtredelsesgebyr må oppheves.

7.8 Konklusjon

1. Datatilsynets vedtak om hovedpålegg pkt. 1 og 2 samt underpålegg pkt. 1 b, 2 a og 2 c oppheves.

2. Datatilsynets vedtak om overtredelsesgebyr oppheves.

Oslo, 17. desember 2024

Mari Bø Haugstad

Leder