Uovlig praksis i to år

Brøt personvernet for 400 000

Nav-sjefen beklager: - Svært alvorlig.

TABBE: Navs brudd på personvernet i jobbsøkebasen burde vært oppdaget tidligere, vedgår Nav-sjef Hans Christian Holte. Foto: Lise Åserud / NTB
TABBE: Navs brudd på personvernet i jobbsøkebasen burde vært oppdaget tidligere, vedgår Nav-sjef Hans Christian Holte. Foto: Lise Åserud / NTB Vis mer
Publisert
Sist oppdatert

Nav meldte seg selv for Datatilsynet etter å ha oppdaget brudd på personvernet som har pågått i to år.

- Dette er et omfattende brudd på personvernet som omfatter nær 400 000 personer. Jeg vurderer det som svært alvorlig, sier arbeids- og velferdsdirektør Hans Christian Holte til Børsen.

Han vedgår videre at den feilaktige praksisen kunne ha vært stanset tidligere.

- Jeg vil mene at dette kunne ha vært avdekket tidligere. Vi har ikke gjort en god nok jobb, sier Holte.

Stengte ned

Feilen ble først oppdaget i forrige uke. Da tok Nav grep og stengte umiddelbart arbeidsgivernes mulighet til å se jobbsøkernes CV-er i stillingsbasen arbeidsplassen.no.

Denne tjenesten har koblet jobbsøkere og arbeidsgivere siden februar 2019.

- I tillegg til at vi har avdekket et alvorlig brudd på personvernet, er det også alvorlig at vi har måttet stenge ned en så viktig del av den selvbetjente arbeidsformidlingen på et tidspunkt når ledigheten er høy, sier Holte.

Konsekvensen er at en stor del av jobbformidlingen nå skjer på den manuelle måten.

Samlet bilde av opplysninger

Siden lanseringen av basen har Nav krevd at arbeidssøkere som er under oppfølging, registrerer sin CV der. Arbeidsgiverne har fritt kunnet søke i de opplysningene som er lagt inn.

- Vi fikk et par henvendelser om lovligheten til vårt personvernombud i september i fjor. 16. februar fikk jeg konklusjonen på mitt bord om at vi ikke hadde lovgrunnlaget på plass. Da bestemte jeg at vi måtte stenge arbeidsgivernes tilgang til å søke på CV-er fra arbeidssøkere under oppfølging, sier Holte.

Navn, kontaktinformasjon, fødselsår, jobberfaring, fagbrev, førerkort, språkkunnskaper, annen kompetanse og ønsker om arbeidssted, vakter og turnus er noen av opplysningene som jobbsøkerne har lagt inn.

- Dette framstår som relevante opplysninger i en jobbsøk- og rekrutteringsprosess. Hva er det personvernmessige bruddet?

- Hver for seg oppfattes muligens disse opplysningene ikke som sensitive, men den samlede mengden kan være utfordrende. Videre har arbeidsgiverne akseptert at opplysningene bare skal brukes i rekrutteringsprosessen, men Nav har ikke noen kontroll på etterlevelsen av dette. I tillegg har det vært mulig for arbeidssøkerne å skrive opplysninger inn i et fritekstfelt i CV-en. Vi kan ikke utelukke at noen jobbsøkere her har forklart hull i CV-en eller kommet med andre sensitive opplysninger, sier Holte til Børsen.

Fikk tidligere varsler

Nav-sjefen vedgår som nevnt at den ulovlige praksisen kunne ha blitt oppdaget tidligere.

- Vi jobber nå med å skaffe den fullstendige oversikten og undersøker historikken. Jeg kan ikke utelukke at det har vært et par henvendelser tidligere enn de som kom i september i fjor, og som utløste at vi begynte å se nærmere på dette. Så jeg vil mene at dette kunne ha vært avdekket tidligere, sier Holte.

Nav-sjefen kan foreløpig ikke si noe eksakt om hvilke praktiske konsekvenser nedstengingen av CV-delen av arbeidsplassen.no har for jobbformidlingen.

- Dette har vært en veldig effektiv måte å koble arbeidssøkere med arbeidsgivere. Arbeidsgivere vil fortsatt kunne søke blant CV-er til personer som ikke er under oppfølging fra Nav, men andre søk i CV-basen må nå Nav gjøre på vegne av arbeidsgiveren. Hvordan dette påvirker jobbformidlingen er ikke så enkelt å fange opp og måle. Men vi er ekstremt opptatt av å kunne gi nye muligheter til de som er permittert eller har mistet jobben sin, så vi gjør alt vi kan for at konsekvensene blir minst mulig, sier Holte.

Stort avvik

Ifølge Datatilsynets direktør Bjørn Erik Thon at det er for tidlig å si noe om Nav-blemma får konsekvenser for etaten.

- Vi noterer oss at dette er et avvik som berører mange, og som sådan er det et stort avvik. Men vi er ikke der ennå at vi kan si noe om avviket har et omfang som tilsier at vi må reagere med en form for sanksjon, sier Thon til Børsen.

STORT: - Vi noterer oss at det berører mange, sier Datatilsynets direktør Bjørn Erik Thon. Foto: NTB
STORT: - Vi noterer oss at det berører mange, sier Datatilsynets direktør Bjørn Erik Thon. Foto: NTB Vis mer

Thon sier at de færreste innmeldte avvik ender med sanksjoner.

- Foreløpige tall viser at vi for fjoråret ender på rundt 2000 meldte avvik fra norske virksomheter. Et fåtall av disse tilsier at vi må reagere med sanksjon, sier han.

Beklager tillitsbrudd

Hans Christian Holte nøler likevel ikke med å beklage:

- Folk skal føle seg trygge på at vi behandler personopplysninger i tråd med lovgivningen. Jeg beklager at vi i dette tilfellet har brutt denne tilliten. Jeg beklager at vi ikke har hatt alt på plass. Nå tok vi umiddelbare grep, og vi gjør det vi kan for å formidle arbeid uten at det går ut over personvernhensyn.

Nav tar fortløpende direkte kontakt med alle som har lagt inn CV på arbeidsplassen.no.

- Svært mange som skal følges opp?

- Vi begynte fredag og i løpet av tirsdagen vil vi ha kontaktet 110 000 av de 400 000 berørte. De får sms, e-post eller brev i posten med henvisning til en side på nav.no for mer informasjon. Fordi arbeidsgivernes tilgang til å søke i opplysningene er stengt, trenger de ikke å foreta seg noe.

I en pressemelding opplyser Nav at ytterligere rundt 30 000 jobbsøkere som ikke er til oppfølging fra Nav, også har delt sin CV i basen. Disse har frivillig lagt inn sine opplysninger, og er derfor ikke omfattet av nedstengningen.

Vi bryr oss om ditt personvern

borsen er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Les mer