NAV skyldig i massivt GDPR-brudd

Janne Cecilie Thorenfeldt, oppdaget at hennes arbeidsgiver, som også er NAV, brøt hennes personvernrettigheter. Så hun tok dem til retten. Les videre for å finne ut hva som skjedde.

I 2016 var Janne Cecilie Thorenfeldt involvert i en bilulykke. Hun hadde som følge av dette krav på sykepenger fra NAV. Tilfeldigvis var Thorenfeldt også ansatt i NAV. Etter en stund ble hun mistenksom på at kolleger hadde informasjon om henne som de ikke skulle ha. Det var da Thorenfeldt innså at NAV ikke hadde ordentlige systemer for å skille rollene som arbeidsgivere og tjenesteyter.

Til å begynne med prøvde Thorenfeldt å ta opp problemet internt og fastslå om det var etablert systemer for å forhindre feilaktig datatilgang. Etter mange henvendelser ble det konstatert at det finnes logger over tilgang til hennes data. Da hun ba om å få se disse loggene, nektet NAV å gi noen opplysninger. De ville bare bekrefte datatilgang hvis hun skulle spørre om bestemte personer hadde tilgang til filen hennes.

NAV foretrekker å tie Thorenfeldt fremfor å få på plass skikkelige prosesser

På dette tidspunktet innså Thorenfeldt, som også er tillitsvalgt, at NAV forsøkte å feie saken under teppet. Nå befant hun seg i en varslersituasjon og tok saken til Datatilsynet.

"Overalt hvor jeg henvendte meg i NAV spurte de hva som skulle til for å legge lokk på dette. Jeg hadde brent alle broer og i fremtiden vil mine eneste arebedsoppgaver ville være å kopiere forsikringspapirer! Det var ingen interesse for å løse de underliggende problemene." " - Janne Cecilie Thorenfeldt

Etter å ha kommet ingen vei i mer enn 3 år bestemte hun seg til slutt for å ta saken til retten. Saken ble behandlet to ganger og begge gangene fant domstolene at NAV begikk massive brudd på GDPR, men mente at institusjonen ikke er ansvarlig.

Hvem bryr seg om databeskyttelse i Norge?

EFN fikk først kjennskap til saken etter at den hadde vært prosedert gjennom to instanser. Historien om Thorenfeldt aktualiserte en sak som EFN ønsket å belyse. Norsk lovs mangel på riktig gjennomføring av skadeerstatning for GDPR-brudd.

Hvis NAV ikke kan beskytte folks data, er alles personvern i Norge truet

NAV er ingen liten aktør i det norske samfunnet, og om lag en tredjedel av statens utgifter går til NAV. NAV ble opprettet i 2006 og forsøker å sentralt integrere alle ytelser gitt av norske myndigheter i ett byrå. For å gjøre det, oppbevarer de obligatoriske omfattende filer på omtrent alle norske statsborgere.

Tatt i betraktning omfanget til de innsamlede og lagrede personopplysningene, har personvernbrudd i NAV vidtrekkende konsekvenser for hele det norske samfunnet. NAV fører journal over for eksempel helserapporter, økonomisk historie, familieforhold, institusjonsinnleggelser og en hel rekke annen informasjon med ingen eller svært små begrensninger for å få tilgang til den.

"Det norske samfunnet viser generelt svært liten interesse for digitale rettighetsspørsmål. Dessverre ble Thorenfeldts kamp møtt med samme mediestillhet som de fleste slike saker behandles i Norge. Som et resultat av dette har EFN ikke fått kjennskap til saken før den kom så langt." - Tom Fredrik Blenning, Daglig leder, EFN


Høyesterett valgte ikke å ta saken. På dette tidspunktet var den eneste gjenstående måten å bringe dette videre på å anke enten til EFTA-domstolen, som også er ansvarlig for EØS. Eller ta det til Den europeiske menneskerettighetsdomstolen (EMK).

Jussprofessor Mads Andenæs sammen med tidligere EFTA-domstolspresident Carl Baudenbacher sluttet seg til saken og anket saken til EMK, for brudd på både retten til privatliv og retten til et effektivt rettsmiddel.

Den siste tiden har Janne Cecilie Thorenfeldt vært med på å oppdage ytterligere brudd i NAV. Vi vil holde deg oppdatert.

Vil du støtte Janne Cecilies sak, doner gjerne til innsamlingen hennes.

Denne artikkelen kan også leses på engelsk i EDRi-gram.