h

På tilliten løs

Etter at arbeids- og velferdsdirektør Sigrun Vågeng i fjor vår ble kjent med at enkeltansatte hadde brutt retningslinjene for tilgang til personopplysninger, tok hun initiativ til en gjennomgang av både retningslinjene og hvordan de etterleves i organisasjonen.


– Vi kan ikke leve med mistanker om misbruk av tilganger. Det går på tilliten løs, sier Vågeng.

Nå er det utarbeidet retningslinjer for urettmessige oppslag, og snart får vi et personvernombud.

Hver tiende ansatt

1. november forelå rapporten fra den eksterne gjennomgangen, som ble foretatt av revisjonsselskapet BDO og advokatfirmaet Wiersholm.

I rapporten «Tilgangskontroller i NAV» kom det fram at vi ikke hadde god nok oversikt over saker som gjaldt «oppslag uten tjenstlig behov». Det ble også påpekt at vi manglet et enhetlig reaksjonsmønster overfor ansatte som foretar slike oppslag. Sist, men ikke minst, viste en analyse at hver tiende NAV-ansatt hadde gjort oppslag på seg selv, familiemedlemmer eller kolleger.

– Jeg må jo innrømme at jeg ble litt skuffet over at det var såpass mange som hadde gjort oppslag som de ikke hadde tjenstlig behov for. Samtidig var jeg glad for at ni av ti ikke hadde gjort det. Dermed snakker vi ikke om en ukultur i etaten, sier Vågeng.

– Det viktigste var at vi umiddelbart fikk tatt tak i det rapporten avdekket, og vi er allerede godt i gang med flere av tiltakene som ble foreslått.

Oppslag som er gjort på andre enn nær familie og kolleger kunne ikke gjøres i analysen. Derfor ble det sendt ut en spørreundersøkelse til alle ansatte. Omkring 40 prosent deltok. Av de 8 400 respondentene svarte omkring  1 800 at de har «hørt om» oppslag uten tjenstlig behov. 400 «var kjent med» oppslag på offentlig kjente personer.

Sanksjoner

Spørreundersøkelsen viste også at tre av fire NAV-ansatte ikke visste om ledelsen reagerte på oppslag uten tjenstlig behov.

I rapporten ble det påpekt at det var ulik praksis i etaten når det gjaldt konsekvenser urettmessige oppslag fikk for de ansatte. Derfor ble det i desember sendt ut retningslinjer der det blant annet står at som et minimum skal lederen gi den ansatte en skriftlig irettesettelse med en advarsel om at hvis det skjer igjen, risikerer vedkommende å bli sagt opp.

NAV skal alltid vurdere å melde saken til politiet. Man risikerer også at saken havner i media med fullt navn på den som har gjort «oppslag uten tjenstlig behov». At en person er avskjediget og grunnlaget avskjedigelsen bygger på, er nemlig ikke unntatt offentlighet.

Logganalyse

Avdelingsdirektør Helge Veum i Datatilsynet forteller at loggføring av hvem som har vært inne i brukermappene har vært tema i deres dialog med NAV gjennom flere år.

– Vi ser nå at alle oppslag blir logget, men hvordan man analyserer loggene, er også viktig. Dette er vanskeligere og innebærer en viss overvåking av de ansatte. Det er derfor viktig at alle ansatte er kjent med at det blir gjort analyser, og at NAV har gode prosesser for å håndtere resultatet av logganalysen.

Han understreker at det første, riktige steget var at NAV bestilte denne rapporten.

– Framover handler det om å gjøre flere ting parallelt: Bedre styring av tilganger, bedre loggkontroller og at NAV aktivt jobber med bevisstgjøring og kulturen hos de ansatte.

Brukerinnsyn

I kjølvannet av medieoppslag om en ansatt i NAV som måtte slutte etter urettmessig  å ha lest saksmappen til naboen sin, har NAV fått mange henvendelser fra brukere som vil vite hvem som har vært inne i deres saksmappe.

– Hvis vi oppdager at en ansatt har gjort oppslag på en bruker uten at man trenger det for å gjøre jobben sin, skal den ansatte alltid få beskjed – også hvis brukeren ikke har fremmet mistankene, sier Terje André Olsen, leder for sikkerhetsseksjonen i direktoratet.

I løpet av våren vil det bli mer systematisk oppfølging av ansatte som gjør oppslag på kolleger og familiemedlemmer.

– Det vil bli enklere å analysere disse loggene etter hvert som vi får bedre verktøy på plass, forteller Olsen.

Personvernombud

Arbeidet med å rekruttere et personvernombud er også i gang. Sigrun Vågeng håper ombudet er i gang før påske. Ombudet skal blant annet informere og gi råd i saker som handler om personvern og bidra til etterlevelse av NAVs personvernpolitikk.

– Dette er en viktig rolle som jeg ser fram til å få på plass, sier Vågeng. //

 

Denne saken ble først publisert i MEMU nr. 1, 2017


FacebookTwitterLinkedInEmail