Datatilsynet varsler NAV om 20 millioner kroner i overtredelsesgebyr og flere pålegg. Beskjed følger kontroll gjennomført i høst. Under denne befaringen ble det funnet flere alvorlige unntak når det gjelder informasjonssikkerhet i deres IT-systemer.
- Datatilsynet tar denne saken svært alvorlig. NAV er på et spesielt sted situasjon i et personvernperspektiv, og oppgavene NAV er tildelt innebærer behandling av personopplysninger Storskala. Inneholder svært sensitiv informasjon. Vi varsler et høyt overtredelsesgebyr da våre undersøkelser har avdekket grove svikt i håndteringen av slik informasjon over lang tid. direktør i Norwegian datatilsyn Line Coll.
Les også: Historien om norsk olje på 5 minutter
NAV styringssystemer er ikke tilstrekkelig for å sikre etterlevelse av personvernregelverket
Datatilsynet gjennomførte en tilsyn i NAV 6. september i år. Den første tilsynsrapporten ble sendt til NAV 1. november. NAV kom med sine merknader til rapporten 22. november. Norsk kontor Datatilsynet har nettopp utarbeidet den endelige tilsynsrapporten og kunngjør sin avgjørelse i denne saken.
Våre hovedkonklusjoner er at styringssystemer NAV er ikke tilstrekkelig til å sikre etterlevelse av regelverk vedrørende personvern, og beskyttelsen av konfidensialitet i IT-systemer er heller ikke tilfredsstillende. Ettersom dette er et varsel vil NAV også ha mulighet til å komme med eventuelle merknader til dette varselet.
12 brudd
Ved vurderingen av overtredelsesgebyrets størrelse la Datatilsynet vekt på at NAV yter spesielle kategorier data personopplysninger om et stort antall personer. Dette skjedde uten å etablere nødvendige sikkerhetsmekanismer. Den fremhevet også at NAV hadde utvist bruddforsett, blant annet ved å unnlate å etterkomme tidligere pålegg gitt av Datatilsynet i samme sak.
– Overtredelsesgebyrer skal være effektive, rimelig relatert til overtredelsen og ha en avskrekkende effekt, og det er derfor vi har valgt et høyt overtredelsesgebyr i denne saken, sier Coll.
NAV får nå tre uker på seg til å svare på henvendelsen. Datatilsynet vil deretter ta stilling til hvordan vi skal behandle dette i vårt endelige vedtak.
Lik oss på Facebook og del innlegget vårt med andre
Kilde: Datatilsynet
Les også: Nå kan du reservere ditt PESEL-nummer