Datatilsynet har utfärdat en sanktionsavgift på 20 miljoner norska kronor mot Arbeids- og velferdsetaten (NAV) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet gjort en granskning hos NAV för att kontrollera om de säkerställde konfidentialitet i det ledningssystem som används för att behandla personuppgifter för att tillhandahålla tjänster. Granskningen var begränsad till de tekniska och organisatoriska åtgärder som rör åtkomsthantering, loggar och loggkontroll enligt artikel 5.1 (f) GDPR och artikel 32 GDPR. Vid granskningen kontrollerades också om NAV inrättat ett lämpligt ledningssystem enligt artikel 5.2 GDPR och artikel 24 GDPR.
Datatilsynet konstaterade ett antal överträdelser som visade på strukturella och organisatoriska svagheter och en brist på ledning och förståelse för vikten av dataskydd och de krav som ställs. Datatilsynet identifierade 12 överträdelser som rörde det faktum att NAV, som hade ett stort antal anställda över hela landet, saknade systematisk kontroll av de anställdas användning av de specialiserade systemen.
Datatilsynet konstaterade vidare att NAV organiserat sig på ett sådant sätt att en betydande grupp anställda hade bred tillgång för officiella ändamål. I kombination med ett otillräckligt system för loggkontroll ansåg Datatilsynet att detta inte var förenligt med principen om konfidentialitet enligt artikel 5.1 (f) GDPR och kraven på organisatoriska åtgärder enligt artikel 32 GDPR.
Dessutom konstaterade Datatilsynet att inga rutinmässiga riskbedömningar gjordes och att därför inte heller de nödvändiga länkarna mellan risknivå och åtkomstnivå gjordes rutinmässigt. Nya id-administratörer, som ansvarar för att bevilja åtkomst, fick utbildning som var mycket personberoende och endast beskrev hur åtkomst skulle beviljas och inte på vilka villkor.
Datilsynet konstaterade också att anställda hade tillgång till information om hela befolkningen som standard. Även om NAV hävdade att det var för effektiv ärendehantering för att ge god vägledning och likabehandling och för att behandla ärenden inom rimlig tid, ansåg Datatilsynet att det inte var i linje med principerna om konfidentialitet och uppgiftsminimering artikel 5.1 (f) GDPR och artikel 5.1 (c) GDPR, samt säkerhetskraven enligt artikel 32.1 GDPR. Datatilsynet ansåg att det fanns andra alternativ som skulle ta hänsyn till både effektiviteten i ärendehanteringen och GDPR:s krav på att skydda de registrerades integritet genom tekniska och organisatoriska säkerhetsåtgärder.
Baserat på resultaten av granskningen gav Datatilsynet tre förelägganden till NAV:
- Datatilsynet förelade NAV att inrätta ett omfattande och lämpligt system för organisatoriska åtgärder för att säkerställa och visa efterlevnad av artikel 5.2 GDPR, artikel 24 GDPR och artikel 32 GDPR.
- Datatilsynet förelade NAV att vidta tekniska och organisatoriska åtgärder avseende åtkomsthantering som ger ett tillfredsställande sekretesskydd för personuppgifter enligt artikel 5.1 (f) GDPR och artikel 32.1 GDPR.
- Datatilsynet beordrade NAV att vidta tekniska och organisatoriska åtgärder relaterade till loggkontroll som ger ett tillfredsställande sekretesskydd för personuppgifter enligt artikel 5.1 (f) GDPR och artikel 32.1 GDPR.
Datatilsynet har också utfärdat en sanktionsavgift på 20 miljoner norska kronor. Datatilsynet tog hänsyn till att NAV gjorde känsliga personuppgifter tillgängliga under en lång tid och om ett stort antal personer, utan att nödvändiga säkerhetsmekanismer hade inrättats. Datatilsynet tog också hänsyn till att de tidigare tillsynsbeslut som utfärdats av Datatilsynet under åren inte visade sig vara tillräckligt effektiva.