Datatilsynet har underrättat Arbeids- og velferdsetaten (NAV) om en sanktionsavgift på 5 miljoner norska kronor för att ha gjort CV:n tillgängliga på tjänsten arbeidplassen.no utan rättslig grund.
Av beslutet framgår att CV:n för arbetssökande varit tillgängliga för alla arbetsgivare med tillgång till arbeidplassen.no. NAV underrättade Datatilsynet om dataintrånget när det upptäcktes i februari 2021, och informerade om att sådan tillgång även funnits för liknande lösningar, och att mer än 1,8 miljoner människor drabbats av händelsen. Datatilsynet har även tagit emot 18 klagomål från användare om ärendet.
För att få tjänster och förmåner har arbetssökande varit tvungna att lämna en rad uppgifter, bland annat i form av ett CV. CV:n innehåller information om de registrerade, såsom namn, bostadsort, födelsedatum, telefonnummer, e-postadress, utbildning, arbetslivserfarenhet och annan erfarenhet, kurser, körkort, tillgång till fordon, godkännanden (certifieringar och liknande), språk, angivna kompetenser och arbetsönskemål.
Efter dataintrånget har NAV bland annat skickat ut ett brev till alla berörda som är registrerade på arbeidsplassen.no, med information om vad som har hänt, hur de följer upp ärendet och råd om vad den enskilde bör göra för att undvika att information om dem missbrukas. Arbeidsplassen.no gjordes också omedelbart otillgänglig.
Vid sitt beslut har Datatilsynet lagt särskild vikt vid den maktposition NAV har gentemot användare, arten och omfattningen av personuppgifter som gjorts tillgängliga, hur många som har haft enkel tillgång till uppgifterna, antalet berörda och behandlingens varaktighet, och det faktum att NAV har brutit mot grundläggande och principiella bestämmelser i dataskyddsförordningen.
NAV har rätt att ge sin feedback och kommentera Datatilsynets underrättelse om beslut inom tre veckor. Datatilsynet kommer därefter att granska återkopplingen och fatta ett slutgiltigt beslut i ärendet.